DMARC für Hetzner einrichten

Schritt-für-Schritt-Anleitung: DMARC-Record in der Hetzner DNS Console anlegen, Domain-Suffix-Automatik beachten, Alignment verifizieren und Reporting einrichten.

DMARC prüfen Plattform entdecken
Hetzner · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 7. April 2026

DMARC für Hetzner DNS Console

Die Hetzner DNS Console (dns.hetzner.com) ergänzt den Domain-Suffix automatisch — geben Sie bei DMARC nur _dmarc als Name ein. Hetzner bietet zusätzlich eine DNS API (POST /records) für automatisierte Deployments. Hetzner ist primär DNS-Anbieter: Wenn Sie einen eigenen Mailserver auf Hetzner Cloud betreiben, müssen SPF und DKIM auf dem Server konfiguriert werden — der DMARC-Record wird dann in der DNS Console angelegt.

Mit 35 von 165 Punkten ist DMARC der gewichtigste Faktor im Wolf-Agents Email Security Check — der Scanner verifiziert die DMARC-Syntax, validiert rua/ruf-Empfänger per DNS-Authorization (RFC 7489 § 7.1), erkennt Policy-Drift bei Subdomain-Overrides und prüft pct-Wert-Konsistenz zwischen Subdomain und Hauptdomain. Für NIS2-pflichtige Unternehmen mit Hetzner-Infrastruktur dokumentiert ein korrekt konfigurierter DMARC-Record den aktiven Spoofing-Schutz — ein prüfbarer Compliance-Nachweis nach §38 BSIG.

Hardening-Pfad: Nach DMARC mit p=none folgt der schrittweise Wechsel zu p=quarantine und p=reject — siehe DMARC-Enforcement für Hetzner.

Ausführliche Einführung in DMARC

1Schritt 1 von 4

DMARC-Record in der Hetzner DNS Console anlegen

Erstellen Sie einen TXT-Record in der Hetzner DNS Console. Hetzner ergänzt die Domain automatisch — geben Sie nur _dmarc als Name ein.

Hetzner DNS ConsoleHetzner
Name:      _dmarc
Typ:       TXT
Wert:      v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de; fo=1
TTL:       3600 (oder Auto)

Menüpfad in der Hetzner DNS Console

  1. Öffnen Sie dns.hetzner.com und melden Sie sich an
  2. Wählen Sie die gewünschte Zone (Ihre Domain)
  3. Klicken Sie auf Add Record und wählen Sie den Typ TXT
  4. Name: _dmarc (Hetzner ergänzt .ihre-domain.de automatisch)
  5. Wert: den DMARC-Record einfügen, TTL auf 3600 oder Auto belassen
2Schritt 2 von 4

Alignment sicherstellen

Hetzner ist primär DNS-Anbieter und kein Mailserver-Anbieter. SPF- und DKIM-Alignment müssen auf dem genutzten Mailserver oder beim Drittanbieter konfiguriert werden. Wer Hetzner Cloud-Server mit eigenem Postfix betreibt, richtet SPF und DKIM dort ein (SPF für Postfix, DKIM für Postfix).

Alignment-Checkliste für Hetzner

  1. Eigener Mailserver: SPF-Record mit Hetzner-IP anlegen, DKIM auf dem Server konfigurieren
  2. SPF: IP-Adresse des Mailservers als ip4:-Mechanismus einbinden
  3. DKIM: Selektor und Public Key als TXT-Record in der DNS Console eintragen
  4. Drittanbieter: Custom-DKIM-Signierung bei jedem externen Dienst aktivieren
3Schritt 3 von 4

DMARC-Record verifizieren

Hetzner DNS-Änderungen sind in der Regel innerhalb weniger Minuten aktiv.

TerminalVerifikation
# Linux / macOS
dig _dmarc.ihre-domain.de TXT +short

# Windows (PowerShell)
Resolve-DnsName -Name _dmarc.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings

# Erwartete Ausgabe:
# "v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de; fo=1"

Validieren Sie mit dem Wolf-Agents Email Security Check — 35 DMARC-Punkte inklusive Policy, Reporting und Alignment.

4Schritt 4 von 4

Reporting einrichten und auswerten

Warten Sie mindestens 2-4 Wochen im Monitoring-Modus (p=none). Aggregate Reports zeigen, welche Server E-Mails in Ihrem Namen senden — besonders relevant bei Hetzner, da eigene Mailserver und Drittanbieter separat konfiguriert werden müssen.

Monitoring-Phase für Hetzner

  1. Richten Sie eine dedizierte Mailbox für dmarc-reports@ihre-domain.de auf Ihrem Mailserver ein
  2. Nutzen Sie dmarcian (kostenlos bis 10.000 Mails/Monat) oder Postmark DMARC zur Auswertung der komprimierten XML-Reports
  3. Identifizieren Sie alle legitimen Absender — prüfen Sie SPF/DKIM für jeden Dienst einzeln
  4. Erst wenn alle Dienste korrekt authentifiziert sind: Policy verschärfen (Kapitel 05)

Häufige Fehler bei Hetzner

Diese drei Fehler treten bei Hetzner-DMARC-Konfigurationen am häufigsten auf.

Record in Hetzner Robot statt DNS Console angelegt

Problem: Admin legt den DMARC-Record im Hetzner Robot (robot.hetzner.com) an statt in der DNS Console (dns.hetzner.com). Beide Panels sind eigenständige Produkte — der Record landet in der falschen Zone.

Lösung: DNS-Records für Cloud-Domains ausschließlich in der Hetzner DNS Console unter dns.hetzner.com anlegen.

API-Automatisierung ohne TTL-Parameter

Problem: Beim Anlegen per Hetzner DNS API wird kein ttl-Feld mitgegeben. Der Default-TTL kann sehr niedrig ausfallen und verursacht erhöhte DNS-Last.

Lösung: Im API-Request immer explizit "ttl": 3600 mitgeben.

Zone nicht synchronisiert nach Bearbeitung

Problem: Nach dem Hinzufügen eines Records scheint die Änderung gespeichert, ist aber noch nicht propagiert. Eine sofortige Verifikation per dig liefert noch den alten Stand.

Lösung: Einige Minuten warten und erneut per dig prüfen. Bei ausbleibender Propagierung die Zone explizit speichern.

DMARC-Anleitung auch für:

Microsoft 365Google WorkspaceIONOSStratoAll-InklPostfixEximGenerisch

Wie steht Ihre Domain bei DMARC?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten