Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung publiziert deine Domain einen korrekten SPF-Record. Empfangende Mailserver erkennen damit, welche Server in deinem Namen senden dürfen — und können gefälschte Absender aussortieren.

Voraussetzungen

  • Eine Domain bei checkdomain mit aktiven checkdomain-Nameservern
  • Zugang zum Kundenbereich (Kundennummer oder E-Mail-Adresse)

Was ist SPF?

SPF (Sender Policy Framework) ist ein TXT-Record im DNS deiner Domain. Er listet auf, welche Mailserver E-Mails mit deiner Domain als Absender verschicken dürfen. Empfangende Server schlagen den Record bei jeder eingehenden Mail nach und prüfen, ob der einliefernde Server auf der Liste steht. Ohne SPF kann jeder beliebige Server Mails in deinem Namen verschicken — und deine legitimen Mails landen schneller im Spam, weil große Empfänger wie Gmail SPF inzwischen schlicht erwarten.

Zur Einordnung: SPF allein ist noch kein vollständiger Schutz. Erst zusammen mit DKIM und DMARC wird daraus ein belastbares Fundament. SPF ist aber der einfachste Einstieg.

Die Ausgangslage bei checkdomain

checkdomain bietet keinen vorgefertigten SPF-Schalter: Du legst den Record selbst als TXT-Eintrag an, versteckt im Bereich Profi-Einstellungen der Nameserver-Verwaltung. Zwei Eigenheiten aus der offiziellen Anleitung:

  • Der Wert wird ohne Anführungszeichen eingetragen (andere Anbieter — etwa Hetzner — verlangen genau das Gegenteil; nicht blind aus fremden Anleitungen kopieren).
  • checkdomain weist ausdrücklich darauf hin, dass die Nameserver-Verwaltung eigenverantwortlich erfolgt — fehlerhafte Einträge stören die Mail-Zustellung.

checkdomains dokumentiertes Beispiel ist der klassische mx-basierte Record:

v=spf1 mx -all

Der mx-Mechanismus autorisiert die Server hinter deinen MX-Records. Laufen deine Postfächer bei checkdomain (dein MX zeigt also auf checkdomain-Server), deckt dieser eine Eintrag sie damit automatisch ab.

Schritt-für-Schritt-Anleitung

1. Prüfen, ob SPF schon aktiv ist

Am schnellsten im Terminal:

dig TXT beispiel.de +short | grep spf1

Kommt ein Record mit v=spf1 zurück, publiziert deine Domain bereits SPF. Alternativ wirf deine Domain in den kostenlosen MXAudit-Scanner — der prüft den Record gleich auf Syntax und Lookup-Limit mit.

2. Kundenbereich öffnen

Öffne www.checkdomain.de, klicke rechts oben auf Mein Login und wähle Kundenbereich. Melde dich mit Kundennummer oder E-Mail-Adresse an.

3. Zur Domain-Konfiguration navigieren

Klicke in der linken Navigation auf Domains, suche deine Domain und klicke auf Konfiguration. Öffne auf der Detailseite Checkdomain Nameserver.

4. SPF-Eintrag in den Profi-Einstellungen setzen

Öffne den Bereich Profi-Einstellungen und erstelle einen TXT-Eintrag für die Domain. Trage den SPF-Wert ohne Anführungszeichen ein:

v=spf1 mx -all

Prüfe den Wert und klicke auf Speichern. Wichtig: Es darf nur einen SPF-Eintrag pro Domain geben — existiert schon ein TXT-Record mit v=spf1, bearbeite ihn statt einen zweiten anzulegen.

5. Zusätzliche Versender ergänzen (falls nötig)

Versendest du auch über andere Dienste — Newsletter-Tool, CRM, Shop-System — müssen deren Server ebenfalls in den Record. Den nötigen include-Wert findest du in der Doku des jeweiligen Dienstes (suche dort nach “SPF”):

v=spf1 mx include:spf.newsletter-dienst.de ~all

6. Warten, bis die Änderung aktiv ist

Laut checkdomain wird die Änderung in der Regel innerhalb weniger Sekunden gespeichert; bis sie weltweit vollständig sichtbar ist, kann es bis zu 48 Stunden dauern.

Die Bestandteile im Detail

BestandteilBedeutung
v=spf1Versionskennung, steht immer am Anfang
mxerlaubt die Server hinter den MX-Records deiner Domain
include:erlaubt die Server eines externen Dienstes (1 DNS-Lookup pro include)
-allHardfail: nicht gelistete Server werden abgelehnt
~allSoftfail: die mildere Variante — sinnvoll, solange du Versandwege noch sortierst

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir sofort, ob dein SPF-Record syntaktisch korrekt ist und wie viele DNS-Lookups er verbraucht (das Limit liegt bei 10).

Oder direkt im Terminal:

dig TXT beispiel.de +short | grep spf1

Die Ausgabe muss genau einen Record mit v=spf1 enthalten.

Häufige Fehler

Anführungszeichen mitkopiert. Bei checkdomain gehört der Wert ohne Anführungszeichen ins Feld. Wer aus einer fremden Anleitung "v=spf1 mx -all" samt Zeichen kopiert, erzeugt einen kaputten Record.

Zwei SPF-Records. Zwei TXT-Einträge mit v=spf1 führen zu permerror — empfangende Server werten SPF dann gar nicht mehr aus. Alle Quellen gehören in einen einzigen Record.

mx deckt nicht alle Versandwege. Der Beispiel-Record autorisiert nur die Server aus deinen MX-Records. Sendet ein Shop-System oder Formmailer von woanders, braucht es include:- oder ip4:-Ergänzungen.

+all am Ende. Ein +all erlaubt jedem Server das Senden und macht den gesamten Record wirkungslos — nicht übernehmen.

Weiterleitungen schlagen fehl. Leitet ein Empfänger deine Mail automatisch weiter, schlägt SPF beim Endempfänger oft fehl — der weiterleitende Server steht ja nicht in deinem Record. Das ist eine Designschwäche von SPF und kein Konfigurationsfehler; DKIM und DMARC fangen diesen Fall ab.