So fügen Sie eine IP-Adresse zu Ihrem SPF-Eintrag hinzu (Schritt-für-Schritt-Anleitung)
von
Zuletzt aktualisiert:
12 Lesezeit: 12 Minuten
Wichtigste Erkenntnisse
- Ein SPF-Eintrag teilt den empfangenden Mail-Servern mit, welche IP-Adressen zum Versenden von E-Mails für Ihre Domain berechtigt sind.
- Sie fügen eine IP-Adresse mithilfe des „ip4:“ oder „ip6:“-Mechanismus in Ihren bestehenden SPF-TXT-Eintrag ein; erstellen Sie niemals einen zweiten SPF-Eintrag. Eine Domain kann nur einen solchen Eintrag haben.
- Verwenden Sie bei Diensten von Drittanbietern (Google Workspace, Microsoft 365, Mailchimp, SendGrid usw.) den „include:“-Mechanismus anstelle von reinen IP-Adressen. Dieser Mechanismus aktualisiert sich automatisch.
- Ihr SPF-Eintrag darf nicht mehr als 10 DNS-Abfragen umfassen. Jeder „include:“, „a“, „mx“ und „redirect“-Eintrag wird dabei gezählt. Die Mechanismen „ip4“, „ip6“ und „all“ werden nicht gezählt.
- Überprüfen Sie Ihren SPF-Eintrag stets nach vorgenommenen Änderungen. Schon ein einziger Syntaxfehler kann die E-Mail-Zustellung für Ihre gesamte Domain unbemerkt unterbrechen.
- Google, Yahoo und Microsoft verlangen mittlerweile von Massenversendern die DMARC-Konformität. Wenn Sie nur über SPF verfügen, erfüllen Sie die Anforderungen für 2026 nicht vollständig.
Um eine IP-Adresse zu Ihrem SPF-Eintrag hinzuzufügen, bearbeiten Sie den bestehenden SPF-TXT-Eintrag Ihrer Domain im DNS und fügen Sie vor dem „all“-Mechanismus einen „ip4:“ (oder „ip6:“)-Mechanismus ein. Beispiel:
v=spf1 ip4:192.0.2.1 include:_spf.google.com -all
Wichtig: Erstellen Sie KEINEN zweiten SPF-Eintrag. Sie müssen Ihren bestehenden Eintrag bearbeiten und vor dem Hinzufügen einer reinen IP-Adresse prüfen, ob Ihr Versanddienst stattdessen einen „include:“-Wert bereitstellt, was langfristig meist die bessere Wahl ist.
Dieser Leitfaden führt Sie durch den gesamten Prozess, einschließlich der Suche nach Ihrem aktuellen Eintrag, der Wahl zwischen „ip4“ und „include“, der Bearbeitung Ihrer DNS-Einstellungen bei gängigen Anbietern, der Überprüfung des Ergebnisses und der Vermeidung von Fehlern, die jedes Jahr bei Tausenden von Domains unbemerkt den E-Mail-Verkehr unterbrechen.
Was ist ein SPF-Eintrag und warum ist er im Jahr 2026 von Bedeutung?
SPF (Sender Policy Framework) ist ein DNS-TXT-Eintrag, der die IP-Adressen und Dienste auflistet, die zum Versenden von E-Mails über Ihre Domain berechtigt sind. Wenn die IP-Adresse eines Servers nicht in der Liste aufgeführt ist, können empfangende Mailserver die Nachricht ablehnen oder als verdächtig markieren.
Google hat im Februar 2024 damit begonnen, im Februar 2024 mit der Durchsetzung von Authentifizierungsanforderungen für Massenversenderund verlangt nun SPF oder DKIM sowie DMARC für alle, die mehr als 5.000 Nachrichten pro Tag versenden.
Ab November 2025 werden nicht konforme E-Mails nicht mehr nur vorübergehend zurückgestellt, sondern dauerhaft abgelehnt – es kommt zu „Hard Bounces“. Yahoo hat zum gleichen Zeitpunkt identische Anforderungen eingeführt. Microsoft folgte im Mai 2025 und lehnt nicht authentifizierte Massen-E-Mails mit 550-Fehlern sofort ab.
Ohne einen korrekten SPF-Eintrag ist Ihre Domain dem Risiko von Spoofing ausgesetzt, und selbst Ihre legitimen E-Mails können von Gmail, Yahoo und Outlook abgelehnt werden. Wenn Ihr SPF-Eintrag fehlerhaft ist, kommen Ihre E-Mails einfach nicht mehr an, ohne dass Sie darüber informiert werden. Die Zustellung scheitert auf der Empfängerseite unbemerkt, und Sie erfahren davon erst, wenn ein Kunde oder Kollege Ihnen mitteilt, dass er Ihre Nachricht nie erhalten hat.
Die Syntax von SPF-Einträgen erklärt (mit Beispielen)
Bevor Sie etwas zu Ihrem Eintrag hinzufügen, sollten Sie wissen, welche Funktion die einzelnen Bestandteile haben. Hier ist der Aufbau eines typischen SPF-Eintrags:
v=spf1 ip4:192.0.2.1 ip4:203.0.113.0/24 include:_spf.google.com -all
| Komponente | Was es tut |
|---|---|
| v=spf1 | Versions-Tag. Erforderlich. Muss an erster Stelle stehen. |
| ip4:192.0.2.1 | Erlaubt die Verwendung einer einzelnen IPv4-Adresse. Erfordert keine DNS-Abfrage. |
| ip4:203.0.113.0/24 | Erlaubt einen CIDR-Bereich (256 IP-Adressen). Erfordert keine DNS-Abfrage. |
| ip6:2001:db8::1 | Weist eine IPv6-Adresse zu. Erfordert keine DNS-Abfrage. |
| include:_spf.google.com | Verweist auf den SPF-Eintrag einer anderen Domain. Erfordert mindestens eine DNS-Abfrage. |
| a | Autorisiert die IP-Adressen aus dem A-Eintrag der Domain. Verbraucht 1 Lookup. |
| mx | Autorisiert die IP-Adressen der MX-Server der Domain. Verbraucht 1 Lookup. |
| -alle | Absoluter Fehler. Alles, was oben nicht aufgeführt ist, muss abgelehnt werden. |
| ~alle | Softfail. Unzulässige E-Mails kennzeichnen, aber nicht zurückweisen. |
Hier sind drei Beispiele aus der Praxis, die unterschiedliche Komplexitätsgrade abdecken:
Einfach (ein einziger Mailserver):
v=spf1 ip4:198.51.100.25 -all
Typisches KMU (Microsoft 365 + ein Marketing-Tool):
v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all
Komplexes Unternehmen (mehrere Dienstleistungen):
v=spf1 ip4:203.0.113.0/24 include:_spf.google.com include:spf.protection.outlook.com include:sendgrid.net include:spf.brevo.com -all
| Wichtige Regel: Eine Domain darf nur EINEN SPF-Eintrag haben. Wenn Sie bereits einen haben, MÜSSEN Sie diesen bearbeiten. Fügen Sie keinen zweiten TXT-Eintrag hinzu, der mit v=spf1 beginnt. Zwei SPF-Einträge auf derselben Domain führen zu einem PermError und unterbrechen die gesamte E-Mail-Authentifizierung. |
Möchten Sie einen Datensatz von Grund auf neu erstellen?
Verwenden den kostenlosen SPF-Eintrag-Generator von PowerDmarc , um sofort einen syntaktisch korrekten Eintrag zu erstellen.
So fügen Sie eine IP-Adresse zu Ihrem SPF-Eintrag hinzu (Schritt für Schritt)
Das Hinzufügen einer IP-Adresse zu Ihrem SPF-Eintrag ist eine der direktesten Methoden, um eine Absenderquelle zu autorisieren. Dies ist in der Regel erforderlich, wenn Sie einen dedizierten Server, ein Transaktions-E-Mail-System oder eine andere von Ihnen kontrollierte Infrastruktur nutzen.
Auch wenn die Änderung an sich einfach ist, kommt es doch auf Genauigkeit an, da fehlerhafte Einträge oder Formatierungsprobleme die Authentifizierung und Zustellbarkeit beeinträchtigen können. Die folgenden Schritte führen Sie durch den Prozess, eine IP-Adresse korrekt zu Ihrem SPF-Eintrag hinzuzufügen, ohne Ihre bestehende Konfiguration zu beeinträchtigen.
Schritt 1: Finden Sie Ihren aktuellen SPF-Eintrag
Viele Domains verfügen bereits über einen SPF-Eintrag aus einer früheren Konfiguration. Wenn Sie ohne vorherige Überprüfung einen neuen erstellen, haben Sie am Ende zwei Einträge, was zu Fehlfunktionen führt.
Sie können Ihren aktuellen Datensatz auf zwei Arten abrufen.
