MX über Cloudflare DNS verwalten

Schritt-für-Schritt-Anleitung: MX-Records über Cloudflare DNS verwalten — als reines DNS-Hosting für externe Mailserver (Microsoft 365, Google Workspace, Postfix) oder mit aktiviertem Cloudflare Email Routing (route1-3.mx.cloudflare.net). Inklusive 1-Click-DNSSEC und Workers für Custom-Routing-Logic.

MX prüfen Plattform entdecken
Cloudflare DNS · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 14. Mai 2026

MX-Records über Cloudflare DNS (DNS-Provider + Email Routing)

Cloudflare DNS ist einer der am weitesten verbreiteten DNS-Provider weltweit — kostenlos für unbegrenzte Domains, mit 1-Click-DNSSEC und niedrigsten Latenz-Werten dank Anycast-Netz. Cloudflare betreibt keinen eigenen Mailserver für SMTP-Empfang in der traditionellen Form, bietet aber das integrierte „Email Routing“ als Forward-Service: Ein- und ausgehende E-Mails werden über route1.mx.cloudflare.net, route2.mx.cloudflare.net und route3.mx.cloudflare.net entgegengenommen und an externe Mailboxen weitergeleitet (Gmail, Apple Mail, etc.).

Als Maßnahme nach NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung) und BSI TR-03108 ist die MX-Konfiguration die Basis für SPF, DKIM und DMARC. Cloudflare als US-Anbieter ist Auftragsverarbeiter nach DSGVO Art. 28 mit Standardvertragsklauseln (SCC) und EU Data Boundary; Cloudflare hat 2024 die Frankfurter Datenresidenz für DNS-Logs angekündigt. Der Wolf-Agents Email Security Check erkennt Cloudflare-DNS-Hosting automatisch (NS-Records auf *.ns.cloudflare.com), unterscheidet zwischen reinem DNS-Hosting und aktivem Email Routing, validiert die DNSSEC-Kette (von Cloudflare bis zur Root) und prüft die Konsistenz mit dem Cloudflare-Email-Routing-SPF-Include.

Hardening-Pfad: Cloudflare DNS ist DNS-Provider, nicht Mail-Provider — der MX zeigt entweder auf einen externen Mailserver (Microsoft 365, Google Workspace, Postfix, Mailcow) oder auf Cloudflare Email Routing. SPF/DKIM/DMARC werden je nach Mail-Backend konfiguriert. Bedrohungs-Cluster: Ein DNSSEC-gehärteter MX-Record über Cloudflare DNS schließt DNS-Hijacking-Spoofing und SubdoMailing über verwaiste Subdomains besonders effizient, da Cloudflare global hochverfügbar ist und DNS-Updates sofort propagieren.

Ausführliche Einführung in MX-Infrastruktur

1 Schritt 1 von 4

MX-Record im Cloudflare Dashboard anlegen

Im Cloudflare Dashboard unter Ihrer Domain → DNS → Records den MX-Record anlegen. Cloudflare zeigt Sofort-Validierung an, wenn der MX-Wert ein gültiger FQDN ist.

DNS MX-Record (Cloudflare DNS für externe Mailserver) DNS-Hosting 
; Cloudflare DNS als DNS-Hosting für externen Mailserver
ihre-domain.de.   IN  MX  10  mail.ihre-domain.de.
ihre-domain.de.   IN  MX  10  <tenant>.mail.protection.outlook.com.   ; Microsoft 365
ihre-domain.de.   IN  MX  1   smtp.google.com.                          ; Google Workspace
Proxy-Status für MX-Records (Information-Gain)

Im Cloudflare Dashboard haben A/AAAA-Records einen Toggle für „Proxied“ (orange Wolke) versus „DNS only“ (graue Wolke). Bei MX-Records ist Proxy nicht verfügbar — MX zeigt immer auf einen direkten Hostnamen ohne Proxy. Wenn Sie den MX-Hostnamen über A/AAAA in derselben Zone auflösen (z.B. mail.ihre-domain.de), muss dieser A-Record auf „DNS only“ stehen, sonst proxied Cloudflare den SMTP-Verkehr und es funktioniert nicht. Quelle: developers.cloudflare.com/dns/manage-dns-records/how-to/email-records (abgerufen 2026-05-14).

2 Schritt 2 von 4

Email Routing aktivieren oder externen Mailserver verwenden

Zwei Optionen: Option A — Cloudflare Email Routing als integrierter Forward-Service (kostenlos für unbegrenzte Aliase, Forward zu externen Mailboxen). Option B — MX zeigt auf externen Mailserver (Microsoft 365, Google Workspace, Postfix, Mailcow), Cloudflare ist nur DNS-Hoster.

