Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung publiziert deine Domain einen korrekten SPF-Record. Empfangende Mailserver erkennen damit, welche Server in deinem Namen senden dürfen — und können gefälschte Absender aussortieren.
Voraussetzungen
- Ein All-Inkl-Paket mit mindestens einer Domain
- Zugang zum KAS (technische Verwaltung)
Was ist SPF?
SPF (Sender Policy Framework) ist ein TXT-Record im DNS deiner Domain. Er listet auf, welche Mailserver E-Mails mit deiner Domain als Absender verschicken dürfen. Empfangende Server schlagen den Record bei jeder eingehenden Mail nach und prüfen, ob der einliefernde Server auf der Liste steht. Ohne SPF kann jeder beliebige Server Mails in deinem Namen verschicken — und deine legitimen Mails landen schneller im Spam, weil große Empfänger wie Gmail SPF inzwischen schlicht erwarten.
Zur Einordnung: SPF allein ist noch kein vollständiger Schutz. Erst zusammen mit DKIM und DMARC wird daraus ein belastbares Fundament. SPF ist aber der einfachste Einstieg.
Die Ausgangslage bei All-Inkl
Anders als bei Anbietern mit vorgefertigten SPF-Schaltern trägst du den Record bei All-Inkl selbst als TXT-Eintrag im KAS ein. Die offizielle All-Inkl-Empfehlung lautet:
v=spf1 a mx include:spf.kasserver.com ~all
Das ist eine kluge Konstruktion: a und mx autorisieren die Server, auf die deine Domain per A-/AAAA- und MX-Record ohnehin zeigt — bei All-Inkl also deinen KAS-Server. Der include ergänzt eine zentrale All-Inkl-Versandadresse (aktuell genau eine IPv4-Adresse). Damit passt sich der Record automatisch an, wenn dein Paket auf einen anderen kasserver umzieht.
Schritt-für-Schritt-Anleitung
1. Prüfen, ob SPF schon aktiv ist
Am schnellsten im Terminal:
dig TXT beispiel.de +short | grep spf1
Kommt ein Record mit v=spf1 zurück, publiziert deine Domain bereits SPF. Alternativ wirf deine Domain in den kostenlosen MXAudit-Scanner — der prüft den Record gleich auf Syntax und Lookup-Limit mit.
2. DNS-Einstellungen im KAS öffnen
Logge dich ins KAS ein (technische Verwaltung) und klicke auf Tools → DNS-Einstellungen. Bearbeite dort die Domain, deren DNS du ändern willst.
3. TXT-Eintrag anlegen (oder bearbeiten)
Wichtig: Es darf nur einen SPF-Eintrag pro Domain geben — das schreibt auch All-Inkl selbst. Existiert schon einer, bearbeite ihn; lege keinen zweiten an.
Fehlt der Eintrag, klicke auf neuen DNS-Eintrag erstellen und fülle das Formular so aus:
| Feld | Wert |
|---|---|
| Name | (leer lassen) |
| Typ | TXT (SPF) |
| Prio | 0 |
| Data | v=spf1 a mx include:spf.kasserver.com ~all |
Anschließend speichern — der Eintrag erscheint danach in der Tabelle.
4. Tarif ohne DNS-Bearbeitung?
Erscheint die Meldung „Diese DNS-Einstellungen sind in Ihrem Tarif leider nicht möglich”, gibt es einen Ausweg: Über Zone zurücksetzen legt All-Inkl den Standard-SPF-Eintrag (v=spf1 a mx include:spf.kasserver.com ~all) automatisch an.
Achtung: Zone zurücksetzen setzt die DNS-Einstellungen der Domain komplett auf den Standard zurück — eventuell vorhandene zusätzliche Einträge werden entfernt. Wenn du eigene Records gesetzt hast (etwa für externe Dienste), notiere sie vorher.
5. Zusätzliche Versender ergänzen (falls nötig)
Versendest du auch über andere Dienste — Newsletter-Tool, CRM, Shop-System — müssen deren Server ebenfalls in den Record. Den nötigen include-Wert findest du in der Doku des jeweiligen Dienstes (suche dort nach “SPF”). Bearbeite den bestehenden Eintrag und ergänze den include vor dem ~all:
v=spf1 a mx include:spf.kasserver.com include:spf.newsletter-dienst.de ~all
6. Warten, bis die Änderung aktiv ist
DNS-Änderungen brauchen Zeit: Je nach TTL und Caching kann es einige Stunden dauern, bis alle Server weltweit den neuen Record sehen.
Die Bestandteile im Detail
| Bestandteil | Bedeutung |
|---|---|
v=spf1 | Versionskennung, steht immer am Anfang |
a | erlaubt die Server hinter dem A-/AAAA-Record deiner Domain |
mx | erlaubt die Server hinter dem MX-Record deiner Domain |
include:spf.kasserver.com | erlaubt die zentrale All-Inkl-Versandadresse |
~all | Softfail: alle anderen Server gelten als verdächtig, Mails werden aber meist noch angenommen |
a, mx und include kosten je einen DNS-Lookup — der Standard-Eintrag verbraucht also drei der maximal zehn erlaubten Lookups.
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir sofort, ob dein SPF-Record syntaktisch korrekt ist und wie viele DNS-Lookups er verbraucht.
Oder direkt im Terminal:
dig TXT beispiel.de +short | grep spf1
Die Ausgabe muss genau einen Record mit v=spf1 enthalten.
Häufige Fehler
Zwei SPF-Records. Zwei TXT-Einträge mit v=spf1 führen zu permerror — empfangende Server werten SPF dann gar nicht mehr aus. All-Inkls eigene Anleitung weist explizit darauf hin: bestehenden Eintrag bearbeiten statt neu anlegen.
Zone zurücksetzen ohne Sicherung. Der bequeme Weg für kleine Tarife löscht alle zusätzlichen DNS-Einträge. Erst Records notieren, dann zurücksetzen.
Domainname ins Name-Feld. Das Feld Name bleibt für den SPF-Record der Hauptdomain leer — wer dort die Domain einträgt, erzeugt den Record an der falschen Stelle.
+all am Ende. Ein +all erlaubt jedem Server das Senden und macht den gesamten Record wirkungslos. Steht so noch in manchen alten Forenbeiträgen — nicht übernehmen.
Weiterleitungen schlagen fehl. Leitet ein Empfänger deine Mail automatisch weiter, schlägt SPF beim Endempfänger oft fehl — der weiterleitende Server steht ja nicht in deinem Record. Das ist eine Designschwäche von SPF und kein Konfigurationsfehler; DKIM und DMARC fangen diesen Fall ab.
Weiterführende Links
- All-Inkl Anleitung: DNS-Werkzeuge — SPF (abgerufen: 9. Juli 2026)
- RFC 7208 — Sender Policy Framework (SPF)
