ARC & SEG bei Hetzner DNS — MX-Record auf das SEG oder den Mail-Provider
Die Hetzner DNS Console (dns.hetzner.com) ist ein Sonderfall: Sie verwaltet reine DNS-Zonen, hostet aber keine Postfächer und betreibt keinen Mailserver. Damit hat sie selbst keine ARC- und keine SEG-Funktion. ARC-Validierung und SEG-Filterung laufen vollständig beim externen Mail-Provider, dessen MX-Record über die Hetzner DNS Console eingetragen wird. Diese Anleitung zeigt, wie der MX-Record auf ein Secure Email Gateway oder einen ARC-fähigen Mail-Provider zeigt und was zu verifizieren ist — klar abgegrenzt vom Hetzner-KonsoleH-Webhosting, das eigene Postfächer mitbringt.
ARC und SEG bei Hetzner DNS: nur DNS, die Funktion liegt beim Mail-Provider
Die Hetzner DNS Console (dns.hetzner.com) ist ein Sonderfall: Sie ist eine reine DNS-Zonenverwaltung — sie hostet keine Postfächer, betreibt keinen Mailserver und hat damit selbst weder eine ARC- noch eine SEG-Funktion. ARC-Validierung und SEG-Filterung sind keine DNS-Aufgaben. Sie passieren vollständig beim Provider, der die E-Mails tatsächlich annimmt — also bei dem Mail-Provider oder dem Secure Email Gateway, auf das der MX-Record zeigt. Die Hetzner DNS Console trägt diesen MX-Record nur ein.
Daraus folgt die Rollenteilung: Die Hetzner DNS Console verwaltet die Zone-Records — MX, TXT für SPF und DMARC, DKIM-Selektoren, CAA. Sie entscheidet über den MX-Record, wohin Mail zugestellt wird, prüft und signiert aber nichts. Der externe Mail-Provider hinter dem MX-Record übernimmt Mailannahme und ARC-Validierung — Microsoft 365 und Google Workspace etwa werten eingehende ARC-Ketten nativ aus. Ein vorgeschaltetes SEG übernimmt die inhaltliche Filterung gegen Phishing, Malware und Business Email Compromise. Wichtig zur Abgrenzung: Das Hetzner-KonsoleH-Webhosting ist ein anderes Produkt — es bringt eigene Postfächer auf Basis von Dovecot/Postfix mit; dafür gibt es eine eigene Anleitung unter ARC & SEG für Hetzner. Diese Seite behandelt ausschließlich die reine DNS Console (docs.hetzner.com/dns-console/dns, Abruf 2026-05-21).
Hardening-Pfad (Mail-Backend-Beispiel Hetzner): MX → SPF → DKIM → DMARC → DMARC-Enforcement → MTA-STS → DNS-Sicherheit Hetzner DNS → ARC & SEG (dieser Guide). Bedrohungs-Cluster: Ein SEG ist die zentrale Abwehr gegen Phishing und Business Email Compromise.
ARC wird beim Mail-Provider hinter dem MX heute real ausgewertet — gleichzeitig sollten Sie wissen, dass ARC (RFC 8617) den IETF-Status Experimental trägt und das Working-Group-Dokument draft-ietf-dmarc-arc-to-historic (Stand 22. April 2026) eine Reklassifizierung als Historic empfiehlt. Nachfolger ist DKIM2 (IETF-Arbeitsgegenstand seit März 2026). Für die Praxis heißt das: Eine bestehende ARC-Auswertung beim Mail-Provider weiter nutzen, da Google, Microsoft 365 und Yahoo ARC aktiv verwerten — aber keine darüber hinausgehenden ARC-Eigeninvestitionen planen.
Klarstellen — Hetzner DNS ist nur DNS, ARC und SEG laufen beim Mail-Provider
Der erste Schritt ist eine Klarstellung statt einer Konfiguration: Die Hetzner DNS Console hat keinen Schalter für ARC und kein Menü für ein SEG — und das ist korrekt so. Eine reine DNS-Zonenverwaltung nimmt keine E-Mail an, validiert keine ARC-Kette und filtert keinen Inhalt. Wer in der DNS Console nach ARC- oder SEG-Optionen sucht, sucht an der falschen Stelle. Entscheidend ist allein, wohin der MX-Record zeigt.
Die dig-Bestandsaufnahme klärt die Ausgangslage: Das NS-Pattern hydrogen/oxygen/helium.ns.hetzner.com belegt das DNS-Hosting bei Hetzner. Der MX-Record verrät den Mail-Provider — zeigt er auf ein SEG-Pattern wie *.pphosted.com oder *.mimecast.com, ist ein Gateway vorgeschaltet; zeigt er auf *.mail.protection.outlook.com oder smtp.google.com, läuft die ARC-Auswertung bei diesem Provider. Die DMARC-Policy ist die Voraussetzung der gesamten Kette.
# Hetzner-DNS-NS-Pattern (Stack-Detection — reines DNS-Hosting)
dig NS ihre-domain.de +short
# Erwartet (alle drei): hydrogen.ns.hetzner.com.
# oxygen.ns.hetzner.com.
# helium.ns.hetzner.com.
# Die Hetzner DNS Console hostet nur DNS-Records,
# keinen Mailserver — keine ARC-, keine SEG-Funktion.
# Wo liegt der Mailserver? (ARC + SEG laufen dort)
dig MX ihre-domain.de +short
# Vorgeschaltetes SEG (Beispiele):
# 10 mx-cluster.pphosted.com. Proofpoint
# 10 ...iphmx.com. Cisco Secure Email
# 10 ...mimecast.com. Mimecast
# ARC-fähiger Mail-Provider:
# ihrtenant.mail.protection.outlook.com Microsoft 365
# smtp.google.com Google Workspace
# DMARC-Policy der eigenen Domain (Voraussetzung der gesamten Kette)
dig TXT _dmarc.ihre-domain.de +short
# Erwartet: v=DMARC1; p=quarantine; ... oder v=DMARC1; p=reject; ...Hetzner bietet zwei getrennte Produkte: Die Hetzner DNS Console (dns.hetzner.com) ist reine DNS-Zonenverwaltung ohne Postfächer — diese Seite. Das Hetzner-KonsoleH-Webhosting dagegen bringt einen eigenen Mail-Service mit Postfächern auf Basis von Dovecot/Postfix mit; dort übernimmt der Hetzner-Webhosting-Stack die DKIM-Signierung und einen integrierten Spam-/Virenfilter. Wenn Sie KonsoleH-Postfächer nutzen, ist die Anleitung unter arc-seg/hetzner einschlägig. Diese Seite behandelt ausschließlich die DNS Console, bei der ARC und SEG vollständig beim externen Mail-Provider hinter dem MX-Record liegen.
MX-Record in der Hetzner DNS Console auf den Mail-Provider zeigen lassen
Der eigentliche DNS-Schritt ist das Setzen des MX-Records. Soll ein Secure Email Gateway vorgeschaltet werden, zeigt der MX-Record auf den Annahme-Host des SEG — das Gateway nimmt die Mail an, filtert sie inhaltlich und reicht saubere Nachrichten an Ihren Mailserver weiter. Soll ein ARC-fähiger Mail-Provider ohne separates SEG genutzt werden, zeigt der MX direkt auf dessen Annahme-Host. In beiden Fällen ist die Hetzner DNS Console nur der Träger des Records.
In der DNS Console öffnen Sie die Zone Ihrer Domain und legen über Records → Add Record einen MX-Record an: Type MX, Name @ für den Zone-Apex, Value der Annahme-Host des SEG oder Mail-Providers, dazu die Priorität. Ergänzend tragen Sie den zum Provider passenden SPF-Eintrag als TXT-Record ein. Hetzner DNS speichert diese Records und beantwortet die Auflösungs-Anfragen — die ARC-Validierung und SEG-Filterung selbst passieren beim Provider, auf den der MX zeigt.
; MX-Record in der Hetzner DNS Console auf das SEG / den
; ARC-fähigen Mail-Provider zeigen lassen.
; dns.hetzner.com -> Zone öffnen -> Records -> Add Record
; Type: MX
; Name: @ (Zone-Apex)
; Value: mail-gateway.beispiel-seg.net
; Prio: 10
;
; Hetzner schreibt im Zone-File:
ihre-domain.de. IN MX 10 mail-gateway.beispiel-seg.net.
; Bei einem ARC-fähigen Mail-Provider ohne SEG zeigt der MX
; direkt auf dessen Annahme-Host, z.B. Microsoft 365:
ihre-domain.de. IN MX 0 ihrtenant.mail.protection.outlook.com.
; Der zum Provider passende SPF-Eintrag (Beispiel SEG):
ihre-domain.de. IN TXT "v=spf1 include:_spf.beispiel-seg.net ~all"
; Hinweis: Hetzner DNS speichert diese Records nur — die
; ARC-Validierung und SEG-Filterung passiert beim Provider,
; auf den der MX-Record zeigt.Den MX-Record auf ein SEG zu zeigen, bringt nur dann Schutz, wenn das SEG beim Anbieter selbst konfiguriert ist — mit den Filterregeln, den Quarantäne-Einstellungen und dem ausgehenden Connector zu Ihrem Mailserver. Der MX-Record in der Hetzner DNS Console ist die DNS-seitige Voraussetzung, ersetzt aber nicht die Einrichtung beim SEG-Anbieter oder Mail-Provider. Achten Sie außerdem darauf, alte MX-Records des vorherigen Providers zu entfernen, damit nicht parallel zwei Annahme-Hosts existieren.
Die Hetzner DNS Console (dns.hetzner.com) ist reines DNS-Hosting — keine Mail-Funktionalität, keine ARC-Signierung, kein integriertes SEG. Das ist eine bewusste Architekturentscheidung von Hetzner: Hetzner Online positioniert die DNS Console als kostenlosen Standalone-Service, während Mail-Hosting im separaten Hetzner-Webhosting-Tarif (mit KonsoleH-Panel) oder via Hetzner-Cloud-/Dedicated-Server-Eigenbetrieb erfolgt. Die häufigste Verwechslung — und ein konkretes Drift-Risiko: Auf StackOverflow, in Reddit-Threads und in einigen älteren DACH-Webhoster-Anleitungen wird die Hetzner DNS Console mit dem Hetzner-Webhosting-Mail-Service vermischt. Beispiel: „Aktivieren Sie ARC in der Hetzner DNS Console“ — das ist sachlich falsch, weil die DNS Console keine ARC-Funktion hat. Korrekte Trennung: (1) Hetzner DNS Console → DNS-Records hosten (NS-Pattern *.dns.hetzner.com). (2) Hetzner Webhosting → Mail-Postfächer mit KonsoleH (MX-Pattern mail.your-server.de) — siehe separate Anleitung unter ARC & SEG für Hetzner-Webhosting. (3) Hetzner Cloud / Dedicated → eigener Mailserver auf VM/Bare-Metal (Postfix/Exim/Mailcow) — siehe Self-Hosted-Anleitungen. Implikation für den SEG-Onboarding-Workflow: Die MX-Record-Änderung bei einem SEG-Wechsel läuft durch die Hetzner DNS Console „neutral“ durch — Hetzner sieht nicht, ob Sie den MX umlegen oder welcher SEG-Anbieter dahinter steht. Das ist konsistent mit Hetzners EU-Datensouveränitäts-Profil: Hetzner bietet als DNS-Provider keine zusätzliche „Anreicherung“ Ihrer Metadaten, die ein vertikal integrierter Provider (Google/Cloudflare) potenziell tun würde. Wolf-Agents bewertet diese DNS-only-Realität als saubere Wahl im DACH-EU-Souveränitäts-Stack.
ARC und SEG beim externen Mail-Provider konfigurieren
Sobald der MX-Record in der Hetzner DNS Console steht, verlagert sich die eigentliche Arbeit zum Mail-Provider. Dort wird die ARC-Validierung konfiguriert und dort wird das SEG eingerichtet — die Hetzner DNS Console ist an dieser Stelle nicht mehr beteiligt. Welche Schritte konkret nötig sind, hängt vollständig vom gewählten Provider ab.
Bei einem ARC-fähigen Mail-Provider geht es um die ARC-Auswertung: Microsoft 365 validiert eingehende ARC-Ketten nativ und verwaltet Trusted ARC Sealers im Defender-Portal — die Details stehen auf der Seite ARC & SEG für Microsoft 365. Google Workspace validiert ARC ebenfalls nativ — siehe ARC & SEG für Google Workspace. Betreiben Sie einen eigenen Mailserver auf einer Hetzner-Cloud-VM, ist ARC ein MTA-Feature — die copy-paste-fertigen Anleitungen finden Sie unter ARC & SEG für Postfix, ARC & SEG für Exim und ARC & SEG für Mailcow. Die SEG-Schicht wiederum konfigurieren Sie beim Gateway-Anbieter.
ARC wird nicht im DNS konfiguriert, sondern im Mail-Transfer-Agent: Bei einem selbst gehosteten Postfix übernimmt der OpenARC-Milter das Signieren, Exim bringt ARC ab Version 4.91 nativ mit, und bei Microsoft 365 oder Google Workspace ist die ARC-Validierung Teil des Cloud-Dienstes. Die Hetzner DNS Console kann ARC daher prinzipbedingt nicht abbilden — sie liefert nur den MX-Record, der die Mail zum richtigen Mailserver lenkt. Genauso gilt für das SEG: Der MX zeigt auf das Gateway, die Filterlogik liegt beim Gateway-Anbieter. Und in jedem Fall ersetzen ARC und SEG nie SPF, DKIM und DMARC — sie ergänzen die Authentifizierung.
Verifikation per dig und ARC-Header
Die Verifikation prüft zwei Dinge: ob der MX-Record in der Hetzner DNS Console korrekt auf das SEG oder den Mail-Provider zeigt und ob eine weitergeleitete Nachricht beim Mail-Provider ein ARC-Ergebnis erhält. Lesen Sie dazu den MX-Record per dig und senden Sie eine Test-Mail über eine Mailingliste oder Weiterleitung an ein Postfach hinter dem MX.
Im Header der empfangenen Mail prüfen Sie den Authentication-Results-Header auf arc=pass — dieses ARC-Ergebnis stammt vom Mail-Provider, nicht von der Hetzner DNS Console. Ist ein SEG vorgeschaltet, zeigt dessen Dashboard die blockierten Phishing- und Malware-Mails. Erscheint kein erwarteter MX-Eintrag, kontrollieren Sie in der DNS Console unter Recently Updated, ob der Record gespeichert und propagiert ist.
# 1. MX-Record bestätigen (zeigt auf SEG oder Mail-Provider)
dig MX ihre-domain.de +short
# Erwartet: der Annahme-Host des SEG bzw. des Mail-Providers.
# 2. Test-Mail über eine Mailingliste / Weiterleitung an ein
# Postfach hinter dem MX senden.
# 3. Header der empfangenen Mail öffnen
# (Gmail: "Original anzeigen", M365: Internetkopfzeilen).
# 4. Prüfen:
# Authentication-Results: ...; arc=pass ...
# (das ARC-Ergebnis stammt vom Mail-Provider, nicht von Hetzner DNS)
# 5. SEG-Wirkung: das Dashboard des vorgeschalteten SEG zeigt
# die blockierten Phishing-/Malware-Mails.
# Wolf-Agents Email Security Check: erkennt das NS-Pattern
# hydrogen/oxygen/helium.ns.hetzner.com, gleicht den MX-Record
# gegen die SEG-Provider-Datenbank ab und prüft die
# ARC-Detection plus den SEG-Status der Domain.
Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser erkennt Hetzner-DNS-Hosting über das NS-Pattern hydrogen/oxygen/helium.ns.hetzner.com, gleicht den MX-Record gegen die SEG-Provider-Datenbank ab, bewertet die ARC-Detection und macht transparent, dass die ARC- und SEG-Funktion beim Provider hinter dem MX liegt. Das Monitoring überwacht die E-Mail-Sicherheit alle 6 Stunden.
Häufige Fehler bei ARC & SEG im Kontext der Hetzner DNS Console
ARC- oder SEG-Einstellungen in der Hetzner DNS Console gesucht
Problem: In der Hetzner DNS Console wird nach einem ARC-Schalter oder einer SEG-Option gesucht und keine gefunden. Ursache: Die DNS Console ist reine Zonenverwaltung ohne Mailserver — ARC-Validierung und SEG-Filterung sind keine DNS-Funktionen und gehören zum Provider hinter dem MX-Record. Lösung: Die ARC- und SEG-Konfiguration beim Mail-Provider beziehungsweise SEG-Anbieter vornehmen; in der DNS Console nur den MX-Record auf diesen Provider zeigen lassen.
Hetzner DNS Console mit dem KonsoleH-Webhosting verwechselt
Problem: Es wird angenommen, die Hetzner DNS Console bringe wie ein Webhosting-Tarif eigene Postfächer und einen Spam-Filter mit. Ursache: DNS Console und KonsoleH-Webhosting sind zwei getrennte Hetzner-Produkte — nur das Webhosting hat einen Mail-Service mit integriertem Filter. Lösung: Für KonsoleH-Postfächer die Anleitung unter arc-seg/hetzner nutzen; die DNS Console behandelt ausschließlich die Zonen-Records und den MX-Verweis auf den externen Mail-Provider.
MX umgestellt, aber das SEG beim Anbieter nicht konfiguriert
Problem: Der MX-Record zeigt in der DNS Console auf das SEG, aber Bedrohungen kommen weiterhin durch. Ursache: Die MX-Umstellung lenkt die Mail nur zum Gateway — ohne aktive Filterregeln und einen korrekten ausgehenden Connector beim SEG-Anbieter findet keine wirksame Filterung statt. Lösung: Das SEG beim Anbieter vollständig einrichten — Filterprofile, Quarantäne und den Connector zum eigenen Mailserver — und alte MX-Records in der DNS Console entfernen.
„DNS bei Hetzner — wir brauchen kein DMARC“
Problem: Das DNS-Hosting bei Hetzner oder ein vorgeschaltetes SEG wird als Ersatz für SPF, DKIM und DMARC betrachtet. Ursache: Verwechslung der Schutzrichtungen — DMARC verhindert den Missbrauch der eigenen Domain durch Dritte, ein SEG schützt die eigenen Postfächer vor eingehenden Bedrohungen, und ARC greift nur bei einer korrekten DMARC-Policy. Lösung: SPF, DKIM und DMARC mit Enforcement-Policy korrekt in der Hetzner DNS Console pflegen und ARC sowie SEG beim Mail-Provider als Ergänzung betreiben.
Compliance: NIS2 lit. a + lit. d, BSI APP.5.3.A4, DSGVO mit Hetzner DNS
Ein Secure Email Gateway hinter dem in der Hetzner DNS Console gepflegten MX-Record zahlt direkt auf NIS2 Art. 21 Abs. 2 lit. a ein („Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme“) und setzt die BSI-IT-Grundschutz-Basis-Anforderung APP.5.3.A4 um (Spam- und Schadsoftware-Prüfung auf dem E-Mail-Server). Die ARC-Validierung beim Mail-Provider sichert die Authentifizierungskette über Weiterleitungen ab und unterstützt damit lit. d (Sicherheit der Lieferkette). Die Hetzner DNS Console selbst ist reine Zonenverwaltung — die Compliance-Wirkung entsteht durch das SEG und die ARC-Auswertung beim Mail-Provider, nicht durch das DNS.
Hetzner-DNS-ARC-SEG-Compliance-Stack: NIS2 lit. a (SEG als Defense-in-Depth-Schicht) + NIS2 lit. d (ARC beim Mail-Provider sichert die Forwarding-Lieferkette) + BSI IT-Grundschutz APP.5.3.A4 (Spam-/Schadsoftware-Prüfung) + DSGVO Art. 32 (Schutz personenbezogener Daten vor Phishing-bedingtem Abfluss). Wolf-Agents-USP: Der Email Security Check erkennt Hetzner-DNS-Hosting über das NS-Pattern hydrogen/oxygen/helium.ns.hetzner.com, gleicht den MX-Record gegen die SEG-Provider-Datenbank ab, bewertet ARC-Detection und SEG-Status im 165-Punkte-Scanner (ARC und SEG als je 5 Bonuspunkte) und weist transparent aus, dass die ARC- und SEG-Funktion beim Mail-Provider hinter dem MX liegt und API-basierte SEG-Anbindungen für die MX-basierte Erkennung unsichtbar bleiben. Cross-Verweis: Phishing und Business Email Compromise.
ARC- und SEG-Anleitung für weitere Provider:
Wie steht Ihre Domain bei ARC & SEG · Hetzner DNS?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.