Hestia Control Panel auf netcup Root-Server einrichten: Webhosting-Panel als Plesk-Alternative

Wer einen netcup Root-Server oder VPS betreibt, muss Domains, E-Mail-Konten und Datenbanken irgendwie verwalten. Plesk ist die komfortable Lösung – aber sie kostet auf einem Root-Server eine zusätzliche Lizenzgebühr, die den Hosting-Betrieb auf kleinen Servern schnell unwirtschaftlich macht. Hestia Control Panel löst dieses Problem: Es ist vollständig kostenlos, GPLv3-lizenziert und bietet auf Port 8083 eine moderne Browser-Oberfläche für Apache, PHP-FPM, MariaDB, Exim, Dovecot, DNS und FTP. Diese Anleitung führt dich Schritt für Schritt durch Installation, netcup-spezifische Konfiguration und die korrekte DNS-Einrichtung – inklusive dem rDNS/PTR-Record, den du ausschließlich im netcup SCP setzt, und den Domain-DNS-Einträgen, die ins netcup CCP gehören.

Voraussetzungen

1. netcup Root-Server oder VPS mit mindestens 1 GB RAM und 10 GB Speicher (empfohlen: 4 GB RAM, 4 CPU-Kerne, 40 GB SSD)
2. Frische Installation von Debian 11/12/13 oder Ubuntu 22.04/24.04 LTS – ausschließlich 64-Bit (AMD64 oder ARM64), kein vorhandener Web-, Mail- oder Datenbankserver
3. Root-SSH-Zugang zum Server
4. Ein registrierter Domainname für den Server-Hostname (FQDN, z. B. mail.ihredomain.de) und die zu hostenden Domains
5. Zugang zum netcup SCP (servercontrolpanel.de) für den rDNS/PTR-Record
6. Zugang zum netcup CCP (customercontrolpanel.de) für DNS-Records der gehosteten Domains
7. E-Mail-Adresse für Admin-Benachrichtigungen und Let's-Encrypt-Zertifikate

Warum Hestia CP statt Plesk?

Plesk ist auf netcup Webhosting-Tarifen inklusive, auf einem Root-Server oder VPS aber eine kostenpflichtige Zusatzlizenz. Hestia CP bietet denselben Funktionsumfang – Webdomains mit SSL, Mailkonten, Datenbanken, FTP, DNS, Cron-Jobs und Dateimanager – vollständig kostenlos. Die aktuelle stabile Version 1.9.6 läuft auf Debian 12 und Ubuntu 24.04 LTS besonders zuverlässig. Wer Hestia CP vorab testen möchte, findet eine Live-Demo unter demo.hestiacp.com:8083.

Der einzige Mehraufwand gegenüber Plesk: Du bist selbst für Updates, Sicherheit und Konfiguration verantwortlich. Dafür entfällt die monatliche Lizenzgebühr dauerhaft – ein klarer Gewinn für Selfhoster und KMUs mit mehreren kleinen Projekten.

Schritt 1: System aktualisieren

Melde dich per SSH als root an und bringe alle Pakete auf den neuesten Stand. Hestia erwartet ein sauberes System ohne Konflikte durch veraltete Bibliotheken.

apt update && apt upgrade -y

Verifizieren: Der Befehl endet ohne Fehler. uname -m gibt x86_64 oder aarch64 zurück – andere Architekturen werden nicht unterstützt.

Schritt 2: Hestia CP installieren

Lade das offizielle Installer-Skript herunter. Fehlt auf deinem Server wget oder treten SSL-Fehler auf, installiere zuerst die CA-Zertifikate:

apt-get install -y ca-certificates wget

Dann das Installer-Skript holen und starten:

cd ~
wget https://raw.githubusercontent.com/hestiacp/hestiacp/release/install/hst-install.sh
bash hst-install.sh

Der interaktive Modus stellt Fragen zu den zu installierenden Komponenten. Für eine vollständig automatisierte Installation nutze den unbeaufsichtigten Modus mit expliziten Flags:

bash hst-install.sh \
  --apache yes \
  --phpfpm yes \
  --multiphp yes \
  --vsftpd yes \
  --mysql yes \
  --exim yes \
  --dovecot yes \
  --sieve yes \
  --clamav no \
  --spamassassin no \
  --fail2ban yes \
  --iptables yes \
  --bind yes \
  --port '8083' \
  --hostname 'mail.ihredomain.de' \
  --email 'admin@ihredomain.de' \
  --password 'SicheresPasswort123!' \
  --lang 'de' \
  --interactive no \
  --force

Wichtige Hinweise zu den Flags:

1. --hostname muss ein vollqualifizierter Domainname (FQDN) sein, der bereits per A-Record auf die Server-IP zeigt – andernfalls schlägt die automatische SSL-Ausstellung für das Panel fehl.
2. --clamav no --spamassassin no: Auf Servern mit nur 1–2 GB RAM sind ClamAV und SpamAssassin ressourcenhungrig und können den Server unter Last einfrieren lassen. Beide Komponenten lassen sich nachträglich über das Panel hinzufügen.
3. --multiphp yes: Ermöglicht mehrere PHP-Versionen (7.4 bis 8.3) gleichzeitig; jede Domain wählt ihre Version individuell.

Die Installation dauert je nach Servergeschwindigkeit 5–15 Minuten. Am Ende zeigt das Skript die Zugangsdaten und die Panel-URL an.

Verifizieren: Das Skript endet mit einer Erfolgsmeldung und zeigt https://SERVER-IP:8083 sowie Benutzername und Passwort an.

Schritt 3: Web-Interface aufrufen und sichern

Öffne im Browser:

https://IHRE-SERVER-IP:8083

Beim ersten Aufruf erscheint eine Zertifikatswarnung – das Panel nutzt zunächst ein selbstsigniertes Zertifikat. Akzeptiere die Ausnahme und melde dich mit admin und dem bei der Installation gesetzten Passwort an.

Als erste Maßnahme nach dem Login solltest du die Zwei-Faktor-Authentifizierung aktivieren: oben rechts auf den Benutzernamen → Edit Profile → Two-Factor Authentication → aktivieren. Ein kompromittierter Admin-Account bedeutet vollständigen Server-Verlust – 2FA ist kein optionaler Schritt.

Das Panel-SSL-Zertifikat tauschst du durch ein gültiges Let's-Encrypt-Zertifikat aus, sobald der FQDN des Servers korrekt aufgelöst wird:

/usr/local/hestia/bin/v-update-sys-hestia-ssl

Schritt 4: rDNS/PTR-Record im netcup SCP setzen

Für einen funktionsfähigen Mailserver ist der Reverse-DNS-Eintrag (PTR-Record) unverzichtbar: Empfangende Mailserver prüfen, ob der Hostname des sendenden Servers zur IP-Adresse passt. Fehlt dieser Eintrag oder stimmt er nicht mit dem FQDN überein, werden ausgehende E-Mails als Spam eingestuft oder direkt abgelehnt.

Der rDNS/PTR-Record wird ausschließlich im netcup SCP gesetzt – nicht im CCP. Viele Nutzer suchen die Einstellung fälschlich im CCP und wundern sich, warum ihre Mails nicht ankommen.

1. Melde dich unter servercontrolpanel.de an.
2. Navigiere im linken Baum zu Server → [dein Server] → Network.
3. Öffne den Abschnitt „IPv4 Addresses".
4. Trage im Feld „Reverse DNS" neben deiner IP-Adresse den FQDN ein, z. B. mail.ihredomain.de.
5. Klicke auf „Save".

Die Propagation dauert in der Regel wenige Minuten bis Stunden, kann in Einzelfällen aber bis zu 24 Stunden benötigen. Warte vor dem ersten Mailversand-Test mindestens 30 Minuten.

Verifizieren: dig -x DEINE-SERVER-IP +short gibt den FQDN zurück. Alternativ prüfst du unter mxtoolbox.com/ReverseLookup.aspx.

Schritt 5: DNS-Records im netcup CCP eintragen

Während der PTR-Record die IP-zu-Hostname-Auflösung regelt, steuern die DNS-Records im netcup CCP die Hostname-zu-IP-Auflösung und das Mail-Routing für deine gehosteten Domains. Melde dich unter customercontrolpanel.de an, gehe zu Domains, klicke auf das Lupen-Icon neben deiner Domain und wechsle zum Tab „DNS".

Trage folgende Records ein:

Klicke abschließend auf „Save DNS Records". Grüne Bestätigungen signalisieren erfolgreiche Speicherung. DNS-Änderungen im netcup CCP greifen typischerweise innerhalb von 10 Minuten.

