Alias-Strategie bei Hetzner DNS — Sonderfall reine DNS-Hostung
Die Hetzner DNS Console (dns.hetzner.com) ist ein Sonderfall in diesem Kapitel: Sie verwaltet reine DNS-Zonen, hostet aber keine Postfächer und betreibt keinen Mailserver. Damit hat sie selbst keine native Alias-Funktion. Aliase werden vollständig beim externen Mail-Provider verwaltet, dessen MX-Record in der Hetzner DNS Console eingetragen wird. Diese Anleitung zeigt die Service-Trennung zwischen Hetzner DNS Console, Hetzner Webhosting und Hetzner Cloud, die richtige MX-Record-Konfiguration und wie der Alias-Workflow beim eigentlichen Mail-Provider läuft.
Hetzner DNS Console — Aliase laufen beim Mail-Provider hinter dem MX
Die Hetzner DNS Console (dns.hetzner.com) ist ein reiner DNS-Hosting-Dienst — sie hostet keine Mailboxen und betreibt keinen Mailserver. Damit hat sie selbst keine native Alias-Funktion. Wer Hetzner-Webhosting-Kunde ist und Aliase im Hetzner-Webhosting-Paket nutzen will, ist auf der Seite zur Hetzner-Webhosting-Alias-Strategie richtig. Wer Hetzner Cloud-Server oder Dedicated-Server nutzt und einen eigenen Mailserver betreibt, ist bei den Self-Hosted-Stacks richtig (Postfix, Exim, Mailcow).
Die Service-Trennung ist kritisch: Hetzner DNS Console (NS-Pattern hydrogen/oxygen/helium.ns.hetzner.com) verwaltet nur DNS-Zonen, der MX-Record zeigt auf den eigentlichen Mail-Provider. Hetzner Webhosting (KonsoleH) bietet Mailboxen und Aliase. Hetzner Cloud / Dedicated stellt Server-Infrastruktur — Mailserver muss selbst betrieben werden. Wer alle drei verwechselt, sucht Alias-Konfigurationen an der falschen Stelle. Die Hetzner-DNS-Doku (docs.hetzner.com/dns-console/dns) dokumentiert die Zone-Verwaltung.
Hardening-Pfad (Beispiel mit Microsoft 365 als Backend): MX → SPF → DMARC → ARC & SEG bei Hetzner DNS → Alias-Strategie (dieser Guide).
Service-Trennung klären — Hetzner DNS vs Webhosting vs Cloud
Die richtige Hetzner-Produkt-Variante identifizieren — DNS Console hat keine Aliase, sie verwaltet nur DNS-Zonen.
# Hetzner DNS Console: NS-Pattern (reines DNS-Hosting, keine Aliase!)
dig NS ihre-domain.de +short
# Erwartet (alle drei): hydrogen.ns.hetzner.com.
# oxygen.ns.hetzner.com.
# helium.ns.hetzner.com.
# Die Hetzner DNS Console hostet nur DNS-Zonen,
# keinen Mailserver — keine native Alias-Funktion.
# MX-Record zeigt auf den Mail-Provider (dort laufen die Aliase)
dig MX ihre-domain.de +short
# Microsoft 365: ihrtenant.mail.protection.outlook.com
# Google Workspace: smtp.google.com
# Hetzner Webhosting: mxext1.your-server.de
# Eigener Mailcow: mail.ihre-domain.de
# Cloudflare Email Routing: route1.mx.cloudflare.netHetzner DNS Console (NS *.ns.hetzner.com), Hetzner Webhosting (KonsoleH-Panel) und Hetzner Cloud (Server-Infrastruktur) sind drei verschiedene Produkte mit unterschiedlichem Funktionsumfang. Bei der DNS Console gibt es keine Mailboxen und keine Aliase — alle Mail-Funktionalität läuft beim Provider hinter dem in der DNS Console eingetragenen MX-Record.
Hetzner-3-Service-Trennung (Anti-Verwechslungs-Architektur, Empirik 59)
Hetzner ist ein Sonderfall mit 3 unterschiedlichen Produkten unter einer Marke. Aliase sind nur in einem davon nativ konfigurierbar (Webhosting). DNS Console liefert NUR DNS (KEINE Mailboxen). KonsoleH-Webhosting hat Mailboxen + Aliase Level 1-9. Cloud/Dedicated braucht eigenen Mailserver-Stack (Postfix/Mailcow/Exim).
MX-Record in der Hetzner DNS Console auf den Mail-Provider zeigen
In der DNS Console wird nur der MX-Record gepflegt — Aliase werden dort nicht konfiguriert, sondern beim eigentlichen Mail-Provider.
# MX-Record in der Hetzner DNS Console setzen
# dns.hetzner.com -> Zone oeffnen -> "Records" -> "Add Record"
# Type: MX
# Name: @ (Zone-Apex)
# Value: mail-provider-hostname
# Prio: 10
#
# Hetzner schreibt im Zone-File:
ihre-domain.de. IN MX 10 ihrtenant.mail.protection.outlook.com.
# SPF-Eintrag passend zum Mail-Provider:
# Microsoft 365: "v=spf1 include:spf.protection.outlook.com -all"
# Google: "v=spf1 include:_spf.google.com ~all"
# Hetzner Webhosting: "v=spf1 include:hetzner.com ~all"
# Wichtig: Aliase werden beim Mail-Provider hinter dem MX verwaltet,
# NICHT in der Hetzner DNS Console.Aliase beim Mail-Provider verwalten
Die eigentliche Alias-Konfiguration läuft beim Mail-Provider hinter dem MX-Record — je nach gewähltem Provider folgen Sie der entsprechenden Provider-Seite.
Je nach Mail-Provider hinter dem in der DNS Console eingetragenen MX-Record gilt die zugehörige Provider-Seite: Microsoft 365 (bis 400), Google Workspace (30), Hetzner Webhosting (tarifabhängig), Postfix self-hosted, Mailcow self-hosted oder Cloudflare Email Routing (Forwarding-Alias-Dienst mit ARC-Seal). Detail in der Auswahl-Matrix im Kapitel-Index.
Verifikation und Leak-Erkennung via Service-Alias plus HIBP-Monitoring
Verifikation per MX-Check und Test-Mail im Mail-Provider-Postfach. Dauerhaft Leak-Erkennung an Service-Aliasen plus HIBP.
# MX-Record bestaetigen
dig MX ihre-domain.de +short
# Erwartet: der Annahme-Host des Mail-Providers
# Test-Mail an Service-Alias senden (beim Mail-Provider verwaltet)
# Verifikation des Empfangs im Ziel-Postfach
# Leak-Erkennung — Spam an Service-Alias = Leak-Quelle
# Mail an "hubspot-2026@firma.de" von unbekanntem Absender
# -> HubSpot hat Adresse weitergegeben oder wurde geleakt.
# HIBP API v3
curl -H "hibp-api-key: IHR-32-ZEICHEN-API-KEY" \
https://haveibeenpwned.com/api/v3/breacheddomain/firma.de
# Wolf-Agents Email Security Check erkennt das NS-Pattern
# hydrogen/oxygen/helium.ns.hetzner.com und prueft den
# MX-Record auf den dahinterliegenden Mail-Provider.Häufige Fehler bei der Hetzner-DNS-Alias-Strategie
Aliase in der DNS Console gesucht
Problem: In dns.hetzner.com wird nach einer Alias-Verwaltung gesucht. Ursache: Hetzner DNS Console hostet nur DNS-Zonen, keine Mailboxen. Lösung: Aliase beim Mail-Provider verwalten — bei Hetzner-Webhosting-Buchung im KonsoleH, bei externem Provider (M365, Google, Mailcow) dort.
Hetzner DNS Console mit Hetzner Webhosting verwechselt
Problem: Hetzner-Webhosting-Aliase werden in der DNS Console erwartet. Ursache: Beide Hetzner-Produkte, unterschiedliche Funktionen. Lösung: Hetzner Webhosting hat ein eigenes Panel (KonsoleH) für Mailboxen und Aliase — siehe Hetzner Webhosting.
MX-Record fehlt oder zeigt auf falschen Host
Problem: Mail an die Domain kommt nicht an. Ursache: MX-Record in der Hetzner DNS Console fehlt oder zeigt auf einen alten/falschen Mail-Provider. Lösung: Korrekten MX-Record setzen (Type MX, Name @, Value mail-provider-hostname, Prio 10).
SPF-Eintrag passt nicht zum Mail-Provider
Problem: SPF schlägt fehl, DMARC reject. Ursache: SPF-TXT-Record passt nicht zum tatsächlichen Mail-Provider (z.B. include:_spf.google.com bei M365-Backend). Lösung: SPF-Record auf den korrekten Provider-Include anpassen.
DSGVO Art. 32 und Hetzner DACH-Souveränität
Eine Alias-Strategie hinter einem Hetzner-DNS-gehosteten MX-Record zahlt auf DSGVO Art. 32 (Sicherheit der Verarbeitung) ein. Hetzner als DACH-souveräner Provider (inhabergeführt, RZ Falkenstein/Nürnberg/Helsinki) ergänzt sich gut mit DACH-souveränen Mail-Backends (Hetzner Webhosting, eigene Mailcow auf Hetzner Cloud).
Hetzner-DNS-Alias-Compliance-Stack: DSGVO Art. 32 (Pseudonymisierung als TOM beim Mail-Backend) + DSGVO Art. 17 (Alias-Deaktivierung als Lösch-Maßnahme) + Hetzner DACH-RZ + MITRE M1054. Wolf-Agents-USP: Der Email Security Check erkennt Hetzner DNS Console über NS-Pattern hydrogen/oxygen/helium.ns.hetzner.com und prüft den MX-Record auf den dahinterliegenden Mail-Provider plus Catch-All-Konfiguration und Role-Mailboxes (RFC 2142) beim Provider. Cross-Verweis: ARC & SEG bei Hetzner DNS und Cloudflare DNS (mit Email-Routing-Alias-Service).
Mehrwert — Hetzner DNS-only-Realität und MX-Pattern für externe Alias-Anbieter
Hetzner DNS Console (dns.hetzner.com, NS hydrogen/oxygen/helium.ns.hetzner.com) ist ein reines DNS-Hosting-Produkt ohne Mailbox-Funktion und damit auch ohne native Alias-Funktion. Wer Hetzner DNS für eine Domain nutzt und Aliase braucht, konfiguriert die MX-Records auf einen externen Mail-Provider — entweder Hetzner Webhosting (KonsoleH), eine Cloud-/Dedicated-Lösung mit Postfix/Mailcow oder einen kommerziellen Anbieter (M365, Google Workspace, Proton, Mailbox.org). Aliase werden dann am Mail-Provider verwaltet, nicht in der DNS Console.
MX-Record-Konfiguration für externe Alias-Anbieter — Step-by-Step: SimpleLogin (Proton-Tochter seit 8.4.2022) benötigt MX-Records, die an SimpleLogin-Hostnames zeigen (siehe simplelogin.io/docs/custom-domain). Cloudflare Email Routing braucht route1.mx.cloudflare.net bis route3.mx.cloudflare.net als MX (Cloudflare DNS aber muss der DNS-Provider sein). addy.io self-hosted erfordert eigenen MTA mit MX auf den Server. Wichtige Service-Trennung (Empirik 59 R4-W2 Cross-Welle): Hetzner DNS Console + Hetzner Webhosting + Hetzner Cloud sind drei separate Produkte unter einer Marke — die häufigste Verwechslung in StackOverflow-/Reddit-Diskussionen.
Migrations-Pfad für skalierende Setups: Bei wachsender Anzahl Aliase ist der Übergang von Hetzner Webhosting (Level-1- bis Level-9-Aliase-Limits) auf Hetzner Cloud mit eigenem Mailcow- oder Postfix-Setup der dokumentierte Pfad — siehe Hetzner Webhosting, Postfix Self-Hosted und Mailcow. Wolf-Agents-USP: Der 165-Punkte-Scanner erkennt Hetzner DNS Console über NS-Pattern *.ns.hetzner.com, prüft den MX-Record auf den dahinterliegenden Mail-Provider und identifiziert dessen Catch-All- und RFC-2142-Role-Mailbox-Konfiguration. Cross-Verweis: Cloudflare Email Routing (mit ARC-Sealing) als ergänzbare Alias-Schicht über Hetzner-DNS-gehosteter Domain — solange Cloudflare nicht zwingender DNS-Provider ist (Cloudflare Email Routing braucht Cloudflare DNS).
Alias-Strategie-Anleitung für weitere Provider:
Wie steht Ihre Domain bei Alias-Strategie · Hetzner DNS?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.