Stand: Juli 2026

Zusammenfassung: Die Transportverschlüsselung schützt deine E-Mails vor Downgrade- und MitM-Angriffen. Während nahezu alle 25 Anbieter unserer Matrix die Basismechanismen SPF, DKIM und DMARC unterstützen, ist DANE nur bei 3 Anbietern (Mailcow, Microsoft 365, Infomaniak) für eingehende E-Mails möglich und verwaltetes MTA-STS nur bei 3 Anbietern (Google Workspace, Mailcow, Microsoft 365). Unten findest du den umfassenden Vergleich aller 25 Anbieter mit den genauen Begründungen.

Während SPF, DKIM und DMARC sicherstellen, dass Absender nicht gefälscht werden können und Nachrichten unverändert ankommen, schützen DANE und MTA-STS die Transportebene (SMTP) zwischen den beteiligten Mailservern. Sie zwingen verbindende Server zur Nutzung einer verschlüsselten TLS-Verbindung und verhindern Man-in-the-Middle-Angriffe (MitM).

Ob du diese modernen Schutzmechanismen nutzen kannst, hängt jedoch von deinem Hosting-Anbieter und dessen technischer Architektur ab. Unser Anbieter-Hub zeigt, dass bei klassischen Shared-Hostern meist die Voraussetzungen (wie DNSSEC-signierte TLSA-Einträge auf den Mailservern oder ein HTTPS-Zertifikat für eine Policy-Subdomain) fehlen.

Gesamttabelle: DANE und MTA-STS bei allen 25 Anbietern

Die folgende Tabelle zeigt den genauen Status aller 25 Anbieter unserer technischen Matrix für eingehendes DANE (über TLSA-Einträge) und verwaltetes MTA-STS (über Richtlinien-Hosting und DNS-Einträge).

AnbieterDANE-UnterstützungMTA-STS-UnterstützungWeiterführende Anleitungen
All-InklNein (MX hat kein TLSA; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick
checkdomainNein (MX hat kein TLSA; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick
domainfactoryNein (MX hat kein TLSA; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick
Google WorkspaceNein (kein eingehendes DANE; nutzt MTA-STS)Ja (MTA-STS einrichten)MTA-STS-Anleitung
Hetzner DNSNein (nur über eigenen MX; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick
IONOSNein (MX hat kein TLSA; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick
MailcowJa (DANE/DNSSEC einrichten)Ja (MTA-STS einrichten)DANE · MTA-STS
Microsoft 365Ja (DANE/DNSSEC einrichten)Ja (MTA-STS einrichten)DANE · MTA-STS
NetcupNein (nur über eigenen MX; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick
StratoNein (MX hat kein TLSA; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick
united-domainsNein (MX hat kein TLSA; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick
CloudflareNein (nur über eigenen MX; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick
Amazon Route 53Nein (nur über eigenen MX; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick
GandiNein (MX hat kein TLSA; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick
OVHcloudNein (MX hat kein TLSA; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick
GoDaddyNein (MX hat kein TLSA; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick
o2switchNein (MX hat kein TLSA; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick
LWSNein (MX hat kein TLSA; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick
InfomaniakJa (MX hat TLSA; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)DANE-Überblick
DonDominioNein (MX hat kein TLSA; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick
DinahostingNein (MX hat kein TLSA; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick
cdmonNein (MX hat kein TLSA; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick
Raiola NetworksNein (MX hat kein TLSA; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick
HostingerNein (MX hat kein TLSA; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick
webgoNein (MX hat kein TLSA; siehe Übersicht)Nein (kein verwaltetes MTA-STS; siehe Shared Hosting)Anbieter-Überblick

Technische Begründungen im Detail

1. Warum die meisten Shared-Hoster DANE nicht anbieten können

Damit eingehendes DANE funktioniert, müssen die offiziellen Mailserver des Hosters (z. B. bei IONOS, Strato, All-Inkl oder OVHcloud) per DNSSEC signiert sein und über TLSA-Einträge im DNS verfügen, die ihre TLS-Zertifikate an den Namen binden. Wie in unserem Artikel DANE für E-Mail: wer es kann erklärt, veröffentlichen große Shared-Hosting-Anbieter für ihre gemeinschaftlich genutzten Mail-Exchanger (MX) bislang keine TLSA-Einträge:

  • IONOS, Strato, All-Inkl, checkdomain, domainfactory, united-domains: Die offiziellen Mailserver besitzen keine TLSA-Einträge (MX has no TLSA; see overview). Ein DANE-Setup für Kunden-Domains ist auf diesen Shared-MX-Systemen nicht möglich.
  • Gandi, OVHcloud, GoDaddy, o2switch, LWS, DonDominio, Dinahosting, cdmon, Raiola Networks, Hostinger, webgo: Auch hier stellen die Anbieter keine TLSA-Records auf ihren Standard-Mailservern bereit (MX has no TLSA; see overview).
  • Hetzner DNS, Netcup, Cloudflare, Amazon Route 53: Diese Anbieter stellen als reine DNS-Dienste (oder im Fall von Hetzner und Netcup bei reiner DNS-Nutzung ohne gemanagtes Postfach) volle DNSSEC- und TLSA-Unterstützung im DNS-Panel bereit. Da sie jedoch keine gemanagten Postfächer betreiben, funktioniert DANE hier nur, wenn du einen eigenen MX (z. B. über Mailcow oder einen dedizierten Server) betreibst (only via own MX; see overview).

2. Warum Google Workspace und Microsoft 365 unterschiedliche Wege gehen

Bei den großen Cloud-Mail-Suiten zeigt sich ein interessanter Kontrast:

  • Microsoft 365 (Exchange Online): Microsoft unterstützt sowohl eingehendes DANE als auch MTA-STS. Du kannst über DNSSEC und PowerShell-Befehle DANE für deine Domain aktivieren (Anleitung für DANE/DNSSEC bei Microsoft 365). Gleichzeitig steht eine verwaltete MTA-STS-Konfiguration bereit (MTA-STS bei Microsoft 365).
  • Google Workspace: Google veröffentlicht für seine Standard-Mail-Exchanger keine TLSA-Einträge (no inbound DANE; uses MTA-STS (see overview)). Stattdessen setzt Google voll auf MTA-STS als Standard-Mechanismus für die erzwungene Transportverschlüsselung (MTA-STS bei Google Workspace einrichten).

3. Warum verwaltetes MTA-STS im Shared Hosting oft unpraktikabel ist

MTA-STS erfordert nicht nur einen DNS-Eintrag, sondern auch eine Textdatei (mta-sts.txt), die exakt unter der Subdomain mta-sts.deinedomain.de über HTTPS mit einem gültigen SSL/TLS-Zertifikat ausgeliefert wird. Wie in unserem Leitfaden MTA-STS bei Shared-Hostern beschrieben, scheitert dies bei den meisten klassischen Web- und Mailhostern (no managed MTA-STS; see mta-sts-shared-hosting):

  • Anbieter wie IONOS, Strato, All-Inkl, Netcup, OVHcloud oder Hostinger bieten keinen automatischen Service, der diese Policy-Subdomain inklusive Zertifikat pflegt.
  • Wenn du MTA-STS dort nutzen möchtest, musst du entweder eine eigene Subdomain mit Webspace anlegen und das SSL-Zertifikat manuell verwalten oder auf externe Richtlinien-Dienste (oder Cloud-Funktionen) ausweichen.

4. Selbst gehostete Mailserver: Die volle Kontrolle mit Mailcow

Wenn du maximale Sicherheit auf der Transportebene benötigst und sowohl DANE als auch MTA-STS parallel betreiben möchtest, ist der Betrieb eines eigenen Mailservers die umfassendste Lösung.

Mit Mailcow betreibst du deine eigene E-Mail-Infrastruktur. Da du sowohl die DNS-Zone als auch die TLS-Zertifikate deines eigenen MX-Servers (mail.deinedomain.de) vollständig kontrollierst, generiert Mailcow im Administrationsbereich automatisch passgenaue TLSA-Einträge für DANE sowie die vollständige Policy für MTA-STS (MTA-STS mit Mailcow).

Konfiguration prüfen mit MXAudit

Egal für welchen Hoster und welchen Transport-Standard du dich entscheidest: Prüfe deine E-Mail-Konfiguration nach jeder Änderung mit dem kostenlosen MXAudit-Scanner. Das Tool testet in einer schnellen Analyse deine DNS-Zone, prüft ob deine SPF-, DKIM- und DMARC-Einträge korrekt sitzen, und analysiert sofort, ob deine Domain bereit für DANE und MTA-STS ist oder ob Zertifikatsfehler vorliegen.