Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung publiziert deine Domain bei OVHcloud einen korrekten SPF-Record. Empfangende Mailserver erkennen damit, welche Server in deinem Namen senden dürfen — und können gefälschte Absender aussortieren.
Voraussetzungen
- Eine Domain, deren DNS-Zone bei OVHcloud liegt (die Domain muss die OVHcloud-DNS-Server nutzen)
- Zugang zum OVHcloud Control Panel
- Ein OVHcloud-Mail-Angebot (MX Plan, Email Pro, Exchange) oder ein externer Versanddienst
Was ist SPF?
SPF (Sender Policy Framework) ist ein TXT-Record im DNS deiner Domain. Er listet auf, welche Mailserver E-Mails mit deiner Domain als Absender verschicken dürfen. Empfangende Server schlagen den Record bei jeder eingehenden Mail nach und prüfen, ob der einliefernde Server auf der Liste steht. Ohne SPF kann jeder beliebige Server Mails in deinem Namen verschicken — und deine legitimen Mails landen schneller im Spam, weil große Empfänger wie Gmail SPF inzwischen schlicht erwarten.
OVHcloud beschreibt den Qualifier am Ende des Records treffend: Er „will recommend to the server receiving the emails a way to react to a message considered illegitimate“ — also aus einer Quelle, die nicht gelistet ist.
Zur Einordnung: SPF allein ist noch kein vollständiger Schutz. Erst zusammen mit DKIM und DMARC wird daraus ein belastbares Fundament. SPF ist aber der einfachste Einstieg.
Die Ausgangslage bei OVHcloud
Die Voraussetzung geht klar aus OVHclouds eigener Doku hervor: „The domain name concerned must use the OVHcloud configuration“ — also die OVHcloud-DNS-Server. Löst deine Domain über Nameserver woanders auf, pflegst du SPF stattdessen in der Oberfläche jenes Anbieters.
OVHcloud veröffentlicht einen gemeinsamen SPF-Wert, der alle Standard-Mail-Angebote abdeckt — MX Plan (einzeln oder im OVHcloud-Webhosting enthalten), E-mail Pro und Hosted Exchange:
v=spf1 include:mx.ovh.com ~all
Der DNS-Zonen-Assistent bietet sogar eine Ein-Klick-Option, um genau diesen Record anzulegen.
Schritt-für-Schritt-Anleitung
1. Prüfen, ob SPF schon aktiv ist
Am schnellsten im Terminal:
dig TXT beispiel.de +short | grep spf1
Kommt ein Record mit v=spf1 zurück, publiziert deine Domain bereits SPF. Alternativ wirf deine Domain in den kostenlosen MXAudit-Scanner — der prüft den Record gleich auf Syntax und Lookup-Limit mit.
2. DNS-Zone öffnen
Melde dich im OVHcloud Control Panel an und wechsle oben in der Navigation zu Web Cloud. Wähle im Bereich Domain names die betreffende Domain und klicke auf den Reiter DNS zone. Die Tabelle zeigt pro DNS-Record eine Zeile.
3. Den OVHcloud-SPF-Record anlegen (nur OVH-Mail)
Klicke im rechten Menü auf Add an entry. Der Assistent bietet mehrere Wege, einen SPF-Record hinzuzufügen. Wer ausschließlich über OVHcloud-Mail versendet, wählt Add an OVHcloud SPF record: den Record-Typ SPF auswählen, auf den Button Use the SPF for OVHcloud web hosting klicken und mit Confirm bestätigen. Das publiziert genau:
v=spf1 include:mx.ovh.com ~all
Das include:mx.ovh.com lässt OVHcloud die dahinterliegenden IP-Bereiche für dich verwalten; das abschließende ~all ist ein Softfail.
4. Zusätzliche Versender ergänzen (falls nötig)
Versendest du auch über andere Dienste — Newsletter-Tool, CRM, Shop-System — reicht der OVHcloud-Ein-Klick-Record allein nicht mehr. Wähle stattdessen im Assistenten Add a TXT record und trage die vollständige Zeichenkette selbst ein, indem du den OVHcloud-Include mit deinen weiteren Quellen kombinierst:
v=spf1 include:mx.ovh.com include:spf.newsletter-dienst.de ~all
Ein zweites Beispiel, Versand über OVHcloud plus Google Workspace:
v=spf1 include:mx.ovh.com include:_spf.google.com ~all
Wichtig: Pro Domain darf es nur einen SPF-Record geben. Zwei TXT-Records mit v=spf1 ergeben einen permerror — empfangende Server werten SPF dann gar nicht mehr aus. Das ist schlechter als gar kein SPF.
5. Warten, bis die Änderung aktiv ist
OVHcloud sagt es klar: „It can take between 4 and 24 hours until the configuration is fully effectual.“ Beurteile das Ergebnis also nicht in den ersten Minuten.
Die Bestandteile im Detail
| Bestandteil | Bedeutung |
|---|---|
v=spf1 | Versionskennung, steht immer am Anfang |
include:mx.ovh.com | autorisiert OVHclouds ausgehende Mailserver (MX Plan, Email Pro, Exchange); OVHcloud pflegt die IPs dahinter |
~all | Softfail — nicht gelistete Server werden akzeptiert, aber markiert; -all (Hardfail) ist strenger |
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir sofort, ob dein SPF-Record syntaktisch korrekt ist und wie viele DNS-Lookups er verbraucht (das Limit liegt bei 10).
Oder direkt im Terminal:
dig TXT beispiel.de +short | grep spf1
Die Ausgabe muss genau einen Record mit v=spf1 enthalten.
Häufige Fehler
Zwei SPF-Records. Zwei TXT-Einträge mit v=spf1 führen zu permerror. Alle Quellen gehören in einen einzigen Record.
Domain nicht auf OVHcloud-DNS. Der SPF-Assistent schreibt nur in die OVHcloud-DNS-Zone. Löst deine Domain über externe Nameserver auf, muss der Record stattdessen in die Zone jenes Anbieters.
Ein-Klick-Record plus weitere Versender. Der OVHcloud-Ein-Klick-SPF publiziert nur include:mx.ovh.com ~all. Versendest du zusätzlich über einen Newsletter- oder CRM-Dienst, stelle auf einen eigenen TXT-Record um und ergänze die weiteren include:-Quellen — sonst scheitern diese Mails an SPF.
+all am Ende. Ein +all erlaubt jedem Server das Senden und macht den gesamten Record wirkungslos. Niemals aus alten Forenbeiträgen übernehmen.
Weiterleitungen schlagen fehl. Leitet ein Empfänger deine Mail automatisch weiter, schlägt SPF beim Endempfänger oft fehl — der weiterleitende Server steht ja nicht in deinem Record. Das ist eine Designschwäche von SPF und kein Konfigurationsfehler; DKIM und DMARC fangen diesen Fall ab.
Weiterführende Links
- OVHcloud: How to improve email security with an SPF record (englisch; abgerufen: 10. Juli 2026)
- OVHcloud: Editing an OVHcloud DNS zone (englisch; abgerufen: 10. Juli 2026)
- RFC 7208 — Sender Policy Framework (SPF)
