Stand: Juli 2026
Zusammenfassung: Die Transportverschlüsselung schützt deine E-Mails vor Downgrade- und MitM-Angriffen. Während nahezu alle 25 Anbieter unserer Matrix die Basismechanismen SPF, DKIM und DMARC unterstützen, ist DANE nur bei 3 Anbietern (Mailcow, Microsoft 365, Infomaniak) für eingehende E-Mails möglich und verwaltetes MTA-STS nur bei 3 Anbietern (Google Workspace, Mailcow, Microsoft 365). Unten findest du den umfassenden Vergleich aller 25 Anbieter mit den genauen Begründungen.
Während SPF, DKIM und DMARC sicherstellen, dass Absender nicht gefälscht werden können und Nachrichten unverändert ankommen, schützen DANE und MTA-STS die Transportebene (SMTP) zwischen den beteiligten Mailservern. Sie zwingen verbindende Server zur Nutzung einer verschlüsselten TLS-Verbindung und verhindern Man-in-the-Middle-Angriffe (MitM).
Ob du diese modernen Schutzmechanismen nutzen kannst, hängt jedoch von deinem Hosting-Anbieter und dessen technischer Architektur ab. Unser Anbieter-Hub zeigt, dass bei klassischen Shared-Hostern meist die Voraussetzungen (wie DNSSEC-signierte TLSA-Einträge auf den Mailservern oder ein HTTPS-Zertifikat für eine Policy-Subdomain) fehlen.
Gesamttabelle: DANE und MTA-STS bei allen 25 Anbietern
Die folgende Tabelle zeigt den genauen Status aller 25 Anbieter unserer technischen Matrix für eingehendes DANE (über TLSA-Einträge) und verwaltetes MTA-STS (über Richtlinien-Hosting und DNS-Einträge).
Technische Begründungen im Detail
1. Warum die meisten Shared-Hoster DANE nicht anbieten können
Damit eingehendes DANE funktioniert, müssen die offiziellen Mailserver des Hosters (z. B. bei IONOS, Strato, All-Inkl oder OVHcloud) per DNSSEC signiert sein und über TLSA-Einträge im DNS verfügen, die ihre TLS-Zertifikate an den Namen binden. Wie in unserem Artikel DANE für E-Mail: wer es kann erklärt, veröffentlichen große Shared-Hosting-Anbieter für ihre gemeinschaftlich genutzten Mail-Exchanger (MX) bislang keine TLSA-Einträge:
- IONOS, Strato, All-Inkl, checkdomain, domainfactory, united-domains: Die offiziellen Mailserver besitzen keine TLSA-Einträge (
MX has no TLSA; see overview). Ein DANE-Setup für Kunden-Domains ist auf diesen Shared-MX-Systemen nicht möglich. - Gandi, OVHcloud, GoDaddy, o2switch, LWS, DonDominio, Dinahosting, cdmon, Raiola Networks, Hostinger, webgo: Auch hier stellen die Anbieter keine TLSA-Records auf ihren Standard-Mailservern bereit (
MX has no TLSA; see overview). - Hetzner DNS, Netcup, Cloudflare, Amazon Route 53: Diese Anbieter stellen als reine DNS-Dienste (oder im Fall von Hetzner und Netcup bei reiner DNS-Nutzung ohne gemanagtes Postfach) volle DNSSEC- und TLSA-Unterstützung im DNS-Panel bereit. Da sie jedoch keine gemanagten Postfächer betreiben, funktioniert DANE hier nur, wenn du einen eigenen MX (z. B. über Mailcow oder einen dedizierten Server) betreibst (
only via own MX; see overview).
2. Warum Google Workspace und Microsoft 365 unterschiedliche Wege gehen
Bei den großen Cloud-Mail-Suiten zeigt sich ein interessanter Kontrast:
- Microsoft 365 (Exchange Online): Microsoft unterstützt sowohl eingehendes DANE als auch MTA-STS. Du kannst über DNSSEC und PowerShell-Befehle DANE für deine Domain aktivieren (Anleitung für DANE/DNSSEC bei Microsoft 365). Gleichzeitig steht eine verwaltete MTA-STS-Konfiguration bereit (MTA-STS bei Microsoft 365).
- Google Workspace: Google veröffentlicht für seine Standard-Mail-Exchanger keine TLSA-Einträge (
no inbound DANE; uses MTA-STS (see overview)). Stattdessen setzt Google voll auf MTA-STS als Standard-Mechanismus für die erzwungene Transportverschlüsselung (MTA-STS bei Google Workspace einrichten).
3. Warum verwaltetes MTA-STS im Shared Hosting oft unpraktikabel ist
MTA-STS erfordert nicht nur einen DNS-Eintrag, sondern auch eine Textdatei (mta-sts.txt), die exakt unter der Subdomain mta-sts.deinedomain.de über HTTPS mit einem gültigen SSL/TLS-Zertifikat ausgeliefert wird. Wie in unserem Leitfaden MTA-STS bei Shared-Hostern beschrieben, scheitert dies bei den meisten klassischen Web- und Mailhostern (no managed MTA-STS; see mta-sts-shared-hosting):
- Anbieter wie IONOS, Strato, All-Inkl, Netcup, OVHcloud oder Hostinger bieten keinen automatischen Service, der diese Policy-Subdomain inklusive Zertifikat pflegt.
- Wenn du MTA-STS dort nutzen möchtest, musst du entweder eine eigene Subdomain mit Webspace anlegen und das SSL-Zertifikat manuell verwalten oder auf externe Richtlinien-Dienste (oder Cloud-Funktionen) ausweichen.
4. Selbst gehostete Mailserver: Die volle Kontrolle mit Mailcow
Wenn du maximale Sicherheit auf der Transportebene benötigst und sowohl DANE als auch MTA-STS parallel betreiben möchtest, ist der Betrieb eines eigenen Mailservers die umfassendste Lösung.
Mit Mailcow betreibst du deine eigene E-Mail-Infrastruktur. Da du sowohl die DNS-Zone als auch die TLS-Zertifikate deines eigenen MX-Servers (mail.deinedomain.de) vollständig kontrollierst, generiert Mailcow im Administrationsbereich automatisch passgenaue TLSA-Einträge für DANE sowie die vollständige Policy für MTA-STS (MTA-STS mit Mailcow).
Konfiguration prüfen mit MXAudit
Egal für welchen Hoster und welchen Transport-Standard du dich entscheidest: Prüfe deine E-Mail-Konfiguration nach jeder Änderung mit dem kostenlosen MXAudit-Scanner. Das Tool testet in einer schnellen Analyse deine DNS-Zone, prüft ob deine SPF-, DKIM- und DMARC-Einträge korrekt sitzen, und analysiert sofort, ob deine Domain bereit für DANE und MTA-STS ist oder ob Zertifikatsfehler vorliegen.
Weiterführende Links
- RFC 6698 — DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA (abgerufen: 17. Juli 2026)
- RFC 8461 — SMTP MTA Strict Transport Security (MTA-STS) (abgerufen: 17. Juli 2026)
- DANE für E-Mail: wer es kann, wer nicht — Ausführliche Erklärung des TLSA- und DNSSEC-Zusammenhangs
- MTA-STS bei Shared-Hostern — Warum die HTTPS-Policy bei Shared Hostern eine Hürde darstellt
- E-Mail-Sicherheit nach Anbieter — Übersicht aller 25 Anbieter und Schritt-für-Schritt-Anleitungen