BIMI über Hetzner DNS Console hosten — Konsole, API und Panel-Diagnostik
Hetzner DNS Console (dns.hetzner.com) ist DNS-Hoster, NICHT Mail-Hoster — der BIMI-Record wird in der Konsole als TXT-Record angelegt, das eigentliche Mail-Backend (DMARC, SPF, DKIM, MTA-STS) läuft bei einem externen Anbieter oder bei einem Mailcow/Postfix auf einer Hetzner-Cloud-VM. Dieser DEEP DIVE zeigt das vollständige Setup in der DNS Console, die programmatische Verwaltung über die Hetzner-DNS-API für Multi-Tenant- und IaC-Setups, die konservative DNSSEC-Lage (offizielle Hetzner-Doku Stand Oktober 2018, publiziert 25. März 2020: nicht unterstützt — Panel-Lookup pro Zone) sowie das NS-Pattern hydrogen/oxygen/helium.ns.hetzner.com für die Stack-Detection. Standort der Anycast-Nameserver: Falkenstein, Nürnberg, Helsinki — alles EU, keine US-Präsenz, keine CLOUD-Act-Exposition.
BIMI über Hetzner DNS Console — Konsole, API und EU-Datensouveränität
Hetzner DNS Console (dns.hetzner.com) ist ein kostenloses DNS-Hosting-Service mit Anycast-Nameservern (hydrogen.ns.hetzner.com, oxygen.ns.hetzner.com, helium.ns.hetzner.com) in deutschen Rechenzentren (Falkenstein, Nürnberg) und Helsinki — eine native EU-Lösung ohne US-Präsenz und ohne CLOUD-Act-Risiko. Anders als Cloudflare bietet Hetzner DNS kein eigenes Email-Routing — Hetzner DNS hostet ausschließlich DNS-Records. Der BIMI-Record nach dem IETF Internet-Draft Version 14 (1. Mai 2026) wird als TXT-Record mit Namen default._bimi angelegt. DNSSEC-Status konservativ formuliert: Die offizielle Hetzner-Dokumentation (docs.hetzner.com/dns-console/dns/general/dnssec, Stand Hetzner-Doku Oktober 2018, publiziert 25. März 2020) dokumentiert DNSSEC als „nicht unterstützt“ — der aktuelle Stand der Hetzner DNS Console kann sich seither geändert haben, eine Panel-Sichtprüfung pro Zone ist verbindlich.
Wichtige Klarstellung — Hetzner DNS ist DNS-Hoster, NICHT Mail-Hoster: Der MX-Record zeigt auf einen externen Mailserver Ihrer Wahl (Microsoft 365 unter *.mail.protection.outlook.com, Google Workspace unter smtp.google.com, eigener Postfix/Mailcow auf einer Hetzner-Cloud-VM oder einem Hetzner-Robot-Dedicated-Server, Proton Mail mit eigenem MX-Setup). DMARC, SPF und DKIM gehören jeweils zum Mail-Backend — Hetzner DNS stellt nur den TXT-Record bereit, der von Empfänger-Mailservern (Gmail, Apple Mail, Yahoo, GMX, WEB.DE, Fastmail, AOL) als BIMI-Selector aufgelöst und ausgewertet wird. Hetzner Webhosting (KonsoleH/cPanel) ist ein separates Produkt mit eigenem Mail-Service auf Basis von Dovecot/Postfix — wenn Sie das nutzen, kommen die DMARC-Header-Auswertung und DKIM-Signaturen vom Hetzner-Webhosting-Stack, der BIMI-Record bleibt dennoch in der DNS Console.
Hardening-Pfad: MX (Hetzner Webhosting oder Eigenbau) → SPF → DKIM → DMARC → DMARC-Enforcement → MTA-STS → DNS-Sicherheit Hetzner DNS → BIMI Hetzner DNS (dieser Guide). Bedrohungs-Cluster: BIMI hilft Empfängern visuell, Email-Spoofing und Phishing im Namen Ihrer Marke zu erkennen — bei aktivem DNSSEC (über Hetzner direkt, sobald Panel-Lookup das bestätigt, oder über eine externe DNSSEC-Migration zu deSEC/Cloudflare/INWX/Netcup mit DS-Record im Hetzner Robot) wird zusätzlich der BIMI-Selector vor Cache-Poisoning geschützt.
Der BIMI-Record ist der Zeiger auf Ihr Markenlogo — ohne DNSSEC bleibt er im Auflösungspfad manipulierbar. Solange die Hetzner DNS Console DNSSEC nicht eindeutig anbietet (Doku-Stand Oktober 2018, Panel-Lookup verbindlich), ist deSEC.io die saubere Alternative speziell für ein BIMI-Setup: deSEC signiert jede Zone automatisch mit DNSSEC, ist kostenlos und quelloffen und wird laut deSEC-Angaben von einem gemeinnützigen Projekt mit Sitz in Berlin betrieben — eine zeichengenaue Rechtsform-Verifikation ist eingeschränkt, da deSEC.io als JavaScript-Anwendung ausgeliefert wird. Der Wechsel hält die Hetzner-Registrierung intakt: Nur die Nameserver zeigen dann auf ns1.desec.io und ns2.desec.org, der DS-Record von deSEC wird im Hetzner Robot eingetragen. Praktisch wichtig: deSEC stellt — analog zur Hetzner-DNS-API aus Schritt 4 — eine eigene REST-API bereit; der BIMI-TXT-Record und die CAA-Records lassen sich also auch nach dem Wechsel programmatisch und als Infrastructure-as-Code pflegen. Damit bleibt die EU-Datensouveränität erhalten (Berlin statt Falkenstein), und die BIMI-Trust-Chain ist DNSSEC-gehärtet.
DMARC-Voraussetzung beim Mail-Backend hinter dem MX prüfen
BIMI verlangt DMARC mit p=quarantine oder p=reject — sonst ignoriert jeder BIMI-fähige Empfänger (Gmail, Apple Mail, Yahoo, GMX, WEB.DE, Fastmail, AOL) den Record kommentarlos. Hetzner DNS hostet zwar den DMARC-TXT-Record (_dmarc), die Enforcement-Verantwortung liegt aber beim Mail-Backend hinter dem MX. Prüfen Sie zuerst DMARC-Status und Stack-Pattern.
# DMARC-Status für Domain mit Hetzner-DNS-Hosting prüfen
dig TXT _dmarc.ihre-domain.de +short
# Erwartet: "v=DMARC1; p=quarantine; rua=mailto:..." oder p=reject
# Bei p=none: BIMI bleibt wirkungslos.
# Hetzner-DNS-NS-Pattern (Stack-Detection)
dig NS ihre-domain.de +short
# Erwartet (alle drei): hydrogen.ns.hetzner.com.
# oxygen.ns.hetzner.com.
# helium.ns.hetzner.com.
# Wo liegt der Mailserver? (DMARC-Verantwortung)
dig MX ihre-domain.de +short
# Eigener Mailcow auf Hetzner Cloud: mail.ihre-domain.de
# Microsoft 365: .mail.protection.outlook.com
# Google Workspace: smtp.google.com
# Hetzner Webhosting (KonsoleH/cPanel) ist Auftragsverarbeitung — eigene MX-Zuweisung. Wenn der MX auf eigenes Mailcow/Postfix auf einer Hetzner-Cloud-VM zeigt, konfigurieren Sie OpenDMARC oder Rspamd am Mailserver — Hetzner DNS leitet eingehenden SMTP-Traffic nicht durch. Bei Microsoft 365 läuft die Auswertung in Exchange Online, bei Google Workspace in Gmail Receiving, bei Proton Mail im Proton-Backend. Die DMARC-Policy p=quarantine oder p=reject muss explizit am Mail-Backend gewählt sein — der TXT-Record allein reicht nicht, wenn das Backend dann Mails trotzdem nicht ablehnt.
SVG Tiny PS Logo auf eigenem Webspace oder CDN hosten
Hetzner DNS hostet keinen statischen Webserver — das SVG-Logo (SVG Tiny Portable/Secure, baseProfile=tiny-ps, quadratischer viewBox, deckender Hintergrund, keine animate/script/externe Referenzen) muss separat gehostet werden. Empfohlene Optionen im Hetzner-Ökosystem: Hetzner Webhosting (KonsoleH/cPanel mit eigenem PHP-/Static-Hosting und Let's-Encrypt-Zertifikat), Hetzner Cloud VM mit Nginx/Caddy (volle Kontrolle über Cache-Header und TLS), Hetzner Storage Box mit WebDAV oder S3-kompatiblem Reverse-Proxy, Hetzner Object Storage mit Public Bucket und Custom-Domain-Routing. Außerhalb von Hetzner funktionieren Bunny.net, Cloudflare Pages, Cloudflare R2 oder ein eigener Webspace ebenso — wichtig ist HTTPS mit gültigem TLS-Zertifikat und Content-Type image/svg+xml.
Ein typisches Setup auf einer Hetzner-Cloud-VM mit Caddy oder Nginx: das SVG liegt unter /var/www/bimi/logo.svg, der Webserver setzt Content-Type: image/svg+xml, Cache-Control: public, max-age=86400, immutable, X-Content-Type-Options: nosniff und entfernt jeden Server-Header. Let's-Encrypt-Zertifikat per Caddy automatisch oder per Certbot mit DNS-01-Challenge gegen die Hetzner-DNS-API (siehe Schritt 4). Die SVG-Datei selbst hat in der Regel unter 32 KB und wird über den globalen Hetzner-Backbone in unter 50 ms an Frankfurter Gmail-Receiver ausgeliefert.
Das VMC-Zertifikat im PEM-Format (.pem) muss öffentlich ohne Authentifizierung von DigiCert-/Sectigo-/GlobalSign-validierenden Empfänger-Mailservern erreichbar sein. Wenn Sie auf der Hetzner-Cloud-VM ein WAF-Plugin (z.B. ModSecurity, Caddy-WAF-Rules) aktiv haben, schließen Sie die /bimi/*-Pfade explizit von Rate-Limiting, Geo-Blocking und Bot-Filtering aus — sonst sieht der Gmail-Receiver einen 403/429-Statuscode statt der PEM-Datei und ignoriert den BIMI-Record.
BIMI-Record in der Hetzner DNS Console anlegen
In der Hetzner DNS Console (dns.hetzner.com) melden Sie sich mit dem Hetzner-Account an und öffnen die Zone Ihrer Domain. Navigation: Records → Add Record. Type: TXT, Name: default._bimi (Hetzner ergänzt automatisch den Zone-Apex), Value: der vollständige BIMI-Record-String mit doppelten Anführungszeichen wo nötig, TTL: 3600 Sekunden Default (für aktive Rotationen auf 60-300 senken, für stabile Setups bei 3600 belassen). Speichern und auf Propagation warten (typisch 1-15 Minuten je nach TTL der Vorgänger-Records).
; BIMI-Record in der Hetzner DNS Console anlegen
; dns.hetzner.com -> Zone oeffnen -> Records -> Add Record
; Type: TXT
; Name: default._bimi
; Value: v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a=https://ihre-domain.de/bimi/vmc.pem
; TTL: 3600 (Default) — oder 60-300 für aktive Rotationen
;
; Hetzner schreibt im Zone-File:
default._bimi.ihre-domain.de. IN TXT "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a=https://ihre-domain.de/bimi/vmc.pem"
; Variante OHNE VMC (Yahoo/Fastmail/AOL — kein Gmail-Häkchen):
default._bimi.ihre-domain.de. IN TXT "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a="
; CAA-Records für VMC-Issuer (verhindert Mis-Issuance durch andere CAs):
ihre-domain.de. IN CAA 0 issue "digicert.com" ; DigiCert (VMC)
ihre-domain.de. IN CAA 0 issue "sectigo.com" ; Sectigo (VMC)
ihre-domain.de. IN CAA 0 issue "globalsign.com" ; GlobalSign (VMC)
ihre-domain.de. IN CAA 0 issue "letsencrypt.org" ; Let's Encrypt (TLS für Logo-Hosting)
ihre-domain.de. IN CAA 0 iodef "mailto:security@ihre-domain.de"Konsolen-Pfad und Panel-Diagnostik
- Im dns.hetzner.com mit Hetzner-Account anmelden
- Die Domain als Zone öffnen (Übersicht aller Records)
- Records → Add Record (oben rechts)
- Im Dialog: Type
TXT, Namedefault._bimi, Value mit dem BIMI-String, TTL 3600 - Speichern und unter „Recently Updated“ kontrollieren
- Zone-Einstellungen prüfen: DNSSEC — wenn vorhanden aktivieren und DS-Record in den Hetzner Robot eintragen
- Wenn kein DNSSEC: externer Provider (deSEC/Cloudflare/INWX/Netcup) erwägen, DS-Record im Hetzner Robot eintragen
VMC werden ausschließlich von DigiCert, Sectigo und GlobalSign nach den Mark Type Verified Mark Certificate Guidelines des CA/Browser Forum ausgestellt. Wenn Sie CAA-Records am Apex setzen, müssen alle drei VMC-CAs als issue-Tags eingetragen sein, sonst verweigert die Wunsch-CA die VMC-Ausstellung. Zusätzlich brauchen Sie letsencrypt.org für das HTTPS-Zertifikat des SVG-/VMC-Hosters. Hetzner DNS Console unterstützt CAA-Records nativ im Add-Record-Dialog (Type-Dropdown → CAA → Flag/Tag/Value).
Die offizielle Hetzner-Dokumentation (docs.hetzner.com/dns-console/dns/general/dnssec, Stand Hetzner-Doku Oktober 2018, publiziert 25. März 2020) zitiert wörtlich: „we are not currently planning to implement DNSSEC. However, should demand increase, we are open to reconsidering this decision in the future.“ Der aktuelle Stand der Hetzner DNS Console kann sich seither geändert haben, daher ist eine Panel-Sichtprüfung pro Zone verbindlich. Wenn das Panel kein DNSSEC anbietet, ist die natürliche Alternative deSEC.io (Berlin, DNSSEC by default, REST-API), Cloudflare DNS (1-Click, Algorithmus 13 ECDSAP256SHA256), INWX oder Netcup DNS — die Domain bleibt beim Hetzner-Robot-Registrar, nur die Nameserver wechseln, der DS-Record des neuen Providers wird im Hetzner Robot unter Domain-Verwaltung → DNSSEC eingetragen.
Hetzner DNS API für IaC-Automatisierung und Panel-Diagnostik
Für Multi-Tenant-Setups (Agenturen, MSPs, eigene Plattformen mit vielen Kundendomains) ist das manuelle Anlegen über die Konsole nicht skalierbar. Die Hetzner-DNS-API bietet einen REST-Endpunkt für DNS-Records: POST /api/v1/records für Initial-Anlage, PUT /api/v1/records/{record_id} für Logo-/VMC-Rotation, GET /api/v1/records?zone_id={zone_id} zum Auslesen der Record-ID. Authentifizierung per API-Token (Header Auth-API-Token), erstellt im Hetzner-DNS-Console-Panel unter API-Zugänge. Laut Hetzner-Doku „you won't be able to access it again“ — den Token sofort in ein Secret-Vault (z.B. HashiCorp Vault, 1Password, Bitwarden) ablegen.
# BIMI-Record per Hetzner DNS API anlegen (Initial-Setup)
# Doku: https://docs.hetzner.com/dns-console/dns/
curl -X POST \
"https://dns.hetzner.com/api/v1/records" \
-H "Auth-API-Token: $HETZNER_DNS_TOKEN" \
-H "Content-Type: application/json" \
--data '{
"zone_id": "ZONE_ID",
"type": "TXT",
"name": "default._bimi",
"value": "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a=https://ihre-domain.de/bimi/vmc.pem",
"ttl": 3600
}'
# Logo-/VMC-Rotation per PUT (z.B. nach VMC-Renewal nach 397 Tagen)
curl -X PUT \
"https://dns.hetzner.com/api/v1/records/$RECORD_ID" \
-H "Auth-API-Token: $HETZNER_DNS_TOKEN" \
-H "Content-Type: application/json" \
--data '{
"zone_id": "ZONE_ID",
"type": "TXT",
"name": "default._bimi",
"value": "v=BIMI1; l=https://ihre-domain.de/bimi/logo-v2.svg; a=https://ihre-domain.de/bimi/vmc-2027.pem",
"ttl": 3600
}'
# RECORD_ID per GET ermitteln (Filter nach Zone)
curl -X GET \
"https://dns.hetzner.com/api/v1/records?zone_id=ZONE_ID" \
-H "Auth-API-Token: $HETZNER_DNS_TOKEN" \
| jq '.records[] | select(.name == "default._bimi")'
# Verifikation nach DNS-Propagation
dig TXT default._bimi.ihre-domain.de +short
# Erwartet: "v=BIMI1; l=https://...svg; a=https://...pem"
# DNSSEC-Status (Konservativ-Formulierung: Hetzner-Doku Oktober 2018 dokumentiert
# DNSSEC als nicht unterstuetzt — aktueller Stand der DNS Console kann sich
# seither geaendert haben, Panel-Sichtpruefung pro Zone verbindlich.)
dig +dnssec MX ihre-domain.de | grep -E "RRSIG|ad;"
Für noch tiefere Automatisierung kombinieren Sie die Hetzner-DNS-API mit einem Cron-Job auf der Hetzner-Cloud-VM, der nach jedem VMC-Renewal automatisch den neuen a=-Wert im BIMI-Record patcht und parallel die SVG-Datei im Webspace austauscht. Bei eigenem DANE-Setup für den dahinterliegenden Mailcow lassen sich TLSA-Records parallel über dieselbe API aktualisieren (Pre-Renewal-Hook für Let's Encrypt mit hash-slinger). Zusätzlich validieren Sie mit dem Wolf-Agents Email Security Check — dieser erkennt Hetzner-DNS-Hosting automatisch über das NS-Pattern hydrogen/oxygen/helium.ns.hetzner.com, validiert den BIMI-Record gegen Internet-Draft V14, prüft SVG-Tiny-PS-Konformität, VMC-Erreichbarkeit und korreliert mit dem DNSSEC-Status (mit Konservativ-Formulierung bei fehlender Aktivierung). Das Monitoring überwacht alle 6 Stunden auf BIMI-Drift.
Häufige Fehler bei BIMI über Hetzner DNS Console
DNSSEC am Apex angenommen — BIMI-Selector ungesichert
Problem: BIMI-Record in der Hetzner DNS Console angelegt, dabei DNSSEC am Apex als „selbstverständlich aktiv“ angenommen. Ursache: Hetzner-Doku Oktober 2018 dokumentiert DNSSEC als nicht unterstützt — die DNS-Antwort kommt unsigniert, ein gut platzierter Cache-Poisoning-Angriff könnte den BIMI-Selector umlenken. Lösung: Panel-Sichtprüfung pro Zone; bei fehlendem DNSSEC zu deSEC/Cloudflare/INWX/Netcup migrieren und DS-Record im Hetzner Robot eintragen — Domain-Registrar bleibt unverändert bei Hetzner.
API-Token in Konsole angelegt, dann sofort verloren
Problem: Hetzner-DNS-API-Token im Panel erstellt, das Dialog-Fenster geschlossen, Token nicht kopiert — CI/CD-Pipeline kann den Token nicht mehr ablesen. Ursache: Hetzner-Doku zitiert wörtlich „you won't be able to access it again“ — der Token wird bewusst nur einmal angezeigt. Lösung: Neuen Token erstellen, sofort in ein Secret-Vault (HashiCorp Vault, 1Password, Bitwarden) speichern, dann den alten Token im Panel widerrufen. Token-Rotation alle 90 Tage automatisieren.
CAA-Records ohne VMC-CAs gesetzt
Problem: CAA mit nur letsencrypt.org gesetzt, DigiCert-VMC-Validierung schlägt fehl. Ursache: CAA mit issue-Tag erlaubt nur die explizit gelisteten CAs zur Zertifikatsausstellung. Lösung: Mindestens digicert.com für VMC ergänzen — wenn Sie Sectigo oder GlobalSign als VMC-CA wählen, deren CAA-Identifier zusätzlich eintragen. Bei aktivem DNSSEC (über externe Migration) wird der CAA-Record kryptografisch geschützt.
NS-Wechsel zu externem Provider, DS-Record im Hetzner Robot vergessen
Problem: DNS-Verwaltung zu deSEC migriert, DNSSEC aktiv, BIMI-Record sauber gesetzt, aber dig +dnssec zeigt kein „ad“-Flag. Ursache: Der DS-Record des neuen Providers wurde nicht im Hetzner Robot unter Domain-Verwaltung → DNSSEC eingetragen — die DNSSEC-Chain bleibt an der Registrar-Schnittstelle (DENIC für .de) unvollständig. Lösung: DS-Record-Werte (Key-Tag, Algorithmus, Digest-Type, Digest) im deSEC- oder Cloudflare-Panel auslesen und im Hetzner Robot eintragen — DENIC propagiert dann innerhalb 1-24 Stunden.
Compliance: NIS2 lit. a + lit. h, BSI TR-03108, DSGVO mit Hetzner DNS
Eine BIMI-Plus-VMC-Konfiguration über Hetzner DNS Console erfüllt zwei NIS2-Buchstaben gleichzeitig: lit. a (Risikoanalyse und Sicherheit für Informationssysteme) durch die visuelle Brand-Identity-Authentifizierung und lit. h (Kryptografie und Verschlüsselung) durch die VMC-X.509-PKI-Logo-Bindung sowie — bei aktivem DNSSEC am Apex (entweder direkt in Hetzner falls verfügbar, oder über externe Migration zu deSEC/Cloudflare/INWX/Netcup mit DS-Record im Hetzner Robot) — die kryptografische Absicherung des BIMI-Selectors. Hetzner ist nach ISO/IEC 27001 zertifiziert (BSI C5 für Cloud), Rechenzentren ausschließlich in Falkenstein, Nürnberg und Helsinki — keine US-Präsenz, native EU-Datensouveränität ohne CLOUD-Act-Risiko. Für DACH-Kunden in regulierten Branchen (Gesundheit, Justiz, Verteidigung, KRITIS) ist Hetzner die natürliche EU-Wahl.
Hetzner-DNS-BIMI-Compliance-Stack: NIS2 lit. a (Brand-Identity-Authentifizierung) + NIS2 lit. h (VMC-Kryptografie X.509 + DNSSEC, sobald Panel-Lookup oder externe Migration aktiv) + NIS2 lit. c (Anycast-NS-Redundanz Falkenstein/Nürnberg/Helsinki) + BSI TR-03108 (DMARC-Enforcement-Voraussetzung) + DSGVO Art. 32 (EU-Datensouveränität, kein US-CLOUD-Act-Risiko, keine SCC nötig). Wolf-Agents-USP: Der Email Security Check erkennt Hetzner-DNS-Hosting automatisch über das NS-Pattern hydrogen/oxygen/helium.ns.hetzner.com, validiert den BIMI-Record gegen Internet-Draft V14, prüft SVG-Tiny-PS-Konformität, VMC-Erreichbarkeit, warnt bei abgelaufenen VMCs (Standardlaufzeit 397 Tage), prüft DNSSEC-Status mit Konservativ-Formulierung (Hetzner-Doku Oktober 2018) und korreliert mit DS-Record-Asymmetrie nach NS-Wechsel — kein anderer DACH-Scanner deckt diese fünf Hetzner-spezifischen Drift-Klassen ab. Cross-Verweis: Email-Spoofing und Phishing.
BIMI-Anleitung für weitere Provider:
Wie steht Ihre Domain bei BIMI · Hetzner DNS?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.