Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung publiziert deine Domain einen korrekten SPF-Record. Empfangende Mailserver erkennen damit, welche Server in deinem Namen senden dürfen — und können gefälschte Absender aussortieren.

Voraussetzungen

  • Ein domainfactory-Account mit mindestens einer Domain
  • Zugang zum Kundenmenü

Was ist SPF?

SPF (Sender Policy Framework) ist ein TXT-Record im DNS deiner Domain. Er listet auf, welche Mailserver E-Mails mit deiner Domain als Absender verschicken dürfen. Empfangende Server schlagen den Record bei jeder eingehenden Mail nach und prüfen, ob der einliefernde Server auf der Liste steht. Ohne SPF kann jeder beliebige Server Mails in deinem Namen verschicken — und deine legitimen Mails landen schneller im Spam, weil große Empfänger wie Gmail SPF inzwischen schlicht erwarten.

Zur Einordnung: SPF allein ist noch kein vollständiger Schutz. Erst zusammen mit DKIM und DMARC wird daraus ein belastbares Fundament. SPF ist aber der einfachste Einstieg.

Die Ausgangslage bei domainfactory

domainfactory nimmt dir das Schreiben des Records ab: In den Nameserver-Einstellungen gibt es einen SPF-Assistenten. Du beantwortest drei Fragen zu deinem Versandverhalten, und das System generiert den passenden Eintrag — Profis können ihn anschließend über Manuell editieren anpassen.

Eine Besonderheit, die kein anderer großer deutscher Hoster so macht: Beim Speichern entstehen zwei SPF-Einträge — einer für ihre-domain.tld und einer für *.ihre-domain.tld. Der Wildcard-Eintrag deckt damit auch alle Subdomains ab, für die kein eigener Record existiert.

Schritt-für-Schritt-Anleitung

1. Prüfen, ob SPF schon aktiv ist

Am schnellsten im Terminal:

dig TXT beispiel.de +short | grep spf1

Kommt ein Record mit v=spf1 zurück, publiziert deine Domain bereits SPF. Alternativ wirf deine Domain in den kostenlosen MXAudit-Scanner — der prüft den Record gleich auf Syntax und Lookup-Limit mit.

2. Nameserver-Einstellungen öffnen

Logge dich ins Kundenmenü ein und wähle den Punkt Nameserver-Einstellungen. Klicke bei deiner Domain auf Editieren und dann auf Eintrag hinzufügen…

3. SPF-Assistent ausfüllen

Wähle bei Typ den Wert SPF. Jetzt zeigt die Eingabemaske drei Konfigurationsfragen:

OptionWas sie bedeutet
E-Mail-Versand durch SkriptsVersenden Formmailer, Shopsoftware oder CMS-Plugins Mails direkt vom Webspace? Dann muss die Webserver-IP mit in den Record.
SMTP-ServerNutzt du die domainfactory-Mailserver? Hier kannst du außerdem weitere eigene Mailserver eintragen.
VollständigkeitSind damit alle sendenden IP-Adressen erfasst — oder gibt es noch weitere SMTP-Server?

Unten zeigt die Maske den generierten SPF-Eintrag an. Passt alles, klicke auf Speichern — domainfactory legt dann die zwei Einträge an (Domain + Wildcard).

Die Skript-Frage ist die wichtigste. Ein WordPress-Kontaktformular ohne SMTP-Plugin versendet über den Webserver. Beantwortest du die Frage mit Nein, fehlt dessen IP im Record — und genau diese Mails landen im Spam.

4. Subdomains und neue Domains

Subdomain mit eigenem Versand (z. B. newsletter.beispiel.de): Lege einfach einen weiteren SPF-Eintrag an und trage die Subdomain ins Feld Hostname ein — der Eintrag gilt dann nur für sie.

Automatisch für neue Domains: Wechsle in den Nameserver-Einstellungen auf den Reiter Standardeinstellungen (falls nicht sichtbar: erst links oben Domainauswahl aufheben), füge dort einen SPF-Eintrag mit leerem Hostname hinzu — jede neu bestellte Domain bekommt den Eintrag dann automatisch.

5. Zusätzliche Versanddienste ergänzen (falls nötig)

Newsletter-Tool oder CRM trägst du über den Assistenten bei SMTP-Server ein — oder per Manuell editieren als include:-Wert aus der Doku des jeweiligen Dienstes. Wichtig bleibt: pro (Sub-)Domain nur ein SPF-Record.

6. Warten, bis die Änderung aktiv ist

DNS-Änderungen brauchen Zeit: Je nach TTL und Caching kann es einige Stunden dauern, bis alle Server weltweit den neuen Record sehen.

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir sofort, ob dein SPF-Record syntaktisch korrekt ist und wie viele DNS-Lookups er verbraucht (das Limit liegt bei 10).

Oder direkt im Terminal:

dig TXT beispiel.de +short | grep spf1

Die Ausgabe muss genau einen Record mit v=spf1 enthalten.

Häufige Fehler

Skript-Versand verneint, obwohl das CMS Mails verschickt. Kontaktformulare, Shop-Bestellbestätigungen und Plugin-Benachrichtigungen laufen oft über den Webserver. Fehlt dessen IP im Record, scheitern genau diese Mails — die Assistent-Frage „E-Mail-Versand durch Skripts” ehrlich beantworten oder auf SMTP-Versand umstellen.

„Vollständigkeit” zu optimistisch beantwortet. Wer angibt, alle IPs seien erfasst, obwohl noch ein CRM oder Newsletter-Dienst sendet, sperrt diese Dienste aus.

Zweiten Record manuell angelegt. Auch bei domainfactory gilt: pro (Sub-)Domain nur ein SPF-Eintrag — zwei v=spf1-Records ergeben permerror. Der Assistent macht das richtig; Vorsicht bei manueller Nacharbeit.

+all beim manuellen Editieren. Ein +all erlaubt jedem Server das Senden und macht den gesamten Record wirkungslos — nicht übernehmen.

Weiterleitungen schlagen fehl. Leitet ein Empfänger deine Mail automatisch weiter, schlägt SPF beim Endempfänger oft fehl — der weiterleitende Server steht ja nicht in deinem Record. Das ist eine Designschwäche von SPF und kein Konfigurationsfehler; DKIM und DMARC fangen diesen Fall ab.