Stand: Juli 2026
Zusammenfassung: Die Standards sind überall gleich, die Buttons nicht. Finde unten deinen Hoster und spring direkt zu seinen Anleitungen. Neu im Thema? Starte mit was E-Mail-Authentifizierung ist und wie SPF, DKIM und DMARC zusammenpassen, und komm dann hierher für die Klick-für-Klick-Schritte.
Jede Anleitung deckt einen Standard für einen Anbieter ab, mit dem genauen Panel-Pfad, dem fertigen Record, häufigen Fehlern und der Verifikation. Eine gute Reihenfolge ist SPF → DKIM → DMARC → Transport (MTA-STS/DANE, TLS-RPT) → BIMI, wie im Gesamtüberblick beschrieben.
Deutsche Shared-Hoster
Das sind DNS-plus-Postfach-Anbieter, im DACH-Raum weit verbreitet. Alle unterstützen SPF, DKIM, DMARC, TLS-RPT und BIMI über ihre DNS-Panels. Keiner veröffentlicht TLSA-Einträge für seinen MX, DANE steht ihren Kunden also nicht zur Verfügung — und MTA-STS ist auf den meisten unpraktisch, weil du die nötige Policy-Subdomain nicht per HTTPS mit gültigem Zertifikat hosten kannst. Die volle Erklärung in MTA-STS bei Shared-Hostern.
IONOS
Deutschlands größter Hoster; SPF ist standardmäßig vorab aktiviert.
Strato
Beliebter Budget-Hoster; DNS-Einträge verwaltest du unter „Domainverwaltung”.
Netcup
Technischer Hoster mit flexibler DNS-Konsole (CCP).
All-Inkl
Gut beleumundeter Hoster mit dem KAS-Adminpanel.
domainfactory
Etablierter Hoster mit übersichtlichem DNS-Editor.
united-domains
Domain-fokussierter Registrar; achte darauf, wie sein Portal längere TXT-Werte handhabt.
checkdomain
Registrar und Hoster mit aufgeräumter DNS-Oberfläche.
DNS-Spezialisten
Reine DNS-Hoster (ohne Postfächer) — die häufige Wahl, wenn deine Mail woanders liegt, die Zone aber hier. Jeden Record schreibst du selbst.
Hetzner DNS
Aufgeräumte Konsole und volle Record-Kontrolle.
Cloudflare
Das meistgenutzte DNS der Welt; achte auf den Proxy-Schalter — Mail-Records gehören auf „DNS only”.
Amazon Route 53
Der DNS-Dienst von AWS; Änderungen sind typischerweise binnen 60 Sekunden verteilt.
Internationale Registrare & Hoster
Registrar-plus-Mail-Anbieter außerhalb des DACH-Raums. Gleiches Bild wie bei den deutschen Shared-Hostern: SPF, DKIM, DMARC, TLS-RPT und BIMI laufen über ihre DNS-Panels; DANE und gemanagtes MTA-STS nicht (siehe MTA-STS bei Shared-Hostern und DANE: wer es kann).
Gandi
Registrar mit LiveDNS und eigener Mail-Plattform (Gandi Mail).
OVHcloud
Europas größter Hoster; MX Plan / Email Pro mit automatisch konfiguriertem DKIM.
GoDaddy
Der größte Registrar der Welt; E-Mail meist über weiterverkauftes Microsoft 365.
Cloud-Mail-Suiten
Gehostete Mail-Plattformen. Beide ergänzen die Transportebene: MTA-STS ist auf jeder verfügbar, Microsoft 365 unterstützt zusätzlich eingehendes DANE.
Microsoft 365 (Exchange Online)
Die einzige große gehostete Plattform, die DANE kann — via DNSSEC und PowerShell-Aktivierung.
Google Workspace
Setzt für den erzwungenen eingehenden Transport auf MTA-STS (es veröffentlicht keine TLSA-Einträge).
Selbst gehostet
Mailcow
Der dockerisierte Mailserver. Betreib deinen eigenen MX und du bekommst das volle Programm — inklusive DANE, weil du sowohl die DNS-Zone als auch das MX-Zertifikat kontrollierst.
Unsicher, ob die Transportebene für dich gilt?
DANE und MTA-STS haben Voraussetzungen, die nicht jedes Setup erfüllt. Zwei Erklärartikel klären, wer was nutzen kann:
- DANE für E-Mail: wer es kann, wer nicht — die DNSSEC-+-TLSA-Voraussetzung und warum die meisten Shared-Hosting-Kunden es nicht umsetzen können.
- MTA-STS bei Shared-Hostern — wo die HTTPS-Policy-Voraussetzung MTA-STS praktikabel macht und wo nicht.
Ergebnis prüfen
Egal welcher Hoster: Jag deine Domain zum Schluss durch den kostenlosen MXAudit-Scanner. Er prüft SPF, DKIM, DMARC, MTA-STS, DANE, TLS-RPT und BIMI in einem Durchgang und sagt dir genau, was noch fehlt.
