Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung publiziert deine Domain einen korrekten SPF-Record. Empfangende Mailserver erkennen damit, welche Server in deinem Namen senden dürfen — und können gefälschte Absender aussortieren.

Diese Anleitung gilt für Netcup Webhosting. Auf vServern und Root-Servern betreibst du deinen eigenen Mailserver — dort schreibst du den SPF-Record passend zu deiner eigenen Infrastruktur.

Voraussetzungen

Was ist SPF?

SPF (Sender Policy Framework) ist ein TXT-Record im DNS deiner Domain. Er listet auf, welche Mailserver E-Mails mit deiner Domain als Absender verschicken dürfen. Empfangende Server schlagen den Record bei jeder eingehenden Mail nach und prüfen, ob der einliefernde Server auf der Liste steht. Ohne SPF kann jeder beliebige Server Mails in deinem Namen verschicken — und deine legitimen Mails landen schneller im Spam, weil große Empfänger wie Gmail SPF inzwischen schlicht erwarten.

Zur Einordnung: SPF allein ist noch kein vollständiger Schutz. Erst zusammen mit DKIM und DMARC wird daraus ein belastbares Fundament. SPF ist aber der einfachste Einstieg.

Die Ausgangslage bei Netcup

Im CCP gibt es keinen eigenen SPF-Record-Typ — SPF ist ein normaler TXT-Record auf dem Host @. Netcup dokumentiert für Webhosting genau diesen Wert:

v=spf1 mx a include:_spf.webhosting.systems ~all

Laut Netcup erlaubt der Record den Server hinter deinem A-Record, die Server hinter deinem MX-Record sowie das Netcup-Mail-Relay. Wichtig ist Netcups eigene Einschränkung: Der Record funktioniert nur wie vorgesehen, wenn die Standard-DNS-Einstellungen genutzt werden und E-Mails ausschließlich über die Mailserver des Produkts versendet werden — Versand über den Webserver (z. B. phpmail oder sendmail) oder über externe Mailserver ist ausdrücklich nicht abgedeckt.

Schritt-für-Schritt-Anleitung

1. Prüfen, ob SPF schon aktiv ist

Am schnellsten im Terminal:

dig TXT beispiel.de +short | grep spf1

Kommt ein Record mit v=spf1 zurück, publiziert deine Domain bereits SPF. Alternativ wirf deine Domain in den kostenlosen MXAudit-Scanner — der prüft den Record gleich auf Syntax und Lookup-Limit mit.

2. DNS-Einstellungen im CCP öffnen

Melde dich im CCP an und öffne den Menüpunkt Domains. Klicke auf das Lupen-Symbol neben deiner Domain und wechsle zum Reiter DNS.

3. TXT-Eintrag anlegen (oder bearbeiten)

Es darf nur einen SPF-Eintrag pro Domain geben. Existiert bereits ein TXT-Record mit v=spf1, bearbeite ihn; lege keinen zweiten an.

Fehlt der Eintrag, lege ihn so an:

FeldWert
Host@
TypeTXT
Destinationv=spf1 mx a include:_spf.webhosting.systems ~all

4. Zusätzliche Versender ergänzen (falls nötig)

Versendest du auch über andere Dienste — Newsletter-Tool, CRM, Shop-System — müssen deren Server ebenfalls in den Record. Den nötigen include-Wert findest du in der Doku des jeweiligen Dienstes (suche dort nach “SPF”). Bearbeite den bestehenden Eintrag und ergänze den include vor dem ~all:

v=spf1 mx a include:_spf.webhosting.systems include:spf.newsletter-dienst.de ~all

Behalte dabei das Lookup-Budget im Blick — dazu gleich mehr.

5. Warten, bis die Änderung aktiv ist

DNS-Änderungen brauchen Zeit: Je nach TTL und Caching kann es einige Stunden dauern, bis alle Server weltweit den neuen Record sehen.

Die Bestandteile im Detail

BestandteilBedeutung
v=spf1Versionskennung, steht immer am Anfang
mxerlaubt die Server hinter dem MX-Record deiner Domain
aerlaubt den Server hinter dem A-/AAAA-Record deiner Domain
include:_spf.webhosting.systemserlaubt die Netcup-Infrastruktur (verschachtelt IPv4- und IPv6-Listen)
~allSoftfail: alle anderen Server gelten als verdächtig, Mails werden aber meist noch angenommen

Das Lookup-Budget: SPF erlaubt maximal 10 DNS-Lookups pro Prüfung. Der Netcup-Standard-Record ist hier ungewöhnlich teuer: mx (1) + a (1) + include:_spf.webhosting.systems (1) — und dieser Include verschachtelt intern zwei weitere Includes für IPv4 und IPv6 (je 1). Macht 5 von 10 Lookups, bevor du auch nur einen externen Dienst ergänzt hast. Zwei, drei Newsletter- oder CRM-Includes später wird es eng; MXAudit zählt für dich mit.

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir sofort, ob dein SPF-Record syntaktisch korrekt ist und wie viele DNS-Lookups er verbraucht.

Oder direkt im Terminal:

dig TXT beispiel.de +short | grep spf1

Die Ausgabe muss genau einen Record mit v=spf1 enthalten.

Häufige Fehler

PHP-mail() und der Webserver-Versand. WordPress-Formulare & Co. versenden oft direkt über den Webserver — laut Netcup ist genau dieser Weg vom SPF-Record nicht abgedeckt und führt zu Zustellproblemen. Nutze stattdessen SMTP über die Netcup-Mailserver (z. B. per SMTP-Plugin im CMS).

Zwei SPF-Records. Zwei TXT-Einträge mit v=spf1 führen zu permerror — empfangende Server werten SPF dann gar nicht mehr aus. Alle Quellen gehören in einen einzigen Record.

DNS-Lookup-Limit überschritten. Der Netcup-Standard-Record verbraucht bereits 5 der 10 erlaubten Lookups (siehe oben). Wer viele Dienste einbindet, reißt das Limit schneller als bei anderen Hostern.

+all am Ende. Ein +all erlaubt jedem Server das Senden und macht den gesamten Record wirkungslos. Steht so noch in manchen alten Forenbeiträgen — nicht übernehmen.

Weiterleitungen schlagen fehl. Leitet ein Empfänger deine Mail automatisch weiter, schlägt SPF beim Endempfänger oft fehl — der weiterleitende Server steht ja nicht in deinem Record. Das ist eine Designschwäche von SPF und kein Konfigurationsfehler; DKIM und DMARC fangen diesen Fall ab.