Verwenden das kostenlose SPF-Prüftool von PowerDMARC für ein sofortiges visuelles Ergebnis oder führen Sie eine Befehlszeilenabfrage aus:
nslookup -type=TXT yourdomain.com
dig TXT deine-domain.com
Erfahren Sie, wie Sie Ihren SPF-Eintrag sofort überprüfen und Konfigurationsprobleme erkennen können, die sich auf die Zustellbarkeit von E-Mails auswirken könnten
Suchen Sie nach einem TXT-Eintrag, der mit „v=spf1“ beginnt. Wenn Sie einen solchen Eintrag finden, handelt es sich um Ihren SPF-Eintrag, den Sie in Schritt 3 bearbeiten werden. Wenn Sie zwei Einträge finden, die beide mit „v=spf1“ beginnen, liegt bereits ein Problem vor. Führen Sie diese zu einem einzigen Eintrag zusammen, bevor Sie weitere Schritte unternehmen.
Schritt 2: Ermitteln Sie die IP-Adresse oder den Wert, den Sie hinzufügen müssen
Hier gibt es zwei Möglichkeiten, und die richtige Wahl hängt davon ab, was Sie autorisieren:
Szenario A: Sie fügen eine bestimmte IP-Adresse hinzu. Dies gilt, wenn Sie Ihren eigenen Mailserver über eine statische IP betreiben oder über eine dedizierte Absender-IP verfügen, die Sie kontrollieren. Sie benötigen die genaue IPv4- oder IPv6-Adresse des Servers.
Szenario B: Sie autorisieren einen Drittanbieter-Dienst. Dies gilt für Dienste wie Mailchimp, SendGrid, HubSpot, Google Workspace oder Microsoft 365. In diesem Fall benötigen Sie den Wert „include:“ aus der Dokumentation des jeweiligen Dienstes, nicht dessen IP-Adressen.
Bevor Sie eine reine IP-Adresse hinzufügen, lesen Sie bitte den folgenden Abschnitt zum Thema „ip4 vs. include“. Für die meisten Dienste von Drittanbietern ist „include:“ langfristig die bessere Wahl.
Schritt 3: Bearbeiten Sie Ihren SPF-Eintrag im DNS
Melden Sie sich bei Ihrem DNS-Anbieter (Ihrem Domain-Registrar oder Hosting-Anbieter) an, suchen Sie die TXT-Einträge für Ihre Domain und bearbeiten Sie den vorhandenen SPF-Eintrag. Fügen Sie den neuen „ip4:“- oder „include:“-Mechanismus VOR dem „all“-Mechanismus ein.
So funktioniert es bei den gängigsten Anbietern:
- Cloudflare: Navigieren Sie zu DNS → Einträge. Suchen Sie den vorhandenen TXT-Eintrag für Ihre Domain (@ oder Root), der mit v=spf1 beginnt. Klicken Sie auf Bearbeiten. Fügen Sie den neuen Mechanismus vor dem all-Tag ein. Klicken Sie auf Speichern.
- GoDaddy: Gehen Sie zu „Meine Produkte“ → „DNS“ → „DNS-Einträge“. Suchen Sie den TXT-Eintrag, der „v=spf1“ enthält. Klicken Sie auf „Bearbeiten“. Ändern Sie das Feld „Wert“ so, dass der neue Mechanismus vor „all“ steht. Speichern Sie die Änderung.
- Namecheap: Gehen Sie zu „Domain-Liste“ → „Verwalten“ → „Erweitertes DNS“. Suchen Sie unter „TXT-Einträge“ den SPF-Eintrag. Bearbeiten Sie ihn, um den neuen Mechanismus hinzuzufügen. Speichern Sie die Änderungen.
- AWS Route 53: Öffnen Sie „Hosted Zones“ → wählen Sie Ihre Domain aus → suchen Sie den TXT-Eintrag mit v=spf1. Klicken Sie auf „Bearbeiten“. Aktualisieren Sie den Wert (behalten Sie die Anführungszeichen bei). Speichern Sie die Änderung.
- cPanel: Gehen Sie zu „E-Mail-Zustellbarkeit“ → klicken Sie neben Ihrer Domain auf „Verwalten“ → scrollen Sie zu „Vorgeschlagener SPF-Eintrag“ → klicken Sie auf „Anpassen“. Fügen Sie die neue IP-Adresse im Abschnitt „IP-Adresse“ hinzu. Klicken Sie auf „Installieren“.
| Profi-Tipp: Setzen Sie Ihre TTL auf 300 Sekunden (5 Minuten) herab, BEVOR Sie Änderungen am SPF vornehmen. Dies beschleunigt die DNS-Propagierung und ermöglicht es Ihnen, Fehler schneller zu beheben. Warten Sie zunächst, bis die alte TTL abgelaufen ist, und nehmen Sie dann die Änderung vor. Setzen Sie die TTL wieder auf den Normalwert zurück, nachdem Sie sich vergewissert haben, dass der Eintrag funktioniert. |
Schritt 4: Überprüfen Sie Ihren aktualisierten SPF-Eintrag
Ein einziges falsch gesetztes Leerzeichen, ein fehlender Doppelpunkt oder ein doppelter Datensatz können unbemerkt den E-Mail-Verkehr für Ihre gesamte Domain lahmlegen. Die Überprüfung dauert nur 30 Sekunden und erspart Ihnen stundenlange Fehlerbehebung.
Gehen Sie diese Checkliste nach jeder Änderung des SPF durch:
- Überprüfen Sie Ihre Domain mit einem SPF-Checker-Tool und vergewissern Sie sich, dass der Eintrag fehlerfrei ausgewertet wird.
- Vergewissern Sie sich, dass nur EIN SPF-Eintrag angezeigt wird (und nicht zwei TXT-Einträge, die mit „v=spf1“ beginnen).
- Überprüfen Sie die Gesamtzahl der DNS-Abfragen. Sie darf höchstens 10 betragen.
- Stellen Sie sicher, dass sich der gesamte Mechanismus ganz am Ende der Aufzeichnung befindet.
- Senden Sie eine Test-E-Mail an ein Gmail- oder Yahoo-Konto, öffnen Sie die Nachricht, zeigen Sie die Original-Header an und suchen Sie nach „spf=pass“.
Für eine umfassende Sicherheitsüberprüfung, die über SPF hinausgeht, lassen Sie Ihre Domain durch den PowerDMARC-Domain-Analysator laufen. Dieser überprüft SPF, DKIM, DMARC, MTA-STS und BIMI in einem Durchgang.
Schritt 5: Überwachen Sie die Ergebnisse der SPF-Authentifizierung im Zeitverlauf
Die IP-Adresse hinzuzufügen, ist der erste Schritt. Zu prüfen, ob sie tatsächlich funktioniert, und zu erkennen, wenn sie später ausfällt, ist der zweite Schritt.
DMARC-Gesamtberichte sind die wichtigste Methode, um einen kontinuierlichen Überblick über die SPF-Erfolgs- und Fehlerquoten pro Absenderquelle zu erhalten. Ohne Überwachung agieren Sie im Blindflug. Viele Administratoren bemerken einen fehlerhaften SPF-Eintrag erst, wenn Kunden legitime E-Mails als Spam markieren oder ein Rechnungsstellungstool wochenlang von einer nicht autorisierten IP-Adresse aus versendet, ohne dass es jemand bemerkt.
| Möchten Sie jederzeit den Überblick über alle IP-Adressen behalten, von denen E-Mails über Ihre Domain versendet werden?
Das DMARC-Berichts-Dashboard von PowerDMARC zeigt die SPF-Erfolgs-/Fehlschlagraten pro Quelle für alle Ihre Domains in übersichtlichen Dashboards an, nicht als rohes XML. Starten Sie Ihre kostenlose 15-tägige Testversion → powerdmarc.com/free-dmarc-trial/ |
ip4 oder include: Was solltest du verwenden? (Entscheidungshilfe)
Wann sollte man IPv4 verwenden (reine IP-Adressen):
- Sie betreiben Ihren eigenen Mailserver über eine statische IP-Adresse, die Sie selbst verwalten.
- Sie verfügen über eine eigene, dedizierte Absender-IP-Adresse von einem E-Mail-Dienstanbieter, der Ihnen gehört (keine gemeinsam genutzte Adresse).
- Sie autorisieren einen lokalen SMTP-Relay-Server mit einer festen Adresse.
Die Regel: Verwende IPv4 nur, wenn DU die IP-Adresse kontrollierst und sie sich nicht ändern wird.
Wann sollte „include:“ (delegiertes SPF) verwendet werden?
- Sie autorisieren jeden SaaS-Dienst von Drittanbietern, wie Google Workspace, Microsoft 365, Mailchimp, SendGrid, HubSpot, Salesforce, Zendesk oder jedes andere cloudbasierte E-Mail-Tool.
- Der Dienst nutzt gemeinsam genutzte oder wechselnde IP-Adressen.
- Der Dienst veröffentlicht einen eigenen SPF-Eintrag, den er selbst verwaltet.
Warum „include“ verwenden: Bei Diensten von Drittanbietern ist dies fast immer die bessere Wahl:
Cloud-Dienste wechseln ihre IP-Adressen regelmäßig. Wenn Sie deren aktuelle IP-Adressen mit „ip4:“ fest einbinden, wird Ihr SPF-Eintrag bei einer Migration der Infrastruktur veraltet, und Ihre E-Mail-Kommunikation bricht ohne Vorwarnung ab.
Der „include:“-Mechanismus verweist auf den vom Dienst selbst dynamisch gepflegten SPF-Eintrag. Wenn dieser seine IP-Adressen aktualisiert, werden die Änderungen automatisch in Ihrem SPF übernommen, ohne dass Ihrerseits ein Wartungsaufwand entsteht.
[Bild: Entscheidungsbaum – „Handelt es sich um einen Server/eine IP-Adresse, die Ihnen gehört und über die Sie die Kontrolle haben?“ → JA → IPv4 verwenden / NEIN → „Stellt der Dienst einen ‚include:‘-Wert bereit?“ → JA → ‚include‘ verwenden (bevorzugt) / NEIN → IPv4 verwenden + Erinnerung für vierteljährliche Überprüfung einrichten]
[Alternativtext: Entscheidungsflussdiagramm, das zeigt, wann in SPF-Einträgen der IPv4-Mechanismus und wann der „include“-Mechanismus zu verwenden ist]
Weitere Informationen zur Include-Syntax und zu bewährten Vorgehensweisen finden Sie im vollständigen SPF-Include -Leitfaden.
Gängige SPF-Include-Werte von Drittanbietern (Übersichtstabelle)
Dank dieser Tabelle müssen Sie nicht mehr für jeden Dienst einzeln nach der SPF-Dokumentation suchen. Setzen Sie ein Lesezeichen, damit Sie sie zur Hand haben, wenn die Marketingabteilung das nächste Mal ein neues Tool einführt.
| E-Mail-Dienst | SPF-Include-Wert | Hinweise |
|---|---|---|
| Google Arbeitsbereich | include:_spf.google.com | Umfasst den gesamten Versand über Google Workspace |
| Microsoft 365 | einschließlich:spf.protection.outlook.com | Standard für alle M365-Mandanten |
| Mailchimp | einschließlich:servers.mcsv.net | Standard-Funktionen von Mailchimp |
| SendGrid | einschließlich:sendgrid.net | Umfasst den gesamten SendGrid-Versand |
| Salesforce | einschließlich:_spf.salesforce.com | Bezieht sich auf den Versand von E-Mails über Salesforce |
| Zendesk | einschließlich:mail.zendesk.com | Für den Zendesk-Support per E-Mail |
| Freshdesk | einschließlich: email.freshdesk.com | Für den Freshdesk-Support per E-Mail |
| Amazon SES | einschließlich:amazonses.com | Bezieht sich auf den Versand durch SES |
| Brevo | einschließlich: spf.brevo.com | Aktualisiert von Sendinblue |
| Zoho Mail | einschließlich:zoho.com | Bezieht sich auf Zoho Mail |
| Poststempel | einschließlich:spf.mtasv.net | Für Transaktions-E-Mails von Postmark |
| Klaviyo | einschließlich: spf.klaviyo.com | Für das E-Mail-Marketing mit Klaviyo |
Tabelle: Kurzübersicht über die SPF-Einträge gängiger E-Mail-Dienste. Überprüfen Sie den aktuellen Wert stets in der offiziellen Dokumentation des jeweiligen Dienstes, da die Anbieter diese gelegentlich aktualisieren.
Wichtig: Jedes „include:“ zählt als mindestens eine DNS-Abfrage, und viele SPF-Einträge von Drittanbietern enthalten verschachtelte „includes“, die weitere Abfragen verursachen. Wenn Sie fünf oder mehr Dienste nutzen, nähern Sie sich wahrscheinlich der Grenze von 10 Abfragen. Im nächsten Abschnitt erfahren Sie, wie Sie damit umgehen können.
Das Limit von 10 DNS-Abfragen und was zu tun ist, wenn es erreicht ist
RFC 7208 begrenzt die SPF-Auswertung auf 10 Mechanismen zur DNS-Abfrage. Zu den Mechanismen, die berücksichtigt werden, gehören: include, a, mx, redirect und exists. Zu den Mechanismen, die NICHT berücksichtigt werden, gehören: ip4, ip6 und all. Diese werden lokal ohne DNS-Abfrage ausgewertet.
Wenn Ihr Datensatz mehr als 10 Abfragen umfasst, gibt SPF einen PermError zurück. Viele empfangende Server behandeln einen PermError als SPF-Fehler. Die Zustellbarkeit Ihrer E-Mails verschlechtert sich, und Sie erhalten keine Benachrichtigung darüber.
Es gibt noch eine weitere, weniger bekannte Einschränkung: die 2-Void-Lookup-Grenze. Wenn während der SPF-Auswertung mehr als zwei DNS-Abfragen den Status „NXDOMAIN“ (Domäne nicht gefunden) zurückgeben, schlägt die SPF-Prüfung ebenfalls fehl.
Hier sind drei Lösungsansätze, geordnet nach ihrer Praktikabilität:
Option 1: Nicht genutzte Mechanismen entfernen
Beginnen Sie mit einer Überprüfung. Entfernen Sie „include:“-Anweisungen für Dienste, die Sie nicht mehr nutzen. Entfernen Sie A- und MX-Einträge, wenn Sie keine E-Mails über die IP-Adressen der A- oder MX-Einträge Ihrer Domain versenden. Dies ist die schnellste Lösung und schafft oft sofort Platz für 2–3 Lookups.
Option 2: Manuelles SPF-Flattening
Lösen Sie Ihre Include-Mechanismen bis hin zu den zugrunde liegenden IP-Adressen auf und hinterlegen Sie diese fest als IPv4-Einträge. Dadurch entfallen die DNS-Abfragen, die diese Includes sonst verursacht hätten.
Dies führt zu einem ständigen Wartungsaufwand. E-Mail-Anbieter ändern oder erweitern ihre IP-Bereiche, ohne Sie darüber zu informieren. Wenn dies geschieht, ist Ihr vereinfachter Eintrag nicht mehr aktuell, und legitime E-Mails kommen nicht mehr an. Das manuelle Vereinfachen von SPF-Einträgen ist wie Rasenmähen. Es funktioniert, aber man muss es alle paar Wochen wiederholen.
Option 3: SPF-Makros oder automatische Vereinfachung
Der moderne Ansatz nutzt SPF-Makros (definiert in RFC 7208 §7), die bei der Auswertung dynamisch erweitert werden, um Ihren Eintrag unter der Lookup-Obergrenze zu halten, ohne dass eine manuelle IP-Pflege erforderlich ist.
Automatisierte Flattening-Tools übernehmen dies kontinuierlich, indem sie die IP-Adressen der Anbieter nach einem festgelegten Zeitplan neu auflösen und Ihren veröffentlichten Eintrag aktualisieren.
| Hast du das Limit von 10 Suchanfragen erreicht?
PowerSPF nutzt SPF-Makros, um Ihren Eintrag automatisch dauerhaft unterhalb der Lookup-Obergrenze zu halten. Kein manuelles Flattening, keine veralteten IPs, kein Wartungsaufwand. PowerDMARC unterstützt auch das herkömmliche SPF-Flattening für einfachere Konfigurationen. Starten Sie Ihre kostenlose 15-tägige Testphase |
SPF allein reicht nicht aus: Warum DKIM und DMARC das Bild vervollständigen
SPF gleicht die IP-Adresse des Absenders (MAIL FROM) mit Ihrer Liste autorisierter Absender ab. Dies funktioniert, wenn die E-Mail direkt vom Absender zum Empfänger gelangt. Wird die E-Mail jedoch weitergeleitet – sei es über Mailinglisten, automatische Weiterleitungsregeln, gemeinsam genutzte Postfächer oder einen beliebigen Relay-Server –, ändert sich die Absender-IP. In diesem Fall versagt SPF, da die IP-Adresse des Weiterleitungsservers nicht in Ihrem SPF-Eintrag enthalten ist und dies auch nicht sein sollte.
DKIM (DomainKeys Identified Mail) funktioniert anders. Es fügt dem E-Mail-Text eine kryptografische Signatur hinzu. Diese Signatur bleibt der Nachricht erhalten, unabhängig davon, über welchen Server sie weitergeleitet wird. DKIM bleibt bei der Weiterleitung erhalten, SPF hingegen nicht.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) verbindet diese beiden Verfahren miteinander. Damit eine Nachricht die DMARC-Prüfung besteht, muss lediglich EINES der beiden Verfahren – SPF oder DKIM – erfolgreich sein und mit Ihrer Absenderdomain übereinstimmen.
In der Praxis ist DKIM der zuverlässigere Mechanismus zur Authentifizierung, da es von Weiterleitungen nicht beeinträchtigt wird.
Deshalb ist es wichtig, beides zu haben:
- Google verlangt von allen Absendern die Verwendung von SPF oder DKIM sowie von Massenversendern (5.000+ Nachrichten/Tag) zusätzlich die Verwendung von DMARC. Ab November 2025 werden nicht konforme Nachrichten dauerhaft zurückgewiesen.
- Microsoft begann im Mai 2025 damit, nicht authentifizierte Massen-E-Mails zurückzuweisen.
- Yahoo wendet dieselben Anforderungen innerhalb desselben Zeitrahmens an wie Google.
Wenn SPF Ihr einziger Authentifizierungsmechanismus ist, ist Ihre Domain auf jedem Weiterleitungsweg weiterhin anfällig für Identitätsbetrug, und Sie erfüllen die Anforderungen der E-Mail-Anbieter für das Jahr 2026 nicht vollständig.
Was als Nächstes zu tun ist:
- Richten Sie DKIM für jeden Dienst ein, der E-Mails über Ihre Domain versendet.
- Veröffentlichen Sie einen DMARC-Eintrag (beginnen Sie mit „p=none“ zur Überwachung und wechseln Sie anschließend zu „p=reject“).
- Überwachen Sie die DMARC-Gesamtberichte, um zu sehen, welche Quellen die SPF- und DKIM-Prüfung bestehen oder nicht bestehen.
| Sind Sie bereit, sich einen umfassenden Überblick über die E-Mail-Authentifizierung zu verschaffen?
PowerDMARC überwacht DMARC, SPF und DKIM für alle Ihre Domains und bietet übersichtliche Dashboards, die genau anzeigen, welche E-Mails erfolgreich zugestellt werden, welche fehlschlagen und warum. |
SPF-Einträge für Domains, die keine E-Mails versenden
Wenn Sie Domains besitzen, die geparkt, inaktiv oder nur für Websites genutzt werden, benötigen diese dennoch SPF-Schutz. Angreifer fälschen aktiv ungenutzte Domains, gerade weil diese oft ungeschützt sind.
Die Lösung ist ganz einfach. Veröffentlichen Sie diesen SPF-Eintrag:
v=spf1 -all
Dadurch wird den empfangenden Servern mitgeteilt, dass niemand berechtigt ist, E-Mails von dieser Domain zu versenden. Jede Nachricht, die vorgibt, von dieser Domain zu stammen, sollte abgelehnt werden.
Veröffentlichen Sie für maximalen Schutz zusätzlich einen DMARC-Eintrag mit einer Ablehnungsrichtlinie:
v=DMARC1; p=ablehnen; rua=mailto:[email protected]
Diese Kombination verhindert Spoofing für jede Domain, die Sie besitzen, unabhängig davon, ob über diese E-Mails versendet werden oder nicht.
Häufige Fehler beim Umgang mit Sonnenschutzmitteln und wie man sie behebt
Syntaxfehler in SPF sind weit verbreitet, und das Schlimmste daran ist, dass sie ohne Fehlermeldung auftreten. Hier sind die acht häufigsten Fehler, was passiert, wenn man sie macht, und wie man sie beheben kann:
| Fehler | Was passiert | So beheben Sie das Problem |
|---|---|---|
| Zwei SPF-Einträge für eine Domain | PermError. SPF-Prüfung schlägt für ALLE E-Mails fehl | Beide Einträge zu einem einzigen TXT-Eintrag zusammenführen |
| Am Anfang fehlt „v=spf1“ | Der Datensatz wird vollständig ignoriert | Stellen Sie sicher, dass der Datensatz genau mit „v=spf1“ beginnt. |
| Die Mechanismen wurden doch noch eingebaut | Alles, was nach „-all“ oder „~all“ steht, wird ignoriert | Alles an das Ende des Datensatzes verschieben |
| Mehr als 10 DNS-Abfragen | PermError. SPF schlägt ohne Fehlermeldung fehl | Entfernen Sie nicht verwendete Include-Dateien, glätten Sie den Code oder verwenden Sie SPF-Makros |
| Mit +all | Erlaubt es jedem im Internet, E-Mails über Ihre Domain zu versenden | Wechseln Sie sofort zu -all oder ~all |
| Leerzeichen oder Tippfehler in IP-Adressen | Der Mechanismus ist ungültig und kann einen PermError verursachen | Überprüfen Sie alle IP-Adressen noch einmal; verwenden Sie ein SPF-Generator-Tool |
| Einschließlich des veralteten ptr-Mechanismus | RFC 7208 rät von „ptr“ ab; manche Empfänger ignorieren es | Ersetzen durch „ip4:“ oder einfügen: |
| Veraltete IP-Adressen von außer Betrieb genommenen Servern | Könnte neu zugewiesen werden. Mögliche Sicherheitsrisiken | SPF vierteljährlich überprüfen; stillgelegte IP-Adressen entfernen |
Tabelle: Die häufigsten Fehler bei SPF-Einträgen, ihre Auswirkungen und wie man sie behebt.
