Stand: Juli 2026
Zusammenfassung: Mit diesem Guide erstellst du einen gültigen SPF-Record für dein dogado-Webhosting (über CloudPit oder oneHome). Empfangende Server können so autorisierte E-Mails klar identifizieren und Phishing im Namen deiner Domain blockieren.
Voraussetzungen
- Ein aktives Webhosting oder E-Mail-Hosting bei dogado
- Zugang zu deinem Kundenportal — je nach Tarif CloudPit oder oneHome
Was ist SPF?
SPF (Sender Policy Framework) ist ein Sicherheitsstandard, der im DNS deiner Domain als TXT-Record hinterlegt wird. Wie dogado in den eigenen Anleitungen treffend zusammenfasst: SPF wird verwendet, um Spammer davon abzuhalten, eine E-Mail-Adresse Ihrer Domain als Absender-Adresse zu nutzen.
Wenn ein fremder Server eine E-Mail unter deiner Domain empfängt, prüft er über den SPF-Eintrag, ob die sendende IP-Adresse autorisiert ist. Fehlt dieser Eintrag oder ist er fehlerhaft, werden selbst deine legitimen Geschäftsmails leicht abgewiesen oder landen im Spam.
Zur Einordnung: SPF schützt nur vor der Fälschung des technischen Absenders (Return-Path). Erst in Kombination mit DKIM und DMARC entfaltet deine Domain einen vollständigen Schutz gegen Spoofing.
Die Ausgangslage bei dogado: CloudPit vs. oneHome
Je nachdem, auf welcher Plattform dein Vertrag läuft, verwaltest du deine DNS-Records entweder in CloudPit oder in oneHome. Bei beiden Panels hinterlegst du einen TXT-Record auf der Hauptdomain.
Für das standardmäßige dogado-Webhosting lautet der empfohlene SPF-Record:
v=spf1 a mx include:secure-mailgate.com ~all
Der Include-Wert secure-mailgate.com verweist im Hintergrund auf die zentralen Versand-IPs von dogado (v=spf1 ip4:46.243.95.179 ip4:46.243.95.180).
Wichtiger Hinweis: Die Abweichung zwischen ~all und -all
Wer die Dokumentationen von dogado vergleicht, stößt auf eine interessante Abweichung zwischen den beiden Plattform-Anleitungen:
- In der CloudPit-Anleitung empfiehlt dogado Softfail:
v=spf1 a mx include:secure-mailgate.com ~all - In der oneHome-Anleitung dokumentiert dogado dagegen Hardfail:
v=spf1 a mx include:secure-mailgate.com -all
Wir empfehlen für den Einstieg und regulären Betrieb ausdrücklich ~all (Softfail). Ein hartes -all führt bei automatischen E-Mail-Weiterleitungen (z. B. wenn Kunden E-Mails an ihre private Gmail-Adresse weiterleiten) häufig zu sofortigen Zustellabbruchen. Erst wenn dein Versand über DMARC strikt überwacht wird und Weiterleitungen über DKIM abgesichert sind, kann ein Wechsel zu -all erwogen werden.
Schritt-für-Schritt-Anleitung
1. Prüfen, ob bereits ein SPF-Record existiert
Frage im Terminal ab, ob deine Domain schon einen SPF-Record besitzt:
dig TXT beispiel.de +short | grep spf1
Gibt der Befehl einen String zurück, bearbeite den bestehenden Eintrag. Pro Domain darf es immer nur einen einzigen TXT-Record geben, der mit v=spf1 beginnt.
2. DNS-Verwaltung aufrufen
Der Weg zu den DNS-Einstellungen unterscheidet sich je nach Kundenportal:
Variante A: CloudPit
Wie dogado dokumentiert: Melden Sie sich am CloudPit an. Danach navigierst du zur entsprechenden Domain: Klicken Sie anschließend auf den Punkt Webhosting und bei der entsprechenden Domain auf Aktionen und DNS-Verwaltung.
Variante B: oneHome
In der alternativen Verwaltung: Zunächst loggen Sie sich ins oneHome ein. Öffne dort bei deiner Domain die Verwaltung der DNS-Einträge.
3. TXT-Record anlegen oder anpassen
Erstelle einen neuen TXT-Record (oder bearbeite den vorhandenen) mit folgenden Werten:
- Name / Hostname: Das Feld bleibt für die Hauptdomain leer (
Unter Name (7) fügen nichts ein und lassen das Feld leer.) - Wert / Text:
v=spf1 a mx include:secure-mailgate.com ~all - TTL: Auf dem Standardwert belassen (
Lassen Sie TTL (8) auf den Standardwert von 600.)
Speichere die Änderung ab.
4. Sonderfälle: Microsoft 365 oder Hosted Exchange bei dogado
Nutzt du über dogado nicht das normale Webhosting-Mailpaket, sondern Microsoft 365 oder Hosted Exchange, gelten abweichende Include-Ziele:
- Für Microsoft 365 ohne Secure-Mailgate:
v=spf1 a mx include:spf.protection.outlook.com ~all - Falls sowohl Webhosting als auch Microsoft 365 parallel versenden:
v=spf1 a mx include:secure-mailgate.com include:spf.protection.outlook.com ~all - Für Hosted Exchange ohne Secure-Mailgate:
v=spf1 include:hex2013.com ~all
Die Bestandteile im Detail
| Bestandteil | Bedeutung |
|---|---|
v=spf1 | Versionskennung des SPF-Standards (muss am Anfang stehen) |
a mx | Autorisierte Server: Erlaubt den Versand über die A- und MX-Records der Domain |
include:secure-mailgate.com | Autorisiert die dogado-Mailgateways (v=spf1 ip4:46.243.95.179 ip4:46.243.95.180) |
~all | Softfail: Nicht autorisierte Server werden als verdächtig markiert, Mails aber im Regelfall nicht sofort verworfen |
Ergebnis prüfen
Prüfe nach dem Speichern mit dem kostenlosen MXAudit-Scanner, ob dein neuer Record korrekt im DNS verankert ist und wie viele DNS-Lookups er verbraucht.
Alternativ kannst du über das Terminal prüfen, ob genau ein Eintrag ausgeliefert wird:
dig TXT beispiel.de +short | grep spf1
Häufige Fehler
Zwei SPF-Records angelegt. Wer einen neuen TXT-Record erstellt, ohne einen alten zu löschen oder zusammenzuführen, erzeugt einen permerror. Führe alle benötigten include-Mechanismen immer in einem einzigen String zusammen.
Falsches Panel oder falscher Include verwechselt. Achte genau darauf, ob dein E-Mail-Verkehr über das reguläre Webhosting (include:secure-mailgate.com), Microsoft 365 oder Hosted Exchange läuft.
Zu frühes -all verwendet. Wer ohne DMARC-Überwachung sofort auf ein hartes -all schaltet, riskiert, dass legitime Weiterleitungen an externe Mailboxen abgewiesen werden.
Weiterführende Links
- dogado Hilfe: Hinzufügen eines SPF-Records (oneHome) (abgerufen: 17. Juli 2026)
- dogado Hilfe: SPF Record erstellen (CloudPit) (abgerufen: 17. Juli 2026)
- RFC 7208 — Sender Policy Framework (SPF)
