Defaults.Exposed › Einrichtung › SPF

SPF bei Microsoft 365 einrichten

Legen Sie einen SPF-Eintrag an, damit eindeutig ist, dass die Server von Microsoft 365 E-Mails für Ihre Domain versenden dürfen.

Warum das für Ihr Geschäft wichtig ist

SPF (Sender Policy Framework) ist ein kurzer Vermerk in der DNS Ihrer Domain, der festhält, welche Mailserver E-Mails “im Namen” Ihrer Domain versenden dürfen. Ohne ihn können Betrüger Ihre Absenderadresse fälschen und gefälschte Rechnungen, Zahlungsaufforderungen oder Angebote an Ihre Kunden und Lieferanten schicken — und Ihre eigenen, echten E-Mails landen eher im Spam. SPF einzurichten ist kostenlos, dauert wenige Minuten und gehört zum Wirksamsten und Günstigsten, was Sie tun können, um Ihren Namen zu schützen und Ihre E-Mails zuverlässig zugestellt zu bekommen.

Wichtig: Wo das tatsächlich erledigt wird

Hier stolpern viele, daher sei es klar gesagt:

• Microsoft 365 betreibt Ihre E-Mails (die Postfächer liegen in Exchange Online). Aber Microsoft 365 ist die Mailplattform — nicht zwingend der Ort, an dem die DNS Ihrer Domain liegt.
• Der SPF-Eintrag wird bei Ihrem DNS-Anbieter angelegt — bei dem Unternehmen, das die Nameserver Ihrer Domain verwaltet. Das kann der Registrar sein, bei dem Sie die Domain gekauft haben (GoDaddy, Namecheap usw.), ein Webhoster oder etwas wie Cloudflare.
• Lassen Sie Microsoft Ihre DNS verwalten, dann ist Microsoft Ihr DNS-Anbieter, und Sie bearbeiten den Eintrag im Microsoft 365 Admin Center → Einstellungen → Domains → DNS-Einträge. In dem Fall legt Microsoft den korrekten SPF-Eintrag oft automatisch für Sie an, wenn Sie die Domain einrichten.

Also: Microsoft sagt Ihnen, was der Eintrag enthalten soll; Sie legen ihn dort an, wo Ihre DNS liegt. Die Postfacheinstellungen in Microsoft 365 verwalten diesen Eintrag nicht, es sei denn, Microsoft betreibt auch Ihre DNS.

Zuerst: Welches Unternehmen betreibt Ihre DNS?

Ein DNS-Eintrag wird nur wirksam, wenn Sie ihn dort anlegen, wohin die Nameserver Ihrer Domain zeigen. Sind Sie unsicher, prüfen Sie die Domain in Ihrem Registrar-Konto und sehen Sie sich den Bereich Nameserver an, oder fragen Sie die Person, die Ihre Website eingerichtet hat. Zeigen die Nameserver auf etwas anderes als Microsoft, legen Sie den SPF-Eintrag in den DNS-Einstellungen dieses Unternehmens an (achten Sie auf DNS / Einträge / Advanced DNS). An der falschen Stelle angelegt, bewirkt er nichts.

Was Sie anlegen

Einen einzigen TXT-Eintrag für Microsoft 365. Der Standardwert lautet:

v=spf1 include:spf.protection.outlook.com -all

• include:spf.protection.outlook.com autorisiert die Mailserver von Microsoft 365, in Ihrem Namen zu versenden.
• -all ist der von Microsoft empfohlene Wert — ein “Hard Fail”, der den Empfängern sagt, alles nicht Aufgelistete abzulehnen. Sind Sie noch nicht sicher, ob jeder Absender enthalten ist, können Sie mit dem milderen ~all beginnen und später auf -all verschärfen.

Pro Domain darf es nur einen SPF-Eintrag geben (einen TXT-Eintrag, der mit v=spf1 beginnt). Falls bereits einer vorhanden ist — etwa weil Sie zusätzlich über ein Newsletter-Tool oder ein CRM versenden — legen Sie keinen zweiten an. Bearbeiten Sie den vorhandenen und fügen Sie Microsofts Teil hinzu, z. B.:

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all

Schritte

1. Melden Sie sich bei Ihrem DNS-Anbieter an (Ihr Registrar, Webhoster oder DNS-Anbieter — oder im Microsoft 365 Admin Center, falls Microsoft Ihre DNS betreibt).
2. Öffnen Sie die DNS-Einstellungen Ihrer Domain (achten Sie auf DNS / Einträge / Advanced DNS).
3. Legen Sie einen neuen Eintrag an und wählen Sie als Typ TXT.
4. Tragen Sie im Feld Name / Host ein @ ein (das steht für “die Domain selbst”). Tragen Sie hier nicht Ihren vollständigen Domainnamen ein.
5. Fügen Sie im Feld Wert / Daten v=spf1 include:spf.protection.outlook.com -all ein (oder Ihren kombinierten Eintrag, falls Sie weitere Absender haben).
6. Belassen Sie die TTL auf dem Standardwert (1 Stunde ist in Ordnung).
7. Speichern.

Stolperfallen

• Es ist keine Postfacheinstellung. Viele durchsuchen die Einstellungen von Microsoft 365 nach “SPF” und finden kein Feld zum Eintragen — weil er zu Ihrer DNS gehört, nicht zu den Postfach- oder Exchange-Admin-Einstellungen.
• Nur ein SPF-Eintrag. Zwei Einträge, die mit v=spf1 beginnen, zerstören SPF vollständig. Fassen Sie Absender in einem einzigen Eintrag mit zusätzlichen include:-Angaben zusammen.
• @ als Name, nicht Ihre Domain. Den vollständigen Domainnamen in das Feld Name zu schreiben kann den Eintrag an der falschen Stelle erzeugen.
• Achten Sie auf die Anführungszeichen. Die meisten DNS-Anbieter ergänzen die Anführungszeichen für Sie — fügen Sie den Wert schlicht ein. Zeigt Ihr Anbieter den Wert bereits in "..." eingefasst, fügen Sie keine zweiten hinzu; ein doppelt eingefasster Eintrag ist fehlerhaft.
• Microsoft verwendet spf.protection.outlook.com. Ältere oder anderswo kopierte Einträge verweisen womöglich auf andere Hostnamen — stellen Sie sicher, dass der Include exakt spf.protection.outlook.com lautet.
• Änderungen wirken nicht sofort. DNS-Aktualisierungen können von wenigen Minuten bis zu einigen Stunden dauern, bis sie überall greifen.

Prüfen, ob es funktioniert hat

Bestätigen Sie nach dem Speichern mit der kostenlosen Prüfung auf Defaults.Exposed, dass der Eintrag aktiv und korrekt ist. Geben Sie Ihre Domain ein, und Sie erfahren in verständlicher Sprache, ob Ihr SPF richtig eingerichtet ist. Ihre Daten werden in der EU verarbeitet.

Fertig? Prüfen Sie Ihre Domain kostenlos um zu bestätigen, dass es funktioniert hat – und sehen Sie Ihre vollständige Bewertung über alle 34 Prüfungen.