MX über Hetzner DNS verwalten

Schritt-für-Schritt-Anleitung: MX-Records über Hetzner DNS Console verwalten — kostenfreies DNS-Hosting in Falkenstein und Nürnberg, mit DNSSEC, HTTP-API für IaC (Terraform/Ansible) und ISO-27001-Zertifizierung. Hetzner DNS hostet nur die Records — der MX zeigt auf externe Mailserver Ihrer Wahl.

MX prüfen Plattform entdecken
Hetzner DNS · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 14. Mai 2026

MX-Records über Hetzner DNS (EU-Datensouveränität)

Hetzner DNS ist ein kostenloser DNS-Hosting-Service mit Anycast-Nameservern in deutschen Rechenzentren (Falkenstein, Nürnberg) und Helsinki. Anders als Cloudflare bietet Hetzner DNS kein eigenes Email Routing — Hetzner DNS hostet ausschließlich DNS-Records, der MX zeigt auf externe Mailserver Ihrer Wahl (Microsoft 365, Google Workspace, eigener Postfix/Mailcow, Proton Mail, etc.). Hetzner DNS ist ein vollwertiger EU-nativer Anbieter ohne US-CLOUD-Act-Risiko — relevant für sensible DACH-Kunden.

Als Maßnahme nach NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung) und BSI TR-03108 ist die MX-Konfiguration die Basis für SPF, DKIM und DMARC. Hetzner ist nach ISO/IEC 27001 zertifiziert (BSI C5 für Cloud); der AVV ist in der Hetzner Cloud Console abrufbar. Die DNS-Server stehen ausschließlich in deutschen Rechenzentren — EU-Datensouveränität ist gegeben. Der Wolf-Agents Email Security Check erkennt Hetzner-DNS-Hosting automatisch (NS-Records auf hydrogen/oxygen/helium.ns.hetzner.com), validiert die DNSSEC-Kette und prüft die Konsistenz mit dem konfigurierten externen Mailserver.

Hardening-Pfad: Hetzner DNS ist reiner DNS-Provider — SPF/DKIM/DMARC werden je nach Mail-Backend konfiguriert. Bei Wolf-Agents-Kunden mit Hetzner Cloud-Server (eigener Postfix/Mailcow) ist die Hetzner-DNS-Console die natürliche Wahl, weil DNS und Server bei demselben Provider liegen und ein einheitlicher API-Token Automatisierung erlaubt. Bedrohungs-Cluster: Ein DNSSEC-gehärteter MX-Record über Hetzner DNS schließt DNS-Hijacking-Spoofing und SubdoMailing mit deutscher Datensouveränität.

Ausführliche Einführung in MX-Infrastruktur

1 Schritt 1 von 4

Domain zu Hetzner DNS Console migrieren

Hetzner DNS verwaltet DNS-Records nur, wenn die Nameserver beim Registrar auf Hetzner-NS zeigen. Erst Domain in der Hetzner DNS Console anlegen, dann beim Registrar die NS umstellen auf hydrogen.ns.hetzner.com, oxygen.ns.hetzner.com, helium.ns.hetzner.com.

Setup in der Hetzner DNS Console

  1. Anmelden bei dns.hetzner.com mit Hetzner Account
  2. Neue Zone hinzufügen — Domain-Name eintragen
  3. Hetzner generiert Standard-Records (SOA, NS) und zeigt die 3 Hetzner-Nameserver an
  4. Beim Registrar (DENIC-Agent, IONOS, Cloudflare Registrar) die NS auf Hetzner umstellen
  5. NS-Propagation typisch 1-24 Stunden, danach ist Hetzner DNS aktiv
HTTP-API für IaC (Information-Gain)

Hetzner DNS bietet eine HTTP-API für programmatische Zugriffe — ideal für Terraform, Ansible, oder eigene Deployment-Skripte. Der API-Token wird in der DNS Console unter API-Zugänge erstellt; alle Endpunkte sind unter https://dns.hetzner.com/api/v1 dokumentiert. Quelle: docs.hetzner.com/dns-console/dns (abgerufen 2026-05-14).

DNS Console vs. Robot-DNS: zwei separate Hetzner-DNS-Schnittstellen (NEU R3-Mehrwert)

Hetzner hat zwei DNS-Verwaltungs-Schnittstellen, die oft verwechselt werden: (A) Hetzner DNS Console (dns.hetzner.com) — kostenloses public-facing DNS-Hosting für beliebige Domains, mit DNSSEC, HTTP-API, geeignet für Webhosting + Mail-Routing. (B) Robot-DNS (Bestandteil der Robot-Server-Verwaltung für dedizierte Server, robot.hetzner.com) — alte Reverse-DNS-Schnittstelle für PTR-Einträge bei Robot-Servern; bei modernen Cloud-Servern wird PTR über die Cloud Console gesetzt (siehe MX für Hetzner). MX-Records werden NUR in der DNS Console gesetzt, niemals im Robot — der Robot kennt keine MX/SPF/DKIM/DMARC-Einträge. Wer einen dedizierten Server mit eigenem Postfix/Mailcow betreibt: DNS Console für MX-Verwaltung + Robot/Cloud Console für PTR-Eintrag. Wolf-Agents-Scanner erkennt beide Setups via NS-Pattern-Detection. Quelle: docs.hetzner.com/dns-console/dns + docs.hetzner.com/cloud/servers/cloud-server-rdns (abgerufen 2026-05-16).

2 Schritt 2 von 4

MX-Record in der Zone anlegen

Hetzner DNS hostet nur die Records — der MX-Wert ist Ihre Wahl. Möglich sind: eigener Postfix/Mailcow auf Hetzner Cloud-Server, Microsoft 365, Google Workspace, Proton Mail oder Cloudflare Email Routing.

MX-Optionen über Hetzner DNS DNS-Records 
; Hetzner DNS hostet nur die DNS-Records — kein eigener Mailserver
; MX zeigt auf gewünschten externen Mailserver:
ihre-domain.de.   IN  MX  10  mail.ihre-domain.de.                          ; eigener Postfix/Mailcow
ihre-domain.de.   IN  MX  10  <tenant>.mail.protection.outlook.com.   ; Microsoft 365
ihre-domain.de.   IN  MX  1   smtp.google.com.                              ; Google Workspace
ihre-domain.de.   IN  MX  10  mail.protonmail.ch.                           ; Proton Mail
ihre-domain.de.   IN  MX  20  mailsec.protonmail.ch.
Trailing-Dot beachten

Bei der manuellen Eingabe in der Hetzner DNS Console müssen Sie den Trailing-Dot setzen: mail.example.com. (mit Punkt). Die Hetzner DNS Console UI macht das automatisch — bei API-Zugriff oder Bulk-Import muss er manuell gesetzt sein. Ohne Trailing-Dot würde Hetzner DNS den Wert relativ auflösen.

3 Schritt 3 von 4

DNSSEC im Zone-Editor aktivieren (NIS2 lit. h)

In den Zone-Einstellungen der Hetzner DNS Console DNSSEC aktivieren — Hetzner generiert das DS-Record automatisch. Das DS-Record muss beim Registrar im DNSSEC-Bereich eingetragen werden. Bei Domain-Registrierung über DENIC-Agent oder externe Registrare ist das ein manueller Schritt.

EU-Datensouveränität durchgehend

Hetzner DNS-Server stehen ausschließlich in Falkenstein, Nürnberg und Helsinki — keine US-Präsenz. Für DACH-Kunden mit hohen Datensouveränitäts-Anforderungen (Justiz, Gesundheit, Verteidigung) ist Hetzner DNS eine native EU-Wahl ohne CLOUD-Act-Risiko. Die ISO-27001-Zertifizierung deckt die organisatorische Sicherheit ab.

4 Schritt 4 von 4

MX-Record verifizieren

Nach dem Setup prüfen Sie die DNS-Propagierung. Hetzner DNS propagiert typisch in unter 30 Sekunden weltweit dank Anycast-Architektur.

Terminal / PowerShell Verifikation 
# Linux / macOS
dig MX ihre-domain.de +short

# Windows (PowerShell)
Resolve-DnsName -Name ihre-domain.de -Type MX

# DNSSEC-Validierung
dig +dnssec MX ihre-domain.de | grep -E "RRSIG|ad;"

# Hetzner DNS Status prüfen
dig NS ihre-domain.de +short
# Erwartet: hydrogen.ns.hetzner.com, oxygen.ns.hetzner.com, helium.ns.hetzner.com

# Hetzner DNS API (optional für IaC)
curl -H "Auth-API-Token: \$HETZNER_DNS_TOKEN" \
  "https://dns.hetzner.com/api/v1/zones"

Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser erkennt Hetzner-DNS-Hosting automatisch (NS-Pattern für hydrogen/oxygen/helium.ns.hetzner.com), validiert die DNSSEC-Kette und prüft die Konsistenz mit dem konfigurierten externen Mailserver. Das Monitoring überwacht den DNS-Stack alle 6 Stunden.

Häufige Fehler bei Hetzner DNS MX-Records

NS beim Registrar nicht auf Hetzner umgestellt

Problem: Records in der Hetzner DNS Console eingetragen, aber dig NS ihre-domain.de zeigt noch alte Nameserver. Ursache: Vergessene NS-Umstellung beim Registrar. Lösung: Beim Registrar (DENIC-Agent, IONOS, etc.) die Nameserver auf hydrogen.ns.hetzner.com, oxygen.ns.hetzner.com, helium.ns.hetzner.com ändern. Propagation 1-24 Stunden.

DS-Record nicht beim Registrar

Problem: DNSSEC in Hetzner DNS Console aktiv, aber dig +dnssec zeigt kein „ad“-Flag. Ursache: DS-Record beim Registrar nicht eingetragen. Lösung: In der Hetzner DNS Console den DS-Record kopieren und beim Registrar im DNSSEC-Bereich eintragen. Erst dann ist die DNSSEC-Kette von der Root bis zur Zone validierbar.

Trailing-Dot vergessen bei API-Push

Problem: Per Terraform oder API-Skript MX mit mail.example.com (ohne Trailing-Dot) gesetzt. Ursache: Bash-Variable oder JSON-Konfiguration ohne Trailing-Dot. Lösung: In der Hetzner DNS API muss der Wert mit Trailing-Dot übergeben werden — sonst hängt Hetzner den Domain-Suffix an und das Routing schlägt fehl.

Compliance · NIS2 · BSI · DSGVO · EU-Datensouveränität

Compliance: NIS2, BSI TR-03108, DSGVO und EU-Datensouveränität mit Hetzner DNS

Eine korrekt konfigurierte Hetzner-DNS-Architektur mit aktiviertem DNSSEC und DS-Record-Synchronisation zum Registrar ist der prüfbare Nachweis für NIS2 Art. 21 Abs. 2 lit. h (Kryptografie und Verschlüsselung). Hetzner ist nach ISO/IEC 27001 zertifiziert (BSI C5 für Cloud); Rechenzentren stehen ausschließlich in Falkenstein, Nürnberg und Helsinki — keine US-Präsenz. Für Wolf-Agents-Kunden in sensiblen Branchen (Justiz, Gesundheit, Verteidigung) bietet Hetzner DNS die native EU-Wahl ohne CLOUD-Act-Risiko. Das Sub-Processor-Listing und der AVV sind im Hetzner Cloud Console-Bereich abrufbar.

Hetzner DNS MX-Compliance-Stack: NIS2 lit. h (DNSSEC aktivierbar) + BSI TR-03108 (DNS-Apex-Sicherung Hetzner-managed) + DSGVO Art. 32 lit. b (Verfügbarkeit Hetzner-managed, ISO 27001) + EU-Datensouveränität (Falkenstein/Nürnberg/Helsinki, kein US-CLOUD-Act-Risiko). Wolf-Agents-USP: Der Email Security Check erkennt Hetzner-DNS-Hosting (NS-Pattern), validiert die DNSSEC-Kette und prüft die Konsistenz mit dem konfigurierten externen Mailserver — kein anderer DACH-Scanner erkennt Hetzner-DNS-spezifische Drift-Klassen (NS-Drift, DS-Record-Asymmetrie) explizit. Cross-Verweis: DNS-Hijacking-Spoofing und SubdoMailing.

MX-Anleitung für weitere Provider:

Microsoft 365Google WorkspaceIONOSStratoAll-InklHetznerNetcupHostpointInfomaniakWorld4YouProton MailPostfixEximMailcowCloudflare DNSHetzner DNS

Wie steht Ihre Domain bei MX-Infrastruktur · Hetzner DNS?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten