DNSSEC, DANE & CAA für Netcup aktivieren
Netcup ist ein eigenständiger DACH-Hoster (ISO 27001) mit DNSSEC-Aktivierung pro Domain im CCP (Customer Control Panel). DS-Record-Export für externe Registrare, CAA-Records über DNS-Tab. Für Wolf-Agents-Kunden mit Netcup vServer + Mailcow ergänzt sich DNSSEC ideal mit DANE TLSA — Mailcow-Doku verlinkt.
DNS-Sicherheit für Netcup Webhosting und vServer
Netcup (Netcup GmbH, Sitz Nürnberg) ist ein eigenständiger deutscher Hoster mit ISO-27001-Zertifizierung und Fokus auf vServer + dedizierte Server. Das CCP (Customer Control Panel, ccp.netcup.net) bietet vollständige Domain- und DNS-Verwaltung inklusive DNSSEC. Netcup-DNS funktioniert auch mit externen Nameservern: Der DS-Record wird im CCP unter Domain → DNSSEC erzeugt und kann zu externen Registrarn exportiert werden. Für Wolf-Agents-Kunden mit Netcup vServer + eigenem Mailcow oder Postfix ergänzt sich DNSSEC ideal mit DANE TLSA.
Netcup bietet im CCP mehrere DNSSEC-Algorithmen TLD-abhängig an — laut Netcup-Helpcenter werden für die meisten unterstützten TLDs ECDSAP256SHA256 (Algorithmus 13), ECDSAP384SHA384 (Algorithmus 14), Ed25519 (Algorithmus 15) sowie RSASHA256-Varianten angeboten; die TLD-spezifische Algorithmen-Auswahl wird beim DNSSEC-Aktivieren im CCP angezeigt. ECDSAP256SHA256 ist gemäß RFC 8624 § 3.1 RECOMMENDED für neue Deployments. CAA-Records lassen sich im DNS-Tab direkt anlegen. Wenn Sie eine Domain bei Netcup registriert haben und die DNS-Verwaltung extern hosten (z.B. Cloudflare-NS), funktioniert die DNSSEC-Kette weiter über den DS-Record-Eintrag in der Netcup-Registrar-Verwaltung.
Hardening-Pfad: MX-Record → SPF → DKIM → DMARC → DANE TLSA für Mailcow-vServer → CAA (dieser Guide). Bedrohungs-Cluster: DNS-Hijacking-Spoofing und SubdoMailing.
CCP DNS-Tab öffnen
Das CCP (ccp.netcup.net) ist das zentrale Verwaltungs-Panel. DNSSEC und CAA-Records werden pro Domain im DNS-Bereich konfiguriert.
Menüpfad im Netcup-CCP
- Im CCP (ccp.netcup.net) anmelden
- Navigieren zu Domains
- Die Domain auswählen und den DNS-Tab öffnen
- Bestehende Records prüfen und nach DNSSEC-Bereich navigieren
DNSSEC pro Domain aktivieren
Im DNSSEC-Bereich des CCP DNSSEC für die Domain aktivieren. Netcup erzeugt automatisch Key Signing Key (KSK) und Zone Signing Key (ZSK), signiert alle Records mit ECDSAP256SHA256 (Algorithmus 13). Bei Netcup-registrierten Domains wird der DS-Record automatisch zur Parent-Zone (z.B. DENIC für .de) übertragen — bei externer Registrierung muss der DS-Record exportiert und beim externen Registrar manuell eingetragen werden.
Wenn Sie die DNS-Verwaltung extern hosten (z.B. Cloudflare-NS) aber bei Netcup registriert sind, übernimmt das Netcup-DNS keine Signierung — DNSSEC wird beim externen DNS-Provider aktiviert und der DS-Record dann im Netcup-CCP (Domain-Verwaltung → DNSSEC) eingetragen. Netcup leitet den DS-Record zur DENIC weiter.
Netcup setzt im CCP standardmäßig auf ECDSAP256SHA256 (Algorithmus 13) — das ist exakt der Algorithmus, den RFC 8624 § 3.1 als RECOMMENDED für neue DNSSEC-Deployments dokumentiert (Original-RFC-Zitat: „ECDSAP256SHA256 is the RECOMMENDED DNSKEY algorithm for use by new DNSSEC deployments, and users of RSA-based algorithms SHOULD upgrade to ECDSAP256SHA256.“). Damit ist Netcup auf Augenhöhe mit Cloudflare DNS und Microsoft Azure DNS, die ebenfalls Algorithmus 13 als Default einsetzen. Konsequenz für Migration: Wer von einem alten DNS-Provider mit Algorithmus 8 (RSASHA256) zu Netcup migriert, profitiert direkt von der modernen Krypto-Wahl — kein nachträglicher Algorithmus-Wechsel nötig. Für RFC-8624-konforme Compliance-Nachweise (NIS2 lit. h Kryptografie) ist Netcup damit Launch-Day-Ready. Wichtig bei Mailcow-vServer-Kombinationen: Wenn die Domain bei Netcup signiert wird und der Mailcow-vServer auch bei Netcup läuft, sind DNSSEC + DANE TLSA (RFC 7672 § 3 erfordert DNSSEC-Kette) ohne externe Komponenten realisierbar — eine kompakte Single-Vendor-Stack-Architektur.
CAA-Records im DNS-Tab anlegen
Im CCP-DNS-Tab CAA-Records (RFC 8659) anlegen — Record-Typ CAA, Flag 0, Tag issue/issuewild/iodef, Wert die CA-Domain. Für Mailcow auf Netcup vServer typisch letsencrypt.org; bei kommerziellem TLS-Cert die jeweilige CA ergänzen.
; CAA-Records im Netcup-CCP-DNS-Tab (RFC 8659)
ihre-domain.de. IN CAA 0 issue "letsencrypt.org" ; Let's Encrypt (Mailcow/MTA-STS)
ihre-domain.de. IN CAA 0 issuewild ";"
ihre-domain.de. IN CAA 0 iodef "mailto:security@ihre-domain.de"
; Subdomain-spezifisch für Mailcow / MTA-STS
mta-sts.ihre-domain.de. IN CAA 0 issue "letsencrypt.org"Wenn Sie auf einem Netcup vServer Mailcow betreiben, ist die Kombination DNSSEC + DANE TLSA + CAA der Sicherheits-Goldstandard. Siehe DANE TLSA für Mailcow für die TLSA-Record-Generierung mit hash-slinger und die Postfix-main.cf-Override.
DNSSEC + CAA verifizieren
Nach Aktivierung prüfen Sie die DNSSEC-Kette und CAA-Records per dig — Netcup propagiert DS-Records typisch innerhalb von 1-24 Stunden zur DENIC.
# DNSSEC bei Netcup prüfen
dig +dnssec MX ihre-domain.de | grep -E "RRSIG|ad;"
# DS-Record beim Registrar
dig DS ihre-domain.de @1.1.1.1 +short
# CAA-Records
dig CAA ihre-domain.de +short
# Netcup-Nameserver verifizieren
dig NS ihre-domain.de +short
# Erwartet typisch: root-dns.netcup.net + second-dns.netcup.net + third-dns.netcup.netValidieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser erkennt Netcup-Pattern automatisch (NS root-dns/second-dns/third-dns.netcup.net Stack-Detection), prüft DNSSEC-Kette inkl. Algorithmus-13-Bestätigung, validiert CAA und scannt MX/SPF/DKIM/DMARC für Mailcow-Setups parallel.
Häufige Fehler bei Netcup DNSSEC + CAA
DS-Record bei externem Registrar vergessen
Problem: DNSSEC bei Netcup aktiviert, aber Domain bei externem Registrar — DS-Record nicht eingetragen. Ursache: Annahme automatischer Synchronisation. Lösung: DS-Record aus Netcup-CCP exportieren und beim externen Registrar im DNSSEC-Bereich eintragen.
CAA blockiert Let's Encrypt für Mailcow
Problem: CAA mit nur sectigo.com gesetzt, Mailcow-Let's-Encrypt-Renewal scheitert. Ursache: Mailcow integriert Let's Encrypt nativ. Lösung: letsencrypt.org als issue-Tag am Apex und auf mta-sts-Subdomain ergänzen.
DNSSEC vor NS-Wechsel nicht deaktiviert
Problem: NS-Wechsel weg von Netcup ohne vorherige DNSSEC-Deaktivierung — Domain BOGUS. Ursache: Falsche Reihenfolge. Lösung: Vor NS-Wechsel: DNSSEC im Netcup-CCP deaktivieren → DS-Record entfernen → TTL abwarten (24h) → NS umstellen → DNSSEC am neuen Provider neu aktivieren.
Compliance: NIS2, BSI TR-03108 und DSGVO mit Netcup
Netcup ist ISO/IEC 27001-zertifiziert, Rechenzentren in Nürnberg und Wien — deutsche Datensouveränität ohne Konzern-Bindung an US-Provider. Eine DNSSEC-gesicherte Netcup-Domain mit CAA-Records ist der prüfbare Nachweis für NIS2 Art. 21 Abs. 2 lit. h (Kryptografie und Verschlüsselung). Bei vServer + Mailcow-Setup mit DANE TLSA wird die Compliance-Tiefe maximiert (lit. h auf DNS- und Transport-Schicht).
Netcup DNS-Compliance-Stack: NIS2 lit. h (DNSSEC ECDSAP256SHA256 + CAA + DANE TLSA bei Mailcow vServer) + NIS2 lit. c (Anycast-NS-Redundanz Nürnberg/Wien) + BSI TR-03108 (DNS-Sicherung Netcup-managed) + DSGVO Art. 32 lit. b (Verfügbarkeit, DE-Rechenzentren). Wolf-Agents-USP: Der Email Security Check erkennt Netcup-NS-Pattern (Stack-Detection für root-dns/second-dns/third-dns.netcup.net), prüft DNSSEC-Vollständigkeit mit Algorithmus-13-Validierung, validiert CAA und integriert die Mailcow-DANE-TLSA-Prüfung für vServer. Cross-Verweis: DNS-Hijacking-Spoofing und SubdoMailing.
DNS-Sicherheits-Anleitung für weitere Provider:
Wie steht Ihre Domain bei DNS-Sicherheit · Netcup?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.