MX für Netcup einrichten

Schritt-für-Schritt-Anleitung: MX-Record für Netcup Managed Webhosting (Customer Control Panel) oder Netcup vServer mit Mailcow konfigurieren — kundenspezifischer Hostname mxXXXX.netcup.net im CCP ablesen, DNSSEC und PTR/FCrDNS für vServer.

MX prüfen Plattform entdecken
Netcup · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 14. Mai 2026

MX-Records für Netcup (DACH-DE Managed + vServer)

Netcup unterscheidet zwei Setups: Managed Webhosting über das Customer Control Panel (CCP) mit einem kundenspezifischen MX-Hostnamen im Format mxXXXX.netcup.net, und vServer/Root-Server mit eigenem Mailserver (typisch Mailcow Docker), die einen domain-eigenen MX-Hostnamen brauchen. Die exakten Werte werden im Netcup CCP unter Domains → Lupe → DNS-Tab angezeigt — verlassen Sie sich auf den Wert dort. Netcup als deutscher Hoster mit Sitz Nürnberg (Netcup GmbH) und Rechenzentren in Nürnberg und Wien ist Auftragsverarbeiter nach DSGVO Art. 28.

Als Maßnahme nach NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung) und BSI TR-03108 ist die MX-Konfiguration die Basis für SPF, DKIM und DMARC. Netcup ist nach ISO/IEC 27001 zertifiziert; der AVV ist im CCP-Kundenbereich abrufbar. Der Wolf-Agents Email Security Check erkennt beide Netcup-MX-Pattern automatisch (Stack-Detection für netcup.net-MX und Mailcow-Standard-Pattern), validiert PTR/FCrDNS, scannt die DNSSEC-Kette und prüft die Konsistenz zwischen MX und SPF-Include (_spf.webhosting.systems für Managed).

Hardening-Pfad: Nach dem MX-Record folgt direkt SPF für Netcup Managed mit v=spf1 mx a include:_spf.webhosting.systems ~all, danach DKIM und DMARC. Für Mailcow-Setups: siehe MX für Mailcow. Bedrohungs-Cluster: Ein korrekt gehärteter MX-Record schließt DNS-Hijacking-Spoofing und SubdoMailing über verwaiste Netcup-Subdomains.

Ausführliche Einführung in MX-Infrastruktur

1 Schritt 1 von 4

Kundenspezifischen MX-Hostnamen im Netcup CCP ablesen

Erst klären, welcher Netcup-Tarif: Managed Webhosting (CCP-verwaltet, Netcup-Mailserver) oder vServer/Root-Server (eigener Mailserver, z.B. Mailcow). Die beiden Setups haben grundverschiedene MX-Konfigurationen.

DNS MX-Record (Netcup Managed Webhosting) CCP-Managed 
; Netcup Webhosting Managed (Customer Control Panel)
; Konkreter Hostname wird im CCP angezeigt und beginnt mit mxXXXX.netcup.net.
ihre-domain.de.   IN  MX  10  mx2eXX.netcup.net.

; Beispiel-Pattern aus Netcup-Doku (kundenspezifisch):
ihre-domain.de.   IN  MX  10  mx2e87.netcup.net.
DNS MX-Record (Netcup vServer/Root-Server mit eigenem Mailserver) Mailcow / Self-Hosted 
; Netcup vServer oder Root-Server mit eigenem Mailserver (z.B. Mailcow)
ihre-domain.de.   IN  MX  10  mail.ihre-domain.de.
mail.ihre-domain.de.  IN  A     203.0.113.10
mail.ihre-domain.de.  IN  AAAA  2001:db8::10
Standard-DNS-Einstellung als Vorbedingung (Information-Gain)

Die Netcup-Doku dokumentiert explizit: „The records work as intended only when default DNS settings are used and emails are sent exclusively via the product's mail server.“ Wer eigene MX-Records auf externe Mail-Server setzt (z.B. Microsoft 365, Google Workspace), verliert das Netcup-Default-Setup — der _spf.webhosting.systems-Include wird wirkungslos. Im CCP unter Domains → Lupe → DNS die Option „Standard-DNS-Einstellung“ aktiv halten oder eigene SPF-Includes ergänzen. Quelle: netcup.com/en/helpcenter/documentation/web-hosting/webhosting-dns (abgerufen 2026-05-14).

Mailcow auf vServer: Eigene MX-Hostnamen

Auf einem Netcup vServer oder Root-Server mit Mailcow ist mxXXXX.netcup.net nicht zuständig — der MX zeigt auf den eigenen Server-Hostnamen. Folgen Sie der Mailcow-MX-Anleitung für vollständige Konfiguration inklusive PTR und DKIM-Selektor.

CCP-DNS-Workflow für MX-Setup + Backup-MX-Konfiguration (NEU R3-Mehrwert)

Die exakte CCP-Sequenz: (1) Login bei ccp.netcup.net. (2) Menü Domains → Lupen-Symbol links neben der Domain. (3) Reiter DNS wählen. (4) Neuen Eintrag: Host @ · Typ MX · Pri 10 · Destination mxXXXX.netcup.net (Wert aus CCP) — ohne Trailing-Dot, Netcup ergänzt FQDN automatisch. (5) Klick auf DNS Records speichern — bei Erfolg grüne Meldung. (6) Nach 10 Minuten prüfen: Gültig = yes und Geändert = no. Backup-MX-Konfiguration im CCP: Wer einen zweiten MX mit höherer Priorität (Prio 20) als Backup haben möchte, fügt einen zweiten MX-Record im selben DNS-Tab hinzu — beachten Sie aber das MX-Bypass-Risiko, wenn der Backup-MX keine identische Filter-Logik durchsetzt. Bei Netcup-Webhosting reicht die interne Multi-Server-Redundanz; ein Backup-MX ist nur bei vServer/Self-Hosted-Setups sinnvoll. Quelle: netcup.com/en/helpcenter/documentation/web-hosting/webhosting-dns (Stand R3-Content-Verifikation 2026-05-14).

2 Schritt 2 von 4

MX-Record im CCP DNS-Tab anlegen

Das Netcup Customer Control Panel verwaltet DNS-Records pro Domain. Die Propagation läuft nach Klick auf „DNS Records speichern“ innerhalb von etwa zehn Minuten — global bis zu 48 Stunden, weil nicht alle Resolver die TTL respektieren (laut Netcup-Helpcenter).

Menüpfad im Netcup CCP

  1. Anmelden im Customer Control Panel (ccp.netcup.net)
  2. Navigieren zu Domains
  3. Auf das Lupe-Symbol links neben der Domain klicken
  4. Reiter DNS wählen
  5. Neuen Eintrag: Host @ · Typ MX · Pri 10 · Destination mx2eXX.netcup.net (Wert aus CCP)
  6. Auf DNS Records speichern klicken — bei Erfolg grüne Meldung
  7. Nach 10 Minuten prüfen: Gültig = yes und Geändert = no
  8. Alle anderen MX-Records (aus früheren Hostern) löschen
Trailing-Dot weglassen im CCP

Bei der manuellen Eingabe im Netcup CCP den MX-Wert ohne Trailing-Dot eingeben — Netcup ergänzt den FQDN automatisch. Bei eigener API-Verwaltung muss der Trailing-Dot gesetzt sein. Wolf-Agents Email Security Check erkennt beide Formate korrekt.

3 Schritt 3 von 4

DNSSEC + Standard-DNS prüfen (NIS2 lit. h)

Netcup unterstützt DNSSEC für eigene Domains in der Domain-Verwaltung — die Aktivierung erfolgt pro Domain. Bei externem Registrar muss der DS-Record manuell übertragen werden. Wichtig: Die Standard-DNS-Einstellung aktiv halten, sonst funktioniert das Netcup-Default-SPF-Setup nicht wie dokumentiert.

PTR-Setting bei vServer/Root-Server

Bei Netcup vServer oder Root-Server müssen Sie den PTR-Record über die Netcup vServer Verwaltung selbst setzen. Ohne korrekten PTR werden ausgehende E-Mails von Google/Microsoft als Spam markiert. Für Bulk-Sender (über 5.000 Mails/Tag) ist auch IPv6-PTR erforderlich.

4 Schritt 4 von 4

MX-Record verifizieren

Nach dem Speichern prüfen Sie die DNS-Propagierung. Netcup gibt typisch 10 Minuten an, mit bis zu 48 Stunden bei langen TTL-Werten oder Resolver-Caching.

