Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung nutzt deine Domain entweder Stratos Standard-DMARC-Regel oder deinen eigenen _dmarc-Record mit selbst gewählter Policy.

Voraussetzungen

  • Ein Strato-Paket mit E-Mail
  • SPF und DKIM müssen stehen — bei Strato ist DKIM für Versand über die eigenen Server ohnehin schon aktiv

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) verbindet SPF und DKIM zu einer durchsetzbaren Richtlinie. Der empfangende Mailserver erkennt anhand von DKIM-Signatur und SPF, ob eine Mail wirklich von dir stammt — und verfährt mit Fälschungen nach der Policy, die du im _dmarc-TXT-Record hinterlegst. Strato warnt zu Recht: „Immer mehr E-Mail-Dienstleister prüfen DMARC streng und lehnen Nachrichten ab, die die Prüfung nicht bestehen.”

Die Ausgangslage bei Strato

Zwei Besonderheiten machen Strato hier speziell:

DMARC ist bei Strato bereits aktiviert — es gibt eine Standard-DMARC-Regel. Für viele reicht das. Willst du eine eigene Policy (etwa gestaffelt Richtung reject), ersetzt du sie durch einen eigenen Record.

Strato sendet selbst keine DMARC-Reports. Wörtlich: „Der STRATO-Mailserver sendet aufgrund deutscher Datenschutzbestimmungen keine derartigen Reports.” Das heißt aber nicht, dass Reports für dich sinnlos sind: Die großen Empfänger (Gmail, Outlook & Co.) senden weiterhin aggregierte Reports an deine rua-Adresse. Ein DMARC-Monitoring wie MARCo wertet diese aus — du sieht also trotzdem, wer in deinem Namen sendet.

Schritt-für-Schritt-Anleitung

1. Entscheiden: Standard-Regel oder eigene Policy

Für den Einstieg genügt oft Stratos Standard-Regel. Wer den Weg zu p=reject gehen und Reports auswerten will, setzt einen eigenen Record — so geht’s.

2. Eigene DMARC-Regel setzen

Wechsle in den DNS-Einstellungen deiner Domain zum Punkt »Keine STRATO-DMARC-Regel« und lege dann einen TXT-Record an:

  • Typ: TXT
  • Präfix: _dmarc
  • Wert (Start, Beobachtung):
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de

Klicke auf »Einstellung übernehmen«.

3. Von none über quarantine nach reject

Beginne mit p=none, lies die Reports der großen Empfänger, und ziehe dann an. Stratos dokumentierter Beispielwert für die mittlere Stufe:

v=DMARC1; p=quarantine; pct=100

Und schließlich die Durchsetzung:

v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de

Wechsle erst weiter, wenn die Reports zeigen, dass alle legitimen Quellen SPF/DKIM bestehen.

4. Für jede Domain wiederholen

Die Policy gilt pro Domain — richte sie für jede Domain ein, deren Mails so behandelt werden sollen.

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC-Policy, SPF und DKIM auf einen Blick.

Häufige Fehler

Doppelter _dmarc-Record. Willst du von einer eigenen Regel zurück zur Strato-Standardregel, geht das nur, wenn keine TXT-Records mit Präfix _dmarc mehr existieren — vorhandene erst über „Löschen” entfernen.

Sofort auf p=reject. Ohne none-Phase blockierst du legitime Quellen. Erst beobachten, dann anziehen.

Reports für sinnlos gehalten. Zwar sendet Strato selbst keine — Gmail, Outlook und andere aber schon. rua von Anfang an setzen.

DMARC ohne SPF/DKIM-Basis. DMARC wertet nur SPF/DKIM-Ergebnisse aus. Erst SPF und DKIM prüfen.