DMARC Enforcement für Hetzner
Schritt-für-Schritt-Roadmap: Volle DNS-Kontrolle über Robot oder Cloud Console nutzen, TTL auf 300s setzen für schnelle Rollbacks, selbstverwaltete Mailserver mit OpenDKIM absichern und Policy von p=none über p=quarantine zu p=reject verschärfen.
DMARC Enforcement bei Hetzner
Hetzner bietet maximale DNS-Kontrolle über Robot und Cloud Console — und damit maximale Verantwortung. Bei selbstverwalteten Mailservern auf Hetzner Cloud müssen Sie SPF, DKIM und DMARC vollständig eigenständig konfigurieren. Der entscheidende Vorteil: TTLs von 300 Sekunden ermöglichen Rollbacks innerhalb von 5 Minuten — ideal für schnelle Iterationen während des Enforcement-Prozesses.
Hetzner stellt keine eigene E-Mail-Infrastruktur bereit — Sie betreiben entweder einen eigenen Mailserver auf einem Hetzner-VPS (z.B. Postfix + OpenDKIM) oder nutzen einen externen Mailanbieter. In beiden Fällen verwalten Sie alle DNS-Records selbst: SPF-Record, DKIM-Selektor-Record und DMARC-Record. Der Wolf-Agents Email Security Scanner prüft Ihre aktuelle Policy-Stufe als Teil der 165 Prüfpunkte und zeigt Ihnen, ob Ihr DKIM-Record korrekt publiziert ist. Falls Sie DMARC noch nicht eingerichtet haben, starten Sie mit der DMARC-Anleitung für Hetzner. Nach Erreichen von p=reject ist der nächste Hardening-Schritt MTA-STS für Hetzner — Transport-Verschlüsselung erzwingen.
Hetzner gibt maximale Kontrolle — und damit maximale Verantwortung. NIS2 Art. 21 fordert Maßnahmen nach dem Stand der Technik. Bei selbstverwalteten Mailservern auf Hetzner Cloud liegt die vollständige Verantwortung für SPF, DKIM und DMARC-Enforcement beim Betreiber. Das BSI empfiehlt p=reject, §38 BSIG macht die Geschäftsleitung persönlich haftbar.
Beobachtungsphase bei Hetzner
Legen Sie den DMARC-Record in der Hetzner DNS Console an — entweder im Robot (für dedizierte Server) oder in der Cloud Console (für Cloud-VPS). Setzen Sie die TTL bewusst auf 300 Sekunden: Bei Fehlkonfiguration ist der Rollback innerhalb von 5 Minuten wirksam. Nutzen Sie ein externes Tool wie dmarcian oder Postmark DMARC für die Report-Analyse.
Hetzner-spezifische Quellen in Reports
- Eigener Mailserver (Hetzner VPS): Die Hetzner-IP Ihres VPS erscheint als sendende IP — prüfen Sie, ob SPF-Record diese IP enthält
- DKIM auf selbstverwaltetem Server: DKIM-Signierung ist bei Hetzner Cloud VPS nicht automatisch — OpenDKIM oder rspamd muss manuell konfiguriert werden
- Externer Mailanbieter via Hetzner DNS: Wenn Sie einen externen Mailanbieter (z.B. Google Workspace) mit Hetzner DNS nutzen, müssen die DKIM-Selektor-Records in der Hetzner Console gepflegt werden
- Robot vs. Cloud Console: Entscheiden Sie sich für EINE Verwaltungsoberfläche — Inkonsistenzen zwischen Robot und Cloud Console können zu DNS-Fehlern führen
Quarantäne und Reject bei Hetzner
Der größte Vorteil bei Hetzner: TTL 300s bedeutet, dass jede DNS-Änderung nach spätestens 5 Minuten global wirksam ist. Nutzen Sie diesen Vorteil für schnelle pct-Iterationen — und als Sicherheitsnetz. Bei einem unerwarteten Delivery-Problem können Sie sofort auf p=none zurücksetzen, ohne stundenlang auf DNS-Propagation warten zu müssen. Wolf-Agents empfiehlt, jede pct-Stufe mindestens 3-5 Tage zu beobachten.
Worauf bei Hetzner besonders achten
- DKIM auf selbstverwaltetem Mailserver: Ohne DKIM-Signierung scheitert DMARC bei p=reject für alle ausgehenden E-Mails. OpenDKIM oder rspamd muss vor Phase 2 vollständig konfiguriert und der DKIM-DNS-Record in der Hetzner Console publiziert sein
- IP-Reputation prüfen: Hetzner-IPs können eine Vorgeschichte haben — neue VPS-IPs sollten vor dem Enforcement-Start auf Blacklists geprüft werden (MXToolbox, Spamhaus). Eine schlechte IP-Reputation verschlechtert Delivery unabhängig von DMARC
- Robot vs. Cloud Console Trennung: DNS-Änderungen über Robot und Cloud Console werden teilweise getrennt verwaltet. Ändern Sie alle DMARC-relevanten Records ausschließlich über eine Oberfläche
- Dedizierte IP für Produktivbetrieb: Auf Shared Hosting kann die IP-Reputation anderer Nutzer Ihre Delivery beeinflussen. Für DMARC-Enforcement ist eine dedizierte IP empfehlenswert
# Linux / macOS
dig _dmarc.ihre-domain.de TXT +short
# Windows (PowerShell)
Resolve-DnsName -Name _dmarc.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings
# Erwartete Ausgabe nach Phase 3:
# "v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc-reports@ihre-domain.de; fo=1"Häufige Probleme bei Hetzner-Enforcement
Die folgenden drei Probleme treten bei Hetzner-DMARC-Enforcement besonders häufig auf. Zwei davon sind Infrastruktur-spezifische Fallen, die Sie kennen müssen, bevor Sie p=quarantine aktivieren.
Robot vs. Cloud Console DNS-Inkonsistenz
Symptom: DNS-Änderungen im Robot erscheinen nicht in der Cloud Console oder umgekehrt. DMARC-Records oder DKIM-Selektor-Records scheinen nach der Änderung nicht wirksam zu sein.
Ursache: Hetzner Robot und Cloud Console verwalten DNS teilweise getrennt. Änderungen in einer Oberfläche werden nicht automatisch in die andere übertragen.
Lösung: Entscheiden Sie sich für EINE Verwaltungsoberfläche und nutzen Sie ausschließlich diese für alle DNS-Änderungen während des Enforcement-Prozesses. Dokumentieren Sie Ihre Entscheidung und kommunizieren Sie sie im Team.
Selbstverwalteter Mailserver ohne DKIM
Symptom: Alle ausgehenden E-Mails zeigen DKIM fail in den DMARC-Reports. Nach dem Wechsel auf p=quarantine landen E-Mails im Spam.
Ursache: Bei Hetzner Cloud VPS ist DKIM-Signierung nicht automatisch — Sie müssen OpenDKIM oder rspamd selbst konfigurieren. Ohne DKIM-Signierung kann DMARC nur über SPF-Alignment bestehen, was bei Weiterleitungen sofort bricht.
Lösung: OpenDKIM installieren und konfigurieren (siehe Postfix-Seite), DKIM-DNS-Record in der Hetzner DNS Console veröffentlichen. Vor Phase 2 sicherstellen, dass DKIM in den Reports konsistent als pass erscheint.
Hetzner-IP auf Blacklist nach IP-Wechsel
Symptom: E-Mails werden nach Server-Migration vermehrt abgelehnt oder landen im Spam, unabhängig von DMARC-Konfiguration. Das Problem tritt auch bei korrektem SPF, DKIM und DMARC auf.
Ursache: Neue Hetzner-IPs haben möglicherweise eine schlechte Reputation vom Vormieter. Hetzner-IP-Ranges sind bei einigen Spamhaus-Feeds vorbelastet, da Cloud-Hosting für Spam-Versand missbraucht wird.
Lösung: IP-Reputation vor dem Enforcement-Start prüfen (MXToolbox Blacklist Check, Spamhaus Lookup). Bei negativem Befund eine neue IP bei Hetzner anfordern. Für Produktivbetrieb auf eine dedizierte IP achten — kein Shared Hosting.
DMARC Enforcement-Roadmap auch für:
Wie steht Ihre Domain bei DMARC Enforcement?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.