Schritt 6: DKIM-Public-Key aus Hestia auslesen

Den DKIM-Schlüssel für den TXT-Record dkim._domainkey.ihredomain.de generiert Hestia beim Einrichten einer Maildomain automatisch. So liest du ihn aus:

1. Hestia-Panel öffnen → Mail → auf die gewünschte Domain klicken.
2. Im Bereich „DNS Records" den kompletten Inhalt des DKIM-TXT-Records kopieren.
3. Diesen Wert exakt als TXT-Record dkim._domainkey im netcup CCP eintragen.

Achtung: DKIM-TXT-Records sind oft sehr lang. Prüfe den Eintrag nach dem Speichern mit dig TXT dkim._domainkey.ihredomain.de +short.

Schritt 7: Domain in Hestia hinzufügen und Benutzer anlegen

Der Admin-Account in Hestia hat Root-Rechte auf dem Server. Verwende ihn niemals für Web- oder Mail-Domains. Lege stattdessen für jeden Hosting-Kunden oder jedes Projekt einen eigenen Benutzer an:

1. Benutzer anlegen: Hestia-Panel → Users → „+ Add User" → Benutzername, Passwort, E-Mail und Ressourcen-Limits festlegen → speichern.
2. Domain hinzufügen: Als neuer Benutzer einloggen oder im Admin-Kontext → Web → „+ Add Web Domain" → Domainnamen eintragen → SSL über Let's Encrypt aktivieren → speichern.
3. Mailkonto anlegen: Mail → „+ Add Mail Domain" → anschließend unter der Domain „+ Add Mail Account".
4. Datenbank erstellen: DB → „+ Add Database" → Datenbankname, Benutzer und Passwort vergeben.

Hestia unterstützt Multihosting: Jede Domain erhält einen separaten Benutzer mit isoliertem Webspace, Mailkonten und Datenbanken.

Verifizieren: Rufe die neu eingerichtete Domain im Browser auf. Das Schloss-Icon im Browser bestätigt ein gültiges Let's-Encrypt-Zertifikat.

Pflichtports freigeben

Hestia verwaltet iptables intern. Falls auf deinem Server zusätzlich ufw aktiv ist oder die netcup SCP-Firewall Ports blockiert, müssen folgende Ports geöffnet sein:

# Status prüfen
iptables -L -n | grep -E '22|25|53|80|443|465|587|993|995|8083'

# Falls ufw aktiv:
ufw allow 22/tcp
ufw allow 25/tcp
ufw allow 53
ufw allow 80/tcp
ufw allow 443/tcp
ufw allow 465/tcp
ufw allow 587/tcp
ufw allow 993/tcp
ufw allow 995/tcp
ufw allow 8083/tcp

Systemanforderungen im Überblick

Troubleshooting / Typische Fehler

Installation schlägt fehl: „Existing web server detected"

Hestia erwartet einen sauberen Server. Sind Apache, Nginx, Postfix oder MySQL bereits installiert, bricht der Installer ab. Lösung: Neues Betriebssystem-Image über das netcup SCP einspielen. Eine Anleitung dazu findest du unter Betriebssystem-Image bei netcup wechseln.

Panel unter Port 8083 nicht erreichbar

Prüfe zuerst, ob iptables den Port freigibt: iptables -L -n | grep 8083. Prüfe zusätzlich die netcup SCP-Firewall – falls dort eine Policy aktiv ist, muss Port 8083 explizit erlaubt werden. Eine genaue Anleitung bietet netcup SCP-Firewall einrichten.

Ausgehende Mails landen im Spam

Die häufigste Ursache ist ein fehlender oder falscher PTR-Record. Prüfe mit dig -x DEINE-SERVER-IP +short, ob der Hostname zurückgegeben wird. Stimmt der PTR-Record nicht mit dem Hostnamen in Hestia überein, werden Mails abgelehnt. Das Tool MXToolbox prüft MX, SPF, DKIM und DMARC in einem Schritt.

DKIM-TXT-Record zu lang für das CCP-Feld

Lange DKIM-Schlüssel (2048-Bit) können Probleme bei manchen DNS-Editoren verursachen. Prüfe, ob das netcup CCP den vollständigen Wert gespeichert hat – notfalls auf einen 1024-Bit-Schlüssel wechseln oder den Eintrag in zwei quoted Strings aufteilen (RFC 4871 erlaubt das).

SSL-Zertifikat für das Panel lässt sich nicht ausstellen

Let's Encrypt erfordert, dass der FQDN aus dem Internet erreichbar ist und korrekt auf die Server-IP auflöst. Prüfe mit dig mail.ihredomain.de +short. Ist der A-Record noch nicht propagiert, warte und starte den Zertifikats-Befehl erneut: /usr/local/hestia/bin/v-update-sys-hestia-ssl.

RAM-Engpass durch SpamAssassin und ClamAV

Auf Servern mit 1–2 GB RAM können beide Dienste den Server einfrieren. Deaktiviere sie über Hestia-Panel → Server → Configure → Mail-Abschnitt oder per apt remove spamassassin clamav-daemon.

Häufige Fragen

Ist Hestia CP wirklich kostenlos – auch für kommerzielle Nutzung?

Ja. Hestia CP ist unter der GPLv3-Lizenz veröffentlicht, vollständig kostenlos und ohne versteckte Feature-Beschränkungen. Es gibt keine Free-Tier-Begrenzung und keine Lizenzgebühren – weder für private noch für kommerzielle Nutzung.

Kann ich Hestia auf einem bereits laufenden Server nachinstallieren?

Nein. Der Installer setzt einen frischen Server ohne vorhandene Web-, Mail- oder Datenbankdienste voraus. Eine Nachinstallation auf einem laufenden System führt zu Konflikten und wird vom Hestia-Projekt ausdrücklich nicht unterstützt.

Welche PHP-Versionen kann ich gleichzeitig betreiben?

Mit --multiphp yes installiert Hestia PHP-FPM für mehrere Versionen gleichzeitig – typischerweise 7.4 bis 8.3. Jede Domain wählt ihre PHP-Version individuell im Web-Domain-Editor aus.

Kann ich mehrere Domains mit separaten Mailkonten hosten?

Ja, Hestia ist von Grund auf für Multihosting ausgelegt. Jede Domain erhält einen eigenen Benutzer mit isoliertem Webspace, Mailkonten und Datenbanken. Jede Domain benötigt eigene DNS-Records (A, MX, SPF, DKIM, DMARC) im netcup CCP. Der PTR-Record der Server-IP bleibt dabei für alle Domains gleich.

Wie halte ich den Server sicher?

Mindestmaßnahmen: (1) 2FA für den Admin-Account sofort aktivieren, (2) SSH-Passwort-Login deaktivieren und SSH-Keys verwenden – Anleitung unter SSH-Keys im netcup SCP speichern, (3) Fail2ban ist standardmäßig aktiv, (4) Admin-Account nie für Domains nutzen, (5) regelmäßige Updates per apt update && apt upgrade.

Fazit

Hestia CP ist eine ernstzunehmende, vollwertige Alternative zu Plesk auf netcup Root-Servern und VPS. Der Installer erledigt die komplexe Konfiguration von Apache, PHP-FPM, Exim, Dovecot, BIND9 und Fail2ban in einem einzigen Schritt. Das größte Stolperpotenzial liegt nicht im Panel selbst, sondern in der netcup-spezifischen Aufteilung: rDNS/PTR gehört ins SCP, alle anderen DNS-Records ins CCP. Wer diese Trennung verinnerlicht und die Pflichtports freigibt, hat nach etwa einer Stunde eine produktionsreife Hosting-Plattform – ohne monatliche Lizenzgebühr.

Weiterführende Anleitungen und Quellen

1. Reverse-DNS (rDNS/PTR) für IPv4 und IPv6 im netcup SCP setzen
2. DNS-Records bei netcup im CCP verwalten: A, AAAA, CNAME, MX und TXT richtig setzen
3. netcup SCP-Firewall einrichten: Policies, Regeln und Zusammenspiel mit ufw
4. SSH-Keys im netcup SCP speichern und bei Image-Installationen automatisch einbinden
5. VPS absichern und härten: Anleitung mit UFW, SSH-Keys und Fail2Ban
6. KeyHelp installieren und absichern: das kostenlose Hosting-Panel für eigene Server
7. Let's Encrypt mit certbot – TLS-Zertifikate ohne Reverse-Proxy
8. Hestia CP – Offizielle Dokumentation (Getting Started)
9. Hestia CP GitHub Repository (hestiacp/hestiacp)
10. netcup Community Tutorial: Root Server Hosting mit Hestia Control Panel