Stand: Juli 2026

Zusammenfassung: Die Standards sind überall gleich, die Buttons nicht. Finde unten deinen Hoster und spring direkt zu seinen Anleitungen. Neu im Thema? Starte mit was E-Mail-Authentifizierung ist und wie SPF, DKIM und DMARC zusammenpassen, und komm dann hierher für die Klick-für-Klick-Schritte.

Jede Anleitung deckt einen Standard für einen Anbieter ab, mit dem genauen Panel-Pfad, dem fertigen Record, häufigen Fehlern und der Verifikation. Eine gute Reihenfolge ist SPF → DKIM → DMARC → Transport (MTA-STS/DANE, TLS-RPT) → BIMI, wie im Gesamtüberblick beschrieben.

Deutsche Shared-Hoster

Das sind DNS-plus-Postfach-Anbieter, im DACH-Raum weit verbreitet. Alle unterstützen SPF, DKIM, DMARC, TLS-RPT und BIMI über ihre DNS-Panels. Keiner veröffentlicht TLSA-Einträge für seinen MX, DANE steht ihren Kunden also nicht zur Verfügung — und MTA-STS ist auf den meisten unpraktisch, weil du die nötige Policy-Subdomain nicht per HTTPS mit gültigem Zertifikat hosten kannst. Die volle Erklärung in MTA-STS bei Shared-Hostern.

IONOS

Deutschlands größter Hoster; SPF ist standardmäßig vorab aktiviert.

Strato

Beliebter Budget-Hoster; DNS-Einträge verwaltest du unter „Domainverwaltung”.

Netcup

Technischer Hoster mit flexibler DNS-Konsole (CCP).

All-Inkl

Gut beleumundeter Hoster mit dem KAS-Adminpanel.

domainfactory

Etablierter Hoster mit übersichtlichem DNS-Editor.

united-domains

Domain-fokussierter Registrar; achte darauf, wie sein Portal längere TXT-Werte handhabt.

checkdomain

Registrar und Hoster mit aufgeräumter DNS-Oberfläche.

DNS-Spezialisten

Reine DNS-Hoster (ohne Postfächer) — die häufige Wahl, wenn deine Mail woanders liegt, die Zone aber hier. Jeden Record schreibst du selbst.

Hetzner DNS

Aufgeräumte Konsole und volle Record-Kontrolle.

Cloudflare

Das meistgenutzte DNS der Welt; achte auf den Proxy-Schalter — Mail-Records gehören auf „DNS only”.

Amazon Route 53

Der DNS-Dienst von AWS; Änderungen sind typischerweise binnen 60 Sekunden verteilt.

Internationale Registrare & Hoster

Registrar-plus-Mail-Anbieter außerhalb des DACH-Raums. Gleiches Bild wie bei den deutschen Shared-Hostern: SPF, DKIM, DMARC, TLS-RPT und BIMI laufen über ihre DNS-Panels; DANE und gemanagtes MTA-STS nicht (siehe MTA-STS bei Shared-Hostern und DANE: wer es kann).

Gandi

Registrar mit LiveDNS und eigener Mail-Plattform (Gandi Mail).

OVHcloud

Europas größter Hoster; MX Plan / Email Pro mit automatisch konfiguriertem DKIM.

GoDaddy

Der größte Registrar der Welt; E-Mail meist über weiterverkauftes Microsoft 365.

Cloud-Mail-Suiten

Gehostete Mail-Plattformen. Beide ergänzen die Transportebene: MTA-STS ist auf jeder verfügbar, Microsoft 365 unterstützt zusätzlich eingehendes DANE.

Microsoft 365 (Exchange Online)

Die einzige große gehostete Plattform, die DANE kann — via DNSSEC und PowerShell-Aktivierung.

Google Workspace

Setzt für den erzwungenen eingehenden Transport auf MTA-STS (es veröffentlicht keine TLSA-Einträge).

Selbst gehostet

Mailcow

Der dockerisierte Mailserver. Betreib deinen eigenen MX und du bekommst das volle Programm — inklusive DANE, weil du sowohl die DNS-Zone als auch das MX-Zertifikat kontrollierst.

Unsicher, ob die Transportebene für dich gilt?

DANE und MTA-STS haben Voraussetzungen, die nicht jedes Setup erfüllt. Zwei Erklärartikel klären, wer was nutzen kann:

Ergebnis prüfen

Egal welcher Hoster: Jag deine Domain zum Schluss durch den kostenlosen MXAudit-Scanner. Er prüft SPF, DKIM, DMARC, MTA-STS, DANE, TLS-RPT und BIMI in einem Durchgang und sagt dir genau, was noch fehlt.