SMTP-TLS für Netcup

Netcup verwaltet TLS-Zertifikat, -Version und Cipher-Suiten der Mailserver zentral. Sie können den kundenspezifischen MX-Hostnamen (mxXXXX.netcup.net) per openssl s_client prüfen und über den Wolf-Agents Scanner als Auftragsverarbeitungs-Nachweis dokumentieren.

SMTP-TLS prüfen Plattform entdecken

Netcup · SMTP-TLS-Anleitung

Von Wolf-Agents Security Team · Aktualisiert: 13. Mai 2026

SMTP-TLS bei Netcup (DACH-DE Managed Webhosting)

Netcup verwaltet TLS-Zertifikat, -Version und Cipher-Suiten der Webhosting-Mailserver vollständig zentral — als Kunde haben Sie keinen direkten Einfluss auf die TLS-Konfiguration. Sie können die Wirksamkeit der TLS-Erzwingung pro kundenspezifischem MX-Hostnamen (Pattern mxXXXX.netcup.net) per openssl s_client prüfen und dokumentieren. STARTTLS auf Port 25 ist auf den Netcup-MX-Hosts aktiv, Submission läuft über Port 465 (SSL/TLS) oder 587 (STARTTLS).

Der konkrete MX-Hostname hängt vom zugewiesenen Netcup-Cluster ab: Webhosting-Tarife routen typischerweise auf ein individuelles mxXXXX.netcup.net (kundenspezifisch — die vier Zeichen variieren), historische Konten teilweise noch auf andere Cluster. Der Wolf-Agents Email Security Scanner prüft pro tatsächlichem MX-Host die TLS-Version, die Cipher-Stärke nach BSI TR-02102-2, das Zertifikats-Hostname-Match und die Chain-Vollständigkeit zeichengenau — er erkennt insbesondere den häufigen Drift zwischen Domains, die auf einen Legacy-Cluster zeigen, aber im neuen Webhosting-Tarif eingebucht sind, sowie Zertifikats-Hostname-Mismatches, die sendende Server (Google, Microsoft) zu Klartext-Fallback zwingen.

Hardening-Pfad: SMTP-TLS bildet den Abschluss der Hardening-Reihe — die SPF/DKIM/DMARC-Stack-Authentifizierung kombiniert mit TLS-Transport-Verschlüsselung ist nach BSI TR-03108 und NIS2-Stand-der-Technik vollständig. Falls MTA-STS noch nicht aktiviert ist, starten Sie mit MTA-STS für Netcup — die externe Durchsetzungs-Policy. Bedrohungs-Cluster: Aktives SMTP-TLS und MTA-STS-Enforcement zusammen schließen STARTTLS-Stripping als Spoofing-Vektor aus — ohne TLS könnte ein Angreifer im Netzwerk-Pfad den Mail-Verkehr im Klartext mitlesen und über Reply-To-Manipulation gezielten Business Email Compromise vorbereiten (FBI IC3 2024: 2,77 Mrd. USD Schaden).

Für die Compliance-Triple (NIS2 Art. 21 Abs. 2 lit. h zur Kryptografie, BSI TR-03108 zum sicheren E-Mail-Transport, DSGVO Art. 32 Abs. 1 lit. a zur Verschlüsselung als technische Maßnahme) ist die Netcup-Verwaltung pragmatisch: Sie als Kunde haften für die Verarbeitung personenbezogener Daten, Netcup ist als Auftragsverarbeiter (DSGVO Art. 28) für die technischen Maßnahmen verantwortlich. Halten Sie den AV-Vertrag mit Netcup für Audits bereit und dokumentieren Sie regelmäßige TLS-Scans mit dem Wolf-Agents Scanner als Eigenkontrolle.

Ausführliche SMTP-TLS-Einführung

1 Schritt 1 von 3

MX-Hostnamen ermitteln und STARTTLS testen

Da der Netcup-MX-Hostname kundenspezifisch ist, müssen Sie ihn zunächst per dig MX ermitteln. Dann testen Sie den STARTTLS-Handshake auf Port 25 (MX-zu-MX-Inbound), Port 587 (Client-Submission STARTTLS) und Port 465 (Client-Submission Implicit-TLS).

# Schritt 1 — kundenspezifischen MX-Hostnamen ermitteln
dig MX ihre-domain.de +short
# Beispielausgabe: 10 mx2f54.netcup.net.

# Schritt 2 — STARTTLS auf Port 25 (inbound, MX-zu-MX)
echo | openssl s_client \
  -connect mx2f54.netcup.net:25 \
  -starttls smtp \
  -servername mx2f54.netcup.net \
  2>/dev/null | grep -E "Protocol|Cipher|subject|issuer"

# Erwartete Ausgabe (kundenspezifisch — exakter Hostname variiert):
# Protocol  : TLSv1.3
# Cipher    : TLS_AES_256_GCM_SHA384
# subject=CN = mx2f54.netcup.net
# issuer=CN = R11 / Let's Encrypt   (oder vergleichbares Netcup-Cert)

# Submission-Port 587 (STARTTLS, Client-Submission)
openssl s_client -connect mx2f54.netcup.net:587 -starttls smtp -servername mx2f54.netcup.net

# Implicit-TLS Port 465 (SMTPS, Client-Submission)
openssl s_client -connect mx2f54.netcup.net:465 -servername mx2f54.netcup.net

# Erweitert — testssl.sh für vollständigen Cipher-Audit
./testssl.sh --starttls smtp mx2f54.netcup.net:25

2 Schritt 2 von 3

Wolf-Agents Scanner für Cipher-Audit

Der Wolf-Agents Email Security Check automatisiert die TLS-Audit-Logik aus Schritt 1 für alle MX-Hostnamen Ihrer Domain. Er prüft mindestens:

Wolf-Agents prüft pro MX-Host

TLS-Version: Mindestens TLSv1.2 (BSI TR-02102-2 Pflichtversion), TLSv1.3 bevorzugt
Cipher-Stärke: Forward-Secrecy-Cipher (ECDHE-AES-GCM, ChaCha20-Poly1305) — keine alten CBC/RSA-Cipher
Zertifikat-Hostname-Match: CN/SAN müssen den MX-Hostnamen exakt enthalten — sonst Hard-Fail bei MTA-STS-Enforce
Chain-Vollständigkeit: Intermediate-Zertifikate korrekt mitgeliefert (häufigster Cert-Drift bei Provider-Migration)
Ablaufdatum: Warnung 14 Tage vor Ablauf — Netcup erneuert zentral, aber Drift gegen die externe Sicht ist möglich
OCSP-Stapling: Optional, aber best-practice — reduziert Latenz beim sendenden Server

Der Scanner bewertet SMTP-TLS mit bis zu 5 Punkten der 165-Punkte-Email-Security-Analyse — gemeinsam mit MTA-STS (10 Punkte) und TLS-RPT (5 Punkte) ergeben sich bis zu 20 Transport-Verschlüsselungs-Punkte.

3 Schritt 3 von 3

Kontinuierliches Monitoring

Netcup managed TLS zentral — Sie als Kunde sehen Änderungen nicht direkt. Ein kontinuierliches Monitoring ist nötig, um Cert-Drifts, Cipher-Downgrades oder Cluster-Migrationen früh zu erkennen.

Monitoring-Aufgaben

Monatliche Wolf-Agents-Scans: Vollständige 165-Punkte-Analyse inkl. TLS-Versions-, Cipher-Stärke- und Zertifikats-Drift
TLS-RPT-Reports aktivieren: Über den _smtp._tls-DNS-Record (siehe MTA-STS für Netcup) bekommen Sie tägliche XML-Reports von sendenden Servern
Certstream-Alerts: Wolf-Agents CT-Log-Monitoring alarmiert bei unautorisierten Zertifikats-Ausstellungen für Ihre mxXXXX.netcup.net-Hostnamen — Frühwarn-Signal für Cluster-Wechsel oder Compromise
Quartalsweise Audit: Manuell mit testssl.sh oder nmap --script ssl-enum-ciphers einen vollständigen Cipher-Audit fahren und Ergebnis als DSGVO-TOM-Nachweis archivieren

TLS-Versions-Politik Netcup-Webhosting (Information-Gain)

Mindest-TLS-Version dokumentiert: Die Netcup-Mail-Server unterstützen laut Foren-Beiträgen und eigenen openssl-Tests TLS 1.2 und TLS 1.3 — TLS 1.0/1.1 sind im Mail-Bereich deaktiviert. Da Netcup kein offizielles TLS-Policy-Statement publiziert, ist die laufende Verifikation per openssl s_client die einzig zuverlässige Quelle. Quelle: forum.netcup.de + eigene Laufzeit-Messung (2026-05-13).
Cipher-Suite-Beobachtung: Netcup nutzt standardmäßig moderne ECDHE-AEAD-Suiten (AES-GCM, ChaCha20-Poly1305) — keine schwachen CBC-Cipher. testssl.sh --severity HIGH mxXXXX.netcup.net:25 liefert die aktuelle Cipher-Liste pro MX-Host.
SC-081v3-Kompatibilität: Mit der CA/Browser-Forum-Verkürzung der Zertifikats-Laufzeit auf 200/100/47 Tage ab 2026/2027/2029 ist Netcups Provider-managed Cert-Renewal ein Vorteil — Sie müssen sich um Renewal nicht kümmern, sollten aber den Status monatlich verifizieren.

Häufige Fehler beim Netcup-SMTP-TLS-Audit

Diese drei Fehler treten bei der SMTP-TLS-Verifikation für Netcup-Webhosting besonders häufig auf — alle drei führen zu falschen Bewertungen der TLS-Sicherheit.

Test gegen alten Cluster statt aktuellem MX

Problem: Ein Setup-Guide aus 2022 listet mx2.netcup.net als generischen Hostnamen — Sie testen mit openssl s_client -connect mx2.netcup.net:25 und finden veraltete TLS-Versionen. Tatsächlich routet Ihre Domain auf einen anderen kundenspezifischen mxXXXX.netcup.net-Hostnamen, der modernes TLS unterstützt. Der Test ist methodisch falsch und das Ergebnis irreführend.

Lösung: Immer zuerst dig MX ihre-domain.de +short für die tatsächlichen MX-Hostnamen ausführen und nur diese testen. Bei mehreren MX-Hosts alle einzeln prüfen.

Submission-Port mit MX-Port verwechselt

Problem: Es wird nur Port 587 (Client-Submission STARTTLS) oder Port 465 (Client-Submission SMTPS) getestet und der Befund als „SMTP-TLS aktiv“ interpretiert. Tatsächlich nutzen sendende Mailserver Port 25 (MX-zu-MX-Inbound) — und nur dort entscheidet sich, ob der eingehende E-Mail-Verkehr TLS-verschlüsselt ist. Die Submission-Ports gelten nur für Mail-Client-Verbindungen.

Lösung: Für SMTP-TLS-Audit immer Port 25 testen — das ist der relevante Port für MTA-zu-MTA-Verkehr. Ports 465/587 zusätzlich prüfen, aber als separates Submission-Audit kennzeichnen.

openssl ohne -servername bei TLS 1.3

Problem: openssl s_client -connect mx2f54.netcup.net:25 -starttls smtp ohne -servername liefert bei manchen Cluster-Konfigurationen ein falsches Zertifikat oder schlägt mit certificate verify failed fehl. Bei TLS 1.3 und SNI-basierten Hosting-Setups muss der Hostname explizit über -servername als SNI-Wert mitgesendet werden.

Lösung: Immer -servername mxXXXX.netcup.net ergänzen — der TLS-Server wählt das richtige Zertifikat dann anhand der SNI-Erweiterung. Bei Mehrfach-MX-Hosting essentiell.

NIS2, BSI TR-02102-2 / TR-03108 und DSGVO Art. 32: SMTP-TLS bei Netcup

NIS2 Art. 21 Abs. 2 lit. h fordert Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung — die Transport-Verschlüsselung über TLSv1.2/1.3 mit BSI-TR-02102-2-konformen Cipher-Suites ist die Mindesterwartung. BSI TR-03108 Abschnitt 4.3 verlangt TLS-Erzwingung für die E-Mail-Kommunikation; BSI TR-02102-2 (Stand 2026-01) definiert die zulässigen Cipher-Suites und Schlüssellängen. DSGVO Art. 32 Abs. 1 lit. a benennt Verschlüsselung als technische Schutzmaßnahme — bei einem STARTTLS-Stripping-Vorfall mit Klartext-Mitlesen personenbezogener Daten greift zusätzlich die DSGVO-Meldepflicht (Art. 33) parallel zu NIS2 Art. 23. Bei Netcup als Auftragsverarbeiter (DSGVO Art. 28) liegt die TLS-Konfigurationsverantwortung beim Provider, die Eigenkontroll-Pflicht beim Kunden — regelmäßige Wolf-Agents-Scans und TLS-RPT-Reports erfüllen diese Pflicht. Der Wolf-Agents Email Security Scanner bewertet SMTP-TLS mit bis zu 5 Punkten der 165-Punkte-Analyse.

SMTP-TLS-Anleitung auch für:

Microsoft 365 Google Workspace IONOS Strato All-Inkl Hetzner Postfix Exim Mailcow Generisch

Wie steht Ihre Domain bei SMTP-TLS?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten