MTA-STS für Netcup einrichten

DNS-Records im Netcup Customer Control Panel anlegen, Policy-Datei auf Webspace oder Cloudflare Pages hosten, MX-Hostnames im mxXXXX.netcup.net-Pattern absichern — mit TLS-RPT für automatische Fehlerberichte.

MTA-STS-Status prüfen Plattform entdecken
Netcup · MTA-STS & TLS-RPT
Von Wolf-Agents Security Team · Aktualisiert: 13. Mai 2026

MTA-STS und TLS-RPT bei Netcup

Netcup-Webhosting verwaltet die Mail-Server und TLS-Konfiguration zentral — Kunden können keine eigene MTA-STS-Policy auf der Netcup-Infrastruktur deployen. Die DNS-Records und die Policy-Datei müssen separat im CCP DNS-Tab und auf dem Netcup-Webspace (oder einem externen Dienst wie Cloudflare Pages) eingerichtet werden. Die MX-Hostnamen folgen dem Pattern mxXXXX.netcup.net und müssen exakt in der Policy stehen.

MTA-STS (RFC 8461) schützt eingehende E-Mail-Zustellung vor STRIPTLS-Downgrade-Angriffen — ein HSTS-Äquivalent für SMTP. Sendende Mailserver werden über DNS und HTTPS-Policy angewiesen, TLS zwingend zu verwenden und das Zertifikat des Netcup-MX-Hosts zu validieren. Der Wolf-Agents Email Security Scanner vergleicht Policy-MX und DNS-MX zeichengenau: Er erkennt den Netcup-typischen MX-Drift zwischen Webhosting-Pattern (mxXXXX.netcup.net) und einer alten manuellen MX-Konfiguration auf mx2.netcup.net, warnt vor fehlendem SSL-Zertifikat für die mta-sts-Subdomain, deckt Wildcard-CNAME-Anti-Patterns auf und meldet Mode-Inkonsistenzen zwischen id im TXT-Record und Policy-Datei. CT-Log-Monitoring via Certstream-Integration alarmiert bei unautorisierten Zertifikats-Ausstellungen für Ihre MX-Hostnamen.

Hardening-Pfad: Nach MTA-STS folgt SMTP-TLS für Netcup — die direkte Verifikation der TLS-Konfiguration auf den MX-Hosts. Falls DMARC für Netcup noch nicht aktiviert ist, starten Sie mit der DMARC-Anleitung. Bedrohungs-Cluster: Eine durchgesetzte MTA-STS-Policy schließt eine spezifische Klasse von Spoofing-Angriffen — STRIPTLS, bei dem ein Man-in-the-Middle das STARTTLS-Kommando aus dem SMTP-Verkehr entfernt und die E-Mail dann im Klartext mitliest. Heimlich mitgelesene Reply-Chains und Lieferanten-Mails sind die Reconnaissance-Basis für gezielten Business Email Compromise (FBI IC3 2024: 2,77 Mrd. USD Schaden).

Für NIS2-pflichtige Unternehmen gilt: Art. 21 Abs. 2 lit. h fordert Konzepte und Verfahren für den Einsatz von Kryptografie — auch bei Shared-Hosting-Providern wie Netcup muss die Transport-Verschlüsselung aktiv erzwungen werden. Ohne MTA-STS fehlt der kryptografische Nachweis, dass TLS durchgesetzt wird. BSI TR-03108 Abschnitt 4.3 empfiehlt MTA-STS explizit; DSGVO Art. 32 fordert zusätzlich Verschlüsselung personenbezogener Daten bei der Übertragung. NIS2 Art. 23 (24h-Frühwarnung bei STRIPTLS-Vorfall mit Klartext-Mitlesen) lässt sich durch TLS-RPT- und MTA-STS-Policy-Logs forensisch belegen.

Ausführliche MTA-STS & TLS-RPT Anleitung

1 Schritt 1 von 4

MX-Hosts ermitteln

Netcup weist jedem Webhosting-Tarif einen individuellen Mail-Hostnamen im Pattern mxXXXX.netcup.net zu — die Nummer ist kundenspezifisch. Sie müssen den exakten Wert für Ihre Domain ermitteln, weil die MTA-STS-Policy-Datei jeden zulässigen MX als mx:-Zeile auflistet.

Terminal / PowerShell MX-Ermittlung 
# Linux / macOS
dig MX ihre-domain.de +short
# Beispielausgabe (kundenspezifisch):
# 10 mx2f54.netcup.net.

# Windows (PowerShell)
Resolve-DnsName -Name ihre-domain.de -Type MX | Select-Object NameExchange, Preference

# Notieren Sie ALLE MX-Hosts (typischerweise 1-2) für die Policy-Datei
# Hostnamen-Pattern: mxXXXX.netcup.net wobei XXXX kundenspezifisch ist
2 Schritt 2 von 4

DNS-Records im Netcup CCP anlegen

Drei DNS-Records sind nötig: einen TXT für _mta-sts mit Policy-ID, einen TXT für _smtp._tls mit TLS-RPT-Empfänger und einen CNAME für die mta-sts-Subdomain (auf Cloudflare Pages oder den Netcup-Webspace). Der CNAME ist nötig, damit MTA-STS-konforme Sender die Policy unter https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt abrufen können.

