Defaults.Exposed

Defaults.ExposedBehebungenGuides

Kontaktformular-Mails landen im Spam — der Webserver-Absender-Fix (2026)

Veröffentlicht 2026-07-08

Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains. Siehe wie wir bewerten.

Kontaktformular- und Website-Mails landen im Spam, weil Ihr Webserver sie unauthentifiziert versendet — keine SPF-Autorisierung, keine DKIM-Signatur. Der zuverlässige Fix ist, diese Mail über authentifiziertes SMTP zu leiten, nicht den Server zu whitelisten. 46,4% der 261.086.232 im Defaults.Exposed-Zensus bewerteten Domains (Stand der Daten: 2026-06-29) veröffentlichen überhaupt keinen SPF-Eintrag.

Die Reihenfolge der Fixes ist wichtig, und die meisten Tutorials machen es verkehrt herum. Führen Sie einen kostenlosen Scan durch, um zu sehen, was Ihre Domain tatsächlich veröffentlicht; leiten Sie die Mail der Website über authentifiziertes SMTP (Ihren Postfach-Provider oder einen Transaktionsmail-Dienst), damit sie eine echte DKIM-Signatur erhält; korrigieren Sie die From-Adresse des Formulars; und fügen Sie die IP des Servers nur als letzten Ausweg zu SPF hinzu.

Warum landen E-Mails von meiner Website im Spam?

Wegen der Frage, wer sie wirklich versendet. Wenn ein Besucher Ihr Kontaktformular abschickt, wird die E-Mail nicht von Ihrem Mail-Provider versendet — der Webserver erzeugt sie selbst, meist über PHPs mail(). Aus Sicht des Empfängers ist diese Nachricht:

Unauthentifizierte Mail von einer IP mit gemischter Reputation ist genau das, wofür Spamfilter existieren — Gmail und Outlook sehen einen beliebigen Server, der behauptet, Sie zu sein. Die breitere Ausgangslage ist düster: 46,4% der Domains veröffentlichen überhaupt kein SPF, und nur 10,59% (27.640.987 von 261.086.232 bewerteten Domains, Zensus mit Stand 2026-06-29) setzen eine DMARC-Richtlinie durch.

Warum trifft das besonders WordPress-Websites?

WordPress versendet seine gesamte E-Mail — Formularbenachrichtigungen, Passwort-Resets, Bestellbestätigungen — über eine einzige Funktion, wp_mail(), die standardmäßig PHPs mail() auf dem Webserver kapselt. Jede WordPress-Website, die nicht bewusst umkonfiguriert wurde, ist ab Werk ein unauthentifizierter Absender. Formular-Plugins (Contact Form 7, WPForms, Gravity Forms) übergeben Mail alle an dieselbe Funktion: Es sieht aus wie ein Plugin-Problem, ist aber ein Transportproblem.

Der Fix ist kein anderes Formular-Plugin, sondern ein SMTP-Plugin (WP Mail SMTP und seine Äquivalente), das alles, was wp_mail() versendet, über ein echtes, authentifiziertes Mailkonto umleitet — Infrastruktur, die Ihr SPF bereits autorisiert, mit angehängter DKIM-Signatur.

Welche Versandmethode sollte die Website nutzen?

VersandmethodeSPFDKIMÜbersteht einen Hosterwechsel?Urteil
PHP mail() / Standard-wp_mail() vom Webserverschlägt fehlkeinen/a — überall kaputtdas Problem, keine Option
Authentifiziertes SMTP über Ihren Postfach-Provider (Google Workspace, Microsoft 365 usw.)bestehtsigniertja — unabhängig vom Hostingder Fix für die meisten Websites
Transaktionsmail-Dienst (SES, Postmark, Brevo usw.) mit verifizierter Domainbestehtsigniertjader Fix bei Volumen (E-Commerce, große Formulare)
IP des Webservers in Ihren SPF-Eintrag aufgenommenbesteht (nur SPF)keinenein — bricht stillschweigend, wenn sich die IP ändertnur Rückfalloption — siehe unten

Für ein paar Benachrichtigungen am Tag ist SMTP über das Postfach, das Sie ohnehin bezahlen, der kürzeste Weg; bei echtem Volumen ist ein Transaktionsmail-Dienst dafür gebaut. Beide geben Ihnen DKIM — die IP-Whitelisting-Abkürzung nie.

Wie behebe ich die Zustellprobleme von Kontaktformular-Mails?

  1. Führen Sie den kostenlosen Scan bei defaults.exposed durch, bevor Sie irgendetwas anfassen. Er zeigt, welches SPF, DKIM und DMARC Ihre Domain tatsächlich veröffentlicht — ob Sie den Transport des Formulars, einen fehlenden Eintrag oder beides reparieren. Gar kein SPF? Beginnen Sie mit SPF reparieren.
  2. Legen Sie eine dedizierte SMTP-Identität für die Website an — z. B. [email protected] bei Ihrem Postfach-Provider, oder eine verifizierte Absenderdomain bei einem Transaktionsmail-Dienst. Verwenden Sie ein App-Passwort oder einen API-Schlüssel, den Sie widerrufen können, nicht das Postfach-Passwort einer Person.
  3. Leiten Sie die Mail der Website darüber. WordPress: Installieren Sie ein SMTP-Plugin und richten Sie es auf dieses Konto. Andere Stacks: Konfigurieren Sie den Mailer des Frameworks statt des lokalen mail().
  4. Korrigieren Sie die From-Adresse (das Anti-Pattern unten): From muss Ihre eigene Domain sein; der Besucher gehört in Reply-To.
  5. Wenn der Absender ein Transaktionsmail-Dienst ist, fügen Sie dessen DKIM-Einträge hinzu (meist ein Paar CNAMEs), damit Mail mit Ihrer Domain signiert wird — die DNS-Schritte entsprechen den SPF-Einrichtungsanleitungen.
  6. Senden Sie eine Test-Einreichung und scannen Sie erneut. Die Header sollten spf=pass und dkim=pass für Ihre Domain zeigen; räumen Sie dann alles Weitere ab, was der Scan markiert, über SPF reparieren und DKIM reparieren.

Warum versendet das Formular „von“ der E-Mail-Adresse des Besuchers?

Die häufigste selbst zugefügte Wunde in der Formularkonfiguration, und viele Plugins taten es früher standardmäßig: Die Benachrichtigung kommt From: Adresse des Besuchers an, damit Sie auf Antworten klicken können. Es fühlt sich praktisch an, und es ist Fälschung. Ihr Server hat kein Recht, Mail als [email protected] zu versenden — sie scheitert an SPF und DKIM für gmail.com, und Gmails DMARC-Richtlinie weist Empfänger an, sie in den Spam zu legen oder abzuweisen. Der Fix kostet nichts:

Jedes gängige Formular-Plugin unterstützt das; es sind zwei Felder in den Benachrichtigungseinstellungen.

Warum nicht einfach die IP des Servers in meinen SPF-Eintrag aufnehmen?

Es ist der Fix, zu dem die meisten Forenthreads zuerst greifen, und er ist aus gutem Grund nur die Rückfalloption. ip4:<server> (oder ein a-Mechanismus für Ihren Webhoster) in SPF lässt die rohe Prüfung tatsächlich bestehen — aber:

Reservieren Sie diesen Weg für den wirklich eingeschränkten Fall: ein dedizierter Server mit einer statischen IP unter Ihrer Kontrolle und eine Anwendung, die kein SMTP sprechen kann — und kombinieren Sie ihn nach Möglichkeit mit DKIM-Signierung auf der Maschine.

Prüft SPF überhaupt die Adresse, die mein Formular in „From“ einträgt?

Nein — und darüber stolpert die Hälfte der Selbstdiagnosen. Empfänger werten SPF gegen die Return-Path-Domain (RFC5321.MailFrom) aus, nicht gegen den From-Header. Webserver stempeln oft ihren eigenen Hostnamen in den Return-Path, sodass Ihr SPF-Eintrag nie konsultiert wurde — der Empfänger prüfte SPF für srv0421.examplehost.com. Authentifiziertes SMTP behebt auch das: Der Return-Path wird Ihre Domain, sodass das SPF-Bestehen endlich für Sie zählt. Deshalb ist auch DKIM wichtig — das DMARC-Alignment braucht ein Bestehen, das an die Domain im From gebunden ist, und eine DKIM-Signatur reist mit der Nachricht.

Häufig gestellte Fragen

Repariert ein SMTP-Plugin auch Passwort-Reset- und WooCommerce-Mails? Ja. Auf WordPress fließt alles durch wp_mail(), sodass die Umleitung Formularbenachrichtigungen, Passwort-Resets und Bestellmails in einem Zug repariert.

Brauche ich noch SPF- und DKIM-Einträge, wenn ich ein SMTP-Plugin nutze? Ja — das Plugin ändert, welche Infrastruktur Ihre Mail versendet; die Einträge sind das, was sie autorisiert. Wenn Ihre Domain zu den 46,4% der 261.086.232 bewerteten Domains ohne SPF-Eintrag gehört (Zensus, 2026-06-29), rettet authentifiziertes SMTP allein Sie nicht. Die E-Mail-Checkliste für neue Domains deckt den vollständigen Satz an Einträgen ab.

Meine Formular-Mails bestehen SPF, scheitern aber trotzdem an DMARC — warum? Fast immer das From-Spoofing-Anti-Pattern oben, oder SPF besteht für die Return-Path-Domain des Hosters statt für Ihre. Korrigieren Sie zuerst From/Reply-To; wenn es dann noch fehlschlägt, fehlt eine DKIM-Signatur mit Alignment — siehe „DKIM signature not valid“. Wenn über die Website hinaus auch SaaS-Tools fehlschlagen, behandelt der Leitfaden zu fehlschlagendem SPF bei SaaS die Fix-Reihenfolge.

Lohnt sich der ganze Aufwand für ein Kontaktformular mit wenig Traffic? Das Formular ist meist die Stelle, an der das Geld hereinkommt — eine verpasste Anfrage ist ein Kunde, von dessen Verlust Sie nie erfahren haben. Und der Fix ist kostenlos; die Hürde ist zu wissen, dass der Webserver die ganze Zeit der unauthentifizierte Absender war.

Senden Sie dem Inhaber den Bericht

Wenn Sie der Entwickler oder Dienstleister sind, der das behebt: Sobald die Test-Einreichung besteht, führen Sie den kostenlosen Scan erneut durch und leiten Sie den bewerteten Bericht an den Inhaber der Website weiter — ein datierter Nachweis in klarer Sprache, dass die Domain sauber authentifiziert, und das Dokument, das er für die nächste Cyberversicherungs-Verlängerung oder den nächsten Kunden-Sicherheitsfragebogen braucht. Wenn Sie als Inhaber hier lesen, weil keine Anfragen mehr ankommen: Schicken Sie diese Seite und Ihren Scan-Bericht an die Person, die Ihre Website betreut — ein Nachmittag Arbeit, mit einem Vorher-Nachher, das man Ihnen zeigen kann.

Prüfen Sie Ihre Domain → · SPF schlägt bei Ihren SaaS-Tools fehl? → · SPF reparieren → · Wie wir bewerten → · Nur aggregierte Daten. Daten werden in der EU gespeichert und verarbeitet.