MTA-STS für IONOS einrichten

DNS-Records im IONOS Control Panel anlegen, Policy-Datei auf Webspace oder Cloudflare Pages hosten, MX-Records mx00.ionos.com und mx01.ionos.com absichern — mit TLS-RPT für automatische Fehlerberichte.

MTA-STS-Status prüfen Plattform entdecken

IONOS · MTA-STS & TLS-RPT

Von Wolf-Agents Security Team · Aktualisiert: 8. April 2026

MTA-STS und TLS-RPT bei IONOS

IONOS bietet kein automatisches MTA-STS-Hosting — die Einrichtung erfordert manuelle DNS-Records im Control Panel und das separate Hosting der Policy-Datei auf dem IONOS-Webspace oder einem externen Dienst wie Cloudflare Pages. Die MX-Server mx00.ionos.com und mx01.ionos.com müssen exakt in der Policy stehen.

Ohne MTA-STS können STRIPTLS-Angriffe die TLS-Verschlüsselung bei der E-Mail-Zustellung an Ihre IONOS-Domain entfernen. MTA-STS (RFC 8461) erzwingt, dass sendende Mailserver TLS verwenden und das Zertifikat validieren — ein HSTS-Äquivalent für E-Mail. Der Wolf-Agents Email Security Scanner vergleicht Policy-MX und DNS-MX zeichengenau: Er erkennt den IONOS-typischen Legacy-Mismatch zwischen mx00.kundenserver.de (alte Verträge) und mx00.ionos.com (neue Verträge), warnt vor fehlendem SSL-Zertifikat für die mta-sts-Subdomain, deckt Wildcard-CNAME-Anti-Patterns auf und meldet Mode-Inkonsistenzen zwischen id im TXT-Record und Policy-Datei.

Für NIS2-pflichtige Unternehmen gilt: Art. 21 Abs. 2 lit. h fordert Maßnahmen nach dem Stand der Technik — auch bei Shared-Hosting-Providern wie IONOS muss die Transport-Verschlüsselung aktiv erzwungen werden. Ohne MTA-STS fehlt der kryptografische Nachweis, dass TLS-Verschlüsselung für Ihre Domain durchgesetzt wird. Die BSI TR-03108 empfiehlt MTA-STS explizit als Schutz gegen STRIPTLS-Angriffe; DSGVO Art. 32 fordert zusätzlich Verschlüsselung personenbezogener Daten bei der Übertragung.

Falls Sie DMARC für IONOS noch nicht konfiguriert haben, starten Sie mit der DMARC-Anleitung für IONOS. MTA-STS baut auf einer funktionierenden E-Mail-Authentifizierung auf.

MTA-STS Grundlagen und Policy-Referenz

1 Schritt 1 von 4

MX-Records prüfen

Bevor Sie MTA-STS konfigurieren, müssen Sie die exakten MX-Records Ihrer IONOS-Domain kennen — diese werden in der Policy-Datei aufgelistet und müssen exakt übereinstimmen. IONOS verwendet standardmäßig mx00.ionos.com und mx01.ionos.com, aber je nach Produkt und Vertragszeitraum können ältere MX-Records wie mx00.kundenserver.de existieren.

MX-Records im IONOS Control Panel verifizieren

Control Panel öffnen: Melden Sie sich unter my.ionos.de an und navigieren Sie zu Domains & SSL
DNS-Einstellungen: Wählen Sie Ihre Domain und klicken Sie auf DNS → MX-Records. Notieren Sie die angezeigten MX-Server
Terminal-Prüfung: Verifizieren Sie die Records per dig mx ihre-domain.de +short — die Ausgabe muss die IONOS-MX-Server zeigen
Alte MX-Records: Falls Sie mx00.kundenserver.de sehen, verwenden Sie diese in der Policy statt der neuen IONOS-Domains

2 Schritt 2 von 4

DNS-Records im IONOS Control Panel anlegen

Im IONOS Control Panel legen Sie drei DNS-Records an: einen TXT-Record für _mta-sts, einen TXT-Record für _smtp._tls (TLS-RPT) und einen CNAME oder A-Record für die Subdomain mta-sts. Diese Records signalisieren sendenden Mailservern, dass Ihre Domain MTA-STS unterstützt und TLS-Fehlerberichte entgegennimmt.

DNS-Records Schritt für Schritt

Control Panel: Navigieren Sie zu Domains & SSL → Ihre Domain → DNS
_mta-sts TXT-Record: Erstellen Sie einen TXT-Record mit Name _mta-sts und Wert v=STSv1; id=20260408T0001 — die ID muss bei jeder Policy-Änderung aktualisiert werden
_smtp._tls TXT-Record: Erstellen Sie einen TXT-Record mit Name _smtp._tls und Wert v=TLSRPTv1; rua=mailto:tls-reports@ihre-domain.de
mta-sts CNAME: Bei externem Hosting (Cloudflare Pages) erstellen Sie einen CNAME-Record mta-sts → ihre-domain-mta-sts.pages.dev. Bei IONOS-Webspace reicht ein A-Record auf Ihre Webspace-IP

# _mta-sts TXT-Record
_mta-sts.ihre-domain.de  TXT  "v=STSv1; id=20260408T0001"

# TLS-RPT TXT-Record
_smtp._tls.ihre-domain.de  TXT  "v=TLSRPTv1; rua=mailto:tls-reports@ihre-domain.de"

# CNAME für Policy-Subdomain (bei Cloudflare Pages)
mta-sts.ihre-domain.de  CNAME  ihre-domain-mta-sts.pages.dev

3 Schritt 3 von 4

Policy-Datei hosten

Die MTA-STS-Policy muss unter https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt per HTTPS erreichbar sein. Bei IONOS haben Sie zwei Optionen: Hosting auf dem IONOS-Webspace oder extern über Cloudflare Pages. Die Datei muss den Content-Type text/plain verwenden und die exakten MX-Hostnamen auflisten.

version: STSv1
mode: testing
mx: mx00.ionos.com
mx: mx01.ionos.com
max_age: 604800

Hosting-Optionen bei IONOS

IONOS-Webspace: Erstellen Sie im Webspace das Verzeichnis .well-known im Root-Verzeichnis der Subdomain mta-sts.ihre-domain.de. Legen Sie die Datei mta-sts.txt darin ab. IONOS-Webhosting-Pakete unterstützen Let's-Encrypt-SSL — aktivieren Sie es für die Subdomain
Cloudflare Pages (empfohlen): Erstellen Sie ein Cloudflare-Pages-Projekt mit der Policy-Datei unter /.well-known/mta-sts.txt. Cloudflare stellt automatisch ein SSL-Zertifikat bereit und cacht die Datei global. Richten Sie im IONOS Control Panel den CNAME-Record ein
Content-Type: Die Policy-Datei muss als text/plain ausgeliefert werden — kein HTML, kein JSON. Bei IONOS-Webspace achten Sie auf eine korrekte .htaccess-Konfiguration
Testing-Modus: Starten Sie immer mit mode: testing und wechseln Sie erst nach 2-4 fehlerfreien Wochen zu mode: enforce. Bei jedem Moduswechsel aktualisieren Sie die id im DNS-Record

4 Schritt 4 von 4

Konfiguration verifizieren

Prüfen Sie alle drei Komponenten: den _mta-sts DNS-Record, die HTTPS-Erreichbarkeit der Policy-Datei unter mta-sts.ihre-domain.de und den _smtp._tls TLS-RPT-Record. Alle drei müssen korrekt konfiguriert sein, damit sendende Server Ihre MTA-STS-Policy finden und anwenden.

# Linux / macOS — MX-Records prüfen
dig mx ihre-domain.de +short

# MTA-STS DNS-Record prüfen
dig _mta-sts.ihre-domain.de TXT +short

# TLS-RPT DNS-Record prüfen
dig _smtp._tls.ihre-domain.de TXT +short

# Policy-Datei abrufen
curl -s https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt

# Windows (PowerShell)
Resolve-DnsName -Name _mta-sts.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings
Resolve-DnsName -Name _smtp._tls.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings

Checkliste für IONOS

DNS-Propagation: Warten Sie 5-15 Minuten nach dem Anlegen der Records im IONOS Control Panel. IONOS DNS-Server propagieren schnell, aber externe Resolver cachen TTL-basiert
MX-Abgleich: Die MX-Hostnamen in der Policy-Datei müssen exakt mit den aktiven MX-Records übereinstimmen — mx00.ionos.com und mx01.ionos.com (oder die Legacy-Varianten)
HTTPS-Zertifikat: Prüfen Sie mit curl -v https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt, dass das Zertifikat gültig ist und kein Redirect erfolgt
Wolf-Agents Scanner: Nutzen Sie den Wolf-Agents Email Security Check für eine vollständige Validierung — er prüft DNS-Record, Policy-Datei, MX-Abgleich und TLS-RPT in einem Durchlauf

Häufige Probleme bei IONOS MTA-STS

Die folgenden drei Probleme treten bei der MTA-STS-Einrichtung mit IONOS besonders häufig auf. Jedes einzelne kann dazu führen, dass sendende Server Ihre Policy nicht finden oder die Policy-Datei nicht abrufen können — MTA-STS bleibt dann wirkungslos.

IONOS CDN/Proxy blockiert .well-known

Symptom: Die Policy-Datei ist unter https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt nicht erreichbar. Der Browser zeigt einen 404-Fehler oder leitet auf die Hauptdomain weiter.

Ursache: IONOS SiteLock, Performance-Cache oder die CDN-Konfiguration blockiert den Zugriff auf das .well-known-Verzeichnis. Einige IONOS-Produkte leiten Subdomain-Anfragen automatisch auf die Hauptdomain um.

Lösung: Deaktivieren Sie SiteLock und CDN-Cache für die Subdomain mta-sts.ihre-domain.de oder wechseln Sie auf externes Hosting via Cloudflare Pages. Prüfen Sie die .htaccess auf RewriteRules, die .well-known abfangen. Testen Sie mit curl -I https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt — der Status-Code muss 200 sein.

MX-Records variieren je nach IONOS-Produkt

Symptom: MTA-STS im Testing-Modus zeigt in TLS-RPT-Reports validation-failure — sendende Server melden, dass der MX-Hostname nicht in der Policy steht.

Ursache: IONOS verwendet je nach Vertragszeitraum und Produkt unterschiedliche MX-Hostnamen. Ältere Verträge nutzen mx00.kundenserver.de, neuere mx00.ionos.com. Die Policy-Datei enthält die falschen MX-Hostnamen.

Lösung: Prüfen Sie die aktiven MX-Records per dig mx ihre-domain.de +short und übernehmen Sie exakt diese Hostnamen in die Policy-Datei. Listen Sie bei Bedarf sowohl alte als auch neue MX-Hostnamen auf — jeder MX-Server braucht eine eigene mx:-Zeile.

SSL-Zertifikat für mta-sts Subdomain fehlt

Symptom: Sendende Server können die Policy-Datei nicht abrufen. curl zeigt einen TLS-Fehler oder das Zertifikat ist nur für die Hauptdomain ausgestellt.

Ursache: Die Subdomain mta-sts.ihre-domain.de hat kein eigenes SSL-Zertifikat oder das Wildcard-Zertifikat von IONOS deckt die Subdomain nicht ab. IONOS stellt bei manchen Paketen kein automatisches SSL für manuell angelegte Subdomains bereit.

Lösung: Aktivieren Sie SSL für die Subdomain im IONOS Control Panel unter Domains & SSL → SSL-Zertifikate. Falls IONOS kein Let's-Encrypt-Zertifikat für die Subdomain anbietet, wechseln Sie auf Cloudflare Pages — dort ist SSL automatisch inklusive. Der Wolf-Agents Email Security Scanner prüft die HTTPS-Erreichbarkeit der Policy-Datei und meldet fehlende oder ungültige Zertifikate.

DACH-Hosting-Architektur — IONOS/Strato/All-Inkl (Multimodal)

Vergleich der drei größten DACH-Hosting-Provider: IONOS SE (Montabaur), Strato AG (Berlin) und All-Inkl.com — Neue Medien Münnich (Friedersdorf). Die Visualisierung zeigt MX-Setup, Policy-Hosting-Optionen und Konsolen-Workflows für MTA-STS (Cross-File-Reuse in ionos/strato/allinkl, Empirik 85+86).

MTA-STS-Anleitung auch für:

Microsoft 365 Google Workspace Strato All-Inkl Hetzner Postfix Exim Cloudflare DNS Generisch

Wie steht Ihre Domain bei MTA-STS?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten