Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung publiziert deine Domain einen korrekten SPF-Record. Empfangende Mailserver erkennen damit, welche Server in deinem Namen senden dürfen — und können gefälschte Absender aussortieren.

Voraussetzungen

Was ist SPF?

SPF (Sender Policy Framework) ist ein TXT-Record im DNS deiner Domain. Er listet auf, welche Mailserver E-Mails mit deiner Domain als Absender verschicken dürfen. Empfangende Server schlagen den Record bei jeder eingehenden Mail nach und prüfen, ob der einliefernde Server auf der Liste steht. Ohne SPF kann jeder beliebige Server Mails in deinem Namen verschicken — und deine legitimen Mails landen schneller im Spam, weil große Empfänger wie Gmail SPF inzwischen schlicht erwarten.

Zur Einordnung: SPF allein ist noch kein vollständiger Schutz. Erst zusammen mit DKIM und DMARC wird daraus ein belastbares Fundament. SPF ist aber der einfachste Einstieg.

Die Ausgangslage bei Strato

Strato löst SPF anders als viele Anbieter: In den DNS-Einstellungen gibt es vordefinierte SPF-Regeln, die du per Klick aktivierst — die wichtigste heißt Standard STRATO Mailserver. Alternativ kannst du eine benutzerdefinierte TXT-Regel anlegen.

Ein Wort zur Strato-Dokumentation, weil sie hier verwirrt: Die DNS-FAQ schreibt, in den meisten Fällen reiche die Einstellung »Keine STRATO SPF-Regel« — während Stratos eigene FAQ zu Zustellproblemen empfiehlt, genau so einen SPF-Record anzulegen (z. B. »Standard STRATO Mailserver«), wenn Mails im Spam landen. Unsere Empfehlung ist eindeutig: publiziere den Record. Ein fehlender SPF-Record ist heute ein Zustellrisiko, kein Normalzustand.

Schritt-für-Schritt-Anleitung

1. Prüfen, ob SPF schon aktiv ist

Am schnellsten im Terminal:

dig TXT beispiel.de +short | grep spf1

Kommt ein Record mit v=spf1 zurück, publiziert deine Domain bereits SPF. Alternativ wirf deine Domain in den kostenlosen MXAudit-Scanner — der prüft den Record gleich auf Syntax und Lookup-Limit mit.

2. DNS-Einstellungen öffnen

Melde dich im Strato Kunden-Login an und wähle DomainsDomainverwaltung. Klicke in der Domainübersicht bei deiner Domain auf das Zahnrad und öffne den Reiter DNS.

3. Vordefinierte SPF-Regel aktivieren

Wähle bei den SPF-Einstellungen die vordefinierte Regel Standard STRATO Mailserver. Damit autorisiert deine Domain die Strato-Mailserver — passend, solange du ausschließlich über Strato versendest (Webmail oder IMAP/SMTP-Postfächer).

Die Optionen Fail und Softfail steuern, wie streng nicht autorisierte Server behandelt werden; Fail empfiehlt Strato bei Verwendung eines alternativen E-Mail-Servers mit eigenem MX-Record.

4. Eigene Nameserver oder externe DNS-Zone?

Wenn du eigene Nameserver gesetzt hast, aber weiterhin Stratos Shared-Hosting-Mail nutzt (MX zeigt auf Strato), musst du den SPF-Record dort selbst pflegen. Strato dokumentiert dafür genau diesen Wert:

v=spf1 redirect=_spf.strato.com

Das redirect= bedeutet: Deine Domain übernimmt die SPF-Richtlinie von _spf.strato.com vollständig — inklusive deren striktem -all (Hardfail) am Ende. Der Verweis kostet genau einen DNS-Lookup; dahinter steht eine flache Liste von IPv4- und IPv6-Bereichen der Strato-Infrastruktur.

5. Zusätzliche Versender ergänzen (falls nötig)

Versendest du auch über andere Dienste — Newsletter-Tool, CRM, Shop-System — passt das redirect=-Konstrukt nicht mehr: Ein Redirect delegiert die komplette Richtlinie und lässt sich nicht mit weiteren Quellen kombinieren. Stelle in dem Fall auf die include-Form um und ergänze deine Dienste:

v=spf1 include:_spf.strato.com include:spf.newsletter-dienst.de ~all

Wichtig: Pro Domain darf es nur einen SPF-Record geben. Zwei TXT-Records mit v=spf1 ergeben einen permerror — empfangende Server werten SPF dann gar nicht mehr aus. Das ist schlechter als gar kein SPF.

6. Warten, bis die Änderung aktiv ist

DNS-Änderungen brauchen Zeit: Je nach TTL und Caching kann es einige Stunden dauern, bis alle Server weltweit den neuen Record sehen.

Die Bestandteile im Detail

BestandteilBedeutung
v=spf1Versionskennung, steht immer am Anfang
redirect=_spf.strato.comübernimmt die komplette SPF-Richtlinie von Strato (IPv4- und IPv6-Bereiche, endet mit -all)
include:_spf.strato.comerlaubt die Strato-Server, lässt sich aber mit weiteren Quellen und eigenem ~all/-all kombinieren

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir sofort, ob dein SPF-Record syntaktisch korrekt ist und wie viele DNS-Lookups er verbraucht (das Limit liegt bei 10).

Oder direkt im Terminal:

dig TXT beispiel.de +short | grep spf1

Die Ausgabe muss genau einen Record mit v=spf1 enthalten.

Häufige Fehler

Zwei SPF-Records. Zwei TXT-Einträge mit v=spf1 führen zu permerror. Alle Quellen gehören in einen einzigen Record.

redirect= mit weiteren Mechanismen kombiniert. Ein redirect= wird nur ausgewertet, wenn vorher kein Mechanismus gegriffen hat. Steht im selben Record noch ein ~all oder -all, greift das immer zuerst — der Redirect ist dann totes Anhängsel. Entweder redirect= allein oder include: mit eigenem all-Abschluss.

Voller Hostname im Präfix-Feld. Strato ergänzt den Wert im Feld »Präfix« automatisch um den Domainnamen. Trägst du beispiel.de dort ein, entsteht beispiel.de.beispiel.de — der Record landet an der falschen Stelle. Nur den Teil vor der Domain eintragen, für den SPF-Record der Hauptdomain bleibt das Feld leer.

+all am Ende. Ein +all erlaubt jedem Server das Senden und macht den gesamten Record wirkungslos. Steht so noch in manchen alten Forenbeiträgen — nicht übernehmen.

Weiterleitungen schlagen fehl. Leitet ein Empfänger deine Mail automatisch weiter, schlägt SPF beim Endempfänger oft fehl — der weiterleitende Server steht ja nicht in deinem Record. Das ist eine Designschwäche von SPF und kein Konfigurationsfehler; DKIM und DMARC fangen diesen Fall ab.