Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung hat deine Domain einen korrekten SPF-Record in Gandis LiveDNS. Empfangende Mailserver erkennen damit, welche Server in deinem Namen senden dürfen — und können gefälschte Absender aussortieren.

Voraussetzungen

  • Eine Domain bei Gandi mit Gandi LiveDNS (den Standard-Nameservern)
  • Zugang zum Gandi-Konto (admin.gandi.net)

Was ist SPF?

SPF (Sender Policy Framework) ist ein TXT-Record im DNS deiner Domain. Gandi bringt es auf den Punkt: Er teilt öffentlich mit, welche IP-Adressen für die Domain senden dürfen. Empfangende Server schlagen den Record bei jeder eingehenden Mail nach und prüfen, ob der einliefernde Server auf der Liste steht. Ohne SPF kann jeder beliebige Server Mails in deinem Namen verschicken — ein offenes Tor für Phishing. Fehlt der Eintrag, landen deine Mails außerdem schnell im Spam: Gmail und andere große Empfänger erwarten SPF inzwischen schlicht.

Zur Einordnung: SPF allein ist noch kein vollständiger Schutz. Erst zusammen mit DKIM und DMARC wird daraus ein belastbares Fundament. SPF ist aber der einfachste Einstieg.

Die Ausgangslage bei Gandi

Gandi ist beides: Registrar mit LiveDNS und Mailhoster (Gandi Mail). Wenn du über Gandis Mailserver versendest, veröffentlichst du einen SPF-Record, der sie über einen einzigen include autorisiert. Anders als DKIM wird SPF nicht automatisch aktiviert — den TXT-Record legst du selbst an. Welcher Wert nötig ist, hängt davon ab, wie du versendest:

  • Gandi Mail (Postfächer bei Gandi) → der Mail-Include
  • Gandi Web Hosting, das Mails versendet (z. B. ein Kontaktformular) → der Web-Hosting-Include
  • beides → ein kombinierter Record

Schritt-für-Schritt-Anleitung

1. Prüfen, ob SPF schon aktiv ist

Am schnellsten im Terminal:

dig TXT beispiel.de +short | grep spf1

Kommt ein Record mit v=spf1 zurück, ist SPF aktiv. Alternativ wirf deine Domain in den kostenlosen MXAudit-Scanner — der prüft den Record gleich auf Syntax und Lookup-Limit mit.

2. Die DNS-Records in LiveDNS öffnen

Melde dich unter admin.gandi.net an, klicke im linken Menü auf Domain und wähle die zu verwaltende Domain aus. Öffne den Reiter DNS Records.

3. Den SPF-Record anlegen

Klicke auf den grünen Add-Button über der Tabelle, um einen neuen Record anzulegen. Wähle den Typ TXT, setze den Namen auf @ (die nackte Domain) und trage den Wert ein, der zu deinem Setup passt.

Wenn du über Gandis Mailserver versendest:

v=spf1 include:_mailcust.gandi.net ?all

Wenn eine bei Gandi Web Hosting gehostete Website Mails versendet:

v=spf1 include:_spf.gpaas.net ?all

Nutzt du beides — Gandi Mail und eine bei Gandi gehostete Website, die Mails versendet — kombiniere beides in einem Record:

v=spf1 include:_mailcust.gandi.net include:_spf.gpaas.net ?all

Der Web-Hosting-Include ist nur nötig, wenn du wirklich Mails über deine Website versendest (etwa über ein Kontaktformular). Versendet deine Website nie Mails, lass ihn weg.

4. Zusätzliche Versender ergänzen (falls nötig)

Versendest du auch über andere Dienste — Newsletter-Tool, CRM, Shop-System — müssen deren Server ebenfalls in den Record. Den nötigen include-Wert findest du in der Doku des jeweiligen Dienstes (suche dort nach “SPF”). Bearbeite dafür den bestehenden TXT-Record und ergänze den neuen include vor dem ?all:

v=spf1 include:_mailcust.gandi.net include:spf.newsletter-dienst.de ?all

Wichtig: Pro Domain darf es nur einen SPF-Record geben. Zwei TXT-Records mit v=spf1 ergeben einen permerror — empfangende Server werten SPF dann gar nicht mehr aus. Das ist schlechter als gar kein SPF.

5. Warten, bis die Änderung aktiv ist

In LiveDNS wird ein neuer Record in Echtzeit übernommen, durch DNS-Caching kann es aber ein paar Stunden dauern — laut Gandi bis zu 72 Stunden, bis die Änderung überall wirksam ist.

Die Bestandteile im Detail

BestandteilBedeutung
v=spf1Versionskennung, steht immer am Anfang
include:_mailcust.gandi.neterlaubt Gandis Mailserver
include:_spf.gpaas.neterlaubt Gandi Web Hosting (nur wenn deine Website Mails versendet)
?allneutral: andere Server werden weder bestätigt noch abgelehnt

Gandis fertige Records enden auf ?all (neutral). Strenger sind ~all (Softfail) oder -all (Hardfail), bei denen nicht gelistete Server als verdächtig gelten bzw. hart abgelehnt werden. Stell erst auf -all um, wenn du sicher bist, dass wirklich alle deine Versandwege im Record stehen — sonst verlierst du legitime Mails.

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir sofort, ob dein SPF-Record syntaktisch korrekt ist und wie viele DNS-Lookups er verbraucht (das Limit liegt bei 10).

Oder direkt im Terminal:

dig TXT beispiel.de +short | grep spf1

Die Ausgabe muss genau einen Record mit v=spf1 enthalten.

Häufige Fehler

Zwei SPF-Records. Zwei TXT-Einträge mit v=spf1 führen zu permerror. Alle include-Anweisungen gehören in einen einzigen Record.

Web-Hosting-Include ohne Web Hosting. include:_spf.gpaas.net gehört nur in den Record, wenn eine bei Gandi gehostete Website tatsächlich Mails versendet. Sonst lass ihn weg — er ist ein unnötiger Lookup.

DNS-Lookup-Limit überschritten. SPF erlaubt maximal 10 DNS-Lookups pro Prüfung. Jedes include:, a, mx, exists: und redirect= zählt — auch verschachtelt. MXAudit zählt die Lookups für dich mit.

+all am Ende. Ein +all erlaubt jedem Server das Senden und macht den gesamten Record wirkungslos. Nicht aus alten Forenbeiträgen übernehmen.

Weiterleitungen schlagen fehl. Leitet ein Empfänger deine Mail automatisch weiter, schlägt SPF beim Endempfänger oft fehl — der weiterleitende Server steht ja nicht in deinem Record. Das ist eine Designschwäche von SPF und kein Konfigurationsfehler; DKIM und DMARC fangen diesen Fall ab.