Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung hat deine Domain einen korrekten SPF-Record. Empfangende Mailserver erkennen damit, welche Server in deinem Namen senden dürfen — und können gefälschte Absender aussortieren.
Voraussetzungen
- Ein IONOS-Vertrag mit mindestens einer Domain
- Zugang zum IONOS Konto (login.ionos.de)
Was ist SPF?
SPF (Sender Policy Framework) ist ein TXT-Record im DNS deiner Domain. Er listet auf, welche Mailserver E-Mails mit deiner Domain als Absender verschicken dürfen. Empfangende Server schlagen den Record bei jeder eingehenden Mail nach und prüfen, ob der einliefernde Server auf der Liste steht. Ohne SPF kann jeder beliebige Server Mails in deinem Namen verschicken — ein offenes Tor für Phishing. Fehlt der Eintrag, landen deine Mails außerdem schnell im Spam: Gmail und andere große Empfänger erwarten SPF inzwischen schlicht.
Zur Einordnung: SPF allein ist noch kein vollständiger Schutz. Erst zusammen mit DKIM und DMARC wird daraus ein belastbares Fundament. SPF ist aber der einfachste Einstieg.
Die Ausgangslage bei IONOS
Die gute Nachricht zuerst: IONOS SPF ist standardmäßig für alle bei IONOS gehosteten Domains aktiv. Wenn Domain und Postfächer bei IONOS liegen, existiert der Record in der Regel schon — IONOS pflegt ihn als vordefinierten Eintrag selbst. Deine Aufgabe ist also meist nur: prüfen, dass er wirklich da ist. Handeln musst du, wenn der Eintrag fehlt, wenn deine DNS-Zone bei einem anderen Anbieter liegt oder wenn zusätzliche Dienste in deinem Namen senden sollen.
Schritt-für-Schritt-Anleitung
1. Prüfen, ob SPF schon aktiv ist
Am schnellsten im Terminal:
dig TXT beispiel.de +short | grep spf1
Kommt ein Record mit v=spf1 zurück, ist SPF aktiv. Alternativ wirf deine Domain in den kostenlosen MXAudit-Scanner — der prüft den Record gleich auf Syntax und Lookup-Limit mit.
Im IONOS Konto siehst du den Eintrag in der DNS-Übersicht deiner Domain mit dem Dienstvermerk SPF.
2. DNS-Verwaltung öffnen
Melde dich unter login.ionos.de an und klicke in der Titelleiste auf Menü → Domains & SSL. Klicke in der Domain-Übersicht neben deiner Domain auf die drei Punkte → DNS.
3. IONOS SPF aktivieren (falls der Record fehlt)
Klicke auf Record hinzufügen und wähle IONOS SPF (TXT) — dann Speichern.
Achtung: Wähle wirklich IONOS SPF (TXT) und nicht SPF (TXT). Der IONOS-SPF-Eintrag ist vordefiniert und wird von IONOS gepflegt; beim generischen SPF-Eintrag musst du den Wert selbst schreiben und aktuell halten.
Praktisch: Existiert für die Domain bereits ein SPF-Eintrag eines anderen E-Mail-Dienstes, ergänzt IONOS ihn beim Aktivieren automatisch um die IONOS-Server — die beiden werden also zusammengeführt statt sich gegenseitig zu blockieren.
4. Domain bei einem anderen DNS-Anbieter? (externer DNS)
Nutzt du IONOS-Postfächer, verwaltest deine DNS-Zone aber woanders (z. B. bei einem reinen DNS-Hoster), legst du dort selbst einen TXT-Record mit genau diesem Wert an:
v=spf1 include:_spf-eu.ionos.com ~all
5. Zusätzliche Versender ergänzen (falls nötig)
Versendest du auch über andere Dienste — Newsletter-Tool, CRM, Shop-System — müssen deren Server ebenfalls in den Record. Den nötigen include-Wert findest du in der Doku des jeweiligen Dienstes (suche dort nach “SPF”).
Bearbeite dafür den bestehenden TXT-Record und ergänze den neuen include vor dem ~all:
v=spf1 include:_spf-eu.ionos.com include:spf.newsletter-dienst.de ~all
Wichtig: Pro Domain darf es nur einen SPF-Record geben. Zwei TXT-Records mit v=spf1 ergeben einen permerror — empfangende Server werten SPF dann gar nicht mehr aus. Das ist schlechter als gar kein SPF.
6. Warten, bis die Änderung aktiv ist
Laut IONOS kann es bis zu 48 Stunden dauern, bis die Änderung weltweit verteilt und der SPF-Eintrag überall wirksam ist.
Die Bestandteile im Detail
| Bestandteil | Bedeutung |
|---|---|
v=spf1 | Versionskennung, steht immer am Anfang |
include:_spf-eu.ionos.com | erlaubt alle IONOS-Mailserver (IPv4- und IPv6-Bereiche); kostet genau einen DNS-Lookup |
~all | Softfail: alle anderen Server gelten als verdächtig, Mails werden aber meist noch angenommen |
Statt ~all kannst du -all (Hardfail) setzen — nicht gelistete Server werden dann hart abgelehnt. Mach das erst, wenn du sicher bist, dass wirklich alle deine Versandwege im Record stehen. Sonst verlierst du legitime Mails.
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir sofort, ob dein SPF-Record syntaktisch korrekt ist und wie viele DNS-Lookups er verbraucht (das Limit liegt bei 10).
Oder direkt im Terminal:
dig TXT beispiel.de +short | grep spf1
Die Ausgabe muss genau einen Record mit v=spf1 enthalten.
Häufige Fehler
Zwei SPF-Records. Zwei TXT-Einträge mit v=spf1 führen zu permerror. Alle include-Anweisungen gehören in einen einzigen Record.
Veraltete Includes aus alten Anleitungen. Im Netz kursieren noch Anleitungen mit include:_spf.kundenserver.de oder include:_spf.perfora.net — die alten 1&1-Includes. Sie existieren zwar noch, aktuell empfiehlt IONOS für Europa aber include:_spf-eu.ionos.com; der Include deckt auch die IPv6-Bereiche ab, die den Legacy-Einträgen fehlen.
SPF (TXT) statt IONOS SPF (TXT) gewählt. Dann bekommst du ein leeres TXT-Formular statt des von IONOS gepflegten Eintrags — und musst jede Änderung an der IONOS-Infrastruktur selbst nachziehen.
DNS-Lookup-Limit überschritten. SPF erlaubt maximal 10 DNS-Lookups pro Prüfung. Jedes include:, a, mx, exists: und redirect= zählt — auch verschachtelt. Der IONOS-Include kostet einen Lookup; wer viele Dienste einbindet, reißt das Limit schneller als gedacht. MXAudit zählt die Lookups für dich mit.
+all am Ende. Ein +all erlaubt jedem Server das Senden und macht den gesamten Record wirkungslos. Steht so noch in manchen alten Forenbeiträgen — nicht übernehmen.
Weiterleitungen schlagen fehl. Leitet ein Empfänger deine Mail automatisch weiter, schlägt SPF beim Endempfänger oft fehl — der weiterleitende Server steht ja nicht in deinem Record. Das ist eine Designschwäche von SPF und kein Konfigurationsfehler; DKIM und DMARC fangen diesen Fall ab.
Weiterführende Links
- IONOS Hilfe: IONOS SPF — Damit Ihre E-Mails gut ankommen (abgerufen: 9. Juli 2026)
- RFC 7208 — Sender Policy Framework (SPF)
