SMTP-TLS für Hetzner
Hetzner hat zwei sehr unterschiedliche Mail-Modelle: Webhosting (konsoleH) mit mail.your-server.de als zentralem Mailserver — Zertifikat und TLS-Versionen verwaltet Hetzner — und Hetzner Cloud mit eigenem Mailserver, bei dem Sie alles selbst konfigurieren und Port 25 standardmäßig blockiert ist.
SMTP-TLS bei Hetzner Webhosting und Hetzner Cloud
Hetzner unterscheidet zwischen Webhosting (konsoleH) und Hetzner Cloud Servern. Beim Webhosting ist der Mailserver mail.your-server.de Hetzner-verwaltet, STARTTLS ist laut Hetzner-Doku auf Port 587 verfügbar, SSL/TLS auf Port 465. Bei Hetzner Cloud betreiben Sie den Mailserver selbst — Port 25 outbound ist dort standardmäßig blockiert (laut docs.hetzner.com/cloud/servers/faq); Freischaltung über Limit-Request nach mindestens einem Monat und beglichener erster Rechnung.
Die Hetzner-Doku zum konsoleH-Mailserver dokumentiert die Verbindungsdaten explizit: Eingehender und ausgehender Mailserver ist jeweils mail.your-server.de (literally). IMAP läuft auf STARTTLS-Port 143 oder SSL-Port 993, POP3 auf STARTTLS-Port 110 oder SSL-Port 995, SMTP auf STARTTLS-Port 587 oder SSL-Port 465. Die Doku spezifiziert keine konkrete TLS-Mindestversion und keine automatische Zertifikatsverwaltung explizit — Wolf-Agents misst die tatsächlich verhandelte TLS-Version pro Host. Der Wolf-Agents Email Security Scanner prüft pro tatsächlichem Hetzner-MX-Host die TLS-Version, die Cipher-Stärke nach BSI TR-02102-2, das Zertifikat und die Chain-Vollständigkeit zeichengenau und erkennt den Drift zwischen Webhosting-Mail-Setup und einem auf Hetzner Cloud zusätzlich betriebenen Mailserver (typischer Hybrid-Fehler bei wachsenden Setups).
Klarstellung zu Port 465 in der Hetzner-Doku
Die Hetzner-Webhosting-Doku schreibt wörtlich: „Port 465 was originally used for SMTPS (SMTP over SSL), but was made obsolete as a standard in 1998.“ Diese Aussage stammt aus der historischen IANA-Vergabe und ist seit RFC 8314 (Januar 2018) überholt. RFC 8314 § 7.3 hat Port 465 formal als submissions-Service für Implicit TLS rehabilitiert — die IETF dokumentiert das als „one-time procedural exception to the rules in RFC 6335“ mit expliziter IESG-Genehmigung. Port 465 ist heute der bevorzugte Submission-Port für Implicit TLS gegenüber STARTTLS auf Port 587. Hetzner stellt Port 465 dennoch zur Verfügung — die „obsolete since 1998“-Aussage in der Doku ist veraltet, der Port ist technisch produktiv nutzbar.
Quellen: RFC 8314 § 7.3 Submissions Port Registration, Hetzner Webhosting Mail-Setup-Doku (beide Abruf 12. Mai 2026).
Für die Compliance-Triple (NIS2 Art. 21 Abs. 2 Buchstabe h zur Kryptografie, BSI TR-03108 zum sicheren E-Mail-Transport, DSGVO Art. 32 Abs. 1 Buchstabe a zur Verschlüsselung als technische Maßnahme) gibt es zwei Pfade: Bei Hetzner Webhosting ist Hetzner Auftragsverarbeiter (DSGVO Art. 28); halten Sie den AV-Vertrag bereit. Bei Hetzner Cloud Self-Hosted betreiben Sie als Verantwortlicher den Mailserver selbst — die Verschlüsselungs-TOM dokumentieren Sie über Postfix-Logs (smtpd_tls_loglevel = 1) oder Exim-Logs (log_selector +tls_cipher). Wolf-Agents empfiehlt für Hetzner Cloud Self-Hosted die Postfix-Anleitung oder Exim-Anleitung aus diesem Kapitel.
Hetzner-Webhosting: TLS auf mail.your-server.de prüfen
Bei Hetzner Webhosting (konsoleH) ist der Mailserver-Hostname für alle Kunden gleich: mail.your-server.de. Hetzner verwaltet die Server-Software und das TLS-Setup. Per openssl s_client testen Sie den STARTTLS-Handshake auf Port 25 (MX-Empfang) und 465/587 (Submission). Die TLS-Version messen Sie tatsächlich — die Hetzner-Doku spezifiziert keine Mindestversion explizit.
# MX-Hosts der Hetzner-gehosteten Domain ermitteln
dig MX ihre-domain.de +short
# Erwartete Ausgabe bei Hetzner Webhosting (konsoleH):
# 10 mail.your-server.de.
# STARTTLS auf Port 25 testen
echo | openssl s_client \
-connect mail.your-server.de:25 \
-starttls smtp \
-servername mail.your-server.de \
2>/dev/null | grep -E "Protocol|Cipher|subject|issuer"
# Erwartete Ausgabe (Hetzner-managed):
# Protocol : TLSv1.2 oder TLSv1.3 (Hetzner-Doku spezifiziert keine Mindestversion)
# Cipher : ECDHE-...
# subject=CN = mail.your-server.de
# issuer=C = ..., O = ..., CN = ...
# Submission-Ports (laut Hetzner Webhosting-Doku):
# SMTP STARTTLS: 587
# SMTP SSL/TLS: 465
openssl s_client -connect mail.your-server.de:465 -servername mail.your-server.de
openssl s_client -connect mail.your-server.de:587 -starttls smtp -servername mail.your-server.deHetzner Cloud: Port-25-Sperre und Self-Hosted-Setup
Wenn Sie einen Mailserver auf Hetzner Cloud betreiben (z.B. Postfix oder Exim auf einem CX11/CCX-Server), trifft Sie eine Hetzner-spezifische Besonderheit: Port 25 outbound ist standardmäßig blockiert. Die Hetzner-Cloud-FAQ schreibt explizit: "we block ports 25 and 465 by default on all cloud servers". Die Sperre wird auf Antrag aufgehoben — nach mindestens einem Monat Kundenstatus und beglichener erster Rechnung.
Die Sperre ist ein Anti-Spam-Mechanismus: Cloud-Server werden häufig von Spammern missbraucht, deshalb müssen Kunden ihren Use Case kurz darlegen. Hetzner empfiehlt während der Wartezeit Port 587 für Mail-Submission (nicht blockiert). Beachten Sie: Für einen eigenen MX-Empfang (eingehende Server-zu-Server-Mail auf Port 25) ist die Freischaltung Pflicht — sonst können externe Mailserver Ihre Domain nicht erreichen. Der Wolf-Agents Email Security Scanner testet von außen, ob Ihr MX-Host auf Port 25 erreichbar ist — falls nicht, ist die Hetzner-Sperre die wahrscheinlichste Ursache.
# Hetzner Cloud: Port 25 outbound ist standardmäßig blockiert
# Quelle: docs.hetzner.com/cloud/servers/faq (Abruf 11. Mai 2026)
# Original-Zitat: "we block ports 25 and 465 by default on all cloud servers"
# Status prüfen (eigener Cloud-Server)
nc -zv smtp.gmail.com 25
# Erwartet bei blockierter Sperre: "Connection timed out"
# Workaround vor Freischaltung: Port 587 nutzen (NICHT geblockt)
nc -zv smtp.gmail.com 587
# Erwartet: "Connection succeeded"
# Limit-Request für Port-25-Freischaltung
# 1. Mindestens 1 Monat Hetzner-Kunde sein + erste Rechnung beglichen
# 2. Hetzner Console → Server → Limit-Request einreichen
# 3. Use Case beschreiben (z.B. "Eigener Mailserver für firmen-domain.de mit Postfix 3.10")
# Quelle: docs.hetzner.com — "create a limit request to unblock these ports"Hinweis für Mailserver-Betreiber auf Hetzner Cloud
- Self-Hosted-Setup: Für Postfix-Konfiguration siehe SMTP-TLS für Postfix, für Exim siehe SMTP-TLS für Exim
- Outbound-MTA-STS-Validierung: Wenn Sie zu Empfängern mit MTA-STS enforce senden, brauchen Sie postfix-mta-sts-resolver — siehe MTA-STS für Postfix
- Let's-Encrypt-Zertifikat: certbot mit DNS-Challenge funktioniert auch ohne Port 80/443 freigeschaltet — siehe Kapitel-Index für Setup
- Firewall: Hetzner Cloud Firewall blockiert Default alles Inbound — Ports 25, 465, 587 explizit freigeben
Variante identifizieren und richtige Stelle eskalieren
Wolf-Agents Scanner-Auffälligkeiten bei Hetzner-Domains gehen typischerweise an eine von zwei Stellen: Bei Webhosting-Setups (MX zeigt auf mail.your-server.de) ist Hetzner-Support zuständig — TLS-Auffälligkeiten dokumentieren Sie im Support-Ticket mit Scanner-Output und Datum. Bei Hetzner-Cloud-Setups (eigener MX-Hostname) ist Ihre eigene Mailserver-Konfiguration die Quelle — Postfix oder Exim Logs zeigen die TLS-Version pro Verbindung.
Wichtig bei Mischsetups (Webhosting plus Cloud-Server mit eigenem Mailserver für eine separate Domain): Wolf-Agents prüft jede Domain einzeln und zeigt im Report den jeweiligen Mailserver-Pfad. Halten Sie diese Trennung in Ihrer DSGVO-Dokumentation klar — Hetzner ist Auftragsverarbeiter beim Webhosting, beim Cloud-Server sind Sie Verantwortlicher und für die TLS-TOM eigenverantwortlich.
Häufige SMTP-TLS-Probleme bei Hetzner
Die folgenden drei Hetzner-spezifischen Probleme treten in Kundenprojekten regelmäßig auf — Hetzner-Cloud-Port-25-Sperre blockiert Mailversand vom eigenen Server, Hybrid-Setup mit Webhosting plus Cloud führt zu Drift, und MTA-STS-Policy mit konkreter Cloud-Server-IP statt Hostname.
Hetzner-Cloud Port-25-Sperre: Mailversand bricht ab
Symptom: Neu eingerichteter Postfix oder Exim auf einem Hetzner-Cloud-Server kann keine Mails an externe Empfänger senden — Logs zeigen "Connection timed out to mx.gmail.com:25". Eingehende Mails funktionieren möglicherweise, ausgehende nicht.
Ursache: Hetzner blockiert Port 25 outbound standardmäßig auf allen Cloud-Servern. Die Doku schreibt das explizit: "we block ports 25 and 465 by default on all cloud servers". Die Sperre verhindert Spam-Missbrauch in der Onboarding-Phase.
Lösung: Mindestens einen Monat Hetzner-Kunde sein und die erste Rechnung begleichen. Anschließend in der Hetzner Console einen Limit-Request einreichen — Use Case kurz beschreiben (z.B. "Eigener Postfix-Mailserver für firmen-domain.de"). Hetzner entscheidet "case-by-case". Übergangsweise: Port 587 nutzen (nicht blockiert) und einen externen SMTP-Relay-Dienst nutzen.
Hybrid-Setup: Webhosting-Mail plus Cloud-Mailserver für andere Domain
Symptom: Wolf-Agents Scanner zeigt für Ihre Hauptdomain einen Hetzner-Webhosting-MX (mail.your-server.de), für eine zweite Domain einen Hetzner-Cloud-MX (mail.zweite-domain.de). Die zweite Domain hat schlechtere TLS-Bewertung — ein vergessenes Self-Hosted-Setup.
Ursache: Bei wachsenden Setups wird oft eine zweite Domain auf einem Hetzner-Cloud-Server mit eigenem Mailserver eingerichtet, ohne die TLS-Konfiguration auf dasselbe Niveau wie das Hetzner-Webhosting zu bringen. Selbst-signiertes Zertifikat oder TLS 1.0/1.1 aktiv sind typische Drifts.
Lösung: Für jede Domain mit Hetzner-Cloud-Mailserver: Postfix-Konfiguration nach SMTP-TLS für Postfix migrieren. Let's-Encrypt-Zertifikat für den MX-Hostnamen einrichten. TLS-Versionen 1.0/1.1 deaktivieren. Wolf-Agents Scanner alle 6 Stunden im Monitoring laufen lassen — Drifts werden sofort sichtbar.
