Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung publiziert deine Domain einen korrekten SPF-Record. Empfangende Mailserver erkennen damit, welche Server in deinem Namen senden dürfen — und können gefälschte Absender aussortieren.
Voraussetzungen
- Eine Domain bei checkdomain mit aktiven checkdomain-Nameservern
- Zugang zum Kundenbereich (Kundennummer oder E-Mail-Adresse)
Was ist SPF?
SPF (Sender Policy Framework) ist ein TXT-Record im DNS deiner Domain. Er listet auf, welche Mailserver E-Mails mit deiner Domain als Absender verschicken dürfen. Empfangende Server schlagen den Record bei jeder eingehenden Mail nach und prüfen, ob der einliefernde Server auf der Liste steht. Ohne SPF kann jeder beliebige Server Mails in deinem Namen verschicken — und deine legitimen Mails landen schneller im Spam, weil große Empfänger wie Gmail SPF inzwischen schlicht erwarten.
Zur Einordnung: SPF allein ist noch kein vollständiger Schutz. Erst zusammen mit DKIM und DMARC wird daraus ein belastbares Fundament. SPF ist aber der einfachste Einstieg.
Die Ausgangslage bei checkdomain
checkdomain bietet keinen vorgefertigten SPF-Schalter: Du legst den Record selbst als TXT-Eintrag an, versteckt im Bereich Profi-Einstellungen der Nameserver-Verwaltung. Zwei Eigenheiten aus der offiziellen Anleitung:
- Der Wert wird ohne Anführungszeichen eingetragen (andere Anbieter — etwa Hetzner — verlangen genau das Gegenteil; nicht blind aus fremden Anleitungen kopieren).
- checkdomain weist ausdrücklich darauf hin, dass die Nameserver-Verwaltung eigenverantwortlich erfolgt — fehlerhafte Einträge stören die Mail-Zustellung.
checkdomains dokumentiertes Beispiel ist der klassische mx-basierte Record:
v=spf1 mx -all
Der mx-Mechanismus autorisiert die Server hinter deinen MX-Records. Laufen deine Postfächer bei checkdomain (dein MX zeigt also auf checkdomain-Server), deckt dieser eine Eintrag sie damit automatisch ab.
Schritt-für-Schritt-Anleitung
1. Prüfen, ob SPF schon aktiv ist
Am schnellsten im Terminal:
dig TXT beispiel.de +short | grep spf1
Kommt ein Record mit v=spf1 zurück, publiziert deine Domain bereits SPF. Alternativ wirf deine Domain in den kostenlosen MXAudit-Scanner — der prüft den Record gleich auf Syntax und Lookup-Limit mit.
2. Kundenbereich öffnen
Öffne www.checkdomain.de, klicke rechts oben auf Mein Login und wähle Kundenbereich. Melde dich mit Kundennummer oder E-Mail-Adresse an.
3. Zur Domain-Konfiguration navigieren
Klicke in der linken Navigation auf Domains, suche deine Domain und klicke auf Konfiguration. Öffne auf der Detailseite Checkdomain Nameserver.
4. SPF-Eintrag in den Profi-Einstellungen setzen
Öffne den Bereich Profi-Einstellungen und erstelle einen TXT-Eintrag für die Domain. Trage den SPF-Wert ohne Anführungszeichen ein:
v=spf1 mx -all
Prüfe den Wert und klicke auf Speichern. Wichtig: Es darf nur einen SPF-Eintrag pro Domain geben — existiert schon ein TXT-Record mit v=spf1, bearbeite ihn statt einen zweiten anzulegen.
5. Zusätzliche Versender ergänzen (falls nötig)
Versendest du auch über andere Dienste — Newsletter-Tool, CRM, Shop-System — müssen deren Server ebenfalls in den Record. Den nötigen include-Wert findest du in der Doku des jeweiligen Dienstes (suche dort nach “SPF”):
v=spf1 mx include:spf.newsletter-dienst.de ~all
6. Warten, bis die Änderung aktiv ist
Laut checkdomain wird die Änderung in der Regel innerhalb weniger Sekunden gespeichert; bis sie weltweit vollständig sichtbar ist, kann es bis zu 48 Stunden dauern.
Die Bestandteile im Detail
| Bestandteil | Bedeutung |
|---|---|
v=spf1 | Versionskennung, steht immer am Anfang |
mx | erlaubt die Server hinter den MX-Records deiner Domain |
include: | erlaubt die Server eines externen Dienstes (1 DNS-Lookup pro include) |
-all | Hardfail: nicht gelistete Server werden abgelehnt |
~all | Softfail: die mildere Variante — sinnvoll, solange du Versandwege noch sortierst |
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir sofort, ob dein SPF-Record syntaktisch korrekt ist und wie viele DNS-Lookups er verbraucht (das Limit liegt bei 10).
Oder direkt im Terminal:
dig TXT beispiel.de +short | grep spf1
Die Ausgabe muss genau einen Record mit v=spf1 enthalten.
Häufige Fehler
Anführungszeichen mitkopiert. Bei checkdomain gehört der Wert ohne Anführungszeichen ins Feld. Wer aus einer fremden Anleitung "v=spf1 mx -all" samt Zeichen kopiert, erzeugt einen kaputten Record.
Zwei SPF-Records. Zwei TXT-Einträge mit v=spf1 führen zu permerror — empfangende Server werten SPF dann gar nicht mehr aus. Alle Quellen gehören in einen einzigen Record.
mx deckt nicht alle Versandwege. Der Beispiel-Record autorisiert nur die Server aus deinen MX-Records. Sendet ein Shop-System oder Formmailer von woanders, braucht es include:- oder ip4:-Ergänzungen.
+all am Ende. Ein +all erlaubt jedem Server das Senden und macht den gesamten Record wirkungslos — nicht übernehmen.
Weiterleitungen schlagen fehl. Leitet ein Empfänger deine Mail automatisch weiter, schlägt SPF beim Endempfänger oft fehl — der weiterleitende Server steht ja nicht in deinem Record. Das ist eine Designschwäche von SPF und kein Konfigurationsfehler; DKIM und DMARC fangen diesen Fall ab.
Weiterführende Links
- checkdomain Support: Wie setze ich einen SPF-Eintrag? (abgerufen: 10. Juli 2026)
- RFC 7208 — Sender Policy Framework (SPF)