DNS MX-Record (Option A: Cloudflare Email Routing) Email Routing 
; Cloudflare Email Routing aktiviert — Hostnamen sind fest, Prioritäten werden
; pro Account zufällig im Bereich 1-99 generiert (z. B. 52/98/91 oder 69/99/40).
; Die exakten Werte zeigt das Cloudflare-Dashboard unter
; Email → Email Routing → Settings → DNS records an.
ihre-domain.de.   IN  MX    route1.mx.cloudflare.net.
ihre-domain.de.   IN  MX    route2.mx.cloudflare.net.
ihre-domain.de.   IN  MX    route3.mx.cloudflare.net.

; Cloudflare Email Routing fügt zusätzlich SPF-Record automatisch hinzu:
ihre-domain.de.   IN  TXT  "v=spf1 include:_spf.mx.cloudflare.net ~all"
Cloudflare Workers für Custom-Routing

Email Routing kann mit Cloudflare Workers erweitert werden — JavaScript-Code, der vor der Weiterleitung läuft (z. B. Spam-Filter, Header-Manipulation, Conditional Forwarding nach Sender-Domain). Workers sind kostenpflichtig bei mehr als 100k Anfragen/Tag. Für die meisten Wolf-Agents-Kunden reichen die Standard-Aliase ohne Workers.

MX-Prioritäten werden zufällig generiert (Korrektur)

Cloudflare Email Routing trägt die drei MX-Hostnamen mit pseudo-zufälligen Prioritätswerten im Bereich 1-99 ein — typische Beispiele aus der Cloudflare-Community sind 52 / 98 / 91 oder 69 / 99 / 40, nicht das auf den ersten Blick naheliegende 10 / 20 / 30. Die exakten Werte lesen Sie im Cloudflare-Dashboard unter Email → Email Routing → Settings → DNS records ab. Quelle: developers.cloudflare.com/email-routing/setup/email-routing-dns-records + Cloudflare-Community-Thread „Email Routing: MX priorities“ (abgerufen 2026-05-15).

Cloudflare Email Routing als kostenloser Forwarder + _dc-mx-Mechanik (NEU R3-Mehrwert)

Email Routing ist ein kostenloser Mail-Forwarder von Cloudflare — keine Postfächer, sondern direkte Weiterleitung an externe Adressen (Gmail, Apple Mail, etc.). Aktivierung in zwei Klicks im Dashboard, automatische MX-Record-Generation (route1-3.mx.cloudflare.net mit randomisierten Prio) plus automatisches SPF-Include v=spf1 include:_spf.mx.cloudflare.net ~all. _dc-mx-Mechanik (Information-Gain): Cloudflare fügt zusätzlich _dc-mx-DNS-Antworten ein, wenn der MX-Record auf einen Cloudflare-verwalteten Hostnamen verweist — damit kann SMTP-Verkehr den Cloudflare-Proxy umgehen (ähnlich CNAME-Flattening). Diese Mechanik ist transparent und braucht keine manuelle Konfiguration. Wettbewerber-Vergleich: ImprovMX (Email-Forwarding-Service, mx1/mx2.improvmx.com, generöser Free-Tier; Gründungsjahr nicht offiziell auf improvmx.com dokumentiert, daher konservativ ohne Jahresangabe) und Forward Email (Open-Source, zero-knowledge, Free-Tier mit 50 MB Attachment-Limit) bieten ähnliche Funktionen ohne CDN-Anbindung. Cloudflare-Vorteil: nativ in DNS-Stack integriert, kein zusätzlicher Provider. Quelle direkt-verifiziert: developers.cloudflare.com/email-routing/setup/email-routing-dns-records + Wettbewerber-Cross-Reference improvmx.com + forwardemail.net (abgerufen 2026-05-16).

3 Schritt 3 von 4

DNSSEC mit 1-Click aktivieren (NIS2 lit. h)

Im Cloudflare Dashboard unter DNS → Settings → DNSSEC einfach aktivieren — Cloudflare generiert das DS-Record, das Sie nur noch beim Registrar übertragen (bei Cloudflare-Registrierten Domains automatisch). Cloudflare DNSSEC nutzt ECDSAP256SHA256 (Algorithmus 13), die modernste empfohlene Konfiguration.

DS-Record manuell zum Registrar übertragen

Wenn Ihre Domain nicht bei Cloudflare registriert ist (z.B. Registrierung bei DENIC-Agent für .de oder IONOS), müssen Sie das DS-Record manuell zum Registrar kopieren. Cloudflare zeigt im Dashboard die exakten Werte an. Erst nach Registrierungs-DS-Eintrag ist die DNSSEC-Kette komplett — vorher ist DNSSEC „on Cloudflare side“ aber nicht aktiv vom Resolver-Standpunkt.

4 Schritt 4 von 4

MX-Record verifizieren

Nach dem Setup prüfen Sie die DNS-Propagierung. Cloudflare propagiert in den meisten Fällen innerhalb von wenigen Sekunden, weltweit zuverlässig in unter 30 Sekunden.

Terminal / PowerShell Verifikation 
# Linux / macOS
dig MX ihre-domain.de +short

# Windows (PowerShell)
Resolve-DnsName -Name ihre-domain.de -Type MX

# DNSSEC-Validierung
dig +dnssec MX ihre-domain.de | grep -E "RRSIG|ad;"

# Cloudflare DNS-Status prüfen
dig NS ihre-domain.de +short
# Erwartet: Cloudflare-Nameserver (z. B. shay.ns.cloudflare.com)

Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser erkennt Cloudflare-DNS-Hosting automatisch (NS-Pattern), unterscheidet Email Routing von externem Mail-Setup, validiert die DNSSEC-Kette mit ECDSAP256SHA256 und prüft die Konsistenz mit dem Cloudflare-Email-Routing-SPF-Include. Das Monitoring überwacht den DNS-Stack alle 6 Stunden.

Häufige Fehler bei Cloudflare DNS MX-Records

Proxy „orange“ für MX-Hostname-A-Record

Problem: mail.ihre-domain.de hat A-Record mit Proxy „on“ (orange Wolke) — SMTP-Verkehr wird durch Cloudflare proxied und schlägt fehl. Ursache: Default-Setup setzt A-Records auf „Proxied“. Lösung: Im Cloudflare Dashboard den A-Record für den MX-Hostnamen auf „DNS only“ (graue Wolke) setzen — Cloudflare proxiert keinen SMTP-Verkehr.

DS-Record nicht beim Registrar

Problem: DNSSEC im Cloudflare Dashboard „aktiv“, aber dig +dnssec zeigt kein „ad“-Flag. Ursache: DS-Record beim Registrar nicht eingetragen. Lösung: Im Cloudflare Dashboard den DS-Record kopieren und beim Registrar (DENIC-Agent, IONOS, GoDaddy, etc.) im DNSSEC-Bereich eintragen. Bei Cloudflare-registrierten Domains erfolgt das automatisch.

Email Routing aktiviert, aber externe MX-Records bestehen weiter

Problem: Cloudflare Email Routing aktiviert (route1-3.mx.cloudflare.net als MX), aber alte Microsoft-365- oder Postfix-MX-Records bestehen parallel. Ursache: Email Routing wurde aktiviert, ohne die alten MX-Records zu entfernen. Lösung: Im Dashboard alle MX-Records außer den Email-Routing-Records löschen — sonst routet Cloudflare unklar und verliert Mail.

Compliance · NIS2 · BSI · DSGVO

Compliance: NIS2, BSI TR-03108 und DSGVO mit Cloudflare DNS

Eine korrekt konfigurierte Cloudflare-DNS-Architektur mit aktiviertem DNSSEC (ECDSAP256SHA256) und DS-Record-Synchronisation zum Registrar ist der prüfbare Nachweis für NIS2 Art. 21 Abs. 2 lit. h (Kryptografie und Verschlüsselung). Cloudflare ist nach ISO 27001, SOC 2 Type II und PCI DSS zertifiziert; bietet Standardvertragsklauseln (SCC) für DSGVO Art. 46 und seit 2024 EU Data Boundary (Frankfurt) für DNS-Logs. Für sensible Branchen (Gesundheit, Justiz, Verteidigung) kann der US-Bezug ein CLOUD-Act-Risiko darstellen — Alternative ist Proton DNS (in Vorbereitung) oder ein EU-natives DNS wie Hetzner DNS.

Cloudflare DNS MX-Compliance-Stack: NIS2 lit. h (DNSSEC mit ECDSAP256SHA256, 1-Click) + BSI TR-03108 (Apex-Sicherung Cloudflare-managed, A/AAAA für MX-Hostnamen kundenseitig „DNS only“) + DSGVO Art. 32 lit. b (Verfügbarkeit Cloudflare Anycast, SOC 2 Type II) + EU Data Boundary Option (Frankfurt). Wolf-Agents-USP: Der Email Security Check erkennt Cloudflare-DNS-Hosting (NS-Pattern für *.ns.cloudflare.com), unterscheidet Email Routing von externem Mailserver, warnt bei Proxied-A-Record für MX-Host und validiert die DNSSEC-Kette mit ECDSAP256SHA256 — kein anderer DACH-Scanner deckt diese vier Cloudflare-DNS-spezifischen Drift-Klassen ab. Cross-Verweis: DNS-Hijacking-Spoofing und SubdoMailing.

MX-Anleitung für weitere Provider:

Microsoft 365Google WorkspaceIONOSStratoAll-InklHetznerNetcupHostpointInfomaniakWorld4YouProton MailPostfixEximMailcowCloudflare DNSHetzner DNS

Wie steht Ihre Domain bei MX-Infrastruktur · Cloudflare DNS?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten