ARC & SEG für Hostpoint — SpamAssassin und Spambox
Hostpoint AG (Rapperswil-Jona, SG) ist der größte Schweizer Webhoster — eigentümergeführt, alle Rechenzentren in der Schweiz, ISO/IEC 27001-zertifiziert. Wie für Managed-Hosting typisch signiert Hostpoint ARC nicht dokumentiert; die ARC-Validierung übernimmt der empfangende Provider. Als integrierte Inhaltsfilter-Schicht dienen SpamAssassin und die Spambox, ein dediziertes Secure Email Gateway lässt sich per MX-Umstellung vorschalten. Diese Anleitung zeigt die ARC-Strategie, die SEG-Schicht und die Schweizer Compliance-Schicht nach revDSG Art. 8.
ARC und SEG für Hostpoint-Domains (Schweiz, Rapperswil-Jona)
Hostpoint AG ist der größte Schweizer Webhosting-Anbieter mit Sitz in Rapperswil-Jona (SG) — eigentümergeführt, alle Rechenzentren in der Schweiz, ISO/IEC 27001-zertifiziert. Für ARC gilt bei Hostpoint, was für Managed-Hosting durchgängig typisch ist: Eine eigene ARC-Signierung ausgehender oder weitergeleiteter Nachrichten ist nicht dokumentiert. Die ARC-Validierung läuft ohnehin beim empfangenden Provider — Gmail, Microsoft 365, Yahoo und Fastmail werten ARC-Ketten aus. Als integrierte Inhaltsfilter-Schicht bringt Hostpoint SpamAssassin und die Spambox mit.
Das Hostpoint Control Panel (admin.hostpoint.ch) ist das zentrale Verwaltungs-Panel — dort konfigurieren Sie den Spam-Filter pro E-Mail-Adresse. SpamAssassin sortiert erkannte Spam-Mail in eine separate Spambox ein; ein serverseitiger Virenscanner ist bei Hostpoint allerdings nicht belegt, Hostpoint empfiehlt einen lokalen Virenschutz auf dem Endgerät. Diese integrierte Filterung ist kein vollwertiges Enterprise-SEG — wer Anti-Malware-Scanning, Sandboxing und Impersonation Protection vor der Zustellung braucht, schaltet ein dediziertes Secure Email Gateway per MX-Umstellung vor. Der Hostpoint-Support (support.hostpoint.ch, Abruf 2026-05-21) dokumentiert die Spam-Filter-Bedienung.
Hardening-Pfad: MX → SPF → DKIM → DMARC → DMARC-Enforcement → DNS-Sicherheit → ARC & SEG (dieser Guide). Bedrohungs-Cluster: Ein SEG ist die zentrale technische Abwehr gegen Phishing, Business Email Compromise und gefährliche Anhänge.
ARC (RFC 8617) trägt seit der Veröffentlichung im Juli 2019 den IETF-Status Experimental. Das Working-Group-Dokument draft-ietf-dmarc-arc-to-historic (Stand 22. April 2026) empfiehlt eine Reklassifizierung als Historic, Nachfolger ist DKIM2. Für Hostpoint-Kunden ist das keine offene Baustelle: Hostpoint signiert ARC nicht dokumentiert, eine eigene ARC-Konfiguration ist also gar nicht erforderlich. ARC wirkt für Ihre Domain ausschließlich indirekt — über die Validierung beim empfangenden Provider. Der aktive Hebel auf einer Hostpoint-Domain ist die Inhaltsfilter-Schicht, nicht ARC.
ARC- und SEG-Ausgangslage der Hostpoint-Domain prüfen
Bevor Sie die Inhaltsfilter-Schicht justieren, prüfen Sie den Ist-Zustand: das MX-Pattern für die Stack-Detection, die DMARC-Policy als Voraussetzung der gesamten Authentifizierungskette und das ARC-Ergebnis im Header einer weitergeleiteten Test-Mail. Wichtig zur Einordnung: Die ARC-Header setzt der weiterleitende Server, nicht Hostpoint.
# Hostpoint-MX-Pattern prüfen (Stack-Detection)
dig MX ihre-domain.ch +short
# Typisch für Hostpoint-Mail: ein Hostpoint-eigener Mailhost.
# DMARC-Policy der eigenen Domain (Voraussetzung der gesamten Kette)
dig TXT _dmarc.ihre-domain.ch +short
# Erwartet: v=DMARC1; p=quarantine; ... oder v=DMARC1; p=reject; ...
# ARC-Ergebnis im Header einer eingehenden, weitergeleiteten Mail
# (Mail-Client: Quelltext / Originalnachricht anzeigen)
# Erwartet bei intakter Kette u. a.:
# ARC-Seal: i=1; ...; cv=none; ...
# Authentication-Results: ...; arc=pass (i=1 ...)
# Hinweis: Diese ARC-Header setzt der WEITERLEITENDE Server,
# nicht Hostpoint - eine eigene ARC-Signierung ist bei Hostpoint
# nicht dokumentiert (typisch für Managed-Hosting).ARC und ein SEG ergänzen die E-Mail-Authentifizierung, sie ersetzen sie nicht. Steht die DMARC-Policy Ihrer Hostpoint-Domain noch auf p=none, bleibt der Domain-Missbrauch durch Dritte ungebremst — kein Inhaltsfilter ändert daran etwas. Arbeiten Sie daher zuerst den Hardening-Pfad bis DMARC-Enforcement ab. Erst auf einer Domain mit p=quarantine oder p=reject entfaltet die Filterschicht ihren vollen Nutzen.
SpamAssassin und Spambox im Hostpoint Control Panel konfigurieren
Den integrierten Inhaltsfilter konfigurieren Sie im Hostpoint Control Panel (admin.hostpoint.ch) pro E-Mail-Adresse. SpamAssassin prüft eingehende Nachrichten auf Spam-Merkmale, die Empfindlichkeit ist über einen Schwellwert einstellbar. Erkannte Spam-Mail wandert in die Spambox — einen separaten Ordner, den Sie regelmäßig auf False Positives kontrollieren sollten.
# Hostpoint Control Panel -> admin.hostpoint.ch
# E-Mail -> E-Mail-Adressen -> Adresse wählen -> Spamfilter
#
# SpamAssassin (serverseitig, pro E-Mail-Adresse):
# - Spamfilter aktivieren
# - Empfindlichkeit / Schwellwert einstellen
# - Aktion: in Spambox verschieben (empfohlen) oder kennzeichnen
#
# Spambox:
# - separater Ordner für aussortierte Mail
# - regelmäßig auf False Positives kontrollieren
#
# Hinweis: Ein serverseitiger Virenscanner ist bei Hostpoint
# nicht belegt - Hostpoint empfiehlt einen lokalen Virenschutz
# auf dem Endgerät. Für dedizierte Anti-Malware-Filterung
# vor der Zustellung ist ein vorgeschaltetes SEG nötig.SpamAssassin ist eine bewährte, regelbasierte Anti-Spam-Engine — als Basis-Schutz solide. Ein vollwertiges Secure Email Gateway leistet darüber hinaus deutlich mehr: Multi-Engine-Anti-Malware, Sandboxing verdächtiger Anhänge, URL-Rewriting mit Time-of-Click-Prüfung und Impersonation Protection gegen CEO-Fraud. Da Hostpoint keinen serverseitigen Virenscanner dokumentiert, klafft genau hier die größte Lücke. Für Organisationen mit erhöhtem Schutzbedarf — etwa nach einem Phishing-Vorfall oder bei NIS2-Pflichten — ist deshalb ein vorgeschaltetes dediziertes SEG die naheliegende Ergänzung.
ARC-Strategie und optionales dediziertes SEG festlegen
Für ARC gibt es auf einer Hostpoint-Domain keinen Konfigurationsschritt: Hostpoint signiert ARC nicht dokumentiert, die Auswertung übernimmt der empfangende Provider. Die strategische Entscheidung betrifft die SEG-Schicht — bleibt es bei SpamAssassin und Spambox, oder schalten Sie ein dediziertes Secure Email Gateway per MX-Umstellung vor? Letzteres adressiert die fehlende serverseitige Virenfilterung und bringt Sandboxing sowie Impersonation Protection.
Eine Hostpoint-Domain liegt unter Schweizer Recht: Das revidierte Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023) verlangt in Art. 8 angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Ein Inhaltsfilter — ob die integrierte SpamAssassin-Spambox-Kombination oder ein vorgeschaltetes dediziertes SEG — ist eine solche Maßnahme und im Verzeichnis der Bearbeitungstätigkeiten dokumentierbar. Wer die Schweizer Datensouveränität konsequent halten will, achtet bei einem dedizierten SEG auf einen Anbieter mit CH- oder EU-Datenhaltung — ein US-basiertes Gateway öffnet die sonst rein schweizerische Hostpoint-Kette.
Schweizer Hostpoint-Kunden mit datenschutzrechtlicher Sensibilität (Berufsgeheimnisträger, Bundes-/Kantons-Behörden, FINMA-regulierte Banken/Versicherer) stehen 2026 vor einer SEG-Auswahl, in der drei Pfade transparent vorliegen. Konkrete Auswahl-Mechanik mit CLOUD-Act-Filter: (1) Hornetsecurity ausgeschlossen — seit 8.12.2025 Proofpoint-Tochter (US-Konzern), Eigentumskette Hornetsecurity GmbH → Proofpoint Inc. → Thoma Bravo. Auch wenn Daten in EU-Rechenzentren liegen, bleibt strukturell US-Konzern-Zugriff möglich; das ist mit Art. 271 StGB (Verbot von Handlungen für fremden Staat) im Behördenkontext schwierig vereinbar. (2) Mimecast/Proofpoint ausgeschlossen — beide US-PE-Eigentümer (Permira Mai 2022 bzw. Thoma Bravo August 2021). (3) NoSpamProxy (Paderborn, inhabergeführt) oder Retarus (München, inhabergeführt seit 1992) oder Halon Security GmbH (Berlin/Göteborg, EU-only) als CH-tauglich. Analogie zum BIMI-VMC-Pattern: In der Wolf-Agents-BIMI-Anleitung wird für Schweizer Kunden GlobalSign K.K. (japanische Mutter, deutsche Tochter — nicht CLOUD-Act-unterworfen) als bevorzugte VMC-CA empfohlen. Dieselbe Mutter-Tochter-Konstellations-Logik gilt für SEGs: Halon Security GmbH Berlin mit Halon-AB-Mutter in Göteborg/Schweden ist nach diesem Pattern eine EU-souveräne Option. Hostpoint-spezifische 3-Schicht-Souveränitäts-Kette: Datenhaltung Rapperswil-Jona (CH) — Registry SWITCH (CH) — DNSSEC SWITCH-TLD (CH). Ein US-SEG würde diese sonst lückenlose CH-Kette an einer Stelle aufbrechen.
Verifikation per Header-Analyse und Wolf-Agents-Scanner
Die ARC-Auswertung prüfen Sie an einer real weitergeleiteten E-Mail: Senden Sie eine Nachricht über eine Mailingliste an ein Hostpoint-Postfach und kontrollieren Sie den Quelltext. Die Wirkung des Inhaltsfilters zeigt die Spambox — aussortierte Mail landet dort, der Schwellwert lässt sich nachjustieren.
# 1. Test-Mail über eine Mailingliste / Weiterleitung an ein
# Hostpoint-Postfach senden.
# 2. Quelltext / Originalnachricht der empfangenen E-Mail öffnen.
# 3. Prüfen:
# ARC-Seal: i=1; ...; cv=none; ...
# Authentication-Results: ...; arc=pass ...
# SEG-Wirkung: Hostpoint-Spambox kontrollieren - aussortierte
# Mail landet dort, der Schwellwert lässt sich nachjustieren.
# Wolf-Agents Email Security Check: erkennt das Hostpoint-MX-
# Pattern automatisch und prüft ARC-Detection plus SEG-Status
# der Domain - inklusive eines vorgeschalteten dedizierten SEG.Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser erkennt Hostpoint-Domains automatisch über das MX-Pattern, bewertet die ARC-Detection und gleicht die MX-Records gegen die SEG-Provider-Datenbank ab. Schalten Sie ein dediziertes SEG vor, erkennt der Scanner dessen MX-Muster. Das Monitoring überwacht die E-Mail-Sicherheit alle 6 Stunden.
Häufige Fehler bei ARC & SEG für Hostpoint
ARC-Signierung im Hostpoint Control Panel gesucht
Problem: Im Hostpoint Control Panel wird eine Option zum ARC-Signieren ausgehender Mail gesucht. Ursache: Hostpoint signiert ARC nicht dokumentiert — wie für Managed-Hosting typisch ist ARC kein vom Kunden konfigurierbares Feature. Lösung: ARC wirkt für Ihre Domain über die Validierung beim empfangenden Provider; konzentrieren Sie sich auf DMARC-Enforcement und die Inhaltsfilter-Schicht.
Lokalen Virenschutz weggelassen — Spambox als Malware-Schutz missverstanden
Problem: Die Spambox wird als vollständiger Schutz vor schädlichen Anhängen betrachtet. Ursache: SpamAssassin ist ein Spam-Filter, kein Virenscanner; ein serverseitiger Virenscanner ist bei Hostpoint nicht belegt. Lösung: Lokalen Virenschutz auf jedem Endgerät betreiben — wie von Hostpoint empfohlen — und für Anti-Malware-Filterung vor der Zustellung ein dediziertes SEG vorschalten.
SpamAssassin-Schwellwert zu aggressiv — legitime Mail in der Spambox
Problem: Wichtige E-Mails landen unbemerkt in der Spambox. Ursache: Der Schwellwert wurde zu empfindlich eingestellt, ohne die Spambox anschließend zu kontrollieren. Lösung: Schwellwert moderat wählen, die Spambox in den ersten Wochen regelmäßig prüfen und legitime Absender als vertrauenswürdig hinterlegen.
„Wir haben einen Spam-Filter — wir brauchen kein DMARC“
Problem: Der integrierte Spam-Filter wird als Ersatz für SPF/DKIM/DMARC betrachtet. Ursache: Verwechslung der Schutzrichtungen — DMARC verhindert Missbrauch der eigenen Domain durch Dritte, ein Inhaltsfilter schützt die eigenen Postfächer vor eingehenden Bedrohungen. Lösung: Beide Schichten parallel betreiben — DMARC mit Enforcement-Policy plus SpamAssassin oder ein dediziertes SEG.
Compliance: NIS2 lit. a + lit. d, BSI APP.5.3.A4, revDSG Art. 8 mit Hostpoint
Die Inhaltsfilter-Schicht einer Hostpoint-Domain — SpamAssassin und Spambox oder ein vorgeschaltetes dediziertes SEG — zahlt direkt auf NIS2 Art. 21 Abs. 2 lit. a ein („Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme“) und setzt die BSI-IT-Grundschutz-Basis-Anforderung APP.5.3.A4 um (Spam- und Schadsoftware-Prüfung auf dem E-Mail-Server). Die ARC-Validierung beim Empfänger sichert die Authentifizierungskette über Weiterleitungen ab und unterstützt damit lit. d (Sicherheit der Lieferkette). Schweizer Datensouveränität: Die Hostpoint-Rechenzentren liegen in der Schweiz, das revidierte Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023) fordert in Art. 8 angemessene technische Maßnahmen.
Hostpoint-ARC-SEG-Compliance-Stack: NIS2 lit. a (Inhaltsfilter als Defense-in-Depth-Schicht) + NIS2 lit. d (ARC-Validierung sichert die Forwarding-Lieferkette) + BSI IT-Grundschutz APP.5.3.A4 (Spam-/Schadsoftware-Prüfung) + DSGVO Art. 32 (Schutz personenbezogener Daten) + revDSG Art. 8 (Schweizer TOM, in Kraft seit 1. September 2023). Ehrliche Einordnung: ARC (RFC 8617) ist ein IETF-Experimental-Protokoll und in den BSI-Richtlinien TR-03108 und TR-03182 nicht normiert — ARC ist eine sinnvolle, aber nicht „BSI-empfohlene“ Ergänzung. Wolf-Agents-USP: Der Email Security Check erkennt Hostpoint-Domains automatisch, bewertet ARC-Detection und SEG-Status im 165-Punkte-Scanner (ARC und SEG als je 5 Bonuspunkte) und weist transparent aus, dass API-basierte ICES-Lösungen für MX-basierte Erkennung unsichtbar bleiben. Cross-Verweis: Phishing und Business Email Compromise.
ARC- und SEG-Anleitung für weitere Provider:
Wie steht Ihre Domain bei ARC & SEG · Hostpoint?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.