Hetzner Cloud Firewall blockiert eingehende Mail (Port 25)
Symptom: Sie haben einen Postfix auf Hetzner Cloud eingerichtet, Port 25 outbound ist freigeschaltet, aber externe Mailserver können Ihre Domain nicht erreichen. telnet ihr-server 25 von außen schlägt fehl.
Ursache: Hetzner Cloud Firewall hat ein Default-Deny-Verhalten — ohne explizite Regel ist gesamter Inbound-Traffic blockiert (laut Hetzner-Doku: "If you do not set any rule, all inbound traffic will automatically be blocked"). Port 25 muss explizit freigegeben werden.
Lösung: In der Hetzner Console → Cloud Firewalls die zugewiesene Firewall öffnen und Inbound-Regeln für Port 25 (TCP, Quelle: any) hinzufügen. Bei SMTP-Submission auch Port 465 und 587 freigeben. Optional: Port 80 für certbot HTTP-Challenge. Nach Speichern: ein paar Sekunden warten und mit nc -zv ihr-server 25 testen.
NIS2, BSI TR-03108 und DSGVO Art. 32: Hetzner-Pfad-spezifisch
NIS2 Art. 21 Abs. 2 Buchstabe h fordert Kryptografie und Verschlüsselung — bei Hetzner Webhosting erfüllt Hetzner das technisch (STARTTLS auf 587, SSL/TLS auf 465 in der Doku dokumentiert), bei Hetzner Cloud Self-Hosted sind Sie selbst verantwortlich. BSI TR-03108 verlangt sicheren E-Mail-Transport — beim Webhosting prüfen Sie die tatsächliche TLS-Version mit Wolf-Agents, beim Self-Hosted konfigurieren Sie Postfix/Exim mit TLS 1.2 plus PFS. DSGVO Art. 32 Abs. 1 Buchstabe a: Beim Webhosting ist Hetzner Auftragsverarbeiter (Art. 28), beim Self-Hosted sind Sie Verantwortlicher und dokumentieren die Verschlüsselungs-TOM über Postfix-/Exim-Logs. Die Hetzner-Cloud-Port-25-Sperre und das Default-Deny-Verhalten der Cloud-Firewall sind Hetzner-spezifische Besonderheiten, die bei der Setup-Planung berücksichtigt werden müssen. Outbound-Schutz gegen STRIPTLS-Downgrade-Angriffe erfordert zusätzlich MTA-STS — Konfiguration für Hetzner-Setups siehe MTA-STS für Hetzner. Der Wolf-Agents Email Security Scanner bewertet SMTP-TLS mit 5 von 165 Punkten und prüft pro Hetzner-MX-Host die TLS-Version, die Cipher nach BSI TR-02102-2 und das Zertifikats-Hostname-Match zeichengenau — er kennzeichnet automatisch, ob es ein Webhosting- oder Cloud-Setup ist.
Hetzner SMTP-TLS Entscheidungsbaum (Multimodal)
Hetzner Online GmbH (Gunzenhausen) unterscheidet zwischen Webhosting (konsoleH, mail.your-server.de) und Hetzner Cloud (eigener Mailserver, Port 25 outbound blockiert). Die Visualisierung zeigt den Entscheidungsbaum für SMTP-TLS-Konfiguration pro Hetzner-Setup, inklusive Port-25-Limit-Request und Cloud-Firewall-Default-Deny.
Hetzner SMTP-TLS-Entscheidungsbaum — Webhosting vs Cloud-Server
Multimodaler Decision-Tree mit drei Verzweigungen: Webhosting (konsoleH)? → Pfad A mail.your-server.de + Provider-Cert. Cloud-Server mit eigenem MTA? → Pfad B Port-25-Sperre + Postfix/Exim selbst konfigurieren. Hybrid? → Pfad C Drift-Risiko Robot DNS vs Cloud Console. Konzern: Hetzner Online GmbH Gunzenhausen DE.
SMTP-TLS-Anleitung auch für:
Wie steht Ihre Domain bei SMTP-TLS?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.