Wenn WooCommerce-Bestellbestätigungen im Spam-Ordner der Kundschaft landen oder Passwort-Reset-Mails einfach nie ankommen, liegt das selten am Betreff oder am Text. Der eigentliche Grund sitzt tiefer: WordPress verschickt Mails über die PHP-Funktion wp_mail(), die ohne zusätzliches Plugin auf den lokalen mail()-Befehl des Hosting-Servers zurückgreift. Dieser Server hat mit der eigenen Domain oft nichts zu tun – und genau das erkennen GMX, Web.de, T-Online, Gmail oder Outlook sofort.
Warum wp_mail() überhaupt im Spam landet
wp_mail() ist im Kern nur ein Wrapper um die PHP-Standardfunktion mail(). Diese übergibt die Nachricht an den lokalen Mailserver des Hosting-Providers – häufig ein Shared-Hosting- Server, auf dem gleichzeitig hunderte fremde WordPress- oder Shop-Installationen laufen. Für die empfangenden Mailboxen sieht die Nachricht so aus, als käme sie von einem beliebigen Hosting-Server, nicht von der eigenen Domain: Absenderadresse und tatsächlich sendender Server passen nicht zusammen, SPF schlägt fehl oder validiert nur zufällig, und eine DKIM-Signatur für die eigene Domain fehlt komplett.
Bei GMX und Web.de zählt vor allem die Domain- und IP-Reputation, und beide Marken bewerten sie getrennt, auch wenn die Infrastruktur dahinter zusammenhängt. T-Online gilt als besonders streng bei Absenderreputation und Beschwerdequote. Gmail und Outlook verlangen für zuverlässige Zustellung durchgehend saubere Authentifizierung. Landet eine Shared-Hosting-IP zusätzlich auf einer Blockliste, weil ein anderer Kunde auf demselben Server spammt, trifft das die eigenen Mails gleich mit – ganz ohne eigenes Verschulden.
Die eigentliche Lösung: SMTP statt PHP mail()
Der zuverlässige Fix ist kein Trick am Betreff oder an der Absenderadresse, sondern ein Wechsel des Versandwegs. Ein SMTP-Plugin klinkt sich in wp_mail() ein und leitet den Versand über eine authentifizierte, externe SMTP-Verbindung, statt über den lokalen Hosting-Mailserver. Das gilt genauso für reines WordPress mit Kontaktformular wie für WooCommerce: Standardmäßig verschickt WooCommerce seine Bestellbestätigungen ebenfalls über wp_mail() ohne SMTP-Plugin, also über den Hosting-Server – bei steigendem Bestellvolumen ein wachsendes Zustellbarkeitsrisiko. Die Lösung ist dieselbe: SMTP-Plugin plus externer, korrekt authentifizierter Versandweg.
- Ein SMTP-Plugin installieren, das die eigene Domain als Absender nutzt und eine authentifizierte SMTP-Verbindung aufbaut.
- Zugangsdaten eines SMTP-Anbieters oder eines authentifizierten Postfachs (z. B. Google Workspace, Microsoft 365) hinterlegen.
- Absenderadresse konsequent auf die eigene Domain setzen, nicht auf eine generische Hosting-Adresse.
SPF, DKIM und DMARC für die eigene Domain setzen
Ein SMTP-Plugin allein reicht nicht, wenn die DNS-Einträge der Domain nicht mitziehen. SPF muss den neuen SMTP-Anbieter als berechtigten Versender listen, DKIM signiert jede Nachricht kryptografisch mit einem Schlüssel, der zur Domain gehört, und DMARC sagt den Mailboxanbietern, wie sie mit Mails umgehen sollen, die diese Prüfungen nicht bestehen. Für Massenversand an Gmail und Yahoo gelten inzwischen SPF und DKIM als Pflicht, DMARC mindestens mit p=none, dazu ein funktionierender One-Click- Unsubscribe-Header und eine niedrige Beschwerdequote in den jeweiligen Postmaster-Tools.
include, der die Lookup-Grenze reißt, sorgen sonst dafür, dass die Authentifizierung trotz sauberem Plugin fehlschlägt.Passenden SMTP-Anbieter für WordPress wählen
Für reine Transaktionsmails – Bestellbestätigungen, Rechnungen, Passwort-Reset – bietet sich ein dedizierter transaktionaler SMTP-Relay an, der von Newsletter-Versand getrennt ist. Wer parallel Newsletter über einen deutschen ESP wie CleverReach, rapidmail oder Brevo (früher Newsletter2Go) verschickt, sollte diesen Kanal bewusst von der Transaktionsmail trennen: unterschiedliche Versandzwecke haben unterschiedliche Reputationsanforderungen, und ein einzelner Beschwerdeausreißer im Newsletter sollte nicht die Zustellung der Bestellbestätigung gefährden. Auch Shop-Systeme wie JTL-Shop stehen vor demselben Problem wie WooCommerce und benötigen für zuverlässige Transaktionsmail ebenfalls eine externe SMTP-Anbindung statt des Server-Standardversands.
Rechtliches nicht vergessen
E-Mail-Adressen sind personenbezogene Daten im Sinne der DSGVO. Für werblichen Versand verlangt § 7 UWG eine vorherige Einwilligung, in der Praxis meist über Double-Opt-in nachgewiesen. Das betrifft zwar primär Newsletter, nicht die reine Transaktionsmail – wer aber Bestellbestätigungen mit Werbehinweisen koppelt, sollte die Trennung sauber ziehen. Jede Mail braucht außerdem eine klare Absenderidentifikation und, sobald es um Tracking von Öffnungen oder Klicks geht, eine Einordnung nach dem TTDSG, das die DSGVO für Telekommunikations- und Telemediendienste ergänzt.
Nach der Umstellung: Zustellbarkeit wirklich prüfen
Ein SMTP-Plugin zu aktivieren fühlt sich nach Erledigung an, sagt aber noch nichts darüber, ob die Mails jetzt tatsächlich im Posteingang landen. Am schnellsten lässt sich das mit einem realen Inbox-Placement-Test klären: eine Testmail an Seed-Adressen bei GMX, Web.de, T-Online, Gmail, Outlook und weiteren Anbietern schicken und sehen, wo sie ankommt. Mit dem kostenlosen Inbox-Placement-Test lässt sich das ohne Anmeldung durchführen – inklusive SPF/DKIM/DMARC-Status und Screenshot, wie die Mail im jeweiligen Postfach tatsächlich aussieht. Wer zusätzlich sehen möchte, wie SPF-, DKIM- und DMARC-Verbreitung sich branchenweit entwickelt, findet dazu laufend aktualisierte Zahlen unter /email-stats/.