MX für Hetzner einrichten

Schritt-für-Schritt-Anleitung: MX-Record für Hetzner-Webhosting (mail.your-server.de) oder Hetzner Cloud-Server (eigener Mailserver) konfigurieren. Inklusive DNSSEC, IPv6/AAAA und PTR-Setting in der Hetzner Cloud Console.

MX prüfen Plattform entdecken
Hetzner · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 14. Mai 2026

MX-Records für Hetzner (DACH-DE Webhosting + Cloud)

Hetzner unterscheidet zwei MX-Konfigurationen: Webhosting (shared) nutzt den zentralen Hostnamen mail.your-server.de mit Priorität 10, während Cloud-Server und Dedizierte Server mit eigenem Mailserver (z.B. Postfix, Mailcow) einen domain-eigenen Hostnamen brauchen (typisch mail.ihre-domain.de). Hetzner als deutscher Hoster mit Rechenzentren in Falkenstein und Nürnberg ist Auftragsverarbeiter nach DSGVO Art. 28. Bei Cloud-Servern müssen Sie PTR-Records über die Hetzner Cloud Console selbst setzen — bei Webhosting macht Hetzner das.

Als Maßnahme nach NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung) und BSI TR-03108 ist die MX-Konfiguration die Basis für SPF, DKIM und DMARC. Hetzner ist nach ISO/IEC 27001 zertifiziert (BSI C5 für Cloud); der AVV ist im Robot/Cloud-Console-Bereich abrufbar. Der Wolf-Agents Email Security Check erkennt beide Hetzner-MX-Pattern automatisch (Stack-Detection für your-server.de und domain-eigene Mailserver), validiert PTR/FCrDNS, scannt die DNSSEC-Kette und prüft das IPv6-AAAA-Setup, das für Bulk-Sender (über 5.000 Mails/Tag) bei Google und Yahoo Pflicht ist.

Hardening-Pfad: Nach dem MX-Record folgt direkt SPF für Hetzner, danach DKIM und DMARC. Wer einen Hetzner-Cloud-Server mit Postfix oder Mailcow betreibt, folgt zusätzlich der MTA-STS-Anleitung für Transport-Verschlüsselung. Bedrohungs-Cluster: Ein korrekt gehärteter MX-Record schließt zwei Klassen von Angriffen — DNS-Hijacking-Spoofing und SubdoMailing über verwaiste Hetzner-Subdomains.

Ausführliche Einführung in MX-Infrastruktur

1 Schritt 1 von 4

MX-Hostname für Hetzner-Tarif bestimmen

Erst klären, welcher Hetzner-Tarif: Webhosting (Hetzner-Mailserver) oder Cloud-Server/Dedizierter Server (eigener Mailserver). Die beiden Setups haben grundverschiedene MX-Konfigurationen.

DNS MX-Record (Hetzner Webhosting Standard) Webhosting 
; Hetzner Webhosting (Shared-Hosting-Mailserver)
ihre-domain.de.   IN  MX  10  mail.your-server.de.
DNS MX-Record (Hetzner Cloud/Dedizierter Server) Eigener Mailserver 
; Hetzner Cloud-Server oder Dedizierter Server mit eigenem Mailserver
ihre-domain.de.   IN  MX  10  mail.ihre-domain.de.
mail.ihre-domain.de.  IN  A     203.0.113.10
mail.ihre-domain.de.  IN  AAAA  2001:db8::10
your-server.de ist Shared-Hosting (Information-Gain)

Der Hostname mail.your-server.de verweist auf die Hetzner-Mailserver-Infrastruktur, die alle Webhosting-Kunden gemeinsam nutzen — ähnlich wie der Strato-Mailserver. Bei einem Hetzner Cloud-Server (z.B. CX22 oder größer) mit eigenem Postfix darf der MX nicht auf mail.your-server.de zeigen, sondern auf den eigenen Server-Hostnamen. Quelle: docs.hetzner.com (abgerufen 2026-05-14).

Dual-Stack ist Pflicht für Bulk-Sender

Wer mehr als 5.000 E-Mails/Tag versendet, muss seit Februar 2024 IPv6 mit gültigem PTR-Record vorhalten (Google/Yahoo-Anforderung). Bei Hetzner Cloud-Servern wird die IPv6-Adresse automatisch zugewiesen — der PTR muss aber manuell über die Cloud Console gesetzt werden.

Cloud-Server-rDNS-Workflow Schritt-für-Schritt (NEU R3-Mehrwert)

Die exakte Sequenz aus der offiziellen Hetzner-Doku: (1) Hetzner Console öffnen (console.hetzner.cloud). (2) Cloud-Server auswählen → Networking. (3) Rechts neben den IPv4 und IPv6 Primary-IPs den rDNS-Eintrag bearbeiten — Wert auf mail.ihre-domain.de setzen. Direktes Hetzner-Zitat: „A valid rDNS entry is one that can be resolved in both directions. This means that the domain that is assigned to an IP address must resolve to the same IP. This is called Forward-confirmed reverse DNS (FCrDNS).“ Mail-Server-Warnung aus Hetzner-Doku: „Many mail servers only accept incoming emails if the sender's IP address has a reverse DNS entry. Additionally, the reverse DNS entry should correspond to the host name of the SMTP server.“ Generische rDNS wie 162-105-133-213-static.hetzner.de werden von Spam-Filtern abgelehnt. IPv6-Besonderheit: Bei IPv6-Adressen speichert die Hetzner Console bereits das Netzwerk-Präfix; Sie geben nur den Interface-Identifier ein (acht 8-Byte-Blöcke). Achten Sie auf die Doppelpunkte (::) für gültige IPv6-Notation. Quelle: docs.hetzner.com/cloud/servers/cloud-server-rdns (abgerufen 2026-05-16).

2 Schritt 2 von 4

MX-Record in Hetzner DNS Console anlegen

Die Hetzner DNS Console (dns.hetzner.com) verwaltet alle DNS-Records für Hetzner-gehostete Domains. Bei externer Registrierung muss die Domain zuerst zu Hetzner DNS migriert werden — alternativ MX-Record beim eigenen DNS-Provider eintragen.

Menüpfad in der Hetzner DNS Console

  1. Anmelden bei dns.hetzner.com
  2. Domain wählen und auf Zone bearbeiten klicken
  3. Neuen Record anlegen: Typ MX · Name @ · Wert mail.your-server.de. (Webhosting) oder mail.ihre-domain.de. (eigener Server)
  4. Priorität: 10
  5. Bei eigenem Mailserver zusätzlich A- und AAAA-Records für mail.ihre-domain.de anlegen
  6. Alle anderen MX-Records (aus früheren Hostern) löschen
  7. Speichern — Propagation 5-30 Minuten
API-Zugang für Automatisierung

Hetzner DNS bietet eine HTTP-API für programmatische Zugriffe — ideal für IaC-Setups (Terraform, Ansible). Der API-Token wird in der DNS Console unter API-Zugänge erstellt; die Endpunkte sind unter dns.hetzner.com/api/v1 dokumentiert. Wolf-Agents Monitoring kann optional auf API-Ebene konfiguriert werden.

3 Schritt 3 von 4

DNSSEC + PTR für Cloud-Server (NIS2 lit. h)

Hetzner unterstützt DNSSEC für eigene Domains in der DNS Console — der DS-Record wird bei aktiver DNSSEC-Option zur Registrar-Stelle synchronisiert. Bei Cloud-Server mit eigenem Mailserver: PTR-Record in der Hetzner Cloud Console (console.hetzner.cloud) unter Networking → Primary IPs setzen — sowohl IPv4 als auch IPv6 PTR.

PTR-Setting für Cloud-Server

In der Hetzner Cloud Console: Server wählen → Networking → Primary IPs → IP-Adresse anklicken → Reverse DNS setzen auf mail.ihre-domain.de. Auch für IPv6 separat setzen. Ohne korrekten PTR werden ausgehende E-Mails von Google/Microsoft als Spam markiert oder abgelehnt — der klassische Grund für Self-Hosted-Mail-Probleme. Quelle: docs.hetzner.com/cloud (abgerufen 2026-05-14).

4 Schritt 4 von 4

MX-Record verifizieren

Nach dem Speichern prüfen Sie die DNS-Propagierung. Hetzner DNS Console aktualisiert typisch innerhalb von 5-30 Minuten, global bis 24 Stunden bei langen TTL-Werten.

Terminal / PowerShell Verifikation 
# Linux / macOS
dig MX ihre-domain.de +short

# Windows (PowerShell)
Resolve-DnsName -Name ihre-domain.de -Type MX

# Erwartete Ausgabe (Webhosting):
# 10 mail.your-server.de.

# DNSSEC-Validierung
dig +dnssec MX ihre-domain.de | grep -E "RRSIG|ad;"

Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser erkennt beide Hetzner-Pattern (Webhosting your-server.de + eigener Mailserver), validiert PTR/FCrDNS für beide Adressfamilien, scannt die DNSSEC-Kette und prüft IPv6-AAAA-Konsistenz für Bulk-Sender-Compliance.

Häufige Fehler bei Hetzner MX-Records

Webhosting-MX bei Cloud-Server

Problem: Cloud-Server mit eigenem Postfix-Mailserver hat 10 mail.your-server.de als MX. Ursache: Tarif-Wechsel von Webhosting auf Cloud-Server, MX nicht aktualisiert. Lösung: Bei Cloud-Server muss MX auf mail.ihre-domain.de zeigen, mit A/AAAA-Records direkt auf die Server-IP.

Fehlender PTR-Record bei Cloud-Server

Problem: Cloud-Server-IP hat generischen PTR static.123.45.67.89.clients.your-server.de statt mail.ihre-domain.de. Ursache: PTR in Cloud Console nicht gesetzt. Lösung: In der Hetzner Cloud Console unter Networking → Primary IPs den Reverse DNS auf den MX-Hostnamen setzen — für IPv4 und IPv6.

Fehlende AAAA-Records trotz IPv6

Problem: MX-Hostname hat A-Record (IPv4), aber kein AAAA-Record — Hetzner Cloud weist IPv6 standardmäßig zu. Ursache: AAAA-Record nicht in DNS Console eingetragen. Lösung: AAAA-Record für den MX-Hostnamen anlegen, IPv6-Adresse aus Cloud Console kopieren. Pflicht für Bulk-Sender.

Compliance · NIS2 · BSI · DSGVO

Compliance: NIS2, BSI TR-03108 und DSGVO mit Hetzner

Eine korrekt konfigurierte Hetzner-MX-Architektur mit DNSSEC ist der prüfbare Nachweis für NIS2 Art. 21 Abs. 2 lit. h (Kryptografie und Verschlüsselung). Hetzner ist nach ISO/IEC 27001 zertifiziert (BSI C5 für Cloud); der AVV ist im Robot/Cloud-Console-Bereich abrufbar. Die Rechenzentren in Falkenstein und Nürnberg erfüllen die Anforderungen an EU-Datensouveränität. Bei Cloud-Servern muss der Kunde selbst PTR-Records setzen — diese Eigenverantwortung gehört in die NIS2-TOM-Dokumentation.

Hetzner MX-Compliance-Stack: NIS2 lit. h (DNSSEC für MX, Hetzner DNS aktivierbar) + BSI TR-03108 (FCrDNS Webhosting Hetzner-managed, Cloud kundenseitig) + DSGVO Art. 32 lit. b (Verfügbarkeit Hetzner-managed, ISO 27001 zertifiziert). Wolf-Agents-USP: Der Email Security Check erkennt Hetzner-Webhosting-vs-Cloud-Setup (Stack-Detection), validiert PTR-Konsistenz für Cloud-Server und prüft IPv6-AAAA-Records für Bulk-Sender-Compliance — kein anderer DACH-Scanner deckt diese drei Hetzner-spezifischen Drift-Klassen ab. Cross-Verweis: DNS-Hijacking-Spoofing und SubdoMailing.

MX-Anleitung für weitere Provider:

Microsoft 365Google WorkspaceIONOSStratoAll-InklHetznerNetcupHostpointInfomaniakWorld4YouProton MailPostfixEximMailcowCloudflare DNSHetzner DNS

Wie steht Ihre Domain bei MX-Infrastruktur · Hetzner?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten