SPF für Proton Mail einrichten
Schritt-für-Schritt-Anleitung: SPF-Record für Proton Mail Custom Domain (Schweiz, E2EE) im Proton Account Settings anzeigen, beim DNS-Provider als TXT-Record eintragen und mit dig verifizieren — inklusive Bridge-Architektur-Hinweis und Schweizer DSG.
SPF für Proton Mail (Schweiz, End-to-End-Encrypted Mail mit Custom Domain)
Proton Mail dokumentiert auf proton.me/support den Custom-Domain-Standard-SPF mit dem Include include:_spf.protonmail.ch — vollständig v=spf1 include:_spf.protonmail.ch -all. Der Record autorisiert die Proton-Mail-Server, im Namen Ihrer Custom-Domain zu versenden. Custom Domain ist nur mit Proton Mail Plus, Business oder Visionary verfügbar — bei einem reinen Kostenlos-Account ist Custom-Domain-Hosting nicht möglich. Wer zusätzliche Sender (Newsletter-Tools, CRM) nutzt, ergänzt deren Includes in den einen SPF-Record — RFC 7208 erlaubt nur einen pro Domain.
Als Maßnahme nach NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung) und BSI TR-03182 ist SPF ein zentraler Baustein der E-Mail-Absender-Authentifizierung. Schweizer Datenschutz: Proton AG mit Sitz in Genf untersteht dem revidierten Schweizer Datenschutzgesetz (revDSG) — Art. 8 revDSG fordert geeignete technische und organisatorische Maßnahmen zur Datensicherheit, analog DSGVO Art. 32. Proton bietet zusätzlich End-to-End-Verschlüsselung (E2EE) und Zero-Access-Encryption — der Anbieter kann selbst die gespeicherten Mails nicht lesen. Schweizer Datensouveränität (kein CLOUD-Act) plus E2EE ist der USP gegenüber US-Cloud-Mail-Anbietern. Der Wolf-Agents Email Security Check zählt DNS-Lookups gegen das RFC-7208-Limit von 10, prüft, ob _spf.protonmail.ch noch auflösbar ist, validiert den Qualifier (-all bei Proton-Standard) und erkennt Drift nach Account-Tarif-Änderungen.
Hardening-Pfad: Nach SPF folgt als nächster Schritt DKIM für Proton Mail — die zweite Säule der E-Mail-Authentifizierung, bei Proton über drei CNAME-Records mit automatischer Schlüssel-Rotation. Bedrohungs-Cluster: Ein korrekt gehärteter SPF-Record schließt direkt zwei Klassen von Angriffen — Direct-Domain-Spoofing auf Ihre eigene Domain und Initial-Access-Phishing mit Ihrem Marken-Namen (FBI IC3 2024: 21.442 BEC-Beschwerden, 2,77 Mrd. USD Schaden).
Voraussetzung: Custom Domain in Proton Account verifiziert
Proton Mail Custom Domain erfordert einen kostenpflichtigen Tarif (Mail Plus, Business oder Visionary). Vor der SPF-Konfiguration muss die Domain im Proton Account bereits verifiziert (Verification-TXT-Record) und mit MX-Records auf Proton ausgerichtet sein.
Vorab-Setup-Schritte im Proton Account
- Im Proton Account auf Settings → All settings → Organization → Domain names navigieren
- Domain hinzufügen — Proton zeigt einen Verification-TXT-Record (
protonmail-verification=<hash>) - Diesen TXT-Record beim externen DNS-Provider eintragen und im Proton Account auf Verify klicken
- MX-Records eintragen:
mail.protonmail.chPriorität 10,mailsec.protonmail.chPriorität 20 — alle bestehenden MX-Records vorher entfernen - Erst nach erfolgter MX-Verifikation kann SPF konfiguriert werden
Proton Bridge (proton.me/mail/bridge) ist eine lokale Anwendung, die E2EE-Proton-Mails für Mail-Clients wie Thunderbird oder Apple Mail über IMAP/SMTP verfügbar macht. Bridge ist NICHT für die Custom-Domain-Konfiguration relevant — diese läuft komplett über die DNS-Konfiguration und Proton's Server. Bridge ist nur dann nötig, wenn Sie Proton-Mails in einem Desktop-Client lesen wollen. Server-zu-Server-SMTP-AUTH wird von Proton bei Custom Domain nicht direkt angeboten — automatisierte Server-Mails (z.B. Cron-Skripte) brauchen entweder einen externen Transactional-Mail-Provider (Sendgrid, Postmark) oder müssen die Bridge auf einem Server laufen lassen (technisch möglich, aber für reine Server-Mails nicht empfohlen).
Proton vermarktet sich nicht nur als Mail-Anbieter, sondern als integriertes Privacy-Ökosystem mit Proton Mail, Proton VPN, Proton Drive, Proton Calendar und Proton Pass (Password-Manager). Für KMU mit Datenschutz-Schwerpunkt bedeutet das: ein Account-Provider statt fünf, alle Daten auf Schweizer Servern, einheitliches Zero-Access-Encryption-Modell. Für E-Mail-Security relevant: Proton VPN kann am Arbeitsplatz die ausgehenden Verbindungen zu Mail-Empfängern verschleiern (Schutz vor Traffic-Analyse), während die Mail-Authentifizierung mit SPF/DKIM/DMARC weiterhin auf Proton-Server-Ebene läuft. Die Bundles (Proton Unlimited, Proton Business Suite) inkludieren Mail Plus + VPN + Drive zu einem reduzierten Preis. Quelle: Proton-Account-Settings „Bundle“-Vergleich.
SPF-Record bei externem DNS-Provider anlegen
Im Proton Account zeigt der SPF-Tab den genauen TXT-Record-Wert. Diesen kopieren Sie und tragen ihn beim externen DNS-Provider (Cloudflare, Gandi, Hostpoint, Namecheap etc.) als TXT-Record für die Root-Domain ein.
ihre-domain.ch. IN TXT "v=spf1 include:_spf.protonmail.ch -all"Menüpfad im Proton Account
- Im Proton Account auf Settings → All settings → Organization → Domain names navigieren
- Neben Ihrer Domain auf Review klicken
- Den SPF-Tab öffnen — Proton zeigt den exakten Record-Wert
- Hostname:
@(Root-Domain), Typ: TXT, Wert:v=spf1 include:_spf.protonmail.ch -all - Beim externen DNS-Provider eintragen und nach 10-30 Minuten Propagation im Proton Account auf Verify klicken
Wenn Sie zusätzlich Mailchimp, Sendgrid o.ä. nutzen, alle Includes in einen Record kombinieren — RFC 7208 erlaubt nur einen SPF-Record pro Domain. Beispiel:
v=spf1 include:_spf.protonmail.ch include:servers.mcsv.net -allSPF-Record verifizieren
Nach dem Speichern beim DNS-Provider prüfen Sie die DNS-Propagierung. Im Proton Account zeigt der SPF-Tab nach erfolgter Verifikation ein grünes Häkchen.
# Linux / macOS
dig TXT ihre-domain.ch +short
# Windows (PowerShell)
Resolve-DnsName -Name ihre-domain.ch -Type TXT | Select-Object -ExpandProperty Strings
# Erwartete Ausgabe:
# "v=spf1 include:_spf.protonmail.ch -all"
# Include einzeln prüfen — muss auflösbar sein
dig TXT _spf.protonmail.ch +short
Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser prüft SPF auf 22 Einzelkriterien inklusive Lookup-Zählung, Qualifier-Bewertung (Proton-Standard -all) und Konsistenz mit DMARC-Alignment.
Häufige Fehler bei Proton Mail
Diese drei Fehler treten bei Proton-Mail-SPF-Konfigurationen besonders häufig auf — jeder einzelne kann dazu führen, dass E-Mails als Spam eingestuft, in den Junk-Ordner verschoben oder beim Empfänger abgelehnt werden.
SPF eingerichtet, aber Custom Domain Tarif gekündigt
Problem: Eine Domain wurde mit Proton Mail Plus eingerichtet (SPF + DKIM + DMARC korrekt konfiguriert), aber der Tarif wurde später auf Kostenlos heruntergestuft. Custom Domain ist im Kostenlos-Tarif nicht verfügbar — Proton stellt die Mail-Annahme für die Custom Domain ein. Der SPF-Record steht noch in der DNS-Zone, aber keine Mails kommen mehr durch.
Lösung: Bei Tarif-Downgrade die Custom Domain entweder behalten (Tarif wieder auf Plus erhöhen) oder einen anderen Mail-Anbieter konfigurieren. SPF/DKIM/DMARC-Records bei tatsächlicher Migration auf den neuen Anbieter umstellen — nicht in der DNS-Zone „verwaisen“ lassen.
Server-Cron-Mails ohne SMTP-Relay
Problem: Ein Server (z.B. WordPress, eigener Cron-Job) versendet Mails per PHP-Mail oder direktem SMTP an Empfänger. Proton bietet keinen direkten SMTP-AUTH für Custom Domain — der Server kann die Mails nicht authentifizieren. Die Mails entstehen lokal auf dem Server, schlagen aber SPF (include:_spf.protonmail.ch) fehl, weil die Server-IP nicht in der Proton-SPF-Liste steht.
Lösung: Für Server-Mails einen externen Transactional-Mail-Provider (Sendgrid, Postmark, Mailgun) nutzen und dessen Include im SPF ergänzen: v=spf1 include:_spf.protonmail.ch include:sendgrid.net -all. Alternativ Proton Bridge auf dem Server installieren (technisch möglich, aber für reine Server-Mails ungewöhnlich) — siehe proton.me/mail/bridge.
MX bei Proton, SPF bei externem Mail-Anbieter
Problem: Eine Migration von Microsoft 365 zu Proton Mail ist halb durchgeführt — die MX-Records wurden auf mail.protonmail.ch/mailsec.protonmail.ch umgestellt, aber der alte SPF-Record steht noch auf v=spf1 include:spf.protection.outlook.com -all. Proton-Mails werden mit spf=fail markiert.
Lösung: Nach jeder Mail-Provider-Migration den SPF-Record entsprechend anpassen. Bei kompletter Migration zu Proton: v=spf1 include:_spf.protonmail.ch -all. Bei paralleler Nutzung beide Includes: v=spf1 include:_spf.protonmail.ch include:spf.protection.outlook.com -all.
Privacy-Mail-Wettbewerber: Proton Mail vs. Tuta, Mailbox.org, Posteo, Startmail
Im Privacy-Mail-Markt steht Proton Mail im Wettbewerb mit drei deutschen Privacy-Mail-Anbietern und einem niederländischen Provider. Die zentrale Differenzierung läuft über Encryption-Architektur, Custom-Domain-Tarif-Stufen und Bridge-Architektur für Desktop-Clients.
Tuta / Tutanota (tuta.com, juristisch Tutao GmbH, Deisterstraße 17a, 30449 Hannover) — Deutscher Privacy-Mail-Anbieter, nutzt proprietäre quantum-safe End-to-End-Verschlüsselung (kein PGP, sondern eigenes AES-/Post-Quantum-Hybrid-Modell laut tuta.com). Custom-Domain wird unterstützt mit Aliases. Server in Deutschland. Unterschied zu Proton: andere Encryption-Architektur, kein direkter PGP-Interop mit Empfängern. Mailbox.org (mailbox.org, juristisch Heinlein Hosting GmbH, Schwedter Straße 8/9A, 10119 Berlin, HRB 220010 B Amtsgericht Berlin-Charlottenburg, 100-prozentige Tochter der Heinlein Support GmbH seit Spinoff zum 1. Januar 2021) — Deutscher Privacy-Mail aus Berlin mit „zertifizierten deutschen Rechenzentren“ (BSI C5 Type 1 + ISO/IEC 27001:2022). Standard-Tarif (kostenpflichtig) mit Custom-Domain und 50 Domain-Aliases plus 25 @mailbox.org-Aliases; Premium-Tarif mit 250 Domain-Aliases. PGP-Webmail-Integration. Unterschied zu Proton: keine Zero-Access-Architektur, Heinlein Hosting GmbH als deutsche GmbH kann theoretisch Daten unter deutschem Recht herausgeben. Posteo (posteo.de, juristisch Posteo e.K., Berlin, eingetragener Kaufmann) — Deutscher Privacy-Mail aus Berlin, „TLS-Send/Receive-Guarantee“, DANE-Support, PGP + S/MIME im Webmail, Crypto-Mail-Storage. Wichtiger Unterschied: Posteo unterstützt KEINE Custom-Domain — nur @posteo.de-Adressen (laut Posteo-Hauptseite 2026-05-14). Startmail (startmail.com) — Niederländischer Privacy-Mail mit Custom-Domain-Unterstützung und PGP-Integration. Server in den Niederlanden. Proton-Vorteil: Schweizer Datensouveränität (kein CLOUD-Act, kein EU-Schrems-II-Komplikation), Zero-Access-Architektur und Bridge für Desktop-Mail-Clients sind einzigartig in dieser Wettbewerbsgruppe. Quellen: tuta.com, mailbox.org, posteo.de, startmail.com (alle abgerufen 2026-05-14).
NIS2, BSI TR-03182, DSGVO Art. 32 und Schweizer DSG: SPF bei Proton Mail
Der Proton-Mail-Custom-Domain-Default-SPF erfüllt die Anforderung aus NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung), weil er Sender-Authentizität kryptografisch über DNS verankert. BSI TR-03182 nennt SPF als Mindestanforderung. DSGVO Art. 32 fordert technische Maßnahmen zur Sicherheit der Verarbeitung. Schweizer Datenschutzrecht: Proton AG mit Sitz in Genf untersteht dem Schweizer revDSG — Art. 8 revDSG fordert geeignete technische Maßnahmen zur Datensicherheit, analog DSGVO Art. 32. Proton bietet darüber hinaus End-to-End-Verschlüsselung mit Zero-Access-Architektur — der Anbieter kann gespeicherte Mails technisch nicht entschlüsseln. Schweizer Datensouveränität (kein US-CLOUD-Act-Zugriff) plus E2EE ist der USP gegenüber US-Cloud-Mail-Anbietern. Wolf-Agents-Kunden mit EU-Geschäft müssen zusätzlich DSGVO und NIS2 einhalten. Der Wolf-Agents Email Security Check bewertet SPF mit bis zu 22 Punkten der 165-Punkte-Email-Security-Analyse.
Wie steht Ihre Domain bei SPF?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.