Stand: Juli 2026
Zusammenfassung: netcup blockiert eingehende und ausgehende SMTP-Verbindungen standardmäßig über eine integrierte Firewall-Regel („netcup Mail block“). Im Gegensatz zu anderen Hostern kannst du diese Sperre jedoch im Server Control Panel (SCP) sofort und im Self-Service löschen.
Wenn du einen Root-Server oder VPS bei netcup einrichtest, um einen eigenen E-Mail-Server zu betreiben, werden eingehende und ausgehende SMTP-Verbindungen über Port 25 zunächst abgefangen. Der Grund ist eine automatisch aktive Firewall-Richtlinie des Anbieters.
Warum netcup eine Standard-Sperre einsetzt
Um die eigenen Netzbereiche vor Spamwelle und missbräuchlich genutzten Servern zu schützen, aktiviert netcup für neue Instanzen eine vordefinierte Firewall-Regel.
Laut der offiziellen Dokumentation von netcup gilt hierzu:
Additionally, rules are set by default to prevent email spamming. However, you can view these rules and remove them if necessary.
Diese Richtlinie betrifft den gesamten SMTP-Datenverkehr. netcup erklärt:
To enable emails via SMTP, the default firewall policy must be removed, as it blocks incoming and outgoing SMTP connections by default.
So entfernst du die Mail-block-Policy im SCP
Anders als bei Anbietern, die langwierige Support-Anträge oder Wartezeiten erfordern, bietet netcup die Entsperrung im Self-Service direkt im Server Control Panel (SCP) an.
Die offizielle Anleitung von netcup beschreibt die Schritte wie folgt:
Select your server in the Server Control Panel (SCP). Go to the menu item Firewall. In the netcup Mail block policy, click the Delete button on the right.
Sobald du die Richtlinie gelöscht hast, greifen die Änderungen auf Netzwerkebene nach wenigen Sekunden, und sowohl ausgehender (Port 25, 465, 587) als auch eingehender Mail-Traffic (Port 25) ist freigegeben.
Ehrlicher Realitätscheck zur IP-Reputation
Auch wenn die Freischaltung bei netcup innerhalb weniger Klicks erledigt ist, bleibt eine grundlegende Herausforderung bestehen: die Reputation deiner IP-Adresse. Da VPS- und Root-Server-IPs häufig von Mieter zu Mieter wechseln, sind Subnetze von Server-Hostern häufig von strengen Blocklisten (DNSBLs) wie Spamhaus oder UCEPROTECT betroffen.
Wenn du direkt über deine netcup-IP versendest, musst du zwingend einen sauberen Reverse-DNS-Eintrag (PTR-Record) im SCP hinterlegen und deine IP-Reputation kontinuierlich überwachen, da große Mailbox-Provider wie Gmail oder Microsoft 365 E-Mails aus dynamischen oder schlecht gelisteten Server-Subnetzen abweisen.
Die Alternative: Smarthost-Relay über Port 587
Um Reputationsproblemen zu entgehen, kannst du deinen ausgehenden E-Mail-Verkehr an einen professionellen Smarthost-Relay-Dienst übergeben. Ein solcher Dienst nimmt deine Nachrichten über Port 587 entgegen und stellt sie über hochverfügbare, saubere IP-Pools zu.
Ein konfiguriertes Beispiel in deiner Postfix-Konfigurationsdatei /etc/postfix/main.cf für ein externes Relay sieht wie folgt aus:
relayhost = [smtp.provider.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
Oder zuverlässig über Dispatch versenden. Wenn du dich nicht mit Firewall-Regeln, Blocklisten und der kontinuierlichen Pflege eines eigenen Mail-Relays beschäftigen möchtest, kannst du deine E-Mails einfach und sicher über Dispatch versenden.
Konfiguration prüfen
Nachdem du die Firewall-Regel gelöscht oder ein Smarthost-Relay eingerichtet hast, kannst du deine E-Mail-Authentifizierung (SPF, DKIM, DMARC) und die Erreichbarkeit mit dem kostenlosen MXAudit-Scanner testen.
Weiterführende Links
- netcup Helpcenter — Server Firewall (abgerufen: 17. Juli 2026)