Defaults.Exposed › Einrichtung › SPF

SPF bei Cloudflare einrichten

Legen Sie in der Cloudflare-DNS einen SPF-Eintrag an, damit Mailanbieter Ihre echten E-Mails von Fälschungen unterscheiden können.

Warum das für Ihr Geschäft wichtig ist

SPF (Sender Policy Framework) ist ein kurzer Vermerk in der DNS Ihrer Domain, der festhält, welche Mailserver E-Mails in Ihrem Namen versenden dürfen. Erhält jemand eine Nachricht, die angeblich von Ihnen stammt, prüft sein Mailanbieter diese Liste. Steht der absendende Server nicht darauf, wirkt die Nachricht verdächtig — und landet entweder im Spam oder wird ganz blockiert.

Einfach gesagt: SPF macht es schwerer, dass jemand Ihr Unternehmen per E-Mail vortäuscht, und es hilft, dass Ihre echten E-Mails im Posteingang statt im Junk-Ordner ankommen. Es ist ein Eintrag, er ist kostenlos und dauert wenige Minuten.

Vorab: Wird Ihre DNS überhaupt von Cloudflare betrieben?

Das ist der Schritt, den die meisten falsch machen. Ein DNS-Eintrag wirkt nur, wenn Cloudflare die DNS-Anfragen für Ihre Domain beantwortet.

Cloudflare ist ein DNS-Anbieter, kein Postfachanbieter — es beantwortet DNS-Anfragen, betreibt aber nicht Ihre Postfächer. Damit Cloudflares DNS aktiv ist, müssen die Nameserver Ihrer Domain (festgelegt dort, wo Sie die Domain registriert haben) auf die beiden Cloudflare-Nameserver zeigen, die in Ihrem Cloudflare-Dashboard angezeigt werden. Öffnen Sie in Cloudflare Ihre Domain und prüfen Sie die Seite Overview: Dort steht, ob Cloudflare für die Domain aktiv ist. Zeigen Ihre Nameserver weiterhin auf Ihren Registrar oder einen anderen Anbieter, bewirkt alles, was Sie in Cloudflare anlegen, nichts — legen Sie den SPF-Eintrag stattdessen dort an, wo Ihre DNS tatsächlich liegt.

Klären Sie zuerst eine Tatsache: Wer versendet Ihre E-Mails?

SPF muss jeden Dienst nennen, der E-Mails für Ihre Domain versendet. Häufige Beispiele sind Google Workspace, Microsoft 365 oder der Anbieter, der Ihre Postfächer betreibt. Jeder von ihnen veröffentlicht einen Wert für Ihren SPF-Eintrag (oft etwas wie include:_spf.google.com für Google oder include:spf.protection.outlook.com für Microsoft 365). Sehen Sie in den Hilfeseiten Ihres Mailanbieters nach dem genauen Wert — das ist der Teil, den Sie richtig hinbekommen müssen.

Falls Sie Cloudflare Email Routing zum Weiterleiten von E-Mails nutzen, beachten Sie: Es legt eigene DNS-Einträge fürs Weiterleiten an, versendet aber keine ausgehenden E-Mails in Ihrem Namen — Ihr SPF muss weiterhin den Dienst auflisten, über den Sie tatsächlich versenden.

Schritt für Schritt bei Cloudflare

1. Melden Sie sich bei Cloudflare an und wählen Sie Ihre Domain im Dashboard aus.
2. Gehen Sie im linken Menü zu Ihren DNS-Einstellungen (achten Sie auf DNS / Records).
3. Klicken Sie auf Add record.
4. Setzen Sie Type auf TXT.
5. Tragen Sie im Feld Name ein @ ein — das @ steht für “die Domain selbst”. Tragen Sie hier nicht Ihren vollständigen Domainnamen ein.
6. Geben Sie im Feld Content Ihren SPF-Text ein. Ein typischer Eintrag sieht so aus: v=spf1 include:_spf.google.com ~all Ersetzen Sie den include:-Teil durch die Werte, die Ihnen Ihr tatsächlicher Mailanbieter vorgibt.
7. Belassen Sie die TTL auf Auto.
8. Klicken Sie auf Save.

Stolperfallen bei Cloudflare

• Nur ein SPF-Eintrag pro Domain. Sie können nicht zwei v=spf1-TXT-Einträge haben — Mailanbieter werten das als fehlerhaft. Falls bereits einer vorhanden ist, bearbeiten Sie ihn, um den neuen Dienst zu ergänzen, statt einen zweiten anzulegen.
• Nicht in Anführungszeichen setzen. Cloudflare kümmert sich selbst um die Anführungszeichen. Fügen Sie einfach den schlichten Text ein, der mit v=spf1 beginnt. Setzen Sie eigene "-Zeichen, kann ein fehlerhafter Eintrag entstehen.
• Name ist @, nicht Ihre Domain. Tragen Sie den vollständigen Domainnamen ein, faltet Cloudflare ihn meist ohnehin auf die Wurzel zurück, aber @ ist die klare, verlässliche Wahl.
• Der Proxy (orange Wolke) gilt nicht. SPF lebt in einem TXT-Eintrag, der nie geproxyt wird — bei einem TXT-Eintrag gibt es keinen orange/grauen Wolken-Schalter, um den Sie sich kümmern müssten.
• ~all vs. -all. ~all (Softfail) bedeutet “alles nicht Aufgelistete ist verdächtig”; -all (Hardfail) bedeutet “alles nicht Aufgelistete ablehnen”. Beginnen Sie mit ~all, solange Sie noch prüfen, ob alles korrekt versendet, und stellen Sie auf -all um, sobald Sie sicher sind, dass Ihre Liste vollständig ist.
• Änderungen wirken nicht sofort. DNS-Aktualisierungen können von wenigen Minuten bis zu einigen Stunden dauern, bis sie sich verbreiten.

Prüfen, ob es funktioniert hat

Sobald Sie den Eintrag gespeichert und ihm etwas Zeit zum Wirksamwerden gegeben haben, prüfen Sie ihn mit der kostenlosen Prüfung auf dieser Seite. Sie sagt Ihnen in verständlicher Sprache, ob Ihr SPF-Eintrag vorhanden und korrekt aufgebaut ist.

Fertig? Prüfen Sie Ihre Domain kostenlos um zu bestätigen, dass es funktioniert hat – und sehen Sie Ihre vollständige Bewertung über alle 34 Prüfungen.