Stand: Juli 2026

Zusammenfassung: Mit diesem Guide erstellst du einen gültigen SPF-Record für dein dogado-Webhosting (über CloudPit oder oneHome). Empfangende Server können so autorisierte E-Mails klar identifizieren und Phishing im Namen deiner Domain blockieren.

Voraussetzungen

  • Ein aktives Webhosting oder E-Mail-Hosting bei dogado
  • Zugang zu deinem Kundenportal — je nach Tarif CloudPit oder oneHome

Was ist SPF?

SPF (Sender Policy Framework) ist ein Sicherheitsstandard, der im DNS deiner Domain als TXT-Record hinterlegt wird. Wie dogado in den eigenen Anleitungen treffend zusammenfasst: SPF wird verwendet, um Spammer davon abzuhalten, eine E-Mail-Adresse Ihrer Domain als Absender-Adresse zu nutzen.

Wenn ein fremder Server eine E-Mail unter deiner Domain empfängt, prüft er über den SPF-Eintrag, ob die sendende IP-Adresse autorisiert ist. Fehlt dieser Eintrag oder ist er fehlerhaft, werden selbst deine legitimen Geschäftsmails leicht abgewiesen oder landen im Spam.

Zur Einordnung: SPF schützt nur vor der Fälschung des technischen Absenders (Return-Path). Erst in Kombination mit DKIM und DMARC entfaltet deine Domain einen vollständigen Schutz gegen Spoofing.

Die Ausgangslage bei dogado: CloudPit vs. oneHome

Je nachdem, auf welcher Plattform dein Vertrag läuft, verwaltest du deine DNS-Records entweder in CloudPit oder in oneHome. Bei beiden Panels hinterlegst du einen TXT-Record auf der Hauptdomain.

Für das standardmäßige dogado-Webhosting lautet der empfohlene SPF-Record:

v=spf1 a mx include:secure-mailgate.com ~all

Der Include-Wert secure-mailgate.com verweist im Hintergrund auf die zentralen Versand-IPs von dogado (v=spf1 ip4:46.243.95.179 ip4:46.243.95.180).

Wichtiger Hinweis: Die Abweichung zwischen ~all und -all

Wer die Dokumentationen von dogado vergleicht, stößt auf eine interessante Abweichung zwischen den beiden Plattform-Anleitungen:

  • In der CloudPit-Anleitung empfiehlt dogado Softfail: v=spf1 a mx include:secure-mailgate.com ~all
  • In der oneHome-Anleitung dokumentiert dogado dagegen Hardfail: v=spf1 a mx include:secure-mailgate.com -all

Wir empfehlen für den Einstieg und regulären Betrieb ausdrücklich ~all (Softfail). Ein hartes -all führt bei automatischen E-Mail-Weiterleitungen (z. B. wenn Kunden E-Mails an ihre private Gmail-Adresse weiterleiten) häufig zu sofortigen Zustellabbruchen. Erst wenn dein Versand über DMARC strikt überwacht wird und Weiterleitungen über DKIM abgesichert sind, kann ein Wechsel zu -all erwogen werden.

Schritt-für-Schritt-Anleitung

1. Prüfen, ob bereits ein SPF-Record existiert

Frage im Terminal ab, ob deine Domain schon einen SPF-Record besitzt:

dig TXT beispiel.de +short | grep spf1

Gibt der Befehl einen String zurück, bearbeite den bestehenden Eintrag. Pro Domain darf es immer nur einen einzigen TXT-Record geben, der mit v=spf1 beginnt.

2. DNS-Verwaltung aufrufen

Der Weg zu den DNS-Einstellungen unterscheidet sich je nach Kundenportal:

Variante A: CloudPit Wie dogado dokumentiert: Melden Sie sich am CloudPit an. Danach navigierst du zur entsprechenden Domain: Klicken Sie anschließend auf den Punkt Webhosting und bei der entsprechenden Domain auf Aktionen und DNS-Verwaltung.

Variante B: oneHome In der alternativen Verwaltung: Zunächst loggen Sie sich ins oneHome ein. Öffne dort bei deiner Domain die Verwaltung der DNS-Einträge.

3. TXT-Record anlegen oder anpassen

Erstelle einen neuen TXT-Record (oder bearbeite den vorhandenen) mit folgenden Werten:

  • Name / Hostname: Das Feld bleibt für die Hauptdomain leer (Unter Name (7) fügen nichts ein und lassen das Feld leer.)
  • Wert / Text:
    v=spf1 a mx include:secure-mailgate.com ~all
  • TTL: Auf dem Standardwert belassen (Lassen Sie TTL (8) auf den Standardwert von 600.)

Speichere die Änderung ab.

4. Sonderfälle: Microsoft 365 oder Hosted Exchange bei dogado

Nutzt du über dogado nicht das normale Webhosting-Mailpaket, sondern Microsoft 365 oder Hosted Exchange, gelten abweichende Include-Ziele:

  • Für Microsoft 365 ohne Secure-Mailgate:
    v=spf1 a mx include:spf.protection.outlook.com ~all
  • Falls sowohl Webhosting als auch Microsoft 365 parallel versenden:
    v=spf1 a mx include:secure-mailgate.com include:spf.protection.outlook.com ~all
  • Für Hosted Exchange ohne Secure-Mailgate:
    v=spf1 include:hex2013.com ~all

Die Bestandteile im Detail

BestandteilBedeutung
v=spf1Versionskennung des SPF-Standards (muss am Anfang stehen)
a mxAutorisierte Server: Erlaubt den Versand über die A- und MX-Records der Domain
include:secure-mailgate.comAutorisiert die dogado-Mailgateways (v=spf1 ip4:46.243.95.179 ip4:46.243.95.180)
~allSoftfail: Nicht autorisierte Server werden als verdächtig markiert, Mails aber im Regelfall nicht sofort verworfen

Ergebnis prüfen

Prüfe nach dem Speichern mit dem kostenlosen MXAudit-Scanner, ob dein neuer Record korrekt im DNS verankert ist und wie viele DNS-Lookups er verbraucht.

Alternativ kannst du über das Terminal prüfen, ob genau ein Eintrag ausgeliefert wird:

dig TXT beispiel.de +short | grep spf1

Häufige Fehler

Zwei SPF-Records angelegt. Wer einen neuen TXT-Record erstellt, ohne einen alten zu löschen oder zusammenzuführen, erzeugt einen permerror. Führe alle benötigten include-Mechanismen immer in einem einzigen String zusammen.

Falsches Panel oder falscher Include verwechselt. Achte genau darauf, ob dein E-Mail-Verkehr über das reguläre Webhosting (include:secure-mailgate.com), Microsoft 365 oder Hosted Exchange läuft.

Zu frühes -all verwendet. Wer ohne DMARC-Überwachung sofort auf ein hartes -all schaltet, riskiert, dass legitime Weiterleitungen an externe Mailboxen abgewiesen werden.