Terminal / PowerShell Verifikation 
# Linux / macOS
dig MX ihre-domain.de +short

# Windows (PowerShell)
Resolve-DnsName -Name ihre-domain.de -Type MX

# Vergleichen Sie die Ausgabe mit dem im Netcup CCP
# angezeigten Hostnamen.

# DNSSEC-Validierung
dig +dnssec MX ihre-domain.de | grep -E "RRSIG|ad;"

Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser erkennt das Netcup-Pattern (mxXXXX.netcup.net Stack-Detection), warnt bei Default-DNS-Abweichungen, validiert die DNSSEC-Kette und scannt PTR/FCrDNS für vServer-Setups. Das Monitoring überwacht den kundenspezifischen Hostnamen alle 6 Stunden.

Häufige Fehler bei Netcup MX-Records

Webhosting-MX bei vServer mit Mailcow

Problem: Mailcow läuft auf Netcup vServer, aber MX zeigt noch auf mxXXXX.netcup.net. Ursache: Tarif-Wechsel von Webhosting auf vServer ohne MX-Update. Lösung: MX auf mail.ihre-domain.de mit A/AAAA-Records auf vServer-IP umstellen — folgen Sie der Mailcow-MX-Anleitung.

Standard-DNS deaktiviert, SPF-Default greift nicht

Problem: SPF-Record nutzt include:_spf.webhosting.systems, aber Standard-DNS-Einstellung im CCP wurde deaktiviert. Ursache: Eigene MX-Records gesetzt, ohne SPF-Include anzupassen. Lösung: Entweder Standard-DNS aktivieren ODER SPF-Record manuell auf externe Mail-Provider anpassen (z.B. include:spf.protection.outlook.com).

Fehlender PTR-Record bei vServer

Problem: vServer-IP hat generischen PTR statt mail.ihre-domain.de. Ursache: PTR in vServer Verwaltung nicht gesetzt. Lösung: In der Netcup vServer Verwaltung den Reverse DNS auf den MX-Hostnamen setzen — für IPv4 und IPv6.

Compliance · NIS2 · BSI · DSGVO

Compliance: NIS2, BSI TR-03108 und DSGVO mit Netcup

Eine korrekt konfigurierte Netcup-MX-Architektur mit DNSSEC ist der prüfbare Nachweis für NIS2 Art. 21 Abs. 2 lit. h (Kryptografie und Verschlüsselung). Netcup als deutscher Hoster mit Sitz Nürnberg (Netcup GmbH) und Rechenzentren in Nürnberg und Wien ist Auftragsverarbeiter nach DSGVO Art. 28; nach ISO/IEC 27001 zertifiziert. Der AVV ist im CCP abrufbar. Die EU-Datensouveränität ist durch DE+AT-Rechenzentren gegeben. Bei vServer-Tarifen liegt die TOM-Verantwortung (Patches, PTR, eigener Mailserver-Hardening) beim Kunden — diese Eigenverantwortung gehört in die NIS2-TOM-Dokumentation.

Netcup MX-Compliance-Stack: NIS2 lit. h (DNSSEC für MX, Netcup aktivierbar) + BSI TR-03108 (FCrDNS Managed Netcup-managed, vServer kundenseitig) + DSGVO Art. 32 lit. b (Verfügbarkeit Netcup-managed, ISO 27001 zertifiziert). Wolf-Agents-USP: Der Email Security Check erkennt Netcup-Managed-vs-vServer-Setup (Stack-Detection), warnt bei Standard-DNS-Abweichungen mit SPF-Drift und prüft Mailcow-Pattern für vServer — kein anderer DACH-Scanner deckt diese drei Netcup-spezifischen Drift-Klassen ab. Cross-Verweis: DNS-Hijacking-Spoofing und SubdoMailing.

MX-Anleitung für weitere Provider:

Microsoft 365Google WorkspaceIONOSStratoAll-InklHetznerNetcupHostpointInfomaniakWorld4YouProton MailPostfixEximMailcowCloudflare DNSHetzner DNS

Wie steht Ihre Domain bei MX-Infrastruktur · Netcup?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten