Transaktions-E-Mails8 Min. Lesezeit

Kontaktformular-E-Mails landen im Spam-Ordner

Der Besucher schickt die Anfrage ab, die Bestätigung kommt nie an – dabei liegt sie fast immer im Spam. Warum das gerade bei WordPress, Shopware und WooCommerce so häufig passiert und wie Sie es dauerhaft beheben.

Kontaktformular ausgefüllt, Anfrage abgeschickt, Bestätigungsmail bleibt aus – dieses Muster begegnet fast jedem, der eine WordPress-, Shopware- oder JTL-Shop-Seite betreibt. Meistens ist die Mail nicht verloren gegangen, sondern liegt im Spam-Ordner des Empfängers, oft unbemerkt für Wochen. Die Ursache ist fast immer technisch und lässt sich mit wenig Aufwand beheben, sobald man weiß, wo man ansetzen muss.

Warum wp_mail() der Hauptverdächtige ist

WordPress verschickt Formular-Mails standardmäßig über die PHP-Funktion wp_mail(). Diese nutzt den Mailserver des Hosting-Pakets – oft ein Shared-Server, auf dem hunderte fremde Domains gleichzeitig Mails ausliefern. Für diesen Versandweg existiert in aller Regel kein SPF-Eintrag, der die eigene Domain als Absender autorisiert, und kein DKIM-Schlüssel, der die Nachricht signiert. Empfänger wie Gmail, GMX, Web.de oder T-Online sehen also eine Mail, die angeblich von ihre-domain.de kommt, aber von einem Server verschickt wird, der dafür nicht autorisiert ist. Das ist ein klassisches Spam-Signal – unabhängig davon, wie sauber der Inhalt der Mail ist.

Kontaktformular (Shared-Hosting)AuthentifizierungSPF/DKIM fehlen oder passen nicht zur DomainSpamfilterGMX, Web.de, T-Online, GmailPosteingangSpam-Ordner
So landet eine Kontaktformular-Mail ohne saubere Authentifizierung im Spam-Ordner

Der Klassiker: die falsche Absenderadresse im Formular

Ein zweiter, mindestens genauso häufiger Fehler kommt vom Formular-Plugin selbst: Viele Standardeinstellungen tragen die vom Besucher eingegebene Adresse als "From"-Header ein – schickt also jemand die Anfrage über eine Gmail-Adresse ab, sendet der eigene Server eine Mail, die vorgibt, von @gmail.com zu kommen. Für Gmail selbst ist das ein klarer Spoofing-Verdacht: Der eigene Server ist nicht berechtigt, im Namen von gmail.com-Adressen zu senden, DMARC schlägt fehl, die Mail wird aussortiert. Gerade T-Online reagiert auf solche Fehlversuche besonders konsequent, da der Spamfilter dort traditionell strenger auf Absenderreputation und Auth-Fehler achtet.

From ≠ Reply-To
Tragen Sie im Formular niemals die Besucher-Adresse als "From" ein. Der Absender bleibt immer eine Adresse Ihrer eigenen Domain (z. B. formular@ihre-domain.de), die Besucher-Adresse gehört ausschließlich in den Reply-To-Header. So bleibt die Authentifizierung sauber und ein Klick auf "Antworten" landet trotzdem beim richtigen Absender.

Die Lösung: SMTP-Plugin plus eigene Domain-Authentifizierung

Der zuverlässigste Fix besteht aus zwei Teilen. Erstens: Ein SMTP-Plugin (z. B. WP Mail SMTP oder vergleichbare Lösungen) übernimmt den Versand und schickt die Formular-Mail nicht mehr über den anonymen Hosting-Mailserver, sondern über einen authentifizierten SMTP-Zugang – entweder ein eigenes Postfach oder einen Transaktionsmail-Dienst. Zweitens: Für die versendende Domain müssen SPF, DKIM und DMARC korrekt gesetzt sein, damit Empfänger den Absender überhaupt verifizieren können.

SPFErlaubt dem Versand-Server, im Namen der Domain zu sendenDKIMSigniert die Formular-Mail kryptografisch für den AbsenderDMARCSagt Empfängern, wie mit Auth-Fehlern umzugehen ist
Die drei Bausteine, die Kontaktformular-Mails vertrauenswürdig machen

Ein SPF-Eintrag listet, welche Server im Namen der Domain senden dürfen, zum Beispiel:

v=spf1 include:_spf.ihr-smtp-anbieter.de ~all

DKIM ergänzt eine kryptografische Signatur, DMARC legt fest, was mit Mails passiert, die beide Prüfungen nicht bestehen. Alle drei Einträge werden im DNS der sendenden Domain gesetzt – bei Subdomains (z. B. shop.ihre-domain.de) getrennt von der Hauptdomain, da Filter jede sendende Domain einzeln bewerten.

Nicht nur WordPress: Shopware, JTL-Shop, WooCommerce, Shopify, HubSpot

Das gleiche Grundproblem betrifft praktisch jede Plattform, die Formular- oder Transaktionsmails über den eigenen Hosting-Server statt über einen authentifizierten Versandweg schickt:

    Shopware und JTL-Shop verschicken Bestätigungs- und Kontaktmails standardmäßig über den Hosting-Server – ein externer SMTP-Connector mit eigener Domain-Authentifizierung ist für zuverlässige Zustellung praktisch Pflicht.WooCommerce nutzt intern ebenfalls wp_mail() – ohne SMTP-Plugin gilt hier dieselbe Problematik wie bei jedem anderen WordPress-Kontaktformular.Shopify erlaubt Versand über die eigene Domain erst, nachdem die von Shopify bereitgestellten SPF/DKIM-Einträge im DNS verifiziert wurden.HubSpot verlangt für deutsche B2B-Absender ebenfalls eine verifizierte eigene Absenderdomain, bevor Marketing- und Transaktionsmails zuverlässig zugestellt werden.

Vor dem Livegang testen statt im Nachhinein rätseln

Ob die Fixes tatsächlich greifen, lässt sich nicht am eigenen Postfach ablesen – Gmail, GMX, Web.de und T-Online filtern unterschiedlich streng, und ein einzelner Test sagt wenig über die Breite aus. Sinnvoller ist ein Testversand über mehrere Provider gleichzeitig: Mit dem kostenlosen Inbox-Placement-Test schicken Sie die Formular-Bestätigung an bereitgestellte Seed-Adressen bei über 20 Anbietern und sehen direkt, ob sie im Posteingang oder im Spam-Ordner landet, wie SPF, DKIM und DMARC bewertet wurden und wie die Mail im jeweiligen Postfach gerendert wird. Wer wissen möchte, wie verbreitet Auth-Probleme bei deutschen Domains generell sind, findet aktuelle Zahlen auf der Live-Auswertung unter /email-stats/.

    SMTP-Plugin installieren und mit einem authentifizierten Postfach oder Versanddienst verbinden.SPF, DKIM und DMARC für die sendende Domain (bzw. Subdomain) im DNS setzen.Formular so konfigurieren, dass die Besucher-Adresse im Reply-To statt im From steht.Testversand über den kostenlosen Inbox-Placement-Test gegen mehrere Provider prüfen.

Rechtlicher Rahmen kurz mitgedacht

Auch wenn eine Kontaktformular-Bestätigung keine Werbemail ist, gelten die allgemeinen Anforderungen des deutschen Rechts: Die DSGVO regelt die Verarbeitung der E-Mail-Adresse als personenbezogenes Datum, das TTDSG ergänzt Vorgaben für Telemedien, und jede Mail sollte den Absender eindeutig und nachvollziehbar identifizieren. Für echte Marketing-Mails an dieselben Kontakte greift zusätzlich §7 UWG mit der Pflicht zur vorherigen Einwilligung – in der Praxis über Double-Opt-in dokumentiert.

Warum landet die Kontaktformular-Mail nur bei manchen Empfängern im Spam?

Weil jeder Provider seinen Spamfilter anders gewichtet. T-Online reagiert oft strenger auf fehlende Authentifizierung als Gmail, während GMX und Web.de trotz gemeinsamer Infrastruktur die Reputation von Domain und IP jeweils separat bewerten. Ein Test bei nur einem Anbieter sagt daher wenig über die anderen aus.

Reicht es, im Formular-Plugin nur die Absenderadresse zu ändern?

Das allein hilft nur teilweise. Eine plausible Absenderadresse der eigenen Domain ist notwendig, aber ohne passende SPF-, DKIM- und DMARC-Einträge für diese Domain bleibt die Authentifizierung unvollständig – die Mail kann trotzdem als nicht verifiziert eingestuft werden.

Muss ich für eine Subdomain wie shop.ihre-domain.de SPF/DKIM extra einrichten?

Ja. Spamfilter bewerten die Reputation jeder sendenden Domain beziehungsweise Subdomain einzeln. Ein SPF-Eintrag auf der Hauptdomain deckt eine Subdomain nicht automatisch ab, DKIM-Selektoren müssen ebenfalls für die tatsächlich sendende (Sub-)Domain konfiguriert sein.
Weiterführende Artikel
Found this useful? Share it
AB
Über den Autor
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Prüfen Sie Ihre Zustellbarkeit bei über 20 Providern

Gmail, Outlook, Yahoo, GMX, Web.de, ProtonMail und mehr. Echte Posteingang-Screenshots, SPF/DKIM/DMARC, Spamfilter-Urteile. Kostenlos, ohne Anmeldung.

Kostenlosen Test starten →

Unbegrenzte Tests · 20+ Seed-Postfächer · Live-Ergebnisse · Kein Konto nötig