Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung publiziert deine Domain einen korrekten SPF-Record. Empfangende Mailserver erkennen damit, welche Server in deinem Namen senden dürfen — und können gefälschte Absender aussortieren.

Voraussetzungen

  • Eine Domain im united-domains-Portfolio
  • Klarheit darüber, ob deine Mails über das united-domains-Mailsystem oder eigene Server laufen

Was ist SPF?

SPF (Sender Policy Framework) ist ein TXT-Record im DNS deiner Domain. Er listet auf, welche Mailserver E-Mails mit deiner Domain als Absender verschicken dürfen. Empfangende Server schlagen den Record bei jeder eingehenden Mail nach und prüfen, ob der einliefernde Server auf der Liste steht. Ohne SPF kann jeder beliebige Server Mails in deinem Namen verschicken — und deine legitimen Mails landen schneller im Spam, weil große Empfänger wie Gmail SPF inzwischen schlicht erwarten.

Zur Einordnung: SPF allein ist noch kein vollständiger Schutz. Erst zusammen mit DKIM und DMARC wird daraus ein belastbares Fundament. SPF ist aber der einfachste Einstieg.

Die Ausgangslage bei united-domains

united-domains macht es am bequemsten von allen: In der Domainverwaltung gibt es unter E-Mail-Sicherheit einen echten SPF-Schalter. Ein Klick, und der TXT-Eintrag liegt umgehend im united-domains-DNS. Bei neu registrierten Domains ist SPF sogar automatisch aktiv.

Der Haken steht im Kleingedruckten: Der Schalter passt nur, wenn dein E-Mail-Verkehr über das Mailsystem von united-domains läuft. Nutzt du eigene oder fremde Mailserver, warnt united-domains selbst vor „unerwünschten Effekten” — dann brauchst du den manuellen Weg (Schritt 4).

Schritt-für-Schritt-Anleitung

1. Prüfen, ob SPF schon aktiv ist

Gerade bei united-domains lohnt der Blick vorab — neue Domains haben SPF schon an:

dig TXT beispiel.de +short | grep spf1

Kommt ein Record mit v=spf1 zurück, publiziert deine Domain bereits SPF. Alternativ wirf deine Domain in den kostenlosen MXAudit-Scanner — der prüft den Record gleich auf Syntax und Lookup-Limit mit.

2. E-Mail-Sicherheit öffnen

Starte auf united-domains.de, klicke oben rechts auf das Benutzer-Icon und logge dich ein. Klicke neben deiner Domain auf das E-Mail-Symbol und dann unter E-Mail auf E-Mail-Sicherheit.

3. SPF aktivieren

Weiter unten findest du den Bereich Status Sender Policy Framework (SPF). Klicke auf SPF aktivieren — der TXT-Eintrag wird umgehend im DNS hinterlegt. Das war’s, wenn deine Mails über united-domains laufen.

4. Eigene oder externe Mailserver? Der manuelle Weg

Versendest du über eigene Server, aber willst zusätzlich den Versand über die united-domains-Mailserver autorisieren, dokumentiert united-domains diesen Eintrag:

v=spf1 include:_smtp.udag.de -all

Der Include verweist auf ein einzelnes IPv4-Netz (62.146.106.0/24) und kostet genau einen DNS-Lookup. In der Praxis kombinierst du ihn mit deinen übrigen Versandquellen — alles in einem Record, zum Beispiel:

v=spf1 include:_smtp.udag.de include:spf.newsletter-dienst.de ~all

Pro Domain darf es nur einen SPF-Record geben. Zwei TXT-Einträge mit v=spf1 ergeben einen permerror — das ist schlechter als gar kein SPF.

5. Warten, bis die Änderung aktiv ist

Der Eintrag landet sofort im united-domains-DNS; durch Caching kann es trotzdem einige Stunden dauern, bis alle Server weltweit den neuen Record sehen.

Die Bestandteile im Detail

BestandteilBedeutung
v=spf1Versionskennung, steht immer am Anfang
include:_smtp.udag.deerlaubt die united-domains-Mailserver (ein IPv4-/24-Netz, 1 Lookup)
-allHardfail: nicht gelistete Server werden abgelehnt
~allSoftfail: die mildere Variante — sinnvoll, solange du Versandwege noch sortierst

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir sofort, ob dein SPF-Record syntaktisch korrekt ist und wie viele DNS-Lookups er verbraucht (das Limit liegt bei 10).

Oder direkt im Terminal:

dig TXT beispiel.de +short | grep spf1

Die Ausgabe muss genau einen Record mit v=spf1 enthalten.

Häufige Fehler

SPF-Schalter an, Mail läuft aber woanders. Der Toggle autorisiert das united-domains-Mailsystem. Versendest du über eigene oder fremde Server, warnt united-domains selbst vor unerwünschten Effekten — deine Mails können dann abgelehnt werden. In dem Fall: Schalter aus, manueller Record mit deinen echten Quellen.

Zwei SPF-Records. Ein aktivierter Schalter plus ein manuell angelegter TXT-Eintrag mit v=spf1 ergibt zwei Records — permerror. Entscheide dich für einen Weg.

Vergessen, dass neue Domains SPF schon haben. united-domains aktiviert SPF bei Neuregistrierungen automatisch. Wer ahnungslos einen eigenen Record dazulegt, produziert den Doppel-Record-Fehler von oben. Erst prüfen (Schritt 1), dann ändern.

+all am Ende. Ein +all erlaubt jedem Server das Senden und macht den gesamten Record wirkungslos — nicht übernehmen.

Weiterleitungen schlagen fehl. Leitet ein Empfänger deine Mail automatisch weiter, schlägt SPF beim Endempfänger oft fehl — der weiterleitende Server steht ja nicht in deinem Record. Das ist eine Designschwäche von SPF und kein Konfigurationsfehler; DKIM und DMARC fangen diesen Fall ab.