SMTP-TLS für IONOS
IONOS verwaltet die Mailserver und TLS-Konfiguration für Webhosting-Kunden vollständig. TLS 1.2 ist Mindestversion (laut IONOS-Hilfe explizit dokumentiert: 'TLS 1.2 or newer') — TLS 1.3 ist in der IONOS-Doku nicht explizit dokumentiert. Sie können keine eigene TLS-Konfiguration ändern, aber die Wirksamkeit pro MX-Host verifizieren.
SMTP-TLS bei IONOS (Webhosting + Cloud-Mail)
IONOS verwaltet TLS-Zertifikat, TLS-Version und Cipher-Suiten der eigenen Mailserver zentral — Kunden haben keinen direkten Einfluss auf die Konfiguration. Die offizielle IONOS-Hilfe schreibt explizit: "TLS 1.2 or newer" wird verlangt; ältere Versionen sind deaktiviert. STARTTLS auf Port 25 ist auf IONOS-MX-Hosts aktiv, Submission läuft über Port 465 (SSL/TLS) oder Port 587 (STARTTLS).
Der konkrete MX-Hostname hängt vom IONOS-Cluster ab: Aktuelle Domains routen typischerweise auf mx00.ionos.de/mx01.ionos.de (DE-Region) oder mx00.ionos.com (.com-TLD-Verteilung), historisch gewachsene Konten noch auf mx00.kundenserver.de. Der Wolf-Agents Email Security Scanner prüft pro tatsächlichem MX-Host die TLS-Version, die Cipher-Stärke nach BSI TR-02102-2, das Zertifikats-Hostname-Match und die Chain-Vollständigkeit zeichengenau — er erkennt insbesondere den häufigen Drift zwischen Domains, die auf einen Legacy-Kundenserver-Cluster zeigen, aber im IONOS-Webhosting-Tarif als "ionos.de"-Service geführt werden.
Für die Compliance-Triple (NIS2 Art. 21 Abs. 2 Buchstabe h zur Kryptografie, BSI TR-03108 zum sicheren E-Mail-Transport, DSGVO Art. 32 Abs. 1 Buchstabe a zur Verschlüsselung als technische Maßnahme) ist die IONOS-Verwaltung pragmatisch: Sie als Kunde haften für die Verarbeitung personenbezogener Daten, IONOS ist als Auftragsverarbeiter (DSGVO Art. 28) für die technischen Maßnahmen verantwortlich. Halten Sie den AV-Vertrag mit IONOS für Audits bereit und dokumentieren Sie regelmäßige TLS-Scans mit dem Wolf-Agents Scanner als Eigenkontrolle. Wolf-Agents empfiehlt zusätzlich MTA-STS — der Policy-Eintrag wird in der IONOS-DNS-Verwaltung als TXT-Record gepflegt, das HTTPS-Hosting der Policy-Datei läuft über Cloudflare Pages oder GitHub Pages parallel.
MX-Hosts ermitteln und TLS-Status prüfen
Da IONOS die MX-Hosts pro Domain unterschiedlich vergibt (ionos.de, ionos.com oder Legacy-kundenserver.de), ermitteln Sie zuerst die tatsächlichen MX-Records per dig oder Resolve-DnsName. Anschließend testen Sie pro Host den STARTTLS-Handshake auf Port 25 — das ist der Port, auf dem andere Mailserver Ihre Domain ansteuern und Wolf-Agents zeichengenau scannt.
IONOS-Zertifikate werden für die IONOS-Hostnamen (nicht für Ihre Kunden-Domain) ausgestellt — das ist normal und korrekt für Shared-Hosting-Mailcluster. Bei MTA-STS oder DANE muss die mx-Zeile in der Policy exakt mit dem MX-Hostnamen übereinstimmen, nicht mit Ihrer Domain. Wolf-Agents prüft beide Seiten und kennzeichnet einen Mismatch sofort.
# MX-Hosts der IONOS-gehosteten Domain ermitteln
dig MX ihre-domain.de +short
# Erwartete Beispielausgabe je nach Cluster:
# 10 mx00.ionos.de.
# 10 mx01.ionos.de.
# (oder Legacy-Cluster:)
# 10 mx00.kundenserver.de.
# 10 mx01.kundenserver.de.
# TLS-Version + Cipher pro MX-Host prüfen
echo | openssl s_client \
-connect mx00.ionos.de:25 \
-starttls smtp \
-servername mx00.ionos.de \
2>/dev/null | grep -E "Protocol|Cipher|subject|issuer"
# Erwartete Ausgabe:
# Protocol : TLSv1.2 (TLS 1.3 in Rollout)
# Cipher : ECDHE-RSA-AES256-GCM-SHA384
# subject=CN = mx00.ionos.de
# issuer=C = DE, O = 1&1 Internet AG, CN = ...
# Implicit TLS auf Port 465 prüfen (für Client-Submission)
openssl s_client -connect mx00.ionos.de:465 -servername mx00.ionos.de
# STARTTLS auf Submission-Port 587
openssl s_client -connect mx00.ionos.de:587 -starttls smtp -servername mx00.ionos.deTLS-Version und Cipher-Stärke validieren
IONOS schreibt in der eigenen Hilfe-Doku "TLS 1.2 or newer" als Mindestversion fest — eine konkrete TLS-1.3-Roadmap dokumentiert IONOS nicht. Wolf-Agents misst zur Laufzeit, welche TLS-Version Ihr MX-Host aktuell verhandelt — Sie sehen das im openssl-Output direkt am "Protocol"-Feld. Für Compliance-Dokumentation ist relevant: Welche TLS-Version bietet der MX an, welche Cipher-Suite wird ausgehandelt, welche CA hat das Zertifikat signiert?
Die Cipher-Stärke prüfen Sie gegen BSI TR-02102-2 (Version 2026-01): ECDHE-RSA-AES256-GCM-SHA384 und ECDHE-RSA-CHACHA20-POLY1305 sind empfohlen, CBC-basierte Cipher sollen nicht mehr verwendet werden. Der Wolf-Agents Email Security Scanner kategorisiert die Cipher automatisch nach BSI-Empfehlung und meldet Abweichungen — Sie müssen die Liste nicht manuell pflegen.
Was Wolf-Agents pro IONOS-MX-Host prüft
- STARTTLS-Support: Wird
250-STARTTLSnach EHLO angeboten? (2 Punkte im Scanner) - TLS-Version: Mindestens TLS 1.2 — TLS 1.3 empfohlen. Ältere Versionen sind Abzug
- Cipher nach BSI TR-02102-2: ECDHE + AEAD-Cipher empfohlen, CBC-Cipher abgewertet
- Zertifikat: CN/SAN matcht MX-Hostname, gültig, nicht abgelaufen, vollständige Kette (3 Punkte im Scanner)
- CA-Issuer: Public Trust CA (IONOS nutzt typischerweise Sectigo oder DigiCert) — selbst-signiert wäre Abzug
Bei TLS-Auffälligkeiten IONOS-Support eskalieren
Wenn Wolf-Agents oder Ihre eigene openssl-Prüfung TLS-Abweichungen aufdeckt (z.B. TLS 1.0 noch aktiv, abgelaufenes Zertifikat, schwacher Cipher), können Sie als IONOS-Kunde die Konfiguration nicht selbst ändern — der Support muss eingreifen. Öffnen Sie ein Ticket im IONOS-Kundenservice mit Verweis auf BSI TR-02102-2 und dem Wolf-Agents Scanner-Output als Beweis.
Konkrete Eskalations-Trigger: TLS 1.0 oder 1.1 noch akzeptiert (BSI-Verstoß), abgelaufenes Zertifikat (DSGVO-Risiko), 3DES-Cipher noch ausgehandelt (Gmail lehnt das seit Mai 2025 ab). Dokumentieren Sie den Scanner-Report mit Datum und MX-Hostname im Ticket — IONOS-Support kann mit konkretem Hostnamen die Cluster-Konfiguration prüfen und entweder Migrationen auf einen aktuelleren Cluster anbieten oder die Cipher-Liste anpassen. Halten Sie das Ergebnis für Ihren DSGVO-Art.-32-Nachweis fest.
Häufige SMTP-TLS-Probleme bei IONOS
Die folgenden drei IONOS-spezifischen Probleme treten in Kundenprojekten regelmäßig auf. Sie betreffen entweder den Cluster-Drift (alte Hostnamen noch im MX), die TLS-Versions-Differenz zwischen Legacy- und neuen IONOS-Clustern oder das Zertifikat bei verschachtelten Subdomain-Setups.
Legacy-MX kundenserver.de noch im DNS — Cluster veraltet
Symptom: Wolf-Agents Scanner zeigt für eine IONOS-Domain den MX-Host mx00.kundenserver.de und meldet niedrigere Cipher-Bewertung oder TLS 1.2 nur. Bei einer Schwesterdomain im gleichen IONOS-Konto läuft alles auf mx00.ionos.de mit TLS 1.3.
Ursache: Domains, die vor der IONOS-Umfirmierung (1&1 IONOS) angelegt wurden, zeigen oft noch auf den älteren kundenserver.de-Cluster. Dieser Cluster wird gepflegt, hat aber teilweise andere Default-Cipher und nicht durchgängig TLS 1.3.
Lösung: Im IONOS-Control-Panel die DNS-Einstellungen prüfen und ggf. die MX-Records auf mx00.ionos.de / mx01.ionos.de umstellen (IONOS-Support kann das migrieren). Vor Umstellung prüfen, ob alle E-Mail-Postfächer mit umziehen — Cluster-Migrationen sind koordiniert nötig.
TLS-1.2-Pflicht: alter Mail-Client funktioniert nicht mehr
Symptom: Ein Mitarbeiter mit Windows 7 oder altem Outlook 2010 kann sich plötzlich nicht mehr am IONOS-SMTP anmelden — Fehlermeldung "SSL/TLS-Fehler" oder "Server nicht erreichbar".
Ursache: IONOS schreibt explizit: "If the email program you are using does not support TLS 1.2 and later, you will not be able to use it." Alte Mail-Clients unterstützen oft nur bis TLS 1.0 — IONOS lehnt die Verbindung deshalb ab.
Lösung: Mail-Client auf eine aktuelle Version updaten (Outlook 2019+, Thunderbird 78+, Apple Mail unter macOS 11+). Falls das nicht möglich ist, gibt es keinen TLS-1.0-Fallback bei IONOS. Betriebssystem-Update auf Windows 10/11 oder macOS 11+ ist Pflicht. Der Wolf-Agents Email Security Scanner prüft die Server-Seite — den Client-Support müssen Sie pro Endgerät verifizieren.
Custom-Domain mit eigener MX-Subdomain — Zertifikat passt nicht
Symptom: Sie haben einen MX-Eintrag mail.ihre-domain.de angelegt, der per CNAME auf mx00.ionos.de verweist. Bei strikten Validierern (MTA-STS enforce, DANE) wird die Verbindung abgelehnt — Hostname-Mismatch.
Ursache: Das IONOS-Zertifikat ist auf mx00.ionos.de ausgestellt (Common Name + SAN), nicht auf Ihre Custom-Subdomain. Wenn ein sendender Server den MX-Hostnamen mail.ihre-domain.de auflöst und das Zertifikat prüft, schlägt der Hostname-Match fehl.
Lösung: Verwenden Sie den IONOS-MX-Hostnamen direkt im MX-Record (mx00.ionos.de) statt eine eigene Subdomain. Wenn Sie aus Branding-Gründen eine Custom-Subdomain wollen, brauchen Sie ein eigenes Zertifikat — das ist im IONOS-Standardpaket nicht enthalten. Alternativ migrieren Sie zu einem dedizierten Mailserver (Postfix/Exim) mit Let's Encrypt für Ihre Custom-Subdomain. MTA-STS-Policy mit Wildcard *.ionos.de als mx-Wert ist die saubere Lösung im IONOS-Setup — Wolf-Agents prüft den Match zwischen DNS-MX und Policy zeichengenau.
NIS2, BSI TR-03108 und DSGVO Art. 32: IONOS als Auftragsverarbeiter
NIS2 Art. 21 Abs. 2 Buchstabe h fordert Kryptografie und Verschlüsselung — IONOS erfüllt das standardmäßig mit STARTTLS auf Port 25 und TLS 1.2 als Mindestversion. BSI TR-03108 verlangt sicheren E-Mail-Transport mit aktiven TLS-Versionen — die Pflicht-TLS-1.2-Politik von IONOS (laut IONOS-Hilfe "TLS 1.2 or newer") deckt das ab; TLS 1.3 wird von IONOS in der Doku nicht explizit beworben, Wolf-Agents misst die tatsächlich verhandelte Version pro MX-Host. DSGVO Art. 32 Abs. 1 Buchstabe a nennt Verschlüsselung als technische Maßnahme: Sie als IONOS-Kunde sind Verantwortlicher (Art. 4 Nr. 7), IONOS ist Auftragsverarbeiter (Art. 28). Halten Sie den AV-Vertrag mit IONOS griffbereit und dokumentieren Sie regelmäßige Wolf-Agents-Scans als Eigenkontrolle der technischen Maßnahmen. Bei TLS-Auffälligkeiten eskalieren Sie schriftlich an den IONOS-Support — die Dokumentation des Eskalationswegs gehört zu Ihrer Rechenschaftspflicht. Der Wolf-Agents Email Security Scanner bewertet SMTP-TLS mit 5 von 165 Punkten und prüft pro IONOS-MX-Host die TLS-Version, die Cipher nach BSI TR-02102-2 und das Zertifikats-Hostname-Match zeichengenau.
SMTP-TLS-Anleitung auch für:
Wie steht Ihre Domain bei SMTP-TLS?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.