SPF für Hostpoint einrichten
Schritt-für-Schritt-Anleitung: SPF-Record für Hostpoint Webhosting (CH) konfigurieren, im Hostpoint Control Panel anlegen und mit dig/PowerShell verifizieren — inklusive Redirect-Mechanismus, Cloud-Office-Kombination und Schweizer DSG-Hinweis.
SPF für Hostpoint (Schweiz Managed Webhosting)
Hostpoint dokumentiert den Webhosting-Standard-SPF auf support.hostpoint.ch als v=spf1 redirect=spf.mail.hostpoint.ch. Der Record nutzt den RFC-7208-Redirect-Mechanismus und delegiert die gesamte SPF-Auswertung an Hostpoints zentral verwaltete Policy unter spf.mail.hostpoint.ch — bei künftigen Server-Änderungen aktualisiert Hostpoint die Policy für alle Kunden gleichzeitig. Bei neuen Domains wird der SPF-Record automatisch von Hostpoint angelegt. Wer zusätzliche Sender (Microsoft 365, Newsletter, CRM) nutzt, kann statt eines zweiten SPF-Records den dokumentierten Kombinations-Pattern v=spf1 include:spf.protection.outlook.com redirect=spf.mail.hostpoint.ch verwenden — RFC 7208 erlaubt nur einen SPF-Record pro Domain.
Als Maßnahme nach NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung) und BSI TR-03182 ist SPF ein zentraler Baustein der E-Mail-Absender-Authentifizierung. Schweizer Datenschutz: Hostpoint mit Sitz in Rapperswil-Jona untersteht dem Schweizer Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023) — Art. 8 revDSG fordert geeignete technische und organisatorische Maßnahmen zur Datensicherheit, analog DSGVO Art. 32. Für Wolf-Agents-Kunden mit EU-Geschäft gelten zusätzlich DSGVO + NIS2. Der Wolf-Agents Email Security Check zählt DNS-Lookups gegen das RFC-7208-Limit von 10, verfolgt den Redirect spf.mail.hostpoint.ch rekursiv, prüft, ob die Policy noch auflösbar ist, und erkennt Drift, wenn nach Provider-Wechsel der Redirect ins Leere zeigt.
Hardening-Pfad: Nach SPF folgt als nächster Schritt DKIM für Hostpoint — die zweite Säule der E-Mail-Authentifizierung, bei Hostpoint seit Mai 2024 für neue Webhosting- und Cloud-Office-Domains automatisch aktiviert. Bedrohungs-Cluster: Ein korrekt gehärteter SPF-Record schließt direkt zwei Klassen von Angriffen — Direct-Domain-Spoofing auf Ihre eigene Domain und Initial-Access-Phishing mit Ihrem Marken-Namen (FBI IC3 2024: 21.442 BEC-Beschwerden, 2,77 Mrd. USD Schaden).
Ausführliche Einführung in SPF
CH/AT-Provider-Landschaft mit Compliance-Layer — Hostpoint + Infomaniak + Proton + World4You
Provider-Landschaft mit 4 Anbietern: Hostpoint AG Rapperswil-Jona (Managed Webhosting, DKIM-Auto-Mai-2024), Infomaniak Network SA Genf (Cloud-Office mit kSuite, 100% CH-DC), Proton AG Genf Plan-les-Ouates (Privacy-Mail E2EE, 3-CNAMEs DKIM-Rotation), World4You Internet Services GmbH Pasching AT (ARZ-Tochter, NISG 2026). Compliance-Layer: alle 3 CH-Provider revDSG Art. 8 + Schweizer Datensouveränität, World4You österreichisches DSG Verfassungsrang + NISG 2026 (Beschluss Nationalrat 12.12.2025).
Hostpoint HCP-DNS-Workflow — E-Mail-Sicherheit konfigurieren
5-Schritte-UI-Sequence im Hostpoint Control Panel (HCP): Login mit Hostpoint ID, Navigation Domains (oberes Menü), Domain-Detail-Page, Klick auf E-Mail-Sicherheit konfigurieren mit DKIM/DMARC-Toggles, Toggle aktivieren mit automatischem DNS-Eintrag. Wiederverwendbar in 4 Hostpoint-Provider-Seiten. Konzern: Hostpoint AG Rapperswil-Jona.
Hardening-Pfad Q9-W2 — 4 Stationen × 4 Provider (Hostpoint + Infomaniak + World4You + Proton)
Horizontale Roadmap mit 4 Stationen (SPF/DKIM/DMARC/DMARC-Enforcement) und vier parallelen Provider-Pfaden. Provider-Farben: Hostpoint Brand-Primary, Infomaniak Brand-Primary, World4You State-Success (AT), Proton State-Warning (E2EE-Sonderfall). Auto-Aktivierungs-Marker bei Hostpoint (DKIM Mai 2024 + DMARC August 2024). Compliance-Layer CH/AT: revDSG + Österreichisches DSG Verfassungsrang + NISG 2026. 4 Konzern-Anker zeichengenau.
SPF-Record für Hostpoint-Webhosting bestimmen
Erstellen Sie einen TXT-Record für Ihre Root-Domain. Hostpoint verwendet den redirect=-Mechanismus — anders als bei vielen anderen Hostern delegiert der Record die gesamte SPF-Auswertung an spf.mail.hostpoint.ch. Das hat einen klaren Vorteil: Wenn Hostpoint neue Mail-Server in Betrieb nimmt oder die IP-Bereiche ändert, aktualisiert sich Ihre SPF-Policy automatisch — Sie müssen nichts anpassen.
ihre-domain.ch. IN TXT "v=spf1 redirect=spf.mail.hostpoint.ch"Wenn Sie zusätzlich Microsoft 365, Google Workspace oder externe Marketing-Tools nutzen, dürfen Sie keinen zweiten SPF-Record anlegen — RFC 7208 erlaubt nur einen. Hostpoint dokumentiert das Kombinations-Pattern explizit: include: für externe Sender, dann redirect= für Hostpoint selbst. Beispiel mit Microsoft 365:
v=spf1 include:spf.protection.outlook.com redirect=spf.mail.hostpoint.chLaut Hostpoint-Doku erstellt Hostpoint bei neuen Domains, die einem Webhosting- oder Cloud-Office-Paket zugewiesen werden, den SPF-Record automatisch in der DNS-Zone. Sie müssen nur prüfen, ob der Record vorhanden ist und dem Standard entspricht. Bei Domains, die vor diesem Auto-Setup angelegt wurden oder bei externen DNS-Providern liegen, ist die manuelle Konfiguration nötig. Quelle: support.hostpoint.ch/.../wie-setze-ich-einen-spf-record-fuer-meine-domain (abgerufen 2026-05-14).
Hostpoint dokumentiert eine wichtige Constraint explizit (Originalwortlaut Hostpoint-Doku): „Im Eintrag ist kein «all» vorhanden (z. B. -all, ~all, ?all)“ sobald redirect= verwendet wird. Der All-Qualifier wird aus der delegierten Policy spf.mail.hostpoint.ch übernommen — Hostpoint setzt dort den korrekten Wert zentral. Bei eigener Konfiguration nach dem Pattern v=spf1 include:spf.protection.outlook.com redirect=spf.mail.hostpoint.ch bleibt der Record bewusst ohne -all. Außerdem: redirect= muss am Ende des Records stehen, und nur ein einziger Redirect ist erlaubt (RFC 7208 § 6.1). Quelle: support.hostpoint.ch SPF-Doku (abgerufen 2026-05-14, „Combined SPF Records“-Block).
TXT-Record im Hostpoint Control Panel anlegen
Das Hostpoint Control Panel (HCP) verwaltet DNS-Records pro Domain in der DNS-Zone. Nach dem Speichern dauert die Aktivierung laut Hostpoint-Doku 5-10 Minuten — global bis 48 Stunden, weil nicht alle Resolver die TTL respektieren.
Menüpfad im Hostpoint Control Panel
- Melden Sie sich mit Ihrer Hostpoint ID im Control Panel an
- Navigieren Sie zu Domains und wählen Sie die gewünschte Domain
- Klicken Sie auf DNS-Zone bearbeiten
- Klicken Sie auf Hostpoint SPF-Record hinzufügen — Hostpoint trägt automatisch den korrekten Wert
v=spf1 redirect=spf.mail.hostpoint.chein - Bestätigen Sie mit Jetzt ausführen
- Warten Sie 5-10 Minuten bis der Record aktiv ist
Wenn bereits ein SPF-Record in der DNS-Zone existiert (z.B. aus einer früheren manuellen Konfiguration), legt Hostpoint nicht automatisch einen zweiten an — Sie sehen den vorhandenen Record im DNS-Editor. Prüfen Sie vor dem Klick auf „Hostpoint SPF-Record hinzufügen“, ob der bestehende Eintrag noch zur aktuellen Konfiguration passt. Bei Migration von externen Providern (Microsoft 365 → Hostpoint) den alten Eintrag löschen und den Hostpoint-Standard neu anlegen.
SPF-Record verifizieren
Nach dem Speichern prüfen Sie die DNS-Propagierung. Bei Hostpoint ist der Record laut Doku typischerweise innerhalb von 5-10 Minuten aktiv — die globale Propagierung kann bis 48 Stunden dauern.
# Linux / macOS
dig TXT ihre-domain.ch +short
# Windows (PowerShell)
Resolve-DnsName -Name ihre-domain.ch -Type TXT | Select-Object -ExpandProperty Strings
# Erwartete Ausgabe:
# "v=spf1 redirect=spf.mail.hostpoint.ch"
# Redirect einzeln prüfen — muss auflösbar sein
dig TXT spf.mail.hostpoint.ch +short
Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser verfolgt den redirect=-Mechanismus rekursiv, zählt alle DNS-Lookups gegen das RFC-7208-Limit von 10, bewertet den im delegierten Record gesetzten Qualifier (-all bzw. ~all) und prüft die Konsistenz mit DMARC-Alignment.
Häufige Fehler bei Hostpoint
Diese drei Fehler treten bei Hostpoint-SPF-Konfigurationen besonders häufig auf — jeder einzelne kann dazu führen, dass E-Mails als Spam eingestuft, in den Junk-Ordner verschoben oder beim Empfänger abgelehnt werden.
Zweiter SPF-Record neben dem Hostpoint-Redirect
Problem: Nach der Aktivierung einer externen Anwendung (Mailchimp, HubSpot, Microsoft 365) wird ein zweiter SPF-Record mit eigenem v=spf1-Präfix angelegt — z.B. v=spf1 include:spf.protection.outlook.com -all neben dem Hostpoint-Standard. RFC 7208 § 4.5 erlaubt nur einen v=spf1-Record pro Domain — bei zwei Records werfen alle konformen Empfänger-Resolver PermError und SPF gilt als ungültig.
Lösung: Beide Sender-Quellen in einen einzigen Record kombinieren. Hostpoint dokumentiert das Pattern explizit: v=spf1 include:spf.protection.outlook.com redirect=spf.mail.hostpoint.ch. Mit dig TXT ihre-domain.ch +short | grep "v=spf1" nach jeder Änderung die Anzahl SPF-Records von außen verifizieren.
Redirect und Include parallel falsch kombiniert
Problem: Eine Konfiguration wie v=spf1 redirect=spf.mail.hostpoint.ch include:spf.protection.outlook.com -all mischt den redirect=-Mechanismus mit zusätzlichen Mechanismen. RFC 7208 § 6.1 schreibt jedoch vor: Sobald redirect= aktiv ist, übernimmt es die komplette Auswertung — alle weiteren Mechanismen in derselben Zeile werden ignoriert. Die Include-Direktive für Microsoft 365 hat keine Wirkung; Microsoft-Mails schlagen mit SPF Fail fehl.
Lösung: Bei Kombination muss redirect= am Ende stehen und alle anderen Mechanismen davor positioniert sein — Hostpoint zeigt das Pattern in der Doku korrekt: v=spf1 include:spf.protection.outlook.com redirect=spf.mail.hostpoint.ch. Der finale -all-Qualifier wird in diesem Fall aus der Hostpoint-Policy spf.mail.hostpoint.ch übernommen.
DNS-Zone bei externem Registrar — Hostpoint-Record fehlt
Problem: Die Domain ist bei Hostpoint zur Mail-Nutzung, aber die DNS-Zone wird bei einem externen Registrar (z.B. Cloudflare, Gandi) verwaltet. Im Hostpoint Control Panel ist der DNS-Tab dann ausgegraut — die „Hostpoint SPF-Record hinzufügen“-Schaltfläche fehlt, weil Hostpoint die DNS-Zone nicht editieren kann.
Lösung: Den SPF-TXT-Record v=spf1 redirect=spf.mail.hostpoint.ch manuell beim externen DNS-Provider eintragen — Hostname @ (oder leer für Root-Domain), Typ TXT, Wert ohne umschließende Anführungszeichen. Mit dig TXT ihre-domain.ch +short nach 10 Minuten verifizieren.
CH-Webhosting-Wettbewerber: Hostpoint vs. Cyon, MetaNet, Webland
Im Schweizer Managed-Webhosting-Markt steht Hostpoint im Wettbewerb mit drei etablierten Hostern. Die Email-Security-Differenzierung ist ein zunehmender Entscheidungsfaktor — Hostpoint ist seit Mai 2024 (DKIM) und August 2024 (DMARC) auf Auto-Aktivierung umgestiegen, was die Email-Security-Konfiguration für KMU drastisch vereinfacht.
Cyon (cyon.ch) — Schweizer Hoster aus Basel, bietet Webhosting + Mail mit ähnlichem Marktfokus wie Hostpoint. Cyon dokumentiert SPF/DKIM/DMARC, hat aber keinen öffentlich dokumentierten Auto-Aktivierungs-Workflow auf dem Niveau von Hostpoint. MetaNet (metanet.ch) — Schweizer Hoster mit Mail-Service-Tarifen, dokumentiert SPF/DKIM-Setup in deutscher KB. Webland (webland.ch) — Schweizer Webhoster, klassischer KB-Workflow für SPF-Records. Für Wettbewerber-Behauptungen über Features im Detail empfehlen wir, die jeweiligen Helpcenter direkt zu konsultieren (Quelle: Wolf-Agents-Recherche 2026-05-14, eingeschränkte Direkt-Verifikation der Wettbewerber-Default-Configs). Hostpoint-Vorteil: Auto-Aktivierung von DKIM (Mai 2024) und DMARC (August 2024) zeichengenau in support.hostpoint.ch dokumentiert — kein Wettbewerber im CH-Markt hat diesen dokumentierten Workflow auf demselben Stand.
NIS2, BSI TR-03182, DSGVO Art. 32 und Schweizer DSG: SPF bei Hostpoint
Der Hostpoint-Webhosting-Default-SPF erfüllt die Anforderung aus NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung), weil er Sender-Authentizität kryptografisch über DNS verankert. BSI TR-03182 nennt SPF als Mindestanforderung. DSGVO Art. 32 fordert technische Maßnahmen zur Sicherheit der Verarbeitung — die Begrenzung gefälschter Absender ist eine direkte Schutzmaßnahme für personenbezogene Daten. Schweizer Datenschutzrecht: Hostpoint mit Sitz in Rapperswil-Jona untersteht dem revidierten Schweizer Datenschutzgesetz (revDSG), in Kraft seit 1. September 2023 — Art. 8 revDSG fordert geeignete technische und organisatorische Maßnahmen zur Datensicherheit, fachlich analog zu DSGVO Art. 32. Wolf-Agents-Kunden mit EU-Geschäft müssen zusätzlich DSGVO und NIS2 einhalten — auch wenn der Mailserver bei einem Schweizer Hoster steht. Schweizer Datensouveränität ist ein USP gegenüber US-Cloud-Providern (kein CLOUD-Act-Zugriff). Wolf-Agents empfiehlt für Hostpoint nach 2-4 Wochen Aggregate-Report-Beobachtung den Wechsel von ~all (SoftFail) auf -all (HardFail) — siehe DMARC-Enforcement für Hostpoint. Der Wolf-Agents Email Security Check bewertet SPF mit bis zu 22 Punkten der 165-Punkte-Email-Security-Analyse.
Wie steht Ihre Domain bei SPF?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.