ARC & SEG für Hetzner — Spam-Filter und optionales SEG
Die Hetzner Online GmbH ist mit ISO/IEC 27001-Zertifizierung und Rechenzentren in Falkenstein, Nürnberg und Helsinki eine zentrale EU-Datensouveränitäts-Option für DACH-Kunden. Der E-Mail-Schutz für Hetzner-Webhosting-Postfächer wird in KonsoleH konfiguriert. Wie für Managed-Mail-Hosting typisch dokumentiert Hetzner keine eigene ARC-Signierung; die ARC-Validierung übernimmt der empfangende Provider. Der regelbasierte Spam-Filter und das Anhang-Blocking bilden die Basis-Inhaltsfilter-Schicht — kein Enterprise-SEG. Diese Anleitung zeigt Spam-Konfiguration, ARC-Strategie, optionales dediziertes SEG und Verifikation.
ARC und SEG für Hetzner-Webhosting-Postfächer
Die Hetzner Online GmbH (Gunzenhausen, Bayern) betreibt Rechenzentren ausschließlich in Falkenstein, Nürnberg und Helsinki, ist ISO/IEC 27001-zertifiziert und bietet damit native EU-Datensouveränität. Für ARC gilt das, was für Managed-Mail-Hosting typisch ist: Hetzner-Webhosting dokumentiert keine eigene ARC-Signierung beim Weiterleiten von Nachrichten. Die ARC-Validierung — das Auswerten einer ARC-Kette — findet beim empfangenden Provider statt, etwa bei Gmail oder Microsoft 365. Als Inhaltsfilter-Schicht bringt das Hetzner-Webhosting einen regelbasierten Spam-Filter mit einstellbarer Stärke sowie ein Blockieren gefährlicher Anhänge (.exe/.bat/.com) mit.
Der integrierte Schutz von Hetzner ist die Basis-Inhaltsfilter-Schicht, kein Enterprise Secure Email Gateway: Funktionen wie Multi-Engine-Sandboxing, URL-Rewriting mit Time-of-Click-Prüfung oder Impersonation Protection sind dort nicht enthalten. Diese Seite behandelt das Hetzner-Webhosting mit Postfächern (Panel KonsoleH) — die reine Hetzner DNS Console ohne Mail-Hosting wird separat unter ARC & SEG für Hetzner DNS beschrieben. Wer höheren Schutz benötigt, schaltet ein dediziertes SEG per MX-Umstellung vor — der MX-Record zeigt dann auf das Gateway statt auf mail.your-server.de. Die offizielle Hetzner-Dokumentation (docs.hetzner.com, Abruf 2026-05-21) beschreibt Spamschutz und E-Mail-Funktionen in KonsoleH.
Hardening-Pfad: MX-Record → SPF → DKIM → DMARC → DMARC-Enforcement → MTA-STS → DNS-Sicherheit → ARC & SEG (dieser Guide). Bedrohungs-Cluster: Ein SEG ist die zentrale technische Abwehr gegen Phishing, Business Email Compromise und gefährliche Anhänge.
ARC (RFC 8617) trägt seit der Veröffentlichung im Juli 2019 den IETF-Status Experimental. Das Working-Group-Dokument draft-ietf-dmarc-arc-to-historic (Stand 22. April 2026) empfiehlt, RFC 8617 als Historic einzustufen und von neuen Deployments abzuraten; als Nachfolger zeichnet sich DKIM2 ab. Für Hetzner-Webhosting-Kunden ist das praktisch entspannt: Da Hetzner-Webhosting ohnehin keine eigene ARC-Signierung anbietet, entstehen keine Migrationskosten. Wichtig bleibt eine saubere DMARC-Konfiguration — sie ist Voraussetzung sowohl für jede ARC-Auswertung beim Empfänger als auch für ein SEG.
ARC- und SEG-Ausgangslage der Hetzner-Domain prüfen
Bevor Sie etwas ändern, erheben Sie den Ist-Zustand: das MX-Pattern für die Stack-Detection, die DMARC-Policy als Voraussetzung der gesamten Authentifizierungs- und ARC-Kette und das ARC-Ergebnis im Header einer weitergeleiteten Test-Mail. Zeigt der MX-Record auf mail.your-server.de, bedient das Hetzner-Webhosting Ihre Postfächer und es ist kein dediziertes SEG vorgeschaltet.
# Hetzner-Webhosting-MX-Pattern prüfen (Stack-Detection)
dig MX ihre-domain.de +short
# Erwartet bei Hetzner-Webhosting-Mail: 10 mail.your-server.de.
# DMARC-Policy der eigenen Domain (Voraussetzung der gesamten Kette)
dig TXT _dmarc.ihre-domain.de +short
# Erwartet: v=DMARC1; p=quarantine; ... oder v=DMARC1; p=reject; ...
# ARC-Ergebnis im Header einer eingehenden, weitergeleiteten Mail
# (Webmail: Mail öffnen -> Quelltext anzeigen)
# Hinweis: ARC-Header werden vom EMPFANGENDEN Provider ausgewertet -
# Hetzner-Webhosting dokumentiert keine eigene ARC-Signierung.
grep -i "^Authentication-Results:" empfangene-mail.eml
# Erwartet bei intakter Kette: ...; arc=pass ...ARC ist ein Feature des E-Mail-Transports. Ein Managed-Hoster wie das Hetzner-Webhosting dokumentiert keine eigene ARC-Signierung beim Weiterleiten — relevant ist ARC daher dort, wo Ihre Mail ankommt. Senden Sie eine Test-Mail über eine Mailingliste an ein Gmail- oder Microsoft-365-Postfach, sehen Sie im Authentication-Results-Header, ob die empfangende Plattform arc=pass setzt. Für eine Hetzner-Domain bedeutet das: Eine korrekte DMARC-Policy und sauberes SPF/DKIM sind die Stellschrauben, die Sie kontrollieren — ARC selbst läuft serverseitig beim Empfänger.
Integrierten Spam-Filter und das Anhang-Blocking in KonsoleH konfigurieren
Den E-Mail-Schutz für Hetzner-Webhosting-Postfächer konfigurieren Sie in KonsoleH (konsoleh.your-server.de). Öffnen Sie den Bereich E-Mail, wählen Sie das Postfach und dann den Spamschutz. Dort aktivieren Sie den regelbasierten Filter und stellen die Filter-Stärke ein. Das Anhang-Blocking blockiert gefährliche Dateitypen serverseitig.
# Hetzner Spam-Filter und Anhang-Blocking konfigurieren
# KonsoleH (konsoleh.your-server.de):
# Menü "E-Mail" -> E-Mail-Postfach auswählen
# -> "Spamschutz" -> regelbasierten Filter aktivieren
# -> Filter-Stärke einstellen (Stufen wählbar)
# -> Anhang-Blocking: gefährliche Typen (.exe/.bat/.com)
# werden serverseitig blockiert.
#
# WICHTIG: regelbasierter Filter + Anhang-Blocking sind die Basis-
# Inhaltsfilter-Schicht - kein Enterprise-SEG mit Sandboxing/
# URL-Rewriting.Eine zu hohe Filter-Stärke verschiebt legitime Mail in den Spam-Ordner, eine zu niedrige lässt mehr durch — kalibrieren Sie sie anhand der real eingehenden Mail. Das Anhang-Blocking ist eine pauschale Sperre für ausführbare Dateitypen wie .exe, .bat und .com; es prüft den Inhalt eines Anhangs nicht. Verstehen Sie diese Schicht realistisch: Sie erkennt Massen-Spam und sperrt offensichtlich gefährliche Anhänge, ersetzt aber kein Enterprise-SEG. Gegen gezieltes Spear-Phishing oder Zero-Day-Malware in scheinbar harmlosen Dokumenten braucht es Sandboxing und URL-Rewriting — Funktionen, die erst ein dediziertes Gateway liefert (Schritt 3).
ARC-Strategie klären und optionales dediziertes SEG vorschalten
Hier wird ehrlich getrennt: Das Hetzner-Webhosting signiert nicht ARC. Wenn Sie selbst Mail über Aliase oder Mailinglisten weiterleiten und diese ARC-versiegelt sein soll, brauchen Sie ARC-fähige Infrastruktur — einen eigenen MTA mit OpenARC oder eine Plattform wie Microsoft 365 beziehungsweise Google Workspace, die ARC nativ signiert. Für inhaltlichen Advanced-Threat-Schutz schalten Sie ein dediziertes SEG per MX-Umstellung vor.
Ein SEG sitzt im Mailfluss vor dem Postfach: Der MX-Record zeigt auf das Gateway, das saubere Mail an Hetzner weiterreicht und Bedrohungen in Quarantäne hält. Im DACH-Raum kommen dafür Hornetsecurity (Hannover, seit 8. Dezember 2025 Business Unit von Proofpoint), NoSpamProxy von Net at Work (Paderborn, inhabergeführt und unabhängig) oder Retarus (München, inhabergeführtes Familienunternehmen) infrage. Wer mit Hetzner bewusst auf EU-Datensouveränität setzt, prüft auch beim SEG-Anbieter die Eigentümerstruktur. Eine technische Alternative: Statt Hetzner-Webhosting-Mail einen Hetzner-Cloud-Server mit eigenem Mailserver betreiben — bei Mailcow übernimmt der mitgelieferte Rspamd-Container die ARC-Signierung (nicht OpenARC, siehe ARC & SEG für Mailcow); für einen reinen Postfix-Stack wird OpenARC als Milter ergänzt (siehe ARC & SEG für Postfix). Praktisch bedeutet die SEG-Umstellung: MX-Record im DNS auf das SEG ändern, im SEG den Hetzner-Mailserver als Ziel-Relay hinterlegen. ARC bleibt davon unberührt — ein SEG filtert Inhalt, es signiert keine Weiterleitungskette.
Hetzner ist der Cloud- und Hosting-Anbieter mit dem klarsten EU-Datensouveränitäts-Profil im DACH-Raum — Rechenzentren ausschließlich in Deutschland (Falkenstein/Nürnberg) und Finnland, keine US-Konzern-Anbindung. Wer diese Wahl bewusst getroffen hat und ein SEG vorschaltet, sollte konsequent eine ebenfalls EU-souveräne SEG-Wahl treffen. Konkrete DSGVO-Art-32-Argumentation: Bei Hornetsecurity (Hannover) liegen die Rechenzentren in Deutschland, aber seit dem 8. Dezember 2025 ist Hornetsecurity Business Unit von Proofpoint (USA, Eigentümer Thoma Bravo). Daten — Mail-Header, Threat-Telemetrie, Quarantäne-Inhalte — können damit dem US CLOUD Act unterliegen, unabhängig vom Server-Standort. Wer Hetzner als EU-Stack gewählt hat, untergräbt diese Wahl mit einer US-Konzern-SEG, weil der gleiche US-Konzern Zugriff auf die ungefilterte Mail erhält. Die ehrlichen Alternativen für EU-Souveränität: (1) NoSpamProxy (Net at Work, Paderborn) — inhabergeführt, DE-Sitz, IT-Security-Made-in-Germany-Siegel, ARC-Validierung in der Suite. (2) Retarus (München) — inhabergeführtes Familienunternehmen seit 1992, „Echt europäisch“, EU-Hauptsitz mit lokaler Datenverarbeitung, ICES- und SEG-Deployment-Modus. (3) Halon Security GmbH (Berlin, Friedrichstrasse 171, seit 16. September 2025) — schwedische Mutter Halon AB in Göteborg, EU-Sitz beidseits, MTA-Plattform-Fokus. Wolf-Agents wertet die Eigentumsstruktur im Scanner-Bericht transparent aus.
Verifikation per dig, Header-Analyse und Wolf-Agents Email Security Check
Prüfen Sie zuerst MX und DMARC erneut per dig. Senden Sie dann eine Test-Mail über eine Mailingliste an Ihr Hetzner-Webhosting-Postfach und öffnen Sie den Quelltext: Der Authentication-Results-Header zeigt das ARC-Ergebnis des empfangenden Systems, die X-Spam-Header das Verdikt des Hetzner-Spam-Filters. Haben Sie ein SEG vorgeschaltet, muss der MX-Record auf das Gateway zeigen.
# 1. MX- und DMARC-Status erneut bestätigen
dig MX ihre-domain.de +short
dig TXT _dmarc.ihre-domain.de +short
# 2. Test-Mail über eine Mailingliste / Weiterleitung an ein
# Hetzner-Webhosting-Postfach senden und den Quelltext öffnen.
# 3. Prüfen:
# Authentication-Results: ...; arc=pass ... (falls weitergeleitet)
# X-Spam-Status / X-Spam-Score (Hetzner-Spam-Filter-Verdikt)
# 4. Bei vorgeschaltetem dediziertem SEG: MX zeigt auf das SEG,
# nicht mehr auf mail.your-server.de.
# Wolf-Agents Email Security Check: erkennt das mail.your-server.de-
# MX-Pattern automatisch und prüft ARC-Detection plus SEG-Status.
Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser erkennt Hetzner-Webhosting-Mail-Domains automatisch über das MX-Pattern mail.your-server.de, bewertet die ARC-Detection und gleicht die MX-Records gegen die SEG-Provider-Datenbank ab. Das Monitoring überwacht die E-Mail-Sicherheit alle 6 Stunden.
Häufige Fehler bei ARC & SEG für Hetzner
Hetzner-Webhosting-Mail mit der Hetzner DNS Console verwechselt
Problem: Spam-Schutz und ARC werden in der Hetzner DNS Console gesucht. Ursache: Die Hetzner DNS Console ist reine DNS-Verwaltung ohne Postfächer — Spam-Filter und Anhang-Blocking gehören zum Hetzner-Webhosting in KonsoleH. Lösung: Bei Webhosting-Postfächern den Spamschutz in KonsoleH konfigurieren; läuft die Mail über einen externen Provider, gilt die jeweilige Provider-Seite.
Hetzner-Spam-Filter mit einem SEG verwechselt
Problem: Der regelbasierte Hetzner-Spam-Filter wird als vollwertiges Secure Email Gateway betrachtet. Ursache: Beide filtern Mail, der Funktionsumfang unterscheidet sich aber deutlich — dem Hetzner-Filter fehlen Sandboxing, URL-Rewriting und Impersonation Protection. Lösung: Den Hetzner-Filter als Basis-Schicht verstehen und bei erhöhtem Schutzbedarf ein dediziertes SEG per MX-Umstellung vorschalten.
ARC-Signierung im Hetzner-Webhosting erwartet
Problem: In KonsoleH wird eine Einstellung für ARC-Signierung gesucht. Ursache: ARC ist ein Feature des Mail-Transfer-Agents — das Hetzner-Webhosting dokumentiert keine eigene ARC-Signierung. Lösung: Akzeptieren, dass die ARC-Validierung beim Empfänger läuft; für eigene ARC-Signierung einen Hetzner-Cloud-Server mit MTA und OpenARC oder eine ARC-fähige Plattform nutzen.
MX-Record nach SEG-Vorschaltung nicht auf das Gateway umgestellt
Problem: Ein SEG ist gebucht, der MX-Record zeigt aber weiterhin auf mail.your-server.de — eingehende Mail erreicht das Gateway nie. Ursache: Vergessene MX-Umstellung im DNS (Hetzner DNS Console oder externer Anbieter). Lösung: Den MX-Record auf den vom SEG vorgegebenen Hostnamen ändern und Hetzner als Ziel-Relay im SEG hinterlegen; mit dig MX ihre-domain.de +short verifizieren.
Compliance: NIS2 lit. a + lit. d, BSI APP.5.3.A4, DSGVO mit Hetzner-EU-Datensouveränität
Ein vorgeschaltetes Secure Email Gateway zahlt direkt auf NIS2 Art. 21 Abs. 2 lit. a ein („Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme“) und setzt die BSI-IT-Grundschutz-Basis-Anforderung APP.5.3.A4 um — die Prüfung eingehender und ausgehender E-Mails samt Anhängen auf Spam-Merkmale und schädliche Inhalte. ARC sichert die Authentifizierungskette über Weiterleitungen ab und unterstützt damit lit. d (Sicherheit der Lieferkette); bei einer Hetzner-Domain läuft diese Validierung beim empfangenden Provider. Hetzner ist ISO/IEC 27001-zertifiziert und betreibt Rechenzentren ausschließlich in Falkenstein, Nürnberg und Helsinki — keine US-Präsenz, native EU-Datensouveränität.
Hetzner-ARC-SEG-Compliance-Stack: NIS2 lit. a (SEG als Defense-in-Depth-Schicht) + NIS2 lit. d (ARC sichert die Forwarding-Lieferkette) + BSI IT-Grundschutz APP.5.3.A4 (Spam-/Schadsoftware-Prüfung) + DSGVO Art. 32 (Schutz personenbezogener Daten) + EU-Datensouveränität (Falkenstein/Nürnberg/Helsinki, ISO 27001). Wolf-Agents-USP: Der Email Security Check erkennt Hetzner-Webhosting-Mail-Domains automatisch über das Pattern mail.your-server.de, bewertet ARC-Detection und SEG-Status im 165-Punkte-Scanner (ARC und SEG als je 5 Bonuspunkte) und weist transparent aus, dass API-basierte ICES-Lösungen für MX-basierte Erkennung unsichtbar bleiben. Cross-Verweis: Phishing, Business Email Compromise und gefährliche Anhänge.
ARC- und SEG-Anleitung für weitere Provider:
Wie steht Ihre Domain bei ARC & SEG · Hetzner?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.