Netcup CCP DNS-Einträge DNS-Records 
# Eintrag 1: MTA-STS DNS-Record
Host:        _mta-sts
Typ:         TXT
Destination: v=STSv1; id=20260513T0001

# Eintrag 2: TLS-RPT DNS-Record
Host:        _smtp._tls
Typ:         TXT
Destination: v=TLSRPTv1; rua=mailto:tls-reports@ihre-domain.de

# Eintrag 3: CNAME für Policy-Subdomain (Variante A — Cloudflare Pages)
Host:        mta-sts
Typ:         CNAME
Destination: ihre-domain-mta-sts.pages.dev

# ODER Eintrag 3: A-Record für Policy-Subdomain (Variante B — Netcup-Webspace)
Host:        mta-sts
Typ:         A
Destination: <IP-Ihres-Netcup-Webhosting>

# Variante C — Subdomain auf Cloudflare Pages (kostenlos, SSL automatisch)
Host:        mta-sts
Typ:         CNAME
Destination: ihre-domain-mta-sts.pages.dev

# Variante D — Subdomain auf Netlify (kostenlos, SSL automatisch)
Host:        mta-sts
Typ:         CNAME
Destination: ihre-domain-mta-sts.netlify.app

Schritte im Netcup CCP

  1. Im CCP unter Domains → Lupe → DNS die drei Records mit den Hosts _mta-sts, _smtp._tls und mta-sts anlegen
  2. Wert ohne umschließende Anführungszeichen einfügen (Netcup quotet automatisch)
  3. Klick auf DNS Records speichern — bei Erfolg grün, sonst rot
  4. Nach 10 Min mit dig _mta-sts.ihre-domain.de TXT +short verifizieren
  5. id-Wert (z.B. 20260513T0001) bei jeder Policy-Änderung um 1 erhöhen — sonst caching-Probleme
3 Schritt 3 von 4

Policy-Datei hosten

Die Policy-Datei muss unter https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt mit gültigem SSL-Zertifikat erreichbar sein. Auf Netcup-Webspace ist das via Plesk oder Direkt-Upload möglich; alternativ Cloudflare Pages für kostenfreies SSL ohne Plesk-Setup. Beginnen Sie mit mode: testing — Fehler werden über TLS-RPT gemeldet, aber Mails werden nicht blockiert.

/.well-known/mta-sts.txt (Webspace-Datei) Policy 
version: STSv1
mode: testing
mx: mx2f54.netcup.net
max_age: 604800

Hosting-Optionen für die Policy

  1. Variante A — Cloudflare Pages (empfohlen): Repo mit einer einzelnen .well-known/mta-sts.txt-Datei. Cloudflare stellt automatisch Let's-Encrypt-SSL bereit, das Hosting ist kostenlos. CNAME im Netcup-CCP zeigt auf die Pages-Subdomain
  2. Variante B — Netcup-Webspace mit Plesk: In Plesk eine Subdomain mta-sts anlegen, im Document-Root den Ordner .well-known/ erstellen und die mta-sts.txt hochladen. SSL-Zertifikat per Let's Encrypt direkt in Plesk aktivieren
  3. Variante C — Externer Static-Hoster: GitHub Pages, Netlify, Vercel etc. funktionieren identisch zu Cloudflare Pages
  4. Content-Type: Beim Upload sicherstellen, dass die Datei als text/plain ausgeliefert wird (sonst lehnen einige MTA-STS-Implementierungen die Policy ab)
  5. Testing-Phase: 2-4 Wochen mode: testing beobachten — wenn keine STRIPTLS-Reports auflaufen, auf mode: enforce umstellen und id erhöhen
4 Schritt 4 von 4

MTA-STS-Konfiguration verifizieren

Prüfen Sie alle Komponenten: DNS-Records, HTTPS-Erreichbarkeit der Policy-Datei und MX-Abgleich. Der Wolf-Agents Email Security Scanner validiert den MX-Abgleich automatisch — die mx-Einträge in der Policy müssen exakt mit Ihren DNS-MX-Records übereinstimmen.

Terminal / PowerShell Verifikation 
# Linux / macOS
dig _mta-sts.ihre-domain.de TXT +short
curl -s https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt
dig _smtp._tls.ihre-domain.de TXT +short

# Windows (PowerShell)
Resolve-DnsName -Name _mta-sts.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings
Invoke-WebRequest -Uri "https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt" | Select-Object -ExpandProperty Content
Resolve-DnsName -Name _smtp._tls.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings

# Erwartete Ausgaben:
# "v=STSv1; id=20260513T0001"
# version: STSv1 / mode: testing / mx: mx2f54.netcup.net / max_age: 604800
# "v=TLSRPTv1; rua=mailto:tls-reports@ihre-domain.de"

# Content-Type prüfen (muss text/plain sein)
curl -I https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt | grep -i content-type

Häufige Fehler bei Netcup MTA-STS

Diese drei Fehler treten bei der MTA-STS-Konfiguration mit Netcup besonders häufig auf — alle drei verhindern, dass sendende Server die Policy korrekt anwenden können.

Falscher MX-Hostname in der Policy

Problem: In der Policy-Datei steht mx: mx.netcup.net oder mx: mail.netcup.net — also ein generisches Pattern statt der kundenspezifischen mxXXXX.netcup.net-Adresse. Sendende MTA-STS-konforme Server prüfen den MX-Hostnamen aus dem DNS gegen die Policy-Datei zeichengenau: Stimmt der Wert nicht überein, gilt die Policy als ungültig und Mails werden bei mode: enforce abgelehnt.

Lösung: Vor dem Anlegen der Policy mit dig MX ihre-domain.de +short den exakten kundenspezifischen MX-Hostnamen ermitteln (z.B. mx2f54.netcup.net) und exakt diesen Wert als mx:-Zeile in die Policy übernehmen.

CNAME auf Cloudflare Pages ohne aktivierten SSL-Modus

Problem: Der CNAME mta-sts.ihre-domain.de zeigt auf eine Cloudflare-Pages-Subdomain, aber der Cloudflare-SSL-Modus steht auf Off oder Flexible. MTA-STS-konforme Sender verlangen ein gültiges, hostnamen-passendes SSL-Zertifikat — bei Off wird HTTP zurückgeliefert, bei Flexible stimmt das Zertifikat nicht. Die Policy gilt als nicht abrufbar.

Lösung: Im Cloudflare-Dashboard für die Domain unter SSL/TLS den Modus Full (strict) aktivieren und sicherstellen, dass das Pages-Projekt automatisch ein gültiges Let's-Encrypt-Zertifikat für die mta-sts-Subdomain bereitstellt. Mit curl -I https://mta-sts.ihre-domain.de/ die Verbindung verifizieren — der Statuscode muss 200 sein.

id im DNS nicht erhöht nach Policy-Änderung

Problem: Die Policy-Datei wird editiert (z.B. von mode: testing auf mode: enforce), aber die id im DNS-TXT-Record bleibt unverändert. Sendende Server haben die alte Policy gecached und holen sie nicht erneut, bis die ID sich ändert oder max_age abgelaufen ist (default 7 Tage). Das Update wirkt nicht oder erst verzögert.

Lösung: Bei jeder Änderung an der Policy-Datei die id im _mta-sts-TXT-Record im CCP um mindestens 1 erhöhen. Konvention YYYYMMDDThhmm (z.B. 20260513T1430) gewährleistet eindeutige Monotonie und ist menschenlesbar.

NIS2, BSI TR-03108 und DSGVO Art. 32: MTA-STS bei Netcup

NIS2 Art. 21 Abs. 2 lit. h fordert den Einsatz von Kryptografie und Verschlüsselung — MTA-STS im Enforce-Modus erfüllt diese Anforderung technisch nachweisbar, weil sendende Server angewiesen werden, TLS zwingend zu verwenden und das Zertifikat des MX-Hosts zu validieren. BSI TR-03108 Abschnitt 4.3 empfiehlt MTA-STS explizit als Schutz gegen STRIPTLS-Angriffe. DSGVO Art. 32 verlangt Verschlüsselung als technische Maßnahme; TLS-RPT-Reports (XML-Format) dokumentieren TLS-Erzwingungs-Erfolg pro Tag und dienen als DSGVO-TOM-Nachweis. Bei Netcup-Webhosting verwaltet der Provider als Auftragsverarbeiter (DSGVO Art. 28) die MX-TLS-Konfiguration zentral — die MTA-STS-Policy ist die externe Durchsetzungs-Anweisung, die Sie als Verantwortlicher (DSGVO Art. 4 Nr. 7) selbst pflegen müssen. NIS2 Art. 23 (24h-Frühwarnung, 72h-Vorfallsmeldung) wird durch TLS-RPT-Reports forensisch belegbar — bei einem STRIPTLS-Vorfall mit Klartext-Mitlesen liefern die Reports die Beweise. Wolf-Agents CT-Log-Monitoring via Certstream-Integration alarmiert bei unautorisierten Zertifikats-Ausstellungen für Ihre mxXXXX.netcup.net-MX-Hosts und für die _mta-sts.*/mta-sts.*-Subdomains als Frühwarn-Signal. Der Wolf-Agents Email Security Scanner bewertet MTA-STS mit bis zu 15 Punkten (10 MTA-STS + 5 TLS-RPT) der 165-Punkte-Analyse.

MTA-STS-Anleitung auch für:

Microsoft 365Google WorkspaceIONOSStratoAll-InklHetznerPostfixEximMailcowCloudflare DNSGenerisch

Wie steht Ihre Domain bei MTA-STS?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten