BIMI für Hetzner — TXT-Record über die Hetzner DNS Console
Hetzner Online GmbH (Gunzenhausen, Deutschland) ist mit ISO/IEC 27001-Zertifizierung und BSI C5 (Cloud) eine der zentralen EU-Datensouveränitäts-Optionen für DACH-Kunden — Rechenzentren in Falkenstein, Nürnberg und Helsinki ohne US-Präsenz. Der BIMI-Record wird über die Hetzner DNS Console (dns.hetzner.com) als TXT-Record angelegt, das SVG-Logo lässt sich auf einer Hetzner-Webhosting-Domain, einer Storage Box mit Custom-Domain oder einem Hetzner-Cloud-Server hosten. Diese Anleitung zeigt das vollständige Setup mit konservativer DNSSEC-Formulierung.
BIMI für Hetzner-gehostete Domains
Hetzner Online GmbH (Gunzenhausen, Bayern) betreibt Rechenzentren ausschließlich in Falkenstein, Nürnberg und Helsinki — keine US-Präsenz, native EU-Datensouveränität, ISO/IEC 27001-zertifiziert und BSI C5 für Cloud. Für BIMI bedeutet das: Webhosting, Storage Box, Cloud Server und die Hetzner DNS Console (dns.hetzner.com) lassen sich vollständig in EU-Rechtskreis kombinieren. Der BIMI-TXT-Record wird über die Hetzner DNS Console gesetzt, das SVG-Logo kann auf demselben Hetzner-Webhosting oder einer Storage Box mit Custom-Domain liegen. Die offizielle Hetzner-Doku (docs.hetzner.com, Abruf 2026-05-19) führt durch DNS Console, Webhosting und Cloud Tools.
DNSSEC-Status — konservative Formulierung: Laut Hetzner-Doku (Stand Oktober 2018, publiziert 25. März 2020) unterstützt die Hetzner DNS Console DNSSEC nicht — eine Verifikation im aktuellen Panel-Lookup ist empfohlen, da Hetzner das Feature in Folgejahren ergänzt haben könnte. Wer DNSSEC zwingend benötigt, verlagert die DNS-Verwaltung zu einem DNSSEC-fähigen Anbieter (deSEC kostenlos, Cloudflare 1-Click, INWX, Netcup) und trägt den DS-Record im Hetzner-Robot ein. BIMI funktioniert auch ohne DNSSEC; NIS2 lit. h ist über DNSSEC zusätzlich abgedeckt.
Hardening-Pfad: MX-Record → SPF → DKIM → DMARC → DMARC-Enforcement → MTA-STS → DNS-Sicherheit → BIMI (dieser Guide). Bedrohungs-Cluster: BIMI hilft Empfängern visuell, Email-Spoofing und Phishing-Versuche im Namen Ihrer Marke zu erkennen.
Hetzner ist die EU-Datensouveränitäts-Wahl — ISO/IEC 27001, BSI C5, Rechenzentren ohne US-Präsenz. Für das VMC selbst passt Sectigo gut zu DACH-Unternehmen: Sectigo akzeptiert laut eigener Angabe 17 anerkannte Markenämter, darunter die EUIPO (Unionsmarke), das USPTO und das UK IPO (Abruf 2026-05-20), und stellt zusätzlich CMCs aus — laut Sectigo „in 5-10 days“. Die VMC-Beschaffung ist unabhängig von Hetzner: Das SVG-Logo liegt auf Hetzner-Webhosting, einer Storage Box oder einem Cloud-Server, der BIMI-Record in der Hetzner DNS Console, der CAA-Record (sectigo.com) ebenfalls dort. Damit bleibt der gesamte Stack im EU-Rechtskreis — einzig die Zertifizierungsstelle liegt außerhalb. Wer DigiCert bevorzugt, ergänzt stattdessen den CAA-Record digicert.com.
DMARC-Enforcement-Status für Hetzner-Domain prüfen
BIMI ist die Belohnung für DMARC-Enforcement — kein Client wertet einen BIMI-Record aus, wenn die DMARC-Policy auf p=none steht. Prüfen Sie daher zuerst den DMARC-Status Ihrer Hetzner-Domain mit dig TXT _dmarc.ihre-domain.de. Sollte die Policy noch auf p=none stehen, folgen Sie zunächst dem DMARC-Enforcement-Guide für Hetzner.
# DMARC-Status für Hetzner-gehostete Domain prüfen
dig TXT _dmarc.ihre-domain.de +short
# Erwartet: v=DMARC1; p=quarantine; ... oder v=DMARC1; p=reject; ...
# Bei p=none: BIMI bleibt wirkungslos.
# Nameserver-Pattern (Stack-Detection Hetzner DNS Console)
dig NS ihre-domain.de +short
# Erwartet typisch: hydrogen.ns.hetzner.com., oxygen.ns.hetzner.com., helium.ns.hetzner.de.
# Hetzner-Webhosting MX-Pattern (optional)
dig MX ihre-domain.de +short
# Erwartet: 10 mail.your-server.de. oder ein Mailcow-/Eigen-MX.Hetzner DNS Console-Nameserver folgen dem Pattern hydrogen.ns.hetzner.com, oxygen.ns.hetzner.com, helium.ns.hetzner.de. Sind Ihre Nameserver auf einen externen Anbieter umgestellt (deSEC, Cloudflare, INWX, Netcup), legen Sie den BIMI-Record dort an. Bei Hetzner-Webhosting + Hetzner DNS Console + Hetzner Mail (über Webhosting-Paket) liegt das gesamte Setup in einer Hand — ideal für NIS2-Datensouveränität.
SVG Tiny PS Logo erstellen und auf Hetzner hosten
Das Logo muss als SVG Tiny Portable/Secure (SVG Tiny PS) vorliegen — Standard-SVG-Exporte aus Adobe Illustrator oder Figma sind fast nie BIMI-kompatibel. Konvertieren Sie Ihr Logo mit dem offiziellen BIMI Group SVG Converter. Pflicht-Attribute: baseProfile="tiny-ps", version="1.2", quadratischer viewBox, deckender Hintergrund (keine Transparenz, keine opacity). Verboten: animate, script, externe Referenzen, eingebettete Rasterbilder. Empfohlene Dateigröße unter 32 KB.
Hetzner bietet drei Optionen: (1) Hetzner Webhosting-Paket mit Webspace und Let's-Encrypt-SSL, hier hinterlegen Sie das Logo unter /bimi/logo.svg; (2) Hetzner Storage Box mit Custom-Domain-Mapping für reines statisches Hosting; (3) ein Hetzner-Cloud-Server (Falkenstein/Nürnberg/Helsinki) mit eigenem nginx/Caddy für individuelle Performance. In allen Fällen: HTTPS mit gültigem TLS-Zertifikat, Content-Type image/svg+xml, öffentlich erreichbar.
BIMI-Record über die Hetzner DNS Console setzen
In der Hetzner DNS Console (dns.hetzner.com) wählen Sie die Zone Ihrer Domain und klicken auf Add Record. Typ TXT, Name default._bimi (die Konsole ergänzt die Hauptzone automatisch), TTL 3600 Sekunden. Im Value-Feld den BIMI-String. Alternativ können Sie eine Zone-File-Datei importieren — die Hetzner DNS Console unterstützt RFC-1035-konformes Bind-Format.
; BIMI-Record für Hetzner-gehostete Domain — Hetzner DNS Console
; Selector immer: default._bimi
;
; v=BIMI1 Version (Pflicht, einziger Wert)
; l=URL SVG-Logo-URL, HTTPS Pflicht
; a=URL VMC-Zertifikat-URL, optional (Gmail blaues Häkchen Pflicht)
default._bimi.ihre-domain.de. IN TXT "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a=https://ihre-domain.de/bimi/vmc.pem"
; Variante OHNE VMC (Budget-BIMI für Yahoo/Fastmail/AOL):
default._bimi.ihre-domain.de. IN TXT "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a="
; CAA-Records für VMC-Ausstellung empfohlen (RFC 8659)
ihre-domain.de. IN CAA 0 issue "letsencrypt.org"
ihre-domain.de. IN CAA 0 issue "digicert.com"Wenn Sie für Gmail das blaue Verifizierungshäkchen anstreben, benötigen Sie ein VMC (Verified Mark Certificate) von DigiCert, Sectigo oder GlobalSign. Damit die VMC-Ausstellung nicht durch CAA blockiert wird, ergänzen Sie in der Hetzner DNS Console CAA-Records für die gewählte CA (typisch digicert.com) und für letsencrypt.org (TLS-Stack). Hinweis: Entrust hat sein VMC-Geschäft 2025 an Sectigo verkauft — alte Tutorials, die Entrust als VMC-CA listen, sind überholt.
Verifikation per dig, curl und Test-Mail
Nach DNS-Propagation (Hetzner DNS Console typisch 5-30 Minuten, in Einzelfällen bis 24 Stunden) verifizieren Sie den BIMI-Record per dig und die SVG/VMC-Erreichbarkeit per curl. Senden Sie dann Test-Mails an Konten bei Gmail, Apple Mail (iPhone/Mac), Yahoo, GMX, WEB.DE, Fastmail und AOL Mail. Outlook (Web, Desktop, Mobile) zeigt KEIN Logo, falls die Domain in M365-Mail genutzt wird — das ist erwartet und kein Fehler (Outlook unterstützt BIMI Stand Februar 2026 NICHT).
# BIMI-Record nach DNS-Propagation prüfen
dig TXT default._bimi.ihre-domain.de +short
# Erwartet: "v=BIMI1; l=https://...svg; a=https://...pem"
# SVG-Erreichbarkeit (Content-Type Pflicht)
curl -sI https://ihre-domain.de/bimi/logo.svg | head -5
# Erwartet:
# HTTP/2 200
# content-type: image/svg+xml
# VMC-Erreichbarkeit prüfen
curl -sI https://ihre-domain.de/bimi/vmc.pem | head -5
# Erwartet: HTTP/2 200, content-type: application/x-pem-file oder application/octet-stream
# Test-Mail an Gmail, Apple Mail, Yahoo, GMX, WEB.DE, Fastmail, AOL Mail senden —
# Outlook zeigt das Logo Stand Februar 2026 NICHT.
Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser erkennt Hetzner-Nameserver-Patterns (*.ns.hetzner.com, *.ns.hetzner.de) automatisch über Stack-Detection, validiert DMARC-Enforcement-Level, BIMI-Record-Syntax, SVG-Tiny-PS-Konformität und VMC-Erreichbarkeit. Das Monitoring überwacht alle 6 Stunden auf BIMI-Drift (Logo-URL ungültig, VMC abgelaufen, Record entfernt).
Häufige Fehler bei BIMI für Hetzner
DNS-Zone in Hetzner DNS Console nicht vollständig migriert
Problem: Die Zone der Domain ist in der Hetzner DNS Console angelegt, aber die Nameserver bei der Registrierungsstelle (z.B. DENIC) sind noch auf den alten Provider gesetzt. Ursache: Nameserver-Wechsel fehlt. Lösung: Bei der Registrierungsstelle (oder im Hetzner-Robot, falls Hetzner Registrar ist) die NS-Einträge auf hydrogen.ns.hetzner.com, oxygen.ns.hetzner.com, helium.ns.hetzner.de umstellen.
DNSSEC erwartet, aber Hetzner DNS Console liefert nicht
Problem: Annahme, DNSSEC sei mit Migration zu Hetzner DNS Console automatisch aktiv. Ursache: Laut Hetzner-Doku (Stand Oktober 2018, publiziert 25. März 2020) unterstützt die Hetzner DNS Console DNSSEC nicht — Status im Panel-Lookup verifizieren. Lösung: Falls DNSSEC zwingend nötig (NIS2 lit. h), DNS-Verwaltung zu deSEC, Cloudflare oder INWX migrieren und DS-Record beim Registrar setzen. BIMI funktioniert unabhängig davon.
Storage Box ohne Custom-Domain-Mapping konfiguriert
Problem: Logo liegt auf einer Hetzner Storage Box, BIMI-l= verweist auf die Hetzner-Subdomain (z.B. u123456.your-storagebox.de). Ursache: Gmail vergleicht das Domain-Suffix der BIMI-URL und kann eine Cross-Domain-URL als unsicher werten. Lösung: Custom-Domain-Mapping in der Storage Box konfigurieren, sodass das Logo unter der eigenen Hauptdomain liegt (gleicher Top-Level-Suffix wie der DMARC-Domain).
Hetzner-Cloud-Server ohne aktivierte SSL-Zertifikate
Problem: Logo auf einem Hetzner-Cloud-Server (nginx/Caddy) hinterlegt, aber HTTPS-Aufruf scheitert. Ursache: Let's-Encrypt-Zertifikat noch nicht ausgestellt oder Reverse-Proxy nicht korrekt konfiguriert. Lösung: Mit Caddy automatischer Let's-Encrypt-Bezug (Default), bei nginx über certbot ein Zertifikat anfordern und nginx-Server-Block für die Domain einrichten.
Compliance: NIS2 lit. a + lit. h mit Hetzner-EU-Datensouveränität
Eine korrekt konfigurierte BIMI-Plus-VMC-Kombination für Hetzner-Domains erfüllt zwei NIS2-Buchstaben gleichzeitig: lit. a (Risikoanalyse und Sicherheit für Informationssysteme) durch die visuelle Brand-Identity-Authentifizierung und lit. h (Kryptografie und Verschlüsselung) durch die X.509-PKI-Logo-Bindung im VMC. Hetzner ist ISO/IEC 27001-zertifiziert, hat BSI C5 für Cloud und betreibt Rechenzentren ausschließlich in Falkenstein, Nürnberg und Helsinki — keine US-Präsenz, native EU-Datensouveränität. Für DACH-Kunden in regulierten Branchen (NIS2-Sektoren Gesundheit, Energie, Verwaltung) ist Hetzner die natürliche EU-Wahl.
Hetzner-BIMI-Compliance-Stack: NIS2 lit. a (Brand-Identity-Authentifizierung) + NIS2 lit. h (VMC-Kryptografie) + BSI TR-03108 (DMARC-Enforcement-Voraussetzung) + DSGVO Art. 32 (Schutz personenbezogener Daten vor Phishing) + EU-Datensouveränität (Falkenstein/Nürnberg/Helsinki, BSI C5, ISO 27001). Wolf-Agents-USP: Der Email Security Check erkennt Hetzner-Nameserver-Patterns automatisch (*.ns.hetzner.com/*.ns.hetzner.de Stack-Detection), prüft die kombinierte DMARC-BIMI-VMC-Kette, validiert SVG-Tiny-PS-Konformität, warnt vor abgelaufenen VMCs (Standardlaufzeit 397 Tage) und dokumentiert die Outlook-BIMI-Lücke (Outlook unterstützt BIMI Stand Februar 2026 NICHT). Cross-Verweis: Email-Spoofing und Phishing.
BIMI-Anleitung für weitere Provider:
Wie steht Ihre Domain bei BIMI · Hetzner?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.