DNSSEC, DANE & CAA für IONOS aktivieren
IONOS bietet automatische DNSSEC-Verwaltung bei Nutzung der IONOS-eigenen Nameserver — Key-Rollover und DS-Record-Pflege erfolgen ohne manuellen Eingriff. CAA-Records werden über den IONOS-DNS-Editor konfiguriert. Diese Anleitung zeigt die NIS2-konforme Absicherung mit konkreten DNS-Records.
DNS-Sicherheit für IONOS Webhosting
IONOS ist Teil der United Internet AG (Sitz Montabaur) und einer der größten Webhoster im DACH-Raum mit eigenen Nameservern (*.ui-dns.de / .com / .org / .biz). IONOS bietet DNSSEC mit vollautomatischer Verwaltung: Key Rollover (KSK + ZSK), DS-Record-Synchronisation zur Registrar-Stelle und Algorithmus-Wahl erfolgen ohne manuellen Eingriff, wenn Sie die IONOS-eigenen Nameserver nutzen. Diese „managed DNSSEC“-Architektur reduziert Konfigurationsfehler erheblich — ist aber an die IONOS-Nameserver-Nutzung gebunden.
Wenn Sie für die Domain externe Nameserver eingetragen haben (z.B. Cloudflare-Nameserver bei IONOS-Registrierter Domain), übernimmt IONOS DNSSEC nicht — Sie müssen DNSSEC dann beim externen DNS-Hoster aktivieren und den DS-Record manuell zur IONOS-Registrar-Verwaltung übertragen. CAA-Records werden in beiden Fällen über den DNS-Editor (IONOS-Verwaltung oder externer DNS-Hoster) gesetzt.
Hardening-Pfad: MX-Record → SPF → DKIM → DMARC → DNSSEC + CAA (dieser Guide). Bedrohungs-Cluster: DNSSEC schützt vor DNS-Hijacking-Spoofing; CAA verhindert SubdoMailing-Übernahmen über fehlerhaft ausgestellte Zertifikate auf IONOS-Subdomains.
IONOS-Nameserver verifizieren
DNSSEC-Verwaltung durch IONOS erfordert die Nutzung der IONOS-eigenen Nameserver (*.ui-dns.de u.a.). Wenn Sie für die Domain externe Nameserver gesetzt haben, übernimmt IONOS DNSSEC nicht — die Aktivierung erfolgt dann beim externen DNS-Hoster.
IONOS-Nameserver-Check
- Im IONOS Control Panel anmelden
- Bereich Domains & SSL öffnen
- Die Domain auswählen und Nameserver-Bereich öffnen
- Sicherstellen, dass IONOS-Nameserver aktiv sind (nicht „eigene Nameserver“)
DNSSEC im IONOS Control Panel aktivieren
Im Bereich Domains & SSL → Ihre Domain → DNS-Einstellungen finden Sie die DNSSEC-Funktion. Nach Aktivierung erzeugt IONOS Key Signing Key (KSK) und Zone Signing Key (ZSK), signiert alle Records und überträgt den DS-Record automatisch zur Parent-Zone. Manuelle DS-Record-Pflege entfällt.
IONOS rotiert die ZSK automatisch in regelmäßigen Abständen; die KSK seltener (typisch jährlich oder ad-hoc bei Vorfällen). Für IONOS-verwaltete Domains entfällt damit die häufigste DNSSEC-Fehlerquelle (abgelaufene RRSIG-Signaturen). Beim Wechsel des DNS-Providers (weg von IONOS) muss DNSSEC vor der NS-Umstellung deaktiviert werden (DS-Record zuerst löschen, dann TTL abwarten, dann NS umstellen, dann beim neuen Provider neu aktivieren).
IONOS ist einer der wenigen DACH-Provider, die in der Microsoft-365-Doku (learn.microsoft.com/.../create-dns-records-at-any-dns-hosting-provider, Abruf 2026-05-18) als Domain-Connect-fähiger Provider explizit gelistet sind — mit eigener Detail-Anleitung „Connect your DNS records at IONOS to Microsoft 365“. Das bedeutet: M365 kann bei IONOS-gehosteten Domains automatisch MX/SPF/DKIM-CNAMEs ergänzen, ohne dass Sie selbst im IONOS-Panel editieren müssen. Wichtige DNSSEC-Konsequenz: Domain Connect fügt keine DNSSEC-Records oder DS-Records — DNSSEC-Aktivierung bleibt der separate manuelle Schritt im IONOS-Control-Panel. Bei .de-Domains mit IONOS-Registrar + IONOS-DNS erfolgt die DS-Eintragung zur DENIC automatisch (Vorteil gegenüber Split-Setups).
CAA-Records über IONOS-DNS-Editor anlegen
CAA-Records (RFC 8659) regeln, welche Zertifizierungsstellen TLS-Zertifikate für Ihre Domain ausstellen dürfen. IONOS unterstützt die Anlage von CAA-Records über den DNS-Editor (Bereich DNS-Verwaltung → Eintrag hinzufügen → CAA-Record).
; CAA-Records über IONOS-DNS-Editor (RFC 8659)
ihre-domain.de. IN CAA 0 issue "sectigo.com" ; SSL-Standard-CA
ihre-domain.de. IN CAA 0 issue "letsencrypt.org" ; MTA-STS
ihre-domain.de. IN CAA 0 issuewild ";"
ihre-domain.de. IN CAA 0 iodef "mailto:security@ihre-domain.de"Wenn Sie IONOS SSL-Manager für TLS-Zertifikate nutzen, muss sectigo.com in den CAA-Records autorisiert sein, sonst blockiert CAA die Zertifikatsausstellung. Bei Eigenmanagement (Let's Encrypt für eigenen Mailserver oder MTA-STS) ergänzen Sie letsencrypt.org als zweiten issue-Tag.
DNSSEC + CAA verifizieren
Nach der Aktivierung prüfen Sie die DNSSEC-Kette und die CAA-Records per dig — IONOS propagiert DS-Records typischerweise innerhalb von 1-24 Stunden zur DENIC.
# DNSSEC bei IONOS prüfen
dig +dnssec MX ihre-domain.de | grep -E "RRSIG|ad;"
# DS-Record beim Registrar prüfen
dig DS ihre-domain.de @1.1.1.1 +short
# CAA-Records
dig CAA ihre-domain.de +short
# IONOS-Nameserver verifizieren
dig NS ihre-domain.de +short
# Erwartet: *.ui-dns.de / *.ui-dns.com / *.ui-dns.org / *.ui-dns.biz
Ergänzend validieren Sie mit dem Wolf-Agents Email Security Check — dieser erkennt IONOS-NS-Pattern automatisch (*.ui-dns.* Stack-Detection), prüft die DNSSEC-Kette inkl. DS-Record-Übereinstimmung, validiert CAA am Apex und MTA-STS-Subdomain und warnt bei NS-Wechsel-Asymmetrien (DNSSEC bei IONOS noch aktiv, Records aber bei externem Provider).
Häufige Fehler bei IONOS DNSSEC + CAA
DNSSEC bei externer NS-Nutzung aktiviert
Problem: Domain bei IONOS registriert, aber Nameserver auf Cloudflare/Hetzner umgestellt — DNSSEC-Toggle im IONOS-Panel angeklickt. Ursache: IONOS-DNSSEC funktioniert nur mit IONOS-eigenen Nameservern. Lösung: Entweder zurück zu IONOS-NS oder DNSSEC am externen Provider aktivieren und DS-Record manuell in der IONOS-Registrar-Verwaltung eintragen.
CAA blockiert IONOS-SSL-Manager-Ausstellung
Problem: CAA mit nur letsencrypt.org gesetzt, IONOS-SSL-Manager scheitert. Ursache: IONOS-SSL nutzt typisch Sectigo. Lösung: sectigo.com als zusätzlichen issue-Tag ergänzen oder pro Subdomain spezifische CAA-Records.
DNSSEC vor NS-Wechsel nicht deaktiviert
Problem: NS auf externen Provider umgestellt, DS-Record bei DENIC bleibt — Domain wird BOGUS, E-Mail-Empfang bricht zusammen. Ursache: Falsche Reihenfolge. Lösung: Vor NS-Wechsel: DS-Record bei DENIC entfernen (über IONOS-Registrar-Verwaltung) → TTL abwarten (24h) → DNSSEC im IONOS-Panel deaktivieren → NS umstellen → DNSSEC am neuen Provider neu aktivieren.
Compliance: NIS2, BSI TR-03108 und DSGVO mit IONOS
IONOS ist Teil der United Internet AG (Sitz Montabaur, DE) und betreibt Rechenzentren ausschließlich in Deutschland — DSGVO-konform mit deutscher Datensouveränität. Eine DNSSEC-gesicherte Domain bei IONOS mit CAA-Records ist der prüfbare Nachweis für NIS2 Art. 21 Abs. 2 lit. h (Kryptografie und Verschlüsselung) und ergänzt lit. c (Aufrechterhaltung des Betriebs) durch die Anycast-NS-Infrastruktur. Konzern-Hintergrund: IONOS ist Teil der IONOS Group SE, die seit 2021 separat an der Frankfurter Wertpapierbörse notiert ist (Mehrheitseigentümer bleibt United Internet AG mit 63,8 % Stand 31.12.2025).
IONOS DNS-Compliance-Stack: NIS2 lit. h (DNSSEC vollautomatisch + CAA) + NIS2 lit. c (IONOS-NS-Anycast-Redundanz) + BSI TR-03108 (DNS-Apex-Sicherung IONOS-managed) + DSGVO Art. 32 lit. b (Verfügbarkeit, DE-Rechenzentren). Wolf-Agents-USP: Der Email Security Check erkennt IONOS-NS-Pattern (*.ui-dns.de/.com/.org/.biz Stack-Detection), prüft die DNSSEC-Vollautomatik, validiert CAA + DS-Record-Konsistenz und warnt bei externer-NS-Drift mit aktivem DNSSEC. Cross-Verweis: DNS-Hijacking-Spoofing und SubdoMailing.
DNS-Sicherheits-Anleitung für weitere Provider:
Wie steht Ihre Domain bei DNS-Sicherheit · IONOS?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.