SPF für Infomaniak einrichten

Schritt-für-Schritt-Anleitung: SPF-Record für Infomaniak Mail Service (Schweiz) konfigurieren, im Infomaniak Manager über Global Security automatisch korrigieren oder manuell als TXT-Record bei externem DNS-Provider eintragen — mit Mail-Service vs. Webhosting-Differenzierung.

SPF prüfen Plattform entdecken
Infomaniak · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 14. Mai 2026

SPF für Infomaniak (Schweiz Cloud + Mail Service)

Infomaniak dokumentiert auf www.infomaniak.com/en/support den Mail-Service-Standard-SPF mit dem Include include:spf.infomaniak.ch und empfiehlt explizit den Härte-Qualifier -all. Der vollständige Standard-Record lautet v=spf1 include:spf.infomaniak.ch -all und kostet einen DNS-Lookup (include:) des RFC-7208-Budgets von 10. Infomaniak betreibt das eigene Mail-Service-Produkt (Mail-Plus-Tarif eigenständig) sowie integrierten Mail Service im Webhosting — beide Varianten nutzen denselben SPF-Include. Wer zusätzliche Sender (Newsletter-Tools, CRM, externes Marketing) nutzt, ergänzt deren Includes in den einen SPF-Record — RFC 7208 erlaubt nur einen SPF-Record pro Domain.

Als Maßnahme nach NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung) und BSI TR-03182 ist SPF ein zentraler Baustein der E-Mail-Absender-Authentifizierung. Schweizer Datenschutz: Infomaniak mit Sitz in Genf betreibt 100 % seiner Server in eigenen Schweizer Rechenzentren — Schweizer Datensouveränität ist neben revDSG Art. 8 (Datensicherheit) ein klarer USP gegenüber US-Cloud-Providern (kein CLOUD-Act-Zugriff). Für Wolf-Agents-Kunden mit EU-Geschäft gelten zusätzlich DSGVO und NIS2. Der Wolf-Agents Email Security Check zählt DNS-Lookups gegen das RFC-7208-Limit von 10, prüft, ob spf.infomaniak.ch noch auflösbar ist, validiert den Qualifier (-all bei Infomaniak-Empfehlung) und erkennt Drift, wenn ein Tool wie Infomaniaks Global Security den Record automatisch geändert hat.

Hardening-Pfad: Nach SPF folgt als nächster Schritt DKIM für Infomaniak — die zweite Säule der E-Mail-Authentifizierung, bei Infomaniak automatisch aktiv, sobald die DNS-Zone bei Infomaniak verwaltet wird. Bedrohungs-Cluster: Ein korrekt gehärteter SPF-Record schließt direkt zwei Klassen von Angriffen — Direct-Domain-Spoofing auf Ihre eigene Domain und Initial-Access-Phishing mit Ihrem Marken-Namen (FBI IC3 2024: 21.442 BEC-Beschwerden, 2,77 Mrd. USD Schaden).

Ausführliche Einführung in SPF

1 Schritt 1 von 3

SPF-Record für Infomaniak Mail Service bestimmen

Erstellen Sie einen TXT-Record für Ihre Root-Domain. Infomaniak unterscheidet zwischen eigenständigem Mail Service / Mail Plus (kostenpflichtiges Mail-Hosting ohne Website) und Webhosting mit integriertem Mail Service — beide nutzen denselben SPF-Include spf.infomaniak.ch, weil der Mail-Versand über dieselbe MTA-Infrastruktur läuft.

DNS TXT-Record (Infomaniak Mail Service Standard) Infomaniak 
ihre-domain.ch.  IN  TXT  "v=spf1 include:spf.infomaniak.ch -all"
Härte-Qualifier -all empfohlen

Infomaniak empfiehlt explizit den Hardfail-Qualifier -all für CH-/LI-Domains. Wenn Ihre aktuelle Konfiguration eine weichere Policy (~all oder ?all) verwendet, aktualisiert das Global Security Tool den Record automatisch auf -all — der Auto-Correct-Button im Manager. Hartes -all ist die korrekte Wahl, sobald alle legitimen Sender bekannt sind.

Zusätzliche Sender (Newsletter, CRM)?

Alle Includes in einen einzigen SPF-Record zusammenfassen — RFC 7208 erlaubt nur einen SPF-Record pro Domain. Beispiel mit Mailchimp:

v=spf1 include:spf.infomaniak.ch include:servers.mcsv.net -all
Mail Plus vs. Webhosting (Information-Gain)

Bei Infomaniak gibt es zwei Wege zum Mail-Service: a) den eigenständigen Mail-Plus-Tarif (kostenpflichtig pro Adresse, ohne Webspace, eigene Domain bringt der Kunde mit) und b) das Webhosting-Paket mit kostenlos integriertem Mail Service. Beide Varianten nutzen die gleichen MTA-Server und damit denselben SPF-Include — der Record ist identisch. Unterschied: Bei Mail Plus wird häufig nur die Mail-Funktion gebraucht und Domain plus Webspace liegen anderswo, sodass die SPF-Konfiguration beim externen DNS-Provider stattfindet. Quelle: infomaniak.com/.../secure-mail-traffic-with-spf-dmarc (abgerufen 2026-05-14).

kSuite als Microsoft-365-Alternative für DACH-KMU (Information-Gain)

Infomaniak bietet mit kSuite eine integrierte SaaS-Plattform (kMail + kDrive + kPaste + kMeet) als Schweizer Alternative zu Microsoft 365 und Google Workspace. SPF-Include bleibt spf.infomaniak.ch — kSuite nutzt dieselbe MTA-Infrastruktur wie Mail Plus und Webhosting. Entscheidungs-Vorteil für DACH-KMU: bei kSuite verlassen weder Mails, Dateien noch Kalender die Schweizer Rechenzentren (kein CLOUD-Act-Zugriff durch US-Behörden, im Gegensatz zu Microsoft 365 mit Tenant in EU). Bei Migrationen Microsoft 365 → kSuite reicht der reine SPF-Include-Tausch nicht — auch DKIM-Selectoren und MX-Records müssen umgestellt werden, sonst entsteht Drift.

2 Schritt 2 von 3

SPF im Infomaniak Manager konfigurieren

Infomaniak bietet das Global-Security-Tool im Manager — es prüft SPF/DKIM/DMARC automatisch und kann SPF mit einem Klick korrigieren, wenn die Domain bei Infomaniak verwaltet wird. Bei externer DNS-Zone tragen Sie den TXT-Record manuell beim externen Provider ein.

Menüpfad im Infomaniak Manager (Global Security)

  1. Im Infomaniak Manager auf Mail Service Management navigieren
  2. Den Namen Ihres Mail Service anklicken
  3. In der linken Seitenleiste Global Security auswählen
  4. Im SPF-Bereich auf Correct klicken — Infomaniak setzt den Standard-Record automatisch in die Manager-DNS-Zone
  5. Bei externer DNS-Zone den angezeigten Wert kopieren und beim externen Provider als TXT-Record mit Host @ eintragen
  6. Nach max. 48 Stunden DNS-Propagation ist der Record aktiv
Auto-Correct nur bei Infomaniak-verwalteter DNS-Zone

Die Auto-Correct-Funktion des Global Security Tools funktioniert nur, wenn die DNS-Zone der Domain ebenfalls bei Infomaniak verwaltet wird. Liegt die DNS-Zone bei einem externen Registrar (z.B. Cloudflare, Gandi), zeigt das Tool den gewünschten Record-Wert nur an — die Übernahme erfolgt manuell. Wolf-Agents empfiehlt den Wert v=spf1 include:spf.infomaniak.ch -all als Best Practice für die manuelle Übernahme.

3 Schritt 3 von 3

SPF-Record verifizieren

Nach dem Speichern prüfen Sie die DNS-Propagierung. Bei Infomaniak ist der Record laut Doku innerhalb von Minuten bis 48 Stunden weltweit aktiv — die genaue Zeit hängt vom TTL-Wert ab.

Terminal / PowerShell Verifikation 
# Linux / macOS
dig TXT ihre-domain.ch +short

# Windows (PowerShell)
Resolve-DnsName -Name ihre-domain.ch -Type TXT | Select-Object -ExpandProperty Strings

# Erwartete Ausgabe:
# "v=spf1 include:spf.infomaniak.ch -all"

# Include einzeln prüfen — muss auflösbar sein
dig TXT spf.infomaniak.ch +short

Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser prüft SPF auf 22 Einzelkriterien inklusive Lookup-Zählung, Qualifier-Bewertung (Infomaniak-Empfehlung -all) und Konsistenz mit DMARC-Alignment.

Häufige Fehler bei Infomaniak

Diese drei Fehler treten bei Infomaniak-SPF-Konfigurationen besonders häufig auf — jeder einzelne kann dazu führen, dass E-Mails als Spam eingestuft, in den Junk-Ordner verschoben oder beim Empfänger abgelehnt werden.

Auto-Correct angeklickt trotz externer DNS-Zone

Problem: Die Domain wird bei einem externen Registrar (Cloudflare, Gandi) verwaltet, aber im Infomaniak-Global-Security-Tool wird der „Correct“-Button geklickt. Das Tool meldet Erfolg, aber tatsächlich wurde nur die Infomaniak-interne Verwaltung aktualisiert — beim externen DNS-Provider passiert nichts. Im DNS-Check fehlt SPF weiterhin.

Lösung: Vor dem Klick auf Correct prüfen, ob die DNS-Zone wirklich bei Infomaniak liegt (Infomaniak Manager → Domains → DNS-Zone der Domain). Falls extern: den Standard-Wert v=spf1 include:spf.infomaniak.ch -all manuell beim externen Provider als TXT-Record eintragen.

Soft Fail (~all) statt Hard Fail (-all)

Problem: Eine ältere Konfiguration nutzt v=spf1 include:spf.infomaniak.ch ~all (SoftFail) statt der Infomaniak-Empfehlung mit -all. Empfänger tolerieren bei ~all auch nicht-autorisierte Sender und markieren die Mail nur als verdächtig. Bei DMARC mit p=reject entstehen Inkonsistenzen — dmarc=fail mit spf=softfail.

Lösung: Nach 2 Wochen sauberer DMARC-Reports den SPF-Qualifier von ~all auf -all härten. Im Infomaniak Manager via Global Security per Auto-Correct-Button — oder manuell beim DNS-Provider. Erst dann ist die SPF/DKIM/DMARC-Kette vollständig kompatibel mit p=reject.

Zwei SPF-Records nach Migration zu Infomaniak

Problem: Nach einer Migration von einem anderen Mail-Provider (z.B. Microsoft 365 → Infomaniak) wird der neue Infomaniak-SPF-Record angelegt, aber der alte v=spf1 include:spf.protection.outlook.com -all nicht entfernt. RFC 7208 § 4.5 erlaubt nur einen v=spf1-Record pro Domain — bei zwei Records werfen alle konformen Empfänger-Resolver PermError.

Lösung: Mit dig TXT ihre-domain.ch +short | grep "v=spf1" nach jeder Migration die Anzahl SPF-Records von außen verifizieren. Den alten Record löschen. Bei paralleler Nutzung zweier Mail-Anbieter beide Includes in einen Record kombinieren: v=spf1 include:spf.infomaniak.ch include:spf.protection.outlook.com -all.

CH-Cloud-Office-Wettbewerber: Infomaniak vs. Microsoft 365 Schweiz, Google Workspace, Cyon

Im Schweizer Cloud-Office-Markt konkurriert Infomaniak's kSuite-Familie (kMail + kDrive + kPaste + kMeet) mit US-Cloud-Office-Anbietern. Die Datensouveränität-Diskussion (kein US-CLOUD-Act-Zugriff) ist ein zentraler Differenzierungsfaktor für Schweizer KMU mit Behörden-Aufträgen oder Bank-Kunden.

Microsoft 365 Schweiz — Microsoft betreibt seit 2019 Schweizer Rechenzentren in Zürich und Genf für „Microsoft 365“-Tenants, die Datenresidenz in der Schweiz garantieren. Aber: Microsoft als US-Konzern unterliegt dem CLOUD-Act, US-Behörden können Daten unabhängig vom physischen Speicherort anfordern. Infomaniak als Schweizer Unternehmen mit eigenen Rechenzentren hat diesen Risiko-Vektor nicht. Google Workspace — gleichermaßen US-Konzern mit CLOUD-Act-Risiko; bietet EU-Region-Storage aber kein dediziertes CH-Tenant-Modell. Cyon (cyon.ch) — Schweizer Wettbewerber von Hostpoint, eher Webhosting-Schwerpunkt, weniger SaaS-Office-Funktionen als Infomaniak's kSuite. Infomaniak-Vorteil: 100 % Schweizer Rechenzentren mit erneuerbarer Energie + kSuite-Bundle (Mail+Drive+Office+Meet) zu einem Preis (Quelle: Wolf-Agents-Recherche 2026-05-14, Infomaniak-Eigenangaben in Marketing-Material).

NIS2, BSI TR-03182, DSGVO Art. 32 und Schweizer DSG: SPF bei Infomaniak

Der Infomaniak-Mail-Service-Default-SPF erfüllt die Anforderung aus NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung), weil er Sender-Authentizität kryptografisch über DNS verankert. BSI TR-03182 nennt SPF als Mindestanforderung. DSGVO Art. 32 fordert technische Maßnahmen zur Sicherheit der Verarbeitung — die Begrenzung gefälschter Absender ist eine direkte Schutzmaßnahme für personenbezogene Daten. Schweizer Datenschutzrecht: Infomaniak mit Sitz in Genf untersteht dem revidierten Schweizer Datenschutzgesetz (revDSG), in Kraft seit 1. September 2023 — Art. 8 revDSG fordert geeignete technische und organisatorische Maßnahmen zur Datensicherheit, fachlich analog zu DSGVO Art. 32. Infomaniak betreibt 100 % seiner Infrastruktur in eigenen Schweizer Rechenzentren mit erneuerbarer Energie — ein doppelter USP gegenüber US-Cloud-Providern (kein CLOUD-Act-Zugriff, Klimaschutz). Wolf-Agents-Kunden mit EU-Geschäft müssen zusätzlich DSGVO und NIS2 einhalten. Wolf-Agents empfiehlt für Infomaniak den Infomaniak-eigenen Standard -all — siehe DMARC-Enforcement für Infomaniak. Der Wolf-Agents Email Security Check bewertet SPF mit bis zu 22 Punkten der 165-Punkte-Email-Security-Analyse.

SPF-Anleitung auch für:

Microsoft 365Google WorkspaceIONOSStratoAll-InklHetznerNetcupHostpointWorld4YouProton MailPostfixEximMailcowGenerisch

Wie steht Ihre Domain bei SPF?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten