SPF für Netcup einrichten
Schritt-für-Schritt-Anleitung: SPF-Record für Netcup Webhosting konfigurieren, im Customer Control Panel anlegen und mit dig/PowerShell verifizieren — inklusive Lookup-Budget-Hinweis und CCP-Validierungs-Spalten.
SPF für Netcup (DACH-DE Managed Webhosting)
Netcup dokumentiert den Webhosting-Standard-SPF im helpcenter.netcup.com als v=spf1 mx a include:_spf.webhosting.systems ~all. Der Record autorisiert MX-Server, den A-Record-Host und das Netcup-Mail-Relay zusammen — und kostet zwei DNS-Lookups (mx + include:) des RFC-7208-Budgets von 10. Der Record funktioniert wie dokumentiert nur, wenn die Standard-DNS-Einstellungen aktiv sind und der Versand ausschließlich über den Produkt-Mailserver läuft. Wer zusätzliche Sender (Newsletter-Tools, CRM, externes Marketing) nutzt, ergänzt deren Includes in den einen SPF-Record — RFC 7208 erlaubt nur einen SPF-Record pro Domain.
Als Maßnahme nach NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung) und BSI TR-03182 ist SPF ein zentraler Baustein der E-Mail-Absender-Authentifizierung. Netcup ist als deutscher Hoster (Sitz Nürnberg) Auftragsverarbeiter nach DSGVO Art. 28; der Auftragsverarbeitungsvertrag (AVV) ist im Kundenbereich abrufbar und gehört für NIS2-pflichtige Unternehmen in die Compliance-Dokumentation. Der Wolf-Agents Email Security Check zählt DNS-Lookups gegen das RFC-7208-Limit von 10, prüft, ob beide Include-Domains (_spf.webhosting.systems bei Netcup-Webhosting, optional Drittanbieter) noch aufgelöst werden, und erkennt den Netcup-typischen Drift zwischen Webhosting-Tarif und vServer/Root-Server-Tarif, der einen komplett anderen SPF-Record (nur ip4:/ip6: der Server-IP) braucht.
Hardening-Pfad: Nach SPF folgt als nächster Schritt DKIM für Netcup — die zweite Säule der E-Mail-Authentifizierung, mit den Standard-CNAMEs key1._domainkey und key2._domainkey auf webhosting.systems. Gemeinsam bilden SPF + DKIM die Grundlage für DMARC. Bedrohungs-Cluster: Ein korrekt gehärteter SPF-Record schließt direkt zwei Klassen von Angriffen — Direct-Domain-Spoofing auf Ihre eigene Domain und Initial-Access-Phishing mit Ihrem Marken-Namen (FBI IC3 2024: 21.442 BEC-Beschwerden, 2,77 Mrd. USD Schaden).
Ausführliche Einführung in SPF
Netcup CCP-DNS-Workflow — Domains → Lupe → DNS-Tab
4-Schritte-UI-Sequence im Netcup Customer Control Panel (CCP): Login ccp.netcup.net, Navigation Domains (linke Sidebar), Klick auf Lupe-Symbol für Domain-Detail, Tab DNS mit den Spalten Gültig und Geändert. Wiederverwendbar in 6 Netcup-Provider-Seiten. Konzern: Netcup GmbH Nürnberg.
Hardening-Pfad Q9-W1 — 6 Stationen × 2 Provider-Pfade (Netcup + Mailcow)
Horizontale Roadmap mit 6 Stationen (SPF/DKIM/DMARC/DMARC-Enforcement/MTA-STS/SMTP-TLS) und zwei parallelen Provider-Pfaden (Netcup Managed in Brand-Primary + Mailcow Self-Hosted in State-Warning). RFC-Anker pro Station. Pfeile zeigen Reihenfolge der Implementierung. Bedrohungs-Abdeckung: Spoofing, BEC, Phishing, SubdoMailing, STRIPTLS, MITM. Konzerne: Netcup GmbH Nürnberg + Mailcow GmbH Bielefeld.
SPF-Record für Netcup-Webhosting bestimmen
Erstellen Sie einen TXT-Record für Ihre Root-Domain. Hostname ist @ (Netcup ergänzt die Domain automatisch — vermeidet einen falschen abschließenden Punkt). Der Record autorisiert MX-Server (mx), den A-Record-Host (a) und das Netcup-Webhosting-Mail-Relay (include:_spf.webhosting.systems) für den Versand in Ihrem Namen.
ihre-domain.de. IN TXT "v=spf1 mx a include:_spf.webhosting.systems ~all"Bei einem Netcup vServer oder Root-Server (eigener Mailserver, z.B. Postfix oder Mailcow) ist das Webhosting-Mail-Relay nicht zuständig. Verwenden Sie stattdessen die Server-IP direkt — siehe SPF für Postfix oder SPF für Mailcow:
v=spf1 mx ip4:<server-ip> -allAlle Includes in einen einzigen SPF-Record zusammenfassen — RFC 7208 erlaubt nur einen SPF-Record pro Domain. Beispiel mit Mailchimp:
v=spf1 mx a include:_spf.webhosting.systems include:servers.mcsv.net ~allDie Netcup-Doku warnt explizit: „The records work as intended only when default DNS settings are used and emails are sent exclusively via the product's mail server.“ Wer eigene MX-Records auf externe Mail-Server setzt (z.B. Microsoft 365, Google Workspace), verliert das Netcup-Default-SPF-Setup — der _spf.webhosting.systems-Include wird wirkungslos, weil die externen Server eigene SPF-Includes brauchen. Im CCP unter Domains → Lupe → DNS die Option „Standard-DNS-Einstellung“ aktiv halten oder explizit eigene SPF-Includes für die externen Provider eintragen. Quelle: netcup.com/en/helpcenter/documentation/web-hosting/webhosting-dns (abgerufen 2026-05-13).
TXT-Record im Netcup CCP anlegen
Das Netcup Customer Control Panel verwaltet DNS-Records pro Domain im DNS-Tab. Die Propagation läuft nach Klick auf „DNS Records speichern“ innerhalb von etwa zehn Minuten — global bis zu 48 Stunden, weil nicht alle Resolver die TTL respektieren (laut Netcup-Helpcenter).
Menüpfad im Netcup CCP
- Melden Sie sich im Customer Control Panel (CCP) an (
ccp.netcup.net) - Navigieren Sie zu Domains
- Klicken Sie auf das Lupe-Symbol links neben Ihrer Domain
- Wählen Sie den Reiter DNS
- Erstellen Sie einen neuen Eintrag: Host
@· TypTXT· Destinationv=spf1 mx a include:_spf.webhosting.systems ~all - Klicken Sie auf DNS Records speichern — bei Erfolg erscheint die Meldung grün, Fehler werden rot angezeigt
- Prüfen Sie nach 10 Minuten, dass für den Record Gültig = yes und Geändert = no stehen
Im Destination-Feld den SPF-Record ohne umschließende Anführungszeichen einfügen — Netcup setzt die Quotes beim Export in den TXT-Record automatisch. Ein zusätzliches Anführungszeichen im Wert führt zu einem Syntaxfehler beim DNS-Server und der Record wird als ungültig markiert.
SPF-Record verifizieren
Nach dem Speichern prüfen Sie die DNS-Propagierung. Bei Netcup ist der Record laut Helpcenter typischerweise innerhalb von 10 Minuten aktiv — die globale Propagierung kann bis 48 Stunden dauern.
# Linux / macOS
dig TXT ihre-domain.de +short
# Windows (PowerShell)
Resolve-DnsName -Name ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings
# Erwartete Ausgabe:
# "v=spf1 mx a include:_spf.webhosting.systems ~all"
# Include einzeln prüfen — muss auflösbar sein
dig TXT _spf.webhosting.systems +short
Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser prüft SPF auf 22 Einzelkriterien inklusive Lookup-Zählung, Qualifier-Bewertung (~all bei Netcup-Default vs. härteres -all) und Konsistenz mit DMARC-Alignment.
Häufige Fehler bei Netcup
Diese drei Fehler treten bei Netcup-SPF-Konfigurationen besonders häufig auf — jeder einzelne kann dazu führen, dass E-Mails als Spam eingestuft, in den Junk-Ordner verschoben oder beim Empfänger abgelehnt werden.
Webhosting-Default-SPF gegen Server-IP getauscht
Problem: Anleitungen aus Foren empfehlen häufig v=spf1 ip4:<netcup-server-ip> -all auch für Netcup-Webhosting-Kunden. Das funktioniert nicht: Netcup-Webhosting-Versand läuft nicht direkt vom Webserver, sondern über das Mail-Relay _spf.webhosting.systems. Eine reine IP-Authorisierung verfehlt die Mail-Relay-IPs und SPF schlägt mit fail fehl.
Lösung: Bei Netcup-Webhosting immer den dokumentierten Default-Record verwenden: v=spf1 mx a include:_spf.webhosting.systems ~all. Eine reine ip4:-Variante ist nur bei vServer/Root-Server mit eigenem Mailserver (Postfix, Mailcow) korrekt.
Zwei SPF-Records nach Tarif-Wechsel
Problem: Nach einem Tarif-Upgrade oder einer Tarif-Migration im CCP wird gelegentlich ein zweiter SPF-Record automatisch angelegt, ohne den alten zu entfernen. RFC 7208 § 4.5 erlaubt nur einen v=spf1-Record pro Domain — bei zwei Records wirft jeder konforme Empfänger-Resolver PermError und SPF gilt komplett als ungültig.
Lösung: Nach jedem Tarif-Wechsel im CCP unter Domains → Lupe → DNS prüfen, wie viele v=spf1-Records existieren. Mit dig TXT ihre-domain.de +short | grep "v=spf1" die Anzahl von außen verifizieren. Den überzähligen Record löschen und alle Includes in einen einzigen Record zusammenführen.
Host @ durch FQDN ersetzt
Problem: Bei der Eingabe wird im Host-Feld der vollständige Domainname (z.B. ihre-domain.de) statt @ verwendet. Netcup ergänzt den Hostnamen automatisch um die Domain — bei FQDN-Eingabe entsteht der Record für ihre-domain.de.ihre-domain.de, der nicht aufgelöst wird. Ergebnis: SPF wird bei der Hauptdomain gar nicht gefunden, Empfänger werten dies als none.
Lösung: Im Host-Feld immer nur @ verwenden (laut Netcup-Helpcenter explizit empfohlen) — das steht für die Root-Domain. Bei Subdomain-Einträgen die Subdomain ohne Hauptdomain eingeben (z.B. mail für mail.ihre-domain.de).
NIS2, BSI TR-03182 und DSGVO Art. 32: SPF bei Netcup-Webhosting
Der Netcup-Webhosting-Default-SPF erfüllt die Anforderung aus NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung), weil er Sender-Authentizität kryptografisch über DNS verankert. BSI TR-03182 nennt SPF als Mindestanforderung. DSGVO Art. 32 fordert technische Maßnahmen zur Sicherheit der Verarbeitung — die Begrenzung gefälschter Absender mit Ihrem Domain-Namen ist eine direkte Schutzmaßnahme für personenbezogene Daten. Netcup ist Auftragsverarbeiter nach DSGVO Art. 28; der AVV gehört in Ihre Compliance-Dokumentation. Wolf-Agents empfiehlt für Netcup-Webhosting die Härtung von ~all (SoftFail, Netcup-Default) auf -all (HardFail) nach 2-4 Wochen Aggregate-Report-Beobachtung — siehe DMARC-Enforcement für Netcup. Der Wolf-Agents Email Security Check bewertet SPF mit bis zu 22 Punkten der 165-Punkte-Email-Security-Analyse.
SPF-Anleitung auch für:
Wie steht Ihre Domain bei SPF?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.