SPF für Microsoft 365 einrichten

Schritt-für-Schritt-Anleitung: SPF-Record für Exchange Online konfigurieren, im Admin Center prüfen und mit DNS-Befehlen verifizieren — inklusive Hybrid-Szenarien.

SPF prüfen Plattform entdecken
Microsoft 365 · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 6. April 2026

SPF für Microsoft 365 (Exchange Online)

Microsoft 365 nutzt den SPF-Include spf.protection.outlook.com, der 2-3 DNS-Lookups verbraucht und alle Exchange-Online-Mailserver autorisiert. Nach der Domain-Verifizierung im Admin Center empfiehlt Microsoft den passenden SPF-Record. Dieser Guide zeigt die korrekte Einrichtung — auch für Hybrid-Umgebungen mit On-Premise Exchange.

SPF gehört zu den Pflichtmaßnahmen nach NIS2 Art. 21 und BSI TR-03182 — Microsoft 365 liefert die technische Grundlage, der Wolf-Agents Email Security Check zählt die DNS-Lookups gegen das RFC-7208-Limit von 10 zeichengenau, erkennt die verschachtelte spf.protection.outlook.com-Include-Kette und warnt bei Drift durch zusätzliche Hybrid- oder Marketing-Includes. Microsoft 365 allein verbraucht bereits 2-3 der 10 erlaubten DNS-Lookups — planen Sie weitere Dienste sorgfältig.

Hardening-Pfad: Nach SPF folgt als nächster Schritt DKIM für Microsoft 365 — gemeinsam bilden SPF + DKIM die Grundlage für DMARC.

Ausführliche Einführung in SPF

1 Schritt 1 von 3

SPF-Record im DNS anlegen

Erstellen Sie einen TXT-Record bei Ihrem DNS-Provider. Dieser Record autorisiert alle Microsoft-365-Mailserver, E-Mails für Ihre Domain zu versenden.

DNS TXT-Record Microsoft 365 
ihre-domain.de.  IN  TXT  "v=spf1 include:spf.protection.outlook.com -all"
Hybrid-Umgebung mit On-Premise Exchange?

Wenn Sie neben Exchange Online einen lokalen Exchange-Server betreiben, fügen Sie dessen öffentliche IP-Adresse hinzu:

v=spf1 ip4:203.0.113.10 include:spf.protection.outlook.com -all
Mit weiteren Diensten (SendGrid, Mailchimp)?

Fügen Sie alle Includes in einen einzigen SPF-Record zusammen. RFC 7208 erlaubt nur einen SPF-Record pro Domain:

v=spf1 include:spf.protection.outlook.com include:sendgrid.net -all
2 Schritt 2 von 3

Domain im Microsoft 365 Admin Center prüfen

Microsoft zeigt nach der Domain-Verifizierung den empfohlenen SPF-Record an. Vergleichen Sie diesen mit Ihrem DNS-Eintrag.

Menüpfad im Admin Center

  1. Melden Sie sich im Microsoft 365 Admin Center an (admin.microsoft.com)
  2. Navigieren Sie zu Einstellungen → Domänen
  3. Wählen Sie Ihre Domain aus
  4. Klicken Sie auf DNS-Einträge
  5. Microsoft zeigt den empfohlenen SPF-Record — dieser muss mit Ihrem DNS-Eintrag übereinstimmen
3 Schritt 3 von 3

SPF-Record verifizieren

Nach dem Anlegen des DNS-Records prüfen Sie die korrekte Propagierung. DNS-Änderungen brauchen je nach Provider 5 Minuten bis 24 Stunden.

Terminal / PowerShell Verifikation 
# Linux / macOS
dig TXT ihre-domain.de +short

# Windows (PowerShell)
Resolve-DnsName -Name ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings

# Erwartete Ausgabe:
# "v=spf1 include:spf.protection.outlook.com -all"

Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser prüft SPF auf 22 Einzelkriterien inklusive Lookup-Zählung und Qualifier-Bewertung.

Häufige Fehler bei Microsoft 365

Die folgenden drei Fehler treten bei Microsoft-365-Konfigurationen am häufigsten auf. Jeder einzelne kann dazu führen, dass SPF fehlschlägt und E-Mails abgelehnt werden.

SPF-Include fehlt nach Domain-Verifizierung

Problem: Die Domain wurde im Admin Center verifiziert, aber der SPF-Record wurde nicht im DNS angelegt. Microsoft verifiziert die Domain per TXT- oder MX-Record — das ist nicht der SPF-Record.

Lösung: Nach der Domain-Verifizierung den SPF-TXT-Record separat anlegen. Unter Einstellungen → Domänen → DNS-Einträge zeigt Microsoft den benötigten Record.

Zwei SPF-Records nach Migration

Problem: Nach der Migration von Google Workspace zu Microsoft 365 existieren zwei v=spf1-Records — einer mit include:_spf.google.com, einer mit include:spf.protection.outlook.com. RFC 7208 erlaubt nur einen SPF-Record pro Domain — zwei Records ergeben einen PermError.

Lösung: Den alten Google-Include entfernen oder beide Includes in einen einzigen Record zusammenführen. Entfernen Sie den Google-Include nur, wenn Sie Google Workspace nicht mehr nutzen.

Lookup-Limit durch zusätzliche Dienste überschritten

Problem: Microsoft 365 verbraucht 2-3 DNS-Lookups. Mit HubSpot (7-9 Lookups) oder Freshdesk (7-8 Lookups) wird das 10-Lookup-Limit schnell überschritten — SPF liefert PermError und die Authentifizierung schlägt fehl.

Lösung: Verlagern Sie lookup-intensive Dienste auf Subdomains. Beispiel: crm.ihre-domain.de IN TXT "v=spf1 include:hubspotemail.net -all". Jede Subdomain hat ein eigenes 10-Lookup-Budget.

SPF-Anleitung auch für:

Google WorkspaceIONOSStratoAll-InklHetznerPostfixEximGenerisch

Wie steht Ihre Domain bei SPF?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten