SPF für Hetzner einrichten

Schritt-für-Schritt-Anleitung: SPF-Record in der Hetzner DNS Console anlegen, Robot vs. DNS Console richtig einsetzen und mit eigenen Mailservern kombinieren.

SPF prüfen Plattform entdecken

Hetzner · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 6. April 2026

SPF für Hetzner

Hetzner nutzt den SPF-Include _spf.hetzner.com, der genau 1 DNS-Lookup verbraucht und alle Hetzner-Mailserver autorisiert — einer der sparsamsten Includes unter den großen deutschen Hostern. Betreiben Sie einen eigenen Mailserver auf einem Hetzner Cloud Server, müssen Sie dessen öffentliche IP-Adresse zusätzlich explizit eintragen. Die DNS-Verwaltung erfolgt je nach Produkt in zwei unterschiedlichen Oberflächen: DNS Console für Cloud und Robot für Dedicated Server.

Nach NIS2 Art. 21 und BSI TR-03182 ist SPF eine Pflichtmaßnahme für die E-Mail-Authentifizierung. Der Wolf-Agents Email Security Check prüft Ihren Hetzner-SPF-Record auf 22 Kriterien — darunter Lookup-Zählung, Qualifier-Bewertung und Include-Ketten. Mit nur 1 Lookup bleibt ausreichend Budget für weitere Dienste.

Hardening-Pfad: Nach SPF folgt als nächster Schritt DKIM für Hetzner — gemeinsam bilden SPF + DKIM die Grundlage für DMARC.

Ausführliche Einführung in SPF

1 Schritt 1 von 3

SPF-Record in der Hetzner DNS Console anlegen

Öffnen Sie dns.hetzner.com, wählen Sie Ihre Zone aus und legen Sie einen neuen TXT-Record an. Der Include autorisiert alle Hetzner-Mailserver für Ihre Domain.

ihre-domain.de.  IN  TXT  "v=spf1 include:_spf.hetzner.com -all"

Eigenen Mailserver auf Hetzner Cloud betreiben?

Betreiben Sie Postfix, Exim oder einen anderen MTA direkt auf einem Hetzner Cloud Server, ist dessen öffentliche IP-Adresse nicht automatisch im Include enthalten. Fügen Sie die IP explizit hinzu:

v=spf1 ip4:IHRE_SERVER_IP include:_spf.hetzner.com -all

Hetzner Cloud API — neue Endpunkte ab Mai 2026

Die alte DNS Console API ist ab Mai 2026 deprecated. Automatisierte DNS-Verwaltung läuft ab dann ausschließlich über die neue Cloud API:

# Neue Cloud API (api.hetzner.cloud/v1/)
curl -X POST https://api.hetzner.cloud/v1/dns/zones/ZONE_ID/records \
  -H "Authorization: Bearer HCLOUD_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"type":"TXT","name":"@","value":"v=spf1 include:_spf.hetzner.com -all","ttl":3600}'

2 Schritt 2 von 3

Robot oder DNS Console — die richtige Oberfläche wählen

Hetzner betreibt zwei getrennte Verwaltungsoberflächen für DNS. Welche Sie nutzen, hängt von Ihrem Produkt ab. Verwechslungen führen zu doppelten oder widersprüchlichen Records.

Menüpfad in der Hetzner DNS Console (Cloud)

Melden Sie sich auf dns.hetzner.com an
Wählen Sie Ihre Zone (Domain) aus
Klicken Sie auf Record hinzufügen
Wählen Sie als Typ TXT
Lassen Sie den Namen leer oder tragen Sie @ ein (Root-Domain)
Fügen Sie den SPF-Wert in das Wert-Feld ein und speichern Sie

Menüpfad im Hetzner Robot (Dedicated Server)

Melden Sie sich auf robot.hetzner.com an
Navigieren Sie zu DNS im linken Menü
Wählen Sie Ihre Zone aus
Fügen Sie einen neuen TXT-Record mit dem SPF-Wert hinzu
Speichern Sie — Änderungen propagieren in der Regel innerhalb weniger Minuten

3 Schritt 3 von 3

SPF-Record verifizieren

Nach dem Anlegen des DNS-Records prüfen Sie die korrekte Propagierung. Hetzner propagiert DNS-Änderungen in der Regel innerhalb weniger Minuten, in seltenen Fällen bis zu einer Stunde.

# SPF-Record abfragen
dig TXT ihre-domain.de +short
# "v=spf1 include:_spf.hetzner.com -all"

# Hetzner Include-Inhalt prüfen (1 Lookup, enthält ip4-Netblöcke)
dig TXT _spf.hetzner.com +short

# Windows (PowerShell)
Resolve-DnsName -Name ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings

Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser prüft SPF auf 22 Einzelkriterien, zählt alle Lookups und bewertet Qualifier und Include-Ketten automatisch.

Häufige Fehler bei Hetzner

Diese drei Fehler treten bei Hetzner-Konfigurationen am häufigsten auf. Besonders die Verwechslung von Robot und DNS Console sowie fehlende Server-IPs bei eigenem Mailbetrieb führen zu SPF-Fehlschlägen, die schwer zu diagnostizieren sind.

Robot vs. DNS Console — widersprüchliche Records

Problem: Dedicated-Server-Nutzer verwalten DNS über robot.hetzner.com, Cloud-Nutzer über dns.hetzner.com. Wird dieselbe Zone in beiden Oberflächen bearbeitet, entstehen doppelte oder widersprüchliche SPF-Records. RFC 7208 erlaubt nur einen SPF-Record pro Domain — zwei Records ergeben einen PermError.

Lösung: Legen Sie fest, welche Oberfläche autoritativ für eine Zone ist, und pflegen Sie DNS ausschließlich dort. Prüfen Sie mit dig TXT ihre-domain.de, ob genau ein SPF-Record zurückgegeben wird.

Alte DNS Console API deprecated (Mai 2026)

Problem: Skripte und Automatisierungen, die gegen die alte DNS Console API laufen, hören nach dem Deprecation-Datum im Mai 2026 auf zu funktionieren. DNS-Records können dann nicht mehr automatisiert aktualisiert werden — auch SPF-Anpassungen bei neuen Diensten schlagen lautlos fehl.

Lösung: Migrieren Sie alle Automatisierungen auf die neue Hetzner Cloud API unter api.hetzner.cloud/v1/. Der Robot API für Dedicated Server bleibt davon unberührt und ist weiterhin aktiv.

Eigener Mailserver ohne Server-IP im SPF

Problem: Betreiben Sie Postfix oder Exim auf einem Hetzner Cloud Server, ist dessen öffentliche IP-Adresse nicht im include:_spf.hetzner.com enthalten. Der Include deckt nur Hetzner-eigene Maildienste ab — nicht beliebige Cloud Server. E-Mails Ihres Mailservers erhalten ein SPF Fail.

Lösung: Fügen Sie die öffentliche IP Ihres Mailservers explizit im SPF-Record ein: v=spf1 ip4:IHRE_SERVER_IP include:_spf.hetzner.com -all. Die IP finden Sie in der Hetzner Cloud Console unter dem jeweiligen Server.

SPF-Anleitung auch für:

Microsoft 365 Google Workspace IONOS Strato All-Inkl Postfix Exim Generisch

Wie steht Ihre Domain bei SPF?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten