Der Provider Strato ist dazu übergegangen, eine automatische Aktivierung der DMARC-Prüfung bei E-Mail-Konten durchzuführen. Ein Blog-Leser hat mich diesbezüglich die Woche informiert – er sieht "einiges an Chaos" heraufziehen. Denn dann können u.U. keine Mails mehr von Strato-Mail-Konten verschickt werden.
Domain Based Message Authentication, Reporting and Conformance (DMARC) ist eine Spezifikation, die den Missbrauch von E-Mails (z.B. E-Mail-Spoofing) zu reduzieren. Dazu legt DMARC für eine Absender-Domain fest, wie das Empfänger-Mailsystem die Authentifizierung von E-Mails durchführen soll und wie im Falle eines Fehlers zu verfahren ist.
Strato aktiviert eine DMARC-Prüfung
Bisher war es wohl so, dass der Provider Strato den Kunden freigestellt hat, ob diese eine DMARC-Prüfung für Mail-Konten aktivieren. So interpretiere ich jedenfalls den Strato-Supportbeitrag Wie kann ich DMARC bei STRATO aktivieren?, wo beschrieben ist, was sich hinter DMARC versteckt und wie man das aktivieren kann.
Ein Blog-Leser hat mich nun kontaktiert und schrieb, dass beim Provider Strato die DMARC-Prüfung für Postfächer automatisch aktiviert werde. Der Leser erhielt am 4. Juni 2025, am späten Nachmittag, eine E-Mail mit dem Betreff "Neue DMARC-Schutzmaßnahme für Ihre Domain" von Strato, in der er über diese Aktivierung informiert wurde.
Kurz und knapp wird der Empfänger informiert, dass man "zur Erhöhung der Sicherheit" den DMARC-Schutz aktiviert habe. Wer das nicht wünscht, kann dies über die DNS-Einstellung der Domain über die Einträgen unter "TXT und CNAME Records" rückgängig machen. Dies kann nur der Domain-Administrator, der Zugriff auf die Strato-Kundenkonten hat, ändern.
Die Folgen der automatischen Aktivierung
Der Leser meint dazu, dass nach der automatischen Aktivierung der DMARC-Prüfung beim E-Mail-Versand seiner Kunden massive Probleme zu erwarten seien. Es werde dazu führen, dass bei vielen Kunden keine Mails über die Strato-Postfächer mehr nach extern gesendet werden können.
Der betroffene Leser musste die Erfahrung machen, dass wenige Minuten später, nachdem er die obige E-Mail von Strato empfangen hatte, keine Mails mehr nach extern rausgingen. Erst nach der Deaktivierung der Strato-DMARC-Konfiguration in den DNS-Einstellungen konnten wieder Mails versendet werden.
Die Aktivierung ohne vorherige frühzeitige Benachrichtigung ist nach Ansicht des Blog-Lesers nicht gerade kundenfreundlich. Das dürfte vor allem für Dienstleister unangenehm werden, die E-Mail-Postfächer für viele Kunden führen und plötzlich von dieser Maßnahme getroffen werden. Was den ungenannt bleiben wollenden Leser besonders ärgert: In seinem Fall waren entsprechende TXT-DNS-Einträge bereits vorhanden, die dann aber überschrieben wurden.
Der Leser meint dazu: "Die Foren und Beschwerden werden die nächsten Tage sicherlich voll werden." Meine kurze Suche zum 6. Juni 2025 zeigte aber noch keine Treffer – vielleicht habe ich auch nur falsche Suchbegriffe verwendet. Ist noch jemand davon betroffen und hat die Benachrichtigung kurzfristig bekommen?
MVP: 2013 – 2016
DMARC setzt eine funktionierende DKIM-Signatur und ein korrekt konfigurierter SPF-Record voraus. Wenn das nicht vorhanden ist oder nicht passt, werden die empfangenden Mail-Server die Nachrichten als Spam kennzeichnen oder zurückweisen. Kommt also drauf an wie gut Strato das vorbereitet hat.
In der Startphase sollte auf jeden Fall im DKIM-Record die Tags p und sp nicht auf "reject" gesetzt werden, sondern erst auf "none" und später auf "quarantine". Wenn dann alles passt kann man es mit "reject" versuchen.
Grundsätzlich ist schon zu begrüssen, wenn die grossen Anbieter das durchsetzen und den Empfänger-Servern eine bessere Chance geben die eingehenden Nachrichten zu bewerten.
Jein, du kannst DMARC ohne DKIM aktivieren, dann muss aber zwingend SPF stimmen. Wir sehen es momentan bei vielen Providern, dass Dmarc mit reject aktiviert worden ist, dkim fehlt und es dann rumpelt suf beiden Seiten.
Und vorallem, Reporting einschalten rua und ruf um es zu überwachen
Hat sich ein Fehler in meinen Kommentar eingeschlichen, die Tags p und sp sind Teil des DMARC-Record und nicht Teil von DKIM.
"Was den ungenannt bleiben wollenden Leser besonders ärgert: In seinem Fall waren entsprechende TXT-DNS-Einträge bereits vorhanden, die dann aber überschrieben wurden." Das ist dann doch ein sehr unglücklicher Entscheid von Strato – da werden diejenigen bestraft, welche es eigentlich schon lange besser machen.
Kann mir jemand das Problem erklären, warum man nicht mehr "nach extern" senden kann?
Aus meiner Sicht sind doch eher externe Dienstanbieter ohne Authentifizierung, d.h. ohne smart host das Problem, wie z.b. Warenwirtschaftssysteme die eigenständig Rechnungen per Mail versenden, ohne über den authentifizierten Strato Server zu gehen.
Das eigene, professionelle E-Mail Programm oder auch Outlook sollte keine Probleme machen.
leider kommen die meisten meiner spams von gehackten Konten, öffentlichen Providern wie outlook.de oder Gmail.com oder eigens angelegten domains.
da hilft dmarc nur wenig.
Theoretisch könnte man DMARC inkl. SPF auch outbound prüfen. Ich vermute aber, dass alle gängigen Systemen DMARC nur inbound prüfen.
Zum Rest:
Das stimmt. Bis DMARC flächendeckend eingesetzt wird, ist dieser Angriffspfad quasi irrelevant. Vielleicht ist es auch schon so weit. Der Schaden durch Kommunikationsstörungen aufgrund von fehlerhafter Konfiguration von DMARC, SPF, DKIM dürfte nicht gering sein. SPF gibt es fast zwei Jahrzehnte und DMARC mehr als eines, trotzdem sieht man immer noch leere Augen, wenn das eingerichtet oder angepasst werden soll.
DNS tendiert sowieso dazu zu vermüllen. Da wird mal eben schnell etwas eingetragen, im Zweifel ohne die Konsequenzen zu verstehen und nach ein paar Umbauten gibt es Verweise auf fremde Infrastrukturen über die man gar keine Kontrolle hat, denen man aber erlaubt, Zertifikate auszustellen, E-Mails zu versenden und noch vieles mehr.
Es sind vermutlich schon vor allem Konfigurationen betroffen, wo zusätzlich zum Mail-Server, welcher unter MX im DNS konfiguriert ist, weitere Systeme wie Warenwirtschaftssysteme, Webshops usw. direkt Mail senden. Die müssen auch im SPF-Record gelistet sein. Wenn nun Strato den vorhandenen SPF-Record mit Standard-Werten überschreibt und diese Systeme nicht bei Strato, sondern z.B. on prem gehostet werden und die DKIM-Signierung fehlt, werden die Nachrichten vom Empfänger zurückgewiesen, weil beide Prüfungen negativ ausfallen sobald DMARC aktiviert wird.
Für den Laien, welcher Nachrichten senden will, sieht es dann so aus, als nichts gesendet werden kann. Technisch gesehen wird gesendet, aber zurückgewiesen oder im Spam-Ordner des Empfängers blockiert.
Ein Lösung wäre, dass diese Systeme immer den Mail-Server, welcher unter MX konfiguriert ist, als Smarthost benutzen. Ansonsten muss der SPF-Record wieder richtig gestellt werden, in der Hoffnung, dass dieser nicht mehr angetastet wird.
Es gibt schon Gründe die eigenen DNS-Zonen autoritativ selber zu hosten, und die Sekundäre(n) z.B. beim Upstream-Provider. Dann kann kein Hoster/Provider einfach so was ändern.
Es dreht sich langsam aber sicher in die richtige Richtung.
Jahrelang warst du der Gekniffene, wenn du deine Hausaufgaben in diesem Bereich gemacht hast und dir "Großen" sich einen Scheisdreck um RFCs gekümmert haben.
Ärgerlich wäre es, sollten sie es wirklich überschrieben haben.
Ich bin auch bei Strato, habe aber noch keine solche Email bekommen – bin jedoch nicht sicher, ob ich DMARC nicht schon aktiviert hatte, muss nachher mal schauen.
Natürlich ist es unverschämt, dass Strato nicht vorher über sowas informiert,
aber ich bin da z.B. von Vodafone viel schlimmeres gewohnt: Die halten es nichtmal für nötig, ihre Kunden vor geplanten Wartungsarbeiten und mehrere Stunden nicht verfügbarem Internet zu informieren, weder vorher noch nachher. Die machen auch ohne Ankündigung gerne mal ein Firmware-Update auf dem Router und setzten dabei die Konfiguration zurück auf Werkseinstellungen – auch auf die default PWs.
Das Speichern/Laden der Einstellungen hat Vodafone in ihrer FW natürlich deaktiviert – das sind ja Funktionen der Hersteller-FW, die für Vodafone-Kunden unnötig sind.
Bin jedesmal begeistert, wenn mitten im Online-Meeting oder Remote-Session plötzlich wegen Wartungsarbeiten stundenlang kein Internet verfügbar ist.
Ist wohl Vodafone's "freundliche" Art, Privatkunden einen Geschäftsanschluss schmackhaft zu machen – aber da wird man sicher genauso respektlos behandelt.
Aber wenn das vom TKG nicht verlangt wird, ist das ja auch unnötig;')
Ist mir bei T-Online noch nie passiert, weder mit meinem Geschäfts noch bei meinem Privat Anschluss das mitten im "Online-Meeting oder Remote-Session plötzlich wegen Wartungsarbeiten stundenlang kein Internet verfügbar ist", war.
Ich bekomme i. d. R. von meinem Router ein bis zweimal am Tag eine Mail zugesandt, in denen Änderungen stehen, unter anderem, auch wenn neue Firmware verfügbar ist und kann dann selbst entscheiden, wann sie eingespielt wird, was aber nie länger als 10 Minuten dauert.
Aber nun gut, T-Online hat dafür andere Bespaßung 7 Tage keine Internetverbindung, für mein Geschäftsanschluss, nach einem schweren Gewitter, Okay, das kam zwar nur einmal in den letzten 6 Jahre vor, aber solche Ausfälle merkt man sich eben.
Ich habe nur leider nichtmal die Wahl zwischen Pest und Cholera,
ausser bei Vodafone-Kabel bekomme ich hier sonst max 100/10MBit bei anderen Providern.
Sind da Mobilfunk/LTE oder Starlink schon bei und/oder bieten mglw. eine Alternativmöglichkeit?
Satelit/LTE haben alle Datenlimit bzw. Drosselung oder sind unbezahlbar.
Und mein Vodafone-Vertrag (250/50) stammt noch aus KabelDeutschland Zeiten und beinhaltet 2 Telefon-Leitungen (also 2 Gespräche gleichzeitig) mit Festnetz-Flat und eine feste IPv4 für unter 40€/Monat.
Sowas bekommt man heute bei Neuverträgen garnichtmehr, oder es wird richtig teuer;)
Hat Vodafone in einer bekannten Firma auch geschafft. 1,5 Wochen ohne Internet.
Die haben jetzt gekündigt.
Interessanterweise bekommt man diese E-Mail auch, wenn schon seit Jahr & Tag die DMARC Einstellung exakt wie von Strato jetzt ausgerollt im Account vorhanden war. Erlebt bei mehreren Kunden mit Strato.
Vermutlich handelt es sich um eine Kompetenzübung seitens STRATO. Das ist eine gute Maßnahme daran zu erinnern, die eigenen DNS-Zonen auf Manipulation zu überwachen. Leider gibt es bei STRATO bis heute keine DNS-API, d.h. Änderungen muss man händisch per Webinterface verwalteten. Dabei gibt es eigentlich kaum etwas simpleres als Zone-Files, einfache Textdateien, die man wunderbar z.B. per SSH und optional einem Versionierungssystem seiner Wahl pflegen kann.
Das ist so ziemlich das leichtfertigste, was ein Hoster machen kann. Bei mir wurden vorhandene DKIM und SPF Einträge überschrieben. Der MX-Record war natürlich gesetzt.
Ich sehe nichts, was dagegen sprechen würde, Domains mit eigenen Mail-Servern auszulassen.
Resultat: Mails, die nicht ankommen sind, nicht geplanter Aufwand und wohl eine beschleunigte Migration zu einem anderen Hoster.
Strato war schon immer ein gutes Beispiel dafür, den Kundenstamm im untersten Preissegment zu pflegen. Billich willich und wer über ein intuitives Bachgefühl oder Hirn in der Rübe verfügt, ist froh dort nichts mehr liegen zu haben.
Wer DKIM,DMARC und SPF nicht aktiv nutzt sollte keine Mailserver betreiben.
Ja ist aber Mist wenn du es nutzt!! und Strato das einfach löscht und auf Deren, dann nicht mehr passenden, default Werte zurücksetzt
Ich verwalte zig Tenants für Kunden mit sehr vielen Mailpostfächern, habe diese Mail bisher für kein Paket erhalten.
Liegt ggf. auch daran, dass ich seit eh und je die Strato-Standard SPF- und DMARC-Regeln aktiviert habe und keiner hat Probleme mit dem Mailempfang oder -versand…
Deshalb viel Wind um nichts, die automatische Aktivierung wird sich kaum bis gar nicht bemerkbar machen.
Es ist im Vergleich nichts anderes, wie GMail, die seit längerem schon keine Mails mehr von falsch/nicht konfigurierten SPF-/DMARC-Regel-Servern annehmen.
Hier waren seit Jahr & Tag die Strato-Standard SPF- und DMARC-Regeln aktiviert, aber es kam trotzdem bei mehreren Kunden die o.g. Mail an.
"Wer DKIM,DMARC und SPF nicht aktiv nutzt sollte keine Mailserver betreiben."
Welcher günstige Provider wäre empfehlenswert, wenn ich mit meiner eigenen Domain bei geringem Mailaufkommen, aber vielen Aliasadressen sicher arbeiten möchte?
Was sind den "viele Aliase"?
Grundsätzlich würde ich sagen: Netcup. Es gibt hier ein Alias-Limit, aber das liegt glaube ich bei 100. Wohlgemerkt pro Mailkonto, Du kannst natürlich für ein weiteres Konto wieder neue Aliase erstellen. Kann natürlich sein, dass Dir das schon nicht reicht…
Passen dazu:
BSI veröffentlicht Empfehlungen zur Verbesserung der E-Mail-Sicherheit in Unternehmen
https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Upgrade-E-Mail-Sicherheit_250526.html
Wir liegen (mit dem DNS) auch bei Strato und haben die Mail erhalten. Ich habe dann wegen einem Bauchgefühl reingeschaut und musste feststellen das alle individuellen TXT Einträge der DMARC/SPF/DKIM Konfiguration gelöscht und auf Strato Default waren. Ob das zeitlich zum Empfang der Mail steht oder ab da bereits seit längerer Zeit was umgestellt wurde kann ich nicht beurteilen. Ich hatte jedoch Kollegen die Tage vorher immer mal wieder berichteten, dass Kunden Mails nicht bekommen würden. Ich vermute Schlimmes.
Für mich geht es absolut nicht ohne Vorankündigung sowas umzustellen und dann nach der Umstellung irgendwann mal darüber zu informieren.
Als Mittelständler sehe ich somit keine andere Möglichkeit als auch noch das DNS bei so einer "SOHO-Bude" wegzubekommen.
Hatte den Artikel gelesen und gedacht, alles klar, bei konfiguriertem DMARC wegen die es ja nicht überschreiben. Gefehlt, danke Strato, dafür nehme ich auch ne Hotline in Kauf um Bescheid zu sagen, dass das so nicht geht.
Wir haben seit einigen Tagen verstärkt Nachfragen, dass Mails von extern von unserem Spam-Gateway geblockt werden und stellen fest, dass das in den meisten Fällen Strato-Kunden sind, bei denen im DNS ein DMARC-Record mit Reject-Policy gesetzt ist, es aber weder einen SPF-Eintrag für die Domain gibt, noch die Mails DKIM-signiert sind.
Meist sind das kleinere Unternehmen, die selbst einen Mailserver betreiben und keine Ahnung haben, wovon wir da reden, wenn wir das Problem dort adressieren. Von daher können wir als Soforthilfe nur die Domain whitelisten, was eigentlich dem Thema Sicherheit hier einen Bärendienst erweist.
Ob sich bei Strato da jemand Gedanken dazu gemacht hat ?
@Bernd: Ja, das alte Problem mit falsch konfigurierten SPF/DKIM/DMarc-Settings.
Wir haben an unserem Secure-Email-Gateway einen DMARC-Check von allen eingehenden Emails simuliert und mussten feststellen, dass es doch eine Reihe von Emails gab, die wir falsch-positiv geblockt hätten.
Ein Whitelisten ist sinnlos und ein hoher Aufwand. Tut man es dagegen nicht, ist es ggf. geschäftsschädigend, wenn die dringend erwartete Email nicht ankommt.
Ein typisches Beispiel:
Viele, sogar namhafte Firmen DKIM-signieren ihre Ausgangs-Emails mit tenantname.onmicrosoft.com, obwohl mit der P2-HeaderFrom-Domain @firma.de versandt wurden. Dann geht das DKIM-Alignment HeaderFrom ungleich DKIM-Domain auf "fail". Wenn es sich dann noch um eine Out-of-Office-Meldung oder einen Non-Delivery-Report handelt (in denen der Envelope-From leer ist), dann geht die gesamte DMARC-Prüfung auf "fail" und der Empfang wird abgelehnt bei p=reject.
@Alle:
Mich würde interessieren, wer von den Blog-Leser einen DMARC-Check von eingehenden Emails aktiv hat und welche Erfahrungen er damit gesammelt hat?
Wir lassen die eingehende DMARC-Prüfung schon lange mitlaufen, es wird aber nur geloggt. In die Spam-Ordner verschieben oder ganz blocken würde zwar nur zu wenigen Abweisungen pro Tag führen, aber in der Regel betrifft es Nachrichten aus Domänen die kein Spam sind und zugestellt werden müssen.
Das Hauptproblem ist, dass die DMARC-Prüfung fehlschlägt, wenn die DMARC-Angleichung für die Domäne nicht besteht (Alignment), weil die Domäne im "From"-Header nicht mit der Domäne in der SPF-/DKIM-Prüfung übereinstimmt. Das kommt auf Grund von Fehlkonfigurationen und Drittanbieter-Diensten öfters vor als man denkt. Ist ein Problem des Senders aber was will man machen, die alle bitten ihre Konfiguration anzupassen?
Ich bin nach wie vor unschlüssig ob die eingehende DMARC-Prüfung scharf geschaltet werden soll (als Spam markieren). Gibt vermutlich mehr Ärger als es nützt. Also bei uns etwa dasselbe Bild und Einstellung zum Problem wie Du oben im Kommentar vom 12:44 geschrieben hast.
@ChristophH: Vielen Dank für Deinen Einblick in die Praxis.
Auch wir lassen die DMARC-Prüfung als "Simulation" mitlaufen, rejecten oder quarantinen aber nichts.
In der Tat sehen auch wir zuviele legitime Emails, die wir fälschlicherweise aufgrund der DMARC-Prüfung zurückweisen würden.
Ein Hauptgrund ist der, den Du erwähnst: fehlendes Alignment von DKIM-Domain d=x mit HeaderFrom (P2) = y.
Und auch Zustimmung: Das Problem liegt beim Absender. Aber da könnte man Tage mit "Fortbildung" für die Absender verbringen, und sie verstehen es trotzdem nicht. SPF/DKIM und insbesondere DMARC ist ja auch nicht trivial zu verstehen.
DMARC =fail im Email "irgendwie" zu markieren haben wir uns auch überlegt, aber verworfen. Da kommt dann nur der Aufschrei vom Empfänger: "Kann man das wegmachen, ist doch ein legitimer Lieferant oder Kunde!". Dann macht man wieder Ausnahmen und das Spiel beginnt von vorne.