Techniker arbeitet an einem Computer in einem Serverraum

Fehlender SPF-Eintrag: Warum Ihre E-Mails ohne Warnung verschwinden und wie Sie es in 10 Minuten beheben


Von 7 Minuten Lesezeit

Ihre Kampagnen landen im Spam, obwohl Ihre E-Mail-Plattform meldet, dass alles in Ordnung ist? Die Zustellrate zeigt 98 %, die open rate bricht ein, und niemand versteht warum. Meistens liegt es an einem fehlenden oder falsch konfigurierten SPF-Eintrag in der DNS-Zone der Absender-Domain.

Eine Domain ohne SPF setzt ihre E-Mails zwei automatischen Verhaltensweisen der Empfangsserver aus: Einstufung als Spam oder stille Ablehnung auf SMTP-Ebene. Keiner dieser Fehler erzeugt einen sichtbaren bounce in Ihrem Dashboard. Die Nachrichten werden versendet, erscheinen als „zugestellt“ und kommen doch nie im Posteingang an.

Einen gültigen SPF-Eintrag hinzuzufügen dauert weniger als 10 Minuten. Die DNS-Propagierungszeit ist die einzige Variable, die außerhalb Ihrer Kontrolle liegt.

Was ein SPF-Eintrag konkret bewirkt

Der Mailserver Ihres Empfängers prüft, noch bevor er den Inhalt der E-Mail liest, die DNS-Zone Ihrer Domain, um festzustellen, ob der sendende Server dazu berechtigt ist. Das ist die Aufgabe von SPF, dem Sender Policy Framework: eine Textzeile in Ihrem DNS, die alle Server auflistet, die im Namen Ihrer Domain senden dürfen.

Fehlt diese Zeile, erhält der Empfangsserver eine leere Antwort. Was er dann tut, hängt von seiner internen Richtlinie ab. Gmail lehnt seit November 2025 bei hohen Volumina nicht konforme E-Mails auf SMTP-Ebene ab. Microsoft Exchange ist noch strenger: Es verzeichnet laut TrulyInbox-Daten (Analyse von 32.000+ Konten, Mai 2026) eine durchschnittliche inbox placement-Rate von 75,6 % für teilweise authentifizierte Domains.

Ohne jede Authentifizierung zeigen dieselben Daten eine inbox placement-Rate von unter 30 %. Mit SPF allein steigt sie auf 55–70 %. Der vollständige Stack aus SPF + DKIM + DMARC erreicht 85–95 %. Die Differenz zwischen „gar nichts“ und „vollständig konfiguriert“ beträgt 60 Prozentpunkte.

Warum das Problem so lange unsichtbar bleibt

Im April stellt ein Growth-Verantwortlicher fest, dass seine open rate innerhalb von drei Monaten von 32 % auf 18 % gesunken ist. Keine inhaltlichen Änderungen, keine Benachrichtigung vom ESP. Die hard bounce-Rate war normal geblieben. Sein CMO verlangt eine Erklärung.

Dieses Szenario ist im Suped-Bericht 2025 (Whittaker, aktualisiert Mai 2026) dokumentiert: 43 % der Unternehmen verzeichnen signifikante inbox misses, obwohl ihre Plattformen Zustellraten über 95 % ausweisen. Der Grund liegt in der Unterscheidung zwischen „accepted“ und „inboxed“: Eine E-Mail kann vom Empfangsserver akzeptiert werden und trotzdem im Spam landen. Ihr Dashboard sieht nur den ersten Schritt.

Die sender reputation verschlechtert sich nicht sofort. In den ersten Wochen ist Gmail relativ tolerant. Doch jeder fehlgeschlagene Versand speist die negativen Signale — steigende complaint rate, sich ansammelnde soft bounces, Nutzer, die nicht mehr klicken. Wenn die IP-Reputation in den Postmaster Tools zu sinken beginnt, hat das fehlende SPF oft schon seit Monaten Schaden angerichtet.

So prüfen Sie, ob Ihr SPF fehlt oder fehlerhaft ist

Drei Tools eignen sich für diese Diagnose, jedes aus einem anderen Blickwinkel.

  1. MXToolbox SPF Lookup: Geben Sie Ihre Domain auf mxtoolbox.com ein. Das Ergebnis zeigt, ob ein SPF-Eintrag existiert und ob er syntaktisch korrekt ist. Zeitaufwand: 30 Sekunden.
  2. Google Postmaster Tools: Wenn Ihre Domain E-Mails an Gmail sendet, zeigt der Tab „Authentication“, wie viele E-Mails SPF, DKIM und DMARC in den letzten 30 Tagen bestanden haben. Eine SPF-Rate unter 95 % signalisiert ein aktives Problem.
  3. Ein Test-E-Mail mit Originalquelltext: Senden Sie eine E-Mail von Ihrer Domain an eine Gmail-Adresse, öffnen Sie die Nachricht und klicken Sie auf „Original anzeigen“. Die Zeile Received-SPF zeigt pass, softfail, fail oder none. none bestätigt das Fehlen eines Records.

Gibt MXToolbox „No SPF Record Found“ zurück oder zeigt Postmaster Tools eine SPF-Authentifizierungsrate unter 90 %, fahren Sie mit der Korrektur fort.

Einen gültigen SPF-Eintrag erstellen: die direkte Methode

Ein SPF-Eintrag ist ein TXT-Eintrag in Ihrer DNS-Zone. Die grundlegende Syntax sieht so aus:

v=spf1 include:_spf.google.com ~all

Der include:-Mechanismus verweist auf die autorisierten Server Ihres Versanddienstleisters. Jeder ESP stellt seinen eigenen Wert bereit. Einige gängige Beispiele:

SPF-Werte nach Versandanbieter (je nach Konfiguration anpassen)
Anbieter Hinzuzufügender include-Mechanismus Typischer Anwendungsfall
Google Workspace include:_spf.google.com Versand über Gmail Business
Brevo (ex-Sendinblue) include:spf.brevo.com Marketing-Kampagnen
Mailchimp / Mandrill include:spf.mandrillapp.com Transaktionaler Versand über Mandrill
Amazon SES include:amazonses.com Versand über AWS
OVHcloud MX Plan include:mx.ovh.com Shared Hosting

Wenn Sie mehrere Anbieter nutzen, kombinieren Sie diese in einem einzigen Eintrag: v=spf1 include:_spf.google.com include:spf.brevo.com ~all. Achten Sie auf das Limit von 10 DNS-Lookups: Jeder include:-Mechanismus verbraucht mindestens einen Lookup, und einige ketten weitere hinzu. Wird dieses Limit überschritten, bricht die SPF-Authentifizierung selbst bei korrekter Syntax zusammen.

Der abschließende Wert ~all (softfail) oder -all (striktes fail) legt fest, wie Server mit nicht abgedeckten Nachrichten umgehen. Für eine Domain mit stabiler Konfiguration ist -all vorzuziehen; während der Migration empfiehlt sich ~all, bis sichergestellt ist, dass keine legitime Quelle vergessen wurde.

Den Record in Ihrem DNS hinzufügen: die konkreten Schritte

Das Vorgehen variiert leicht je nach Registrar oder DNS-Hoster, die Logik ist jedoch überall dieselbe.

Melden Sie sich in Ihrer DNS-Oberfläche an (OVHcloud, Cloudflare, Gandi, Namecheap, GoDaddy). Suchen Sie die DNS-Zone Ihrer Hauptdomain. Fügen Sie einen neuen TXT-Eintrag mit dem Namen @ (oder der nackten Domain, je nach Oberfläche) hinzu und fügen Sie Ihren SPF-Wert in das Feld „Wert“ oder „Content“ ein. Speichern Sie die Änderungen.

Cloudflare propagiert in der Regel in weniger als 5 Minuten. OVHcloud und Gandi können 30 Minuten bis einige Stunden benötigen. Um die Propagierung zu überprüfen, starten Sie MXToolbox erneut oder verwenden Sie dig TXT ihredomain.com in einem Terminal — sobald der Eintrag erscheint, ist er aktiv.

In der Praxis dauert die Konfiguration auf Cloudflare 5 bis 8 Minuten; der Rest der angegebenen Zeit (10 Minuten) entfällt auf die anfängliche Diagnose und die Überprüfung nach dem Hinzufügen.

Der häufige Einwand: „Ich nutze bereits Lemlist, Instantly — mein ESP regelt das“

Outreach-Plattformen wie Lemlist, Instantly oder Smartlead konfigurieren ihre eigene Versandinfrastruktur und können ihren SPF-Mechanismus über einen Onboarding-Assistenten in Ihre DNS-Einträge eintragen. Dieser Mechanismus deckt jedoch nur die Versendungen über ihre Server ab. Wenn Ihre Domain auch über Google Workspace, einen internen SMTP-Server oder ein anderes transaktionales Tool versendet, sind diese Flows nicht durch den include Ihres ESP abgedeckt.

Ein SPF-Eintrag deckt alle autorisierten Quellen für eine bestimmte Domain ab. Der klassische Fehler: Eine Domain, die für Lemlist konfiguriert ist, ohne include für Google Workspace — deren Rechnungs- oder Support-E-Mails landen im Spam, weil der Google-Server nicht gelistet ist.

„SPF misconfigurations betreffen 15 % der Domains, die SPF bereits aktiviert haben.“ (dmarcian, zitiert nach TrulyInbox, Mai 2026)

Ein SPF allein genügt also nicht, wenn die Liste der autorisierten Quellen unvollständig ist oder die 10 DNS-Lookups überschritten werden.

Was SPF allein nicht löst

Ein korrekt konfiguriertes SPF verbessert die Absenderauthentifizierung, signiert jedoch nicht den Nachrichteninhalt. Das ist die Aufgabe von DKIM, das ein kryptografisches Schlüsselpaar verwendet, um zu beweisen, dass die E-Mail während der Übertragung nicht verändert wurde. Ohne DKIM zeigen die TrulyInbox-Daten eine zusätzliche Einbuße von 10 bis 15 Punkten beim inbox placement.

DMARC kombiniert SPF und DKIM, um eine Richtlinie zu definieren: Was passiert, wenn eine E-Mail beide Prüfungen nicht besteht? Ablehnen, in Quarantäne stellen oder nichts tun (reines Monitoring). Ohne DMARC lassen selbst korrekte SPF- und DKIM-Einträge Ihre Domain anfällig für Spoofing. Außerdem fehlen Ihnen dann aggregierte Berichte, um Anomalien zu erkennen. Im Jahr 2026 kennen 78 % der Organisationen DMARC, aber nur 42 % wenden es tatsächlich mit einer strikten Richtlinie an (Valimail, State of DMARC 2026).

Mit SPF zu beginnen bleibt die Priorität, da es die technische Voraussetzung für die beiden anderen Protokolle ist. Aber SPF allein bringt Ihre inbox rate auf 55 bis 70 %. list hygiene und IP warming erledigen den Rest.

Gmail lehnt nicht authentifizierte E-Mails mittlerweile auf SMTP-Ebene ab. Der TXT-Record in Ihrem DNS ist die einzige Variable in dieser Kette, die vollständig in Ihrer Hand liegt.

Nicolas
Author

Ich bringe meine Expertise im digitalen Marketing durch meine Artikel ein. Mein Ziel ist es, Fachleuten dabei zu helfen, ihre Online-Marketingstrategie zu verbessern, indem ich praktische Tipps und relevante Ratschläge teile. Meine Artikel sind klar, präzise und einfach zu folgen verfasst, egal ob Sie Anfänger oder Experte auf diesem Gebiet sind.

Verwandte Beiträge