MX für Proton Mail einrichten
Schritt-für-Schritt-Anleitung: MX-Records für Proton Mail Custom Domain konfigurieren — primärer mail.protonmail.ch (Prio 10) plus Backup mailsec.protonmail.ch (Prio 20). Inklusive Schweizer revDSG, DNSSEC, Proton Sentinel-Programm und Anti-CLOUD-Act-Compliance.
MX-Records für Proton Mail (Schweiz Privacy-First)
Proton Mail nutzt für Custom Domains zwei MX-Records: mail.protonmail.ch mit Priorität 10 (primär) und mailsec.protonmail.ch mit Priorität 20 (Backup). Die explizite Backup-Konfiguration ist eine bewusste Design-Entscheidung — Proton Mail garantiert damit auch bei Wartungsfenstern oder Sub-Region-Ausfällen die Zustellbarkeit. Custom Domains stehen ab dem Mail-Plus-Tarif (1 Custom Domain + 10 Aliases) zur Verfügung, mit Mail Unlimited 3 Custom Domains und unbegrenzten Aliases.
Als Maßnahme nach NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung) und BSI TR-03108 ist die MX-Konfiguration die Basis für SPF, DKIM und DMARC. Schweizer Datenschutz + Anti-CLOUD-Act: Proton AG mit Sitz Genf untersteht dem Schweizer Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023) — Art. 8 revDSG fordert geeignete technische und organisatorische Maßnahmen, analog DSGVO Art. 32. Da die Schweiz nicht EU/EWR ist, fällt Proton Mail nicht unter den US CLOUD Act — ein zentraler Compliance-Vorteil für Wolf-Agents-Kunden in regulierten Branchen (Anwaltskanzleien, Steuerberater, Gesundheitswesen, Verteidigung). Proton ist zusätzlich nach ISO/IEC 27001 zertifiziert. Der Wolf-Agents Email Security Check erkennt das Proton-MX-Pattern automatisch (Stack-Detection für protonmail.ch), validiert beide Records, scannt die DNSSEC-Kette und prüft die Konsistenz mit Proton-DKIM-CNAMEs.
Hardening-Pfad: Nach dem MX-Record folgt direkt SPF für Proton Mail (Standard v=spf1 include:_spf.protonmail.ch -all), danach DKIM (drei CNAMEs protonmail._domainkey, protonmail2._domainkey, protonmail3._domainkey für Key-Rotation) und DMARC mit p=quarantine als Empfehlung. Bedrohungs-Cluster: Ein korrekt gehärteter MX-Record schließt DNS-Hijacking-Spoofing und SubdoMailing über verwaiste Proton-Subdomains.
Proton Mail Custom Domain in Settings registrieren
Custom Domains stehen ab dem Mail-Plus-Tarif zur Verfügung. In den Proton Settings unter Domains die neue Domain hinzufügen — Proton zeigt die einzutragenden MX-Records und SPF/DKIM/DMARC-Werte an. Für Mail Plus: 1 Custom Domain + 10 Aliases. Für Mail Unlimited: 3 Custom Domains + unlimitierte Aliases + Catch-All.
; Proton Mail Custom Domain — beide MX-Records erforderlich
ihre-domain.de. IN MX 10 mail.protonmail.ch.
ihre-domain.de. IN MX 20 mailsec.protonmail.ch.Proton Mail ist eines der wenigen Provider, die explizit zwei MX-Records mit unterschiedlichen Prioritäten dokumentieren. Der primäre Record mail.protonmail.ch Prio 10 nimmt den regulären Mail-Verkehr entgegen; der Backup-Record mailsec.protonmail.ch Prio 20 sichert die Zustellung bei Wartungsfenstern oder Sub-Region-Ausfällen. Ein einzelner MX-Record (z.B. nur Prio 10) funktioniert technisch, ist aber nicht die offizielle Empfehlung. Quelle: proton.me/support/custom-domain (abgerufen 2026-05-14).
Für High-Risk-Nutzer (Journalisten, Aktivisten, hohe öffentliche Personen) bietet Proton das Sentinel-Programm — verfügbar für Visionary, Lifetime, Family, Unlimited, Business und Pass Plus Tarife. Aktivierungs-Pfad: Settings → All settings → Account → Security and Privacy. Sentinel ergänzt die Standard-Sicherheitsmaßnahmen um zusätzliche Account-Schutzschichten. Quelle: proton.me/blog/sentinel-high-security-program (abgerufen 2026-05-14).
Die exakte Proton-Doku-Sequenz für Custom-Domain-Setup: (1) Organisation erstellen (Business-Plan erforderlich; bei Mail Plus / Unlimited reicht das persönliche Konto). (2) Domain verbinden + per DNS TXT-Record verifizieren. (3) Benutzer und Adressen erstellen. (4) MX-Records aktualisieren (mail.protonmail.ch Prio 10 + mailsec.protonmail.ch Prio 20). (5) SPF, DKIM und DMARC konfigurieren — Proton zeigt die exakten Werte im UI. Navigations-Pfad zur MX-Sektion: Settings → Domain names → Review → MX-Sektion zeigt beide einzutragenden Records mit Copy-Button. Wichtig: Die Custom-Domain-Funktion ist Web-only-konfigurierbar — die Proton Bridge ist für Custom-Domains nicht erforderlich; sie wird nur gebraucht, wenn IMAP/SMTP-Clients (Outlook, Thunderbird, Apple Mail) verwendet werden sollen. Quelle direkt-verifiziert: proton.me/support/custom-domain (abgerufen 2026-05-16, zuletzt aktualisiert Januar 2026).
MX-Records mail.protonmail.ch + mailsec.protonmail.ch anlegen
Proton verwaltet keinen eigenen DNS-Server für Kundendomains — Sie tragen die MX-Records beim Provider Ihrer Wahl ein (Cloudflare DNS, Hetzner DNS, Route 53, etc.). Beide Records sind Pflicht und müssen exakt wie dokumentiert eingetragen werden.
MX-Records bei externem DNS-Provider anlegen
- Im DNS-Provider zwei neue MX-Records anlegen
- Record 1: Host
@· Priorität10· Wertmail.protonmail.ch - Record 2: Host
@· Priorität20· Wertmailsec.protonmail.ch - Alle anderen MX-Records (aus früheren Hostern) löschen
- Speichern — Propagation typisch 5-30 Minuten
- In den Proton Settings den Verify-Button klicken — Proton prüft die Records automatisch
Wer Outlook, Thunderbird oder Apple Mail nutzen will, braucht zusätzlich Proton Bridge (verfügbar für macOS, Windows, Linux) — diese App entschlüsselt die E2E-verschlüsselten E-Mails lokal. Bridge ist kein Mail-Server-Replacement, sondern ein lokaler Proxy. Quelle: proton.me/mail/bridge (abgerufen 2026-05-14).
DNSSEC + Schweizer Datensouveränität (NIS2 lit. h + revDSG Art. 8)
DNSSEC wird beim DNS-Provider aktiviert (Cloudflare DNS, Hetzner DNS, IONOS, etc.) — nicht bei Proton. Proton-Server stehen in Schweizer Rechenzentren mit redundanter Stromversorgung und physischer Sicherheit. Anti-CLOUD-Act: Da die Schweiz nicht EU/EWR und nicht US ist, fallen Proton-Daten weder unter EU-Datenanfragen noch unter US-CLOUD-Act-Vorladungen.
Proton Mail-Server haben sowohl A- als auch AAAA-Records — Dual-Stack ist Standard. Die Reverse-DNS-Konsistenz (FCrDNS) wird Proton-seitig sichergestellt. Custom-Domain-Inhaber müssen keine PTR-Records selbst setzen.
MX-Records verifizieren mit Proton Verify
Nach dem Speichern prüfen Sie die DNS-Propagierung. Proton bietet in den Settings einen Verify-Button, der die Records automatisch validiert — bei Erfolg wird die Custom Domain als „verified“ markiert.
# Linux / macOS
dig MX ihre-domain.de +short
# Windows (PowerShell)
Resolve-DnsName -Name ihre-domain.de -Type MX
# Erwartete Ausgabe:
# 10 mail.protonmail.ch.
# 20 mailsec.protonmail.ch.
# DNSSEC-Validierung
dig +dnssec MX ihre-domain.de | grep -E "RRSIG|ad;"Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser erkennt das Proton-MX-Pattern (Stack-Detection für protonmail.ch), validiert beide Records, scannt die DNSSEC-Kette und prüft die Konsistenz mit den drei Proton-DKIM-CNAMEs. Das Monitoring überwacht beide MX-Hostnamen alle 6 Stunden.
Häufige Fehler bei Proton Mail MX-Records
Nur mail.protonmail.ch ohne Backup mailsec
Problem: Domain hat nur 10 mail.protonmail.ch, der zweite MX fehlt. Ursache: Annahme, dass ein MX-Record reicht. Lösung: Beide MX-Records anlegen — Proton dokumentiert explizit primär + Backup. Wolf-Agents Email Security Check warnt, wenn nur einer der beiden Records aktiv ist.
Vertauschte Prioritäten
Problem: 20 mail.protonmail.ch + 10 mailsec.protonmail.ch — Prioritäten vertauscht. Ursache: Annahme, dass die Reihenfolge egal sei. Lösung: mail.protonmail.ch ist primär (Prio 10), mailsec.protonmail.ch ist Backup (Prio 20). Die Namensgebung gibt die Reihenfolge vor.
Custom Domain nicht in Proton Settings verifiziert
Problem: MX-Records gesetzt, aber Proton-Verify-Button nicht geklickt — Domain bleibt im „pending“-Status. Ursache: Annahme, dass MX-Setup automatisch verifiziert wird. Lösung: Nach DNS-Propagation (5-30 Min) in Proton Settings → Domains den Verify-Button klicken. E-Mails an die Custom Domain werden erst nach erfolgreicher Verifikation zugestellt.
Compliance: NIS2, BSI TR-03108, Schweizer revDSG und Anti-CLOUD-Act mit Proton Mail
Eine korrekt konfigurierte Proton-Mail-MX-Architektur mit DNSSEC ist der prüfbare Nachweis für NIS2 Art. 21 Abs. 2 lit. h (Kryptografie und Verschlüsselung), Schweizer revDSG Art. 8 (TOM für Datensicherheit) und unterstützt zusätzlich die Anti-CLOUD-Act-Strategie. Proton AG mit Sitz Genf untersteht ausschließlich Schweizer Recht — US-Datenanfragen via CLOUD Act sind rechtlich nicht durchsetzbar, EU-Datenanfragen brauchen Schweizer Rechtshilfe. Proton ist nach ISO/IEC 27001 zertifiziert. Für Wolf-Agents-Kunden in regulierten Branchen (Anwaltskanzleien mit Schweizer Berufsgeheimnis, Steuerberater, Gesundheitswesen, Verteidigung) ist Proton der Compliance-Premium-Anbieter. Bei EU-Geschäft gelten zusätzlich DSGVO Art. 32 und NIS2 EU-Richtlinie.
Proton Mail MX-Compliance-Stack: Schweizer revDSG Art. 8 (TOM für Datensicherheit) + Anti-CLOUD-Act (Schweizer Rechtsschutz) + NIS2 lit. h (DNSSEC für MX, DNS-Provider aktivierbar) + BSI TR-03108 (FCrDNS Proton-managed) + DSGVO Art. 32 lit. b (Verfügbarkeit Proton-managed, ISO 27001). Wolf-Agents-USP: Der Email Security Check erkennt Proton-MX-Pattern automatisch (Stack-Detection für protonmail.ch), prüft beide MX-Records auf korrekte Priorität, validiert die Konsistenz mit drei DKIM-CNAMEs und scannt DNSSEC am Apex — kein anderer DACH-Scanner deckt diese vier Proton-spezifischen Drift-Klassen plus Schweizer Anti-CLOUD-Act-Compliance-Marker ab. Cross-Verweis: DNS-Hijacking-Spoofing und SubdoMailing.
Wie steht Ihre Domain bei MX-Infrastruktur · Proton Mail?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.