Plattformen8 Min. Lesezeit

WordPress wp_mail() landet im Spam

Bestellbestätigungen, Passwort-Reset-Mails und Formularbenachrichtigungen kommen nicht an – der Grund liegt fast immer in der Art, wie WordPress standardmäßig Mails verschickt, nicht im Text der Nachricht.

Wenn WooCommerce-Bestellbestätigungen im Spam-Ordner der Kundschaft landen oder Passwort-Reset-Mails einfach nie ankommen, liegt das selten am Betreff oder am Text. Der eigentliche Grund sitzt tiefer: WordPress verschickt Mails über die PHP-Funktion wp_mail(), die ohne zusätzliches Plugin auf den lokalen mail()-Befehl des Hosting-Servers zurückgreift. Dieser Server hat mit der eigenen Domain oft nichts zu tun – und genau das erkennen GMX, Web.de, T-Online, Gmail oder Outlook sofort.

Warum wp_mail() überhaupt im Spam landet

wp_mail() ist im Kern nur ein Wrapper um die PHP-Standardfunktion mail(). Diese übergibt die Nachricht an den lokalen Mailserver des Hosting-Providers – häufig ein Shared-Hosting- Server, auf dem gleichzeitig hunderte fremde WordPress- oder Shop-Installationen laufen. Für die empfangenden Mailboxen sieht die Nachricht so aus, als käme sie von einem beliebigen Hosting-Server, nicht von der eigenen Domain: Absenderadresse und tatsächlich sendender Server passen nicht zusammen, SPF schlägt fehl oder validiert nur zufällig, und eine DKIM-Signatur für die eigene Domain fehlt komplett.

Bei GMX und Web.de zählt vor allem die Domain- und IP-Reputation, und beide Marken bewerten sie getrennt, auch wenn die Infrastruktur dahinter zusammenhängt. T-Online gilt als besonders streng bei Absenderreputation und Beschwerdequote. Gmail und Outlook verlangen für zuverlässige Zustellung durchgehend saubere Authentifizierung. Landet eine Shared-Hosting-IP zusätzlich auf einer Blockliste, weil ein anderer Kunde auf demselben Server spammt, trifft das die eigenen Mails gleich mit – ganz ohne eigenes Verschulden.

wp_mail() über Hosting-ServerSPF / DKIM / DMARCbei Shared Hosting meist nicht auf die eigene Domain ausgerichtetSpamfilterGMX, Web.de, T-Online, Gmail, OutlookPosteingangSpam-Ordner
Weg einer unveränderten WordPress-Mail vom Hosting-Server bis zum Posteingang oder Spam-Ordner

Die eigentliche Lösung: SMTP statt PHP mail()

Der zuverlässige Fix ist kein Trick am Betreff oder an der Absenderadresse, sondern ein Wechsel des Versandwegs. Ein SMTP-Plugin klinkt sich in wp_mail() ein und leitet den Versand über eine authentifizierte, externe SMTP-Verbindung, statt über den lokalen Hosting-Mailserver. Das gilt genauso für reines WordPress mit Kontaktformular wie für WooCommerce: Standardmäßig verschickt WooCommerce seine Bestellbestätigungen ebenfalls über wp_mail() ohne SMTP-Plugin, also über den Hosting-Server – bei steigendem Bestellvolumen ein wachsendes Zustellbarkeitsrisiko. Die Lösung ist dieselbe: SMTP-Plugin plus externer, korrekt authentifizierter Versandweg.

  • Ein SMTP-Plugin installieren, das die eigene Domain als Absender nutzt und eine authentifizierte SMTP-Verbindung aufbaut.
  • Zugangsdaten eines SMTP-Anbieters oder eines authentifizierten Postfachs (z. B. Google Workspace, Microsoft 365) hinterlegen.
  • Absenderadresse konsequent auf die eigene Domain setzen, nicht auf eine generische Hosting-Adresse.

SPF, DKIM und DMARC für die eigene Domain setzen

Ein SMTP-Plugin allein reicht nicht, wenn die DNS-Einträge der Domain nicht mitziehen. SPF muss den neuen SMTP-Anbieter als berechtigten Versender listen, DKIM signiert jede Nachricht kryptografisch mit einem Schlüssel, der zur Domain gehört, und DMARC sagt den Mailboxanbietern, wie sie mit Mails umgehen sollen, die diese Prüfungen nicht bestehen. Für Massenversand an Gmail und Yahoo gelten inzwischen SPF und DKIM als Pflicht, DMARC mindestens mit p=none, dazu ein funktionierender One-Click- Unsubscribe-Header und eine niedrige Beschwerdequote in den jeweiligen Postmaster-Tools.

v=spf1 include:smtp-anbieter.example ~allKennzeichnet den Eintrag als SPF-Version 1Erlaubt die Server des SMTP-Anbieters als VersenderSoftfail: alle anderen Server gelten als nicht autorisiert
Aufbau eines SPF-Eintrags für einen externen SMTP-Anbieter
Praxis-Tipp
Nach der Umstellung nicht nur den DKIM-Selector des neuen SMTP-Anbieters in DNS eintragen, sondern auch prüfen, ob die alte SPF-Zeile des Hosting-Providers noch drinsteht. Zwei konkurrierende SPF-Einträge oder ein SPF-Record mit mehr als einem include, der die Lookup-Grenze reißt, sorgen sonst dafür, dass die Authentifizierung trotz sauberem Plugin fehlschlägt.

Passenden SMTP-Anbieter für WordPress wählen

Für reine Transaktionsmails – Bestellbestätigungen, Rechnungen, Passwort-Reset – bietet sich ein dedizierter transaktionaler SMTP-Relay an, der von Newsletter-Versand getrennt ist. Wer parallel Newsletter über einen deutschen ESP wie CleverReach, rapidmail oder Brevo (früher Newsletter2Go) verschickt, sollte diesen Kanal bewusst von der Transaktionsmail trennen: unterschiedliche Versandzwecke haben unterschiedliche Reputationsanforderungen, und ein einzelner Beschwerdeausreißer im Newsletter sollte nicht die Zustellung der Bestellbestätigung gefährden. Auch Shop-Systeme wie JTL-Shop stehen vor demselben Problem wie WooCommerce und benötigen für zuverlässige Transaktionsmail ebenfalls eine externe SMTP-Anbindung statt des Server-Standardversands.

Rechtliches nicht vergessen

E-Mail-Adressen sind personenbezogene Daten im Sinne der DSGVO. Für werblichen Versand verlangt § 7 UWG eine vorherige Einwilligung, in der Praxis meist über Double-Opt-in nachgewiesen. Das betrifft zwar primär Newsletter, nicht die reine Transaktionsmail – wer aber Bestellbestätigungen mit Werbehinweisen koppelt, sollte die Trennung sauber ziehen. Jede Mail braucht außerdem eine klare Absenderidentifikation und, sobald es um Tracking von Öffnungen oder Klicks geht, eine Einordnung nach dem TTDSG, das die DSGVO für Telekommunikations- und Telemediendienste ergänzt.

Nach der Umstellung: Zustellbarkeit wirklich prüfen

Ein SMTP-Plugin zu aktivieren fühlt sich nach Erledigung an, sagt aber noch nichts darüber, ob die Mails jetzt tatsächlich im Posteingang landen. Am schnellsten lässt sich das mit einem realen Inbox-Placement-Test klären: eine Testmail an Seed-Adressen bei GMX, Web.de, T-Online, Gmail, Outlook und weiteren Anbietern schicken und sehen, wo sie ankommt. Mit dem kostenlosen Inbox-Placement-Test lässt sich das ohne Anmeldung durchführen – inklusive SPF/DKIM/DMARC-Status und Screenshot, wie die Mail im jeweiligen Postfach tatsächlich aussieht. Wer zusätzlich sehen möchte, wie SPF-, DKIM- und DMARC-Verbreitung sich branchenweit entwickelt, findet dazu laufend aktualisierte Zahlen unter /email-stats/.

Reicht ein SMTP-Plugin allein, damit WordPress-Mails nicht mehr im Spam landen?

Nein. Das Plugin ändert nur den Versandweg. Ohne passende SPF-, DKIM- und DMARC-Einträge für die eigene Domain bleibt die Authentifizierung lückenhaft, und Anbieter wie GMX, Web.de oder T-Online werten die Mail weiterhin als riskant.

Welches SMTP-Plugin ist für WordPress am gängigsten?

Es gibt mehrere verbreitete Plugins, die wp_mail() durch eine authentifizierte SMTP-Verbindung ersetzen. Wichtiger als die Wahl des konkreten Plugins ist die korrekte Konfiguration: eigene Domain als Absender, gültige Zugangsdaten des SMTP-Anbieters und passende DNS-Einträge.

Warum landen gerade WooCommerce-Bestellbestätigungen besonders oft im Spam?

WooCommerce nutzt standardmäßig ebenfalls wp_mail() ohne SMTP-Plugin. Mit steigendem Bestellvolumen fällt das stärker auf, weil regelmäßig viele transaktionale Mails über den unauthentifizierten Hosting-Server laufen – ein klassisches Muster, das Spamfilter erkennen.
Weiterführende Artikel
Found this useful? Share it
AB
Über den Autor
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Prüfen Sie Ihre Zustellbarkeit bei über 20 Providern

Gmail, Outlook, Yahoo, GMX, Web.de, ProtonMail und mehr. Echte Posteingang-Screenshots, SPF/DKIM/DMARC, Spamfilter-Urteile. Kostenlos, ohne Anmeldung.

Kostenlosen Test starten →

Unbegrenzte Tests · 20+ Seed-Postfächer · Live-Ergebnisse · Kein Konto nötig