MTA-STS für Hetzner einrichten

Schritt-für-Schritt-Anleitung: MX-Records in der Hetzner DNS Console prüfen, MTA-STS- und TLS-RPT-Records anlegen, Policy-Datei auf Hetzner Cloud Server, Webhosting oder einem externen Dienst hosten — mit Verifizierung und Troubleshooting.

MTA-STS-Konfiguration prüfen Plattform entdecken
Hetzner · MTA-STS-Anleitung
Von Wolf-Agents Security Team · Aktualisiert: 11. Mai 2026

MTA-STS bei Hetzner einrichten

Hetzner bietet kein automatisches MTA-STS-Hosting — die Einrichtung erfordert DNS-Records in der Hetzner DNS Console und das Hosting der Policy-Datei auf einem Hetzner Cloud Server, dem Webhosting oder einem externen Dienst. Die MX-Konfiguration variiert je nach Setup zwischen mail.your-server.de und eigenen MX-Hosts.

MTA-STS (RFC 8461) erzwingt TLS-verschlüsselte E-Mail-Zustellung und verhindert STRIPTLS-Downgrade-Angriffe. Bei Hetzner müssen Sie drei Komponenten selbst konfigurieren: den _mta-sts DNS-Record, die Policy-Datei unter https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt und den _smtp._tls TLS-RPT-Record. Die Policy-Datei muss die korrekten MX-Hosts enthalten — bei Hetzner Webhosting ist das mail.your-server.de, bei eigenen Servern auf Hetzner Cloud Ihre individuellen MX-Hosts. Der Wolf-Agents Email Security Scanner vergleicht Policy-MX und DNS-MX zeichengenau: Er erkennt den Hetzner-typischen Mismatch zwischen mail.your-server.de (Webhosting) und eigenen MX-Hosts (Cloud), deckt Robot/Cloud-Console-Drift auf (DNS-Records doppelt gepflegt, aber inkonsistent) und meldet, wenn Port 443 für die mta-sts-Subdomain durch die Cloud Firewall blockiert ist.

NIS2 Art. 21 fordert Verschlüsselung nach dem Stand der Technik. Bei Hetzner-Infrastruktur liegt die Verantwortung für TLS-Erzwingung vollständig beim Betreiber — weder Robot noch Cloud Console konfigurieren MTA-STS automatisch. DSGVO Art. 32 fordert Verschlüsselung bei der Übertragung personenbezogener Daten — bei Hetzner-gehosteten Mailservern ist die TLS-Erzwingung Eigenverantwortung des Kunden, da Hetzner als Auftragsverarbeiter (DSGVO Art. 28) keine MTA-STS-Pflichten übernimmt. Die BSI TR-03108 empfiehlt MTA-STS als Stand der Technik für E-Mail-Transport. Wolf-Agents empfiehlt MTA-STS mit mode: enforce als Mindeststandard für alle produktiven Domains.

Ausführliche MTA-STS & TLS-RPT Anleitung

1 Schritt 1 von 4

MX-Records in der Hetzner DNS Console prüfen

Bevor Sie MTA-STS konfigurieren, müssen Sie Ihre aktuellen MX-Records kennen. Bei Hetzner hängt die MX-Konfiguration vom Setup ab: Hetzner Webhosting nutzt mail.your-server.de, ein eigener Mailserver auf einem Cloud-VPS hat individuelle MX-Hosts. Die Policy-Datei muss exakt diese MX-Hosts enthalten — eine Abweichung führt dazu, dass sendende Server die Policy als ungültig verwerfen.

Hetzner-spezifische MX-Setups

  1. Hetzner Webhosting: MX zeigt auf mail.your-server.de — dieser Host muss in der Policy-Datei stehen. Hetzner betreibt die TLS-Konfiguration für diesen MX-Host
  2. Eigener Mailserver (Hetzner Cloud): MX zeigt auf Ihren eigenen Host (z.B. mx1.ihre-domain.de) — Sie sind für TLS-Konfiguration und Zertifikat selbst verantwortlich
  3. Externer Mailanbieter über Hetzner DNS: MX zeigt auf den externen Anbieter (z.B. Google, Microsoft) — prüfen Sie die MX-Hosts des Anbieters und tragen Sie diese in die Policy ein
2 Schritt 2 von 4

DNS-Records in der Hetzner DNS Console anlegen

Legen Sie zwei TXT-Records in der Hetzner DNS Console an: den _mta-sts-Record, der MTA-STS aktiviert, und den _smtp._tls-Record für TLS-Reporting. Die id im MTA-STS-Record muss bei jeder Policy-Änderung aktualisiert werden — nutzen Sie das aktuelle Datum im Format YYYYMMDD. Hetzner DNS unterstützt TTLs ab dem dokumentierten Minimum von 60 Sekunden; 300 Sekunden ist ein bewährter Wert für schnelle Iterationen im Testing-Modus.

Terminal / Hetzner DNS Console DNS-Records 
# MX-Records prüfen
dig ihre-domain.de MX +short

# MTA-STS DNS-Record setzen (in Hetzner DNS Console)
# Host: _mta-sts
# Typ: TXT
# Wert: v=STSv1; id=20260408

# TLS-RPT DNS-Record setzen
# Host: _smtp._tls
# Typ: TXT
# Wert: v=TLSRPTv1; rua=mailto:tls-reports@ihre-domain.de

Hetzner-DNS-Spezifika: TTL, Nameserver und Propagation

  1. TTL-Default und Minimum: Hetzner DNS Console (sowohl in Hetzner Cloud Console als auch über die Legacy dns.hetzner.com) verwendet laut Zone-File-Beispiel der Hetzner-Doku einen Default-TTL von 86400 Sekunden (24 Stunden); das technische Minimum liegt bei 60 Sekunden. Setzen Sie im Testing-Modus den TTL gezielt auf 300, damit Policy-Iterationen schnell propagieren — vor dem Wechsel auf mode: enforce können Sie ihn wieder auf 3600 oder höher erhöhen
  2. Drei primäre autoritative Nameserver: Hetzners drei autoritative Primary-Nameserver sind hydrogen.ns.hetzner.com, oxygen.ns.hetzner.com und helium.ns.hetzner.de (laut Hetzner-Docs gleichberechtigt — kein hierarchisches Primary/Secondary). Prüfen Sie unmittelbar nach dem Setzen mit dig @hydrogen.ns.hetzner.com _mta-sts.ihre-domain.de TXT +short, ob der Record schon aktiv ist — ohne auf Resolver-Caches zu warten
  3. DNS-Propagation: Die drei Hetzner-Primary-Nameserver synchronisieren neue Records meist innerhalb weniger Minuten; die globale Sichtbarkeit beim Empfänger hängt jedoch vom TTL der Vorgänger-Records und den Resolver-Caches der sendenden Mailserver ab. Reduzieren Sie den TTL bereits 24 Stunden vor jeder Policy-Änderung, damit ältere Werte aus den Caches verschwinden
  4. Hetzner Cloud Firewall — Default ist „alles blockiert“: Wenn Sie eine Hetzner Cloud Firewall an den Server binden und keine expliziten Inbound-Regeln setzen, blockt sie laut Hetzner-Docs sämtlichen eingehenden Traffic ("If you do not set any rule, all inbound traffic will automatically be blocked"). Für das Policy-Hosting müssen Sie Port 443 (HTTPS) — und für Let's-Encrypt-HTTP-01-Validierung zusätzlich Port 80 — als Inbound-Regel ergänzen, sonst ist https://mta-sts.ihre-domain.de nicht erreichbar (siehe Troubleshooting unten)
3 Schritt 3 von 4

Policy-Datei auf Hetzner hosten

Die Policy-Datei muss unter https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt per HTTPS erreichbar sein. Bei Hetzner haben Sie drei Optionen: Hetzner Cloud Server mit nginx und Let's Encrypt, Hetzner Webhosting mit Subdomain-Konfiguration, oder ein externer Dienst wie Cloudflare Pages. Die mx-Zeilen müssen exakt Ihre MX-Hosts widerspiegeln.

Policy-Datei je nach Setup

  1. Hetzner Webhosting (mail.your-server.de): Erstellen Sie die Subdomain mta-sts.ihre-domain.de im Webhosting-Panel, legen Sie den Ordner .well-known/ an und laden Sie die Policy-Datei hoch. HTTPS wird automatisch über Hetzner bereitgestellt
  2. Hetzner Cloud Server: Konfigurieren Sie einen nginx-vhost für mta-sts.ihre-domain.de mit Let's-Encrypt-Zertifikat. Erstellen Sie die Datei unter /var/www/mta-sts/.well-known/mta-sts.txt
  3. Externer Dienst (Cloudflare Pages): Erstellen Sie ein Repository mit der Datei .well-known/mta-sts.txt, deployen Sie auf Cloudflare Pages und konfigurieren Sie einen CNAME-Record in der Hetzner DNS Console
.well-known/mta-sts.txt (Webhosting) Policy 
version: STSv1
mode: enforce
mx: mail.your-server.de
max_age: 604800
.well-known/mta-sts.txt (eigener Server) Policy 
version: STSv1
mode: enforce
mx: mx1.ihre-domain.de
mx: mx2.ihre-domain.de
max_age: 604800
4 Schritt 4 von 4

MTA-STS-Konfiguration verifizieren

Prüfen Sie alle drei Komponenten: DNS-Record, Policy-Datei und TLS-RPT-Record. Der Wolf-Agents Email Security Scanner validiert zusätzlich den MX-Abgleich — die mx-Einträge in der Policy müssen exakt mit Ihren DNS-MX-Records übereinstimmen. Beginnen Sie mit mode: testing und wechseln Sie nach erfolgreicher Verifikation auf mode: enforce.

Terminal / PowerShell Verifikation 
# Linux / macOS
dig _mta-sts.ihre-domain.de TXT +short
curl -s https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt
dig _smtp._tls.ihre-domain.de TXT +short

# Windows (PowerShell)
Resolve-DnsName -Name _mta-sts.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings
Invoke-WebRequest -Uri "https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt" | Select-Object -ExpandProperty Content
Resolve-DnsName -Name _smtp._tls.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings

# Erwartete Ausgaben:
# "v=STSv1; id=20260408"
# version: STSv1 / mode: enforce / mx: ... / max_age: 604800
# "v=TLSRPTv1; rua=mailto:tls-reports@ihre-domain.de"

Häufige Probleme bei Hetzner MTA-STS

Die folgenden drei Probleme treten bei Hetzner MTA-STS-Konfigurationen besonders häufig auf. Jedes einzelne kann dazu führen, dass sendende Server die Policy ignorieren oder E-Mails nicht zugestellt werden.

Robot vs. Cloud Console — DNS-Verwaltung inkonsistent

Symptom: Der _mta-sts TXT-Record ist in der Cloud Console sichtbar, aber dig liefert kein Ergebnis. Oder umgekehrt: Der Record wurde im Robot gesetzt, erscheint aber nicht in der Cloud Console.

Ursache: Hetzner Robot und Cloud Console verwalten DNS-Zonen teilweise getrennt. Wenn die Domain in beiden Systemen existiert, können Änderungen in einem System vom anderen überschrieben oder ignoriert werden.

Lösung: Verwenden Sie ausschließlich EINE Verwaltungsoberfläche für alle DNS-Änderungen. Prüfen Sie mit dig _mta-sts.ihre-domain.de TXT +short direkt gegen die Hetzner-Nameserver (@hydrogen.ns.hetzner.com), um die tatsächlich aktiven Records zu sehen.

MX-Host in Policy stimmt nicht mit Setup überein

Symptom: TLS-RPT-Reports zeigen sts-policy-invalid als Fehler. Sendende Server laden die Policy, verwerfen sie aber als ungültig.

Ursache: Die Policy-Datei enthält den falschen MX-Host. Typisch: mx: mail.your-server.de in der Policy, aber der DNS-MX-Record zeigt auf einen eigenen Server (mx1.ihre-domain.de) — oder umgekehrt.

Lösung: Prüfen Sie Ihre MX-Records mit dig ihre-domain.de MX +short und gleichen Sie die Hosts exakt mit den mx-Zeilen in der Policy-Datei ab. Bei Hetzner Webhosting ist der MX-Host mail.your-server.de, bei eigenem Mailserver Ihr individueller Hostname. Der Wolf-Agents Email Security Scanner prüft den MX-Abgleich automatisch.

Firewall blockiert Port 443 für mta-sts Subdomain

Symptom: curl https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt liefert einen Timeout. Die Policy-Datei ist auf dem Server vorhanden, aber von extern nicht erreichbar.

Ursache: Die Hetzner Cloud Firewall oder die lokale ufw/iptables-Konfiguration blockiert eingehende HTTPS-Verbindungen auf Port 443 für die mta-sts Subdomain. Insbesondere bei neuen Cloud-Servern ist die Firewall standardmäßig restriktiv konfiguriert.

Lösung: In der Hetzner Cloud Console unter Firewalls eine Regel für eingehenden TCP-Traffic auf Port 443 hinzufügen. Bei lokaler Firewall: ufw allow 443/tcp oder die entsprechende iptables-Regel setzen. Prüfen Sie zusätzlich, dass der nginx-vhost korrekt auf Port 443 lauscht und das Let's-Encrypt-Zertifikat gültig ist.

NIS2-Compliance: Hetzner-Infrastruktur und TLS-Erzwingung

NIS2 Art. 21 Abs. 2 lit. h verlangt Kryptografie nach dem Stand der Technik. Hetzner stellt Infrastruktur bereit, konfiguriert aber weder MTA-STS noch TLS-RPT automatisch — die Verantwortung liegt vollständig beim Betreiber. Bei Hetzner Cloud Servern bedeutet das: Sie müssen sowohl die DNS-Records als auch das Policy-Hosting selbst einrichten und überwachen. DSGVO Art. 32 fordert Verschlüsselung bei der Übertragung — bei Hetzner-gehosteten Mailservern ist die TLS-Erzwingung Eigenverantwortung des Kunden, da Hetzner als Auftragsverarbeiter (DSGVO Art. 28) keine MTA-STS-Pflichten übernimmt. Die BSI TR-03108 empfiehlt MTA-STS als Schutz gegen TLS-Downgrade-Angriffe. Der Wolf-Agents Email Security Scanner bewertet MTA-STS mit bis zu 15 Punkten (10 MTA-STS + 5 TLS-RPT) und zeigt Ihnen den aktuellen Stand Ihrer Konfiguration.

Hinweis für Mailserver-Betreiber: Wenn Sie auf Hetzner Cloud einen eigenen Mailserver (Postfix, Exim) betreiben, prüfen Sie zusätzlich die Outbound-MTA-STS-Validierung mit postfix-mta-sts-resolver — Ihr Server muss MTA-STS-Policies anderer Domains beim Senden auswerten und TLS erzwingen, nicht nur beim Empfang. Details siehe MTA-STS für Postfix.

Hetzner Robot vs. Cloud Console — Konsolen-Drift (Multimodal)

Hetzner Online GmbH (Gunzenhausen) betreibt zwei Konsolen: die ältere Robot-Console (Dedicated Server) und die neuere Cloud Console (Cloud Server). DNS-Records doppelt gepflegt, aber inkonsistent — die Visualisierung zeigt die Drift-Risiken und Synchronisations-Strategie.

MTA-STS-Anleitung auch für:

Microsoft 365Google WorkspaceIONOSStratoAll-InklPostfixEximCloudflare DNSGenerisch

Wie steht Ihre Domain bei MTA-STS?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten