Alias-Strategie für Hetzner Webhosting — KonsoleH und Service-Trennung
Hetzner ist ein Sonderfall, weil drei verschiedene Produkte denselben Markennamen tragen — und Aliase nur in einem davon konfigurierbar sind. Hetzner DNS Console hostet reine DNS-Zonen ohne Mailboxen. Hetzner Webhosting (KonsoleH / rzone) bietet Mailboxen und Aliase je nach Level-1- bis Level-9-Paket. Hetzner Cloud und Dedicated stellen VMs/Bare-Metal-Server bereit, auf denen Sie einen eigenen Mailserver (Postfix, Mailcow) betreiben. Diese Anleitung zeigt die Konfiguration nativ in Hetzner Webhosting im KonsoleH-Panel — abgegrenzt von der reinen DNS-Variante (siehe hetzner-dns) und den Self-Hosted-Stacks. Plus Privacy-Layer-Empfehlung durch SimpleLogin (Proton-Tochter seit 8. April 2022).
Alias-Strategie für Hetzner Webhosting — KonsoleH und Service-Trennung
Hetzner ist bei der Alias-Konfiguration ein Sonderfall, weil drei verschiedene Produkte denselben Markennamen tragen und Aliase nur in einem davon nativ verfügbar sind. Hetzner DNS Console (dns.hetzner.com) hostet ausschließlich DNS-Records und hat keine Mailboxen — keine Aliase möglich, der MX-Record zeigt auf den eigentlichen Mail-Provider. Hetzner Webhosting (KonsoleH unter konsoleh.your-server.de) bietet Mailboxen und Aliase je nach Level-1- bis Level-9-Paket. Hetzner Cloud / Dedicated stellt VMs/Server bereit, auf denen ein Mailserver wie Postfix oder Mailcow selbst betrieben wird — Alias-Konfiguration läuft dann in dessen nativen Mechaniken (postfix / mailcow).
Diese Anleitung fokussiert auf Hetzner Webhosting — das KonsoleH-Panel ist die zentrale Verwaltungsoberfläche. Die Anzahl möglicher Aliase pro Postfach hängt vom Webhosting-Level ab (Level 1 bis Level 9) und steht in der Hetzner-Dokumentation unter docs.hetzner.com/konsoleh. Eine Catch-All-Funktion ist verfügbar, aber mit dem üblichen Dictionary-Attack-Risiko verbunden — Empfehlung: nur temporär aktivieren.
Hardening-Pfad: MX → SPF → DKIM → DMARC → DMARC-Enforcement → ARC & SEG → Alias-Strategie (dieser Guide).
Service-Trennung klären und Webhosting-Tarif prüfen
Vor der Alias-Konfiguration ist die Service-Trennung kritisch — wer Hetzner DNS Console und Hetzner Webhosting verwechselt, sucht Aliase an der falschen Stelle.
# SERVICE-TRENNUNG bei Hetzner — drei verschiedene Produkte:
#
# 1. Hetzner DNS Console (dns.hetzner.com)
# -> REIN DNS-ZONE-VERWALTUNG, keine Mailboxen, keine Aliase
# -> siehe arc-seg/hetzner-dns oder alias-strategie/hetzner-dns
#
# 2. Hetzner Webhosting (KonsoleH / rzone) <-- DIESE SEITE
# -> Webhosting-Pakete Level 1 bis Level 9
# -> Mailboxen + Aliase + Webmail
# -> KonsoleH-Panel: konsoleh.your-server.de
#
# 3. Hetzner Cloud / Dedicated (Cloud-Konsole)
# -> Eigene VMs / Bare-Metal-Server
# -> Mailserver muss selbst betrieben werden (Postfix, Mailcow, ...)
# -> siehe alias-strategie/{postfix,mailcow,exim}
# MX-Pattern bei Hetzner Webhosting (Stack-Detection)
dig MX ihre-domain.de +short
# Typisch: mxext1.your-server.de., mxext2.your-server.de.
# bzw. mailcluster.your-server.de mit interner Verteilung.
# Vorhandene Aliase im KonsoleH-Panel pruefen
# konsoleh.your-server.de -> E-Mail -> E-Mail-Konten
# Pro Adresse "Aliase verwalten" -> Liste
# Tarif-Check (Level 1 bis Level 9 Webhosting)
# Hetzner-Docs (docs.hetzner.com/konsoleh) dokumentiert die
# exakten Postfach-/Alias-Limits pro Tarif.Diese drei Produkte tragen denselben Markennamen, sind aber strikt zu trennen. Die DNS Console hostet nur DNS-Zonen — keine Mailbox-Konfiguration, keine Aliase. Webhosting bietet Mailboxen über KonsoleH. Cloud/Dedicated stellt Server bereit, auf denen ein eigener Mailserver läuft. Bei Support-Anfragen oder Doku-Suche unbedingt die richtige Produkt-Variante adressieren.
Service-Aliase im KonsoleH-Panel anlegen
Pro externem Dienst ein eigener Service-Alias im KonsoleH-Panel — die Anzahl möglicher Aliase pro Postfach hängt vom Level-Paket ab.
# Service-Alias im Hetzner KonsoleH anlegen
# konsoleh.your-server.de -> E-Mail -> E-Mail-Konten
# Postfach waehlen -> "Alias hinzufuegen"
#
# Empfehlung Service-Alias-Schema:
# hubspot-2026@firma.de -> marketing@firma.de
# slack-2026@firma.de -> it@firma.de
# aws-billing@firma.de -> buchhaltung@firma.de
#
# Aliase erscheinen unter dem Hauptpostfach als Empfangsadressen.
# Die Original-Adressmechanik bleibt sichtbar (Wichtig fuer Leak-Erkennung).
# Catch-All im KonsoleH:
# E-Mail -> Catch-All-Funktion (Vorsicht: Dictionary-Attack-Spam)Externe Privacy-Anbieter optional empfehlen
Hetzner ist DACH-souverän (Rechenzentren Falkenstein, Nürnberg, Helsinki) — zusätzliche Privacy-Layer-Empfehlung für besondere Schutzbedarfe.
EU-/CH-souverän: SimpleLogin (Proton-Tochter seit 8. April 2022, Genf) oder Proton Pass-Email. Self-Hosted: addy.io (vorher AnonAddy, Rebrand 9. August 2023) — gut auf Hetzner Cloud betreibbar. US-Konzern: Firefox Relay, DuckDuckGo Email Protection, Apple Hide My Email. Detail in der Auswahl-Matrix im Kapitel-Index.
Verifikation und Leak-Erkennung via Service-Alias plus HIBP-Monitoring
Verifikation per Test-Mail, dauerhaft Spam-Erkennung an Service-Aliasen plus HIBP-Domain-Search.
# Test-Mail an Service-Alias senden (extern)
# Im Hetzner-Webmail oder per IMAP/SMTP-Client pruefen
# Antwort-Absender: standardmaessig vom Hauptpostfach
# Im Mail-Client zusaetzliche Identitaeten anlegen.
# Leak-Erkennung — Spam an Service-Alias = Leak-Quelle
# Mail an "hubspot-2026@firma.de" von unbekanntem Absender
# -> HubSpot hat Adresse weitergegeben oder wurde geleakt.
# HIBP API v3 fuer Domain-Search (kostenpflichtig)
curl -H "hibp-api-key: IHR-32-ZEICHEN-API-KEY" \
https://haveibeenpwned.com/api/v3/breacheddomain/firma.de
# Wolf-Agents Email Security Check: erkennt Hetzner Webhosting
# ueber MX-Pattern *.your-server.de und prueft Catch-All
# sowie Role-Mailboxes (RFC 2142).Häufige Fehler bei der Hetzner-Alias-Strategie
Aliase in der DNS Console gesucht — falsche Produkt-Variante
Problem: Suche nach Alias-Konfiguration in dns.hetzner.com schlägt fehl. Ursache: Hetzner DNS Console verwaltet nur DNS-Zonen, keine Mailboxen. Lösung: Aliase im KonsoleH-Panel (konsoleh.your-server.de) der Webhosting-Buchung verwalten — oder bei Cloud/Dedicated im selbst betriebenen Mailserver (Postfix, Mailcow).
Tarif-Limit überschritten — Service-Aliase passen nicht ins Level-Paket
Problem: Alias-Erstellung schlägt fehl, weil das Level-1- oder Level-2-Paket knapp kalkuliert ist. Ursache: Hetzner Webhosting-Pakete haben tarifgebundene Alias-Limits. Lösung: Tarif-Upgrade auf höheres Level oder Migration auf Hetzner Cloud + Mailcow für unbegrenzte Aliase.
Catch-All im KonsoleH dauerhaft aktiv — Dictionary-Attack-Spam
Problem: Catch-All ist aktiv, das Postfach füllt sich mit Spam an Bot-Adressen. Ursache: Bots probieren systematisch admin@, info@, test@. Lösung: Catch-All nur temporär (2-4 Wochen) aktivieren, danach einzelne Service-Aliase einrichten.
Hetzner-Cloud-VM ohne Mailserver — Aliase „verschwinden“
Problem: Nach Migration von Webhosting auf Cloud-VM sind die Aliase weg. Ursache: Hetzner Cloud stellt nur die Server-Infrastruktur — Mailserver (Postfix, Mailcow) muss selbst installiert und konfiguriert werden. Lösung: Mailcow oder Postfix auf der Cloud-VM aufsetzen, Aliase dort migrieren — siehe die zugehörigen Provider-Seiten.
DSGVO Art. 32 und deutsche/finnische Rechenzentren für Hetzner-Webhosting-Kunden
Eine Alias-Strategie in Hetzner Webhosting zahlt direkt auf DSGVO Art. 32 (Sicherheit der Verarbeitung) ein. Hetzner hostet primär in deutschen Rechenzentren (Falkenstein, Nürnberg) plus finnischem Standort (Helsinki) — DACH/EU-souverän gegenüber US-Cloud-Providern und inhabergeführt (Hetzner Online GmbH, Gunzenhausen).
Hetzner-Webhosting-Alias-Compliance-Stack: DSGVO Art. 32 (Pseudonymisierung als TOM) + DSGVO Art. 17 (Alias-Deaktivierung als Lösch-Maßnahme) + Hetzner DACH-/EU-Rechenzentren + MITRE M1054. Wolf-Agents-USP: Der Email Security Check erkennt Hetzner Webhosting über MX-Pattern *.your-server.de und prüft Catch-All sowie Role-Mailboxes (RFC 2142). Cross-Verweis: DMARC für Hetzner, ARC & SEG für Hetzner und Hetzner DNS Console (reine DNS-Variante).
Mehrwert — Hetzner-Service-Trennung (DNS Console / KonsoleH / Cloud-Dedicated) und Migrations-Pfad
Hetzner ist bei Aliasen ein Sonderfall, weil drei separate Produkte denselben Markennamen tragen und Aliase nur in einem davon nativ konfigurierbar sind. Klare Service-Trennung — die häufigste Verwechslungs-Quelle in StackOverflow-/Reddit-Diskussionen und älteren Anleitungen: (1) Hetzner DNS Console (dns.hetzner.com, NS hydrogen/oxygen/helium.ns.hetzner.com) — reines DNS-Hosting, KEINE Mailboxen, KEINE Aliase; (2) Hetzner Webhosting / KonsoleH (konsoleh.your-server.de, MX *.your-server.de) — Mailboxen + Aliase je nach Level-1- bis Level-9-Paket; (3) Hetzner Cloud / Dedicated — VMs/Bare-Metal-Server für eigene Mailserver-Stacks (Postfix/Mailcow/Exim).
Migrations-Pfad bei Skalierungs-Bedarf: Wer in KonsoleH an die Limits der Level-9-Aliase stößt (typische Schwelle: mehrere hundert Aliase pro Domain), migriert auf Hetzner Cloud mit eigenem Mailcow- oder Postfix-Setup. Mailcow bringt eine UI-Verwaltung für Aliase über Configuration → Mail Setup → Aliases mit CSV-Bulk-Import und Validity-Datum (Auto-Disable nach 90/180/365 Tagen); Postfix bietet die nativen Mechaniken /etc/aliases + /etc/postfix/virtual + newaliases/postmap-Pflicht — siehe Mailcow-Alias-Anleitung bzw. Postfix-Alias-Anleitung.
Externe Privacy-Layer-Empfehlung: Hetzner hostet in DE/FI-Rechenzentren — native EU-Souveränität. Externe Pseudonym-Schicht für Privacy-sensitive Workflows: SimpleLogin (Proton-Tochter seit 8. April 2022, simplelogin.io/pricing — Free=10 Aliase, kostenpflichtiges Premium unbegrenzt) für EU/CH-Souveränität; addy.io (Will Browning UK, Rebrand 9.8.2023) self-hostable auf Hetzner Cloud für volle Datensouveränität. Wolf-Agents-USP: Der Scanner erkennt Hetzner Webhosting über MX-Pattern *.your-server.de, Hetzner DNS Console über NS-Pattern *.ns.hetzner.com und prüft Catch-All + RFC-2142-Role-Mailboxes als Hygiene-Indikator. Cross-Verweis zur DNS-only-Variante: Hetzner DNS Console.
Alias-Strategie-Anleitung für weitere Provider:
Wie steht Ihre Domain bei Alias-Strategie · Hetzner Webhosting?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.