Weitere Informationen zur Behebung von SPF-Validierungsfehlern finden Sie in unserem Leitfaden zu SPF-Validierungsfehlern und deren Behebung.
Schlussfolgerung
Das Hinzufügen einer IP-Adresse zu Ihrem SPF-Eintrag ist eine einfache DNS-Änderung, doch um es richtig zu machen, muss man die Syntax verstehen, zwischen „ip4:“ und „include:“ wählen, die Grenze von 10 DNS-Lookups einhalten und das Ergebnis nach jeder Änderung überprüfen.
SPF ist eine Komponente eines umfassenden E-Mail-Authentifizierungsstacks. Im Jahr 2026, mit Google, Yahoo und Microsoft alle aktiv Vorschriften zur Absenderauthentifizierung durchsetzen, reicht SPF allein nicht mehr aus. DKIM und DMARC sind für umfassenden Schutz und die Einhaltung der Vorschriften ebenso unverzichtbar.
Je mehr Versanddienste Ihr Unternehmen nutzt, desto umfangreicher wird Ihr SPF-Eintrag. Eine manuelle Verwaltung ist nicht skalierbar, und schon ein einziger Fehler kann die E-Mail-Zustellung für Ihre gesamte Domain unbemerkt zum Erliegen bringen. Eine automatisierte SPF-Verwaltung ist kein Luxus mehr, sondern eine Frage der Betriebssicherheit.
Verzichten Sie auf die manuelle Verwaltung von SPF-Einträgen. PowerDMARC bietet Ihnen automatisiertes SPF-Flattening (PowerSPF), DMARC-Überwachung, DKIM-Verwaltung und übersichtliche Berichte für alle Ihre Domains – alles auf einer einzigen Plattform. Starten Sie Ihre kostenlose 15-tägige Testphase
Häufig gestellte Fragen
1) Kann ich zwei SPF-Einträge für dieselbe Domain haben?
Nein. RFC 7208 schreibt genau einen SPF-TXT-Eintrag pro Domain vor. Wenn eine Domain zwei Einträge enthält, die mit „v=spf1“ beginnen, geben empfangende Server einen PermError zurück und behandeln SPF bei jeder Nachricht als fehlgeschlagen. Wenn Sie weitere Absender autorisieren müssen, bearbeiten Sie Ihren bestehenden Eintrag, um diese hinzuzufügen, und erstellen Sie keinen neuen.
2) Was ist der Unterschied zwischen -all und ~all?
-all ist ein „Hard Fail“; es weist empfangende Server an, E-Mails von nicht autorisierten IP-Adressen zurückzuweisen. ~all ist ein „Soft Fail“; es kennzeichnet nicht autorisierte E-Mails, schreibt jedoch keine Zurückweisung vor. In der Praxis ist der Unterschied minimal, wenn DMARC mit p=quarantine oder p=reject durchgesetzt wird, da die DMARC-Richtlinie den SPF-Qualifier außer Kraft setzt. Wenn Sie DMARC bereits im Durchsetzungsmodus nutzen, sind beide Optionen geeignet. Wenn Sie DMARC noch nicht einsetzen, bietet -all einen stärkeren Schutz.
3) Wie viele IP-Adressen kann ich einem SPF-Eintrag hinzufügen?
Es gibt keine feste Obergrenze für die Anzahl der „ip4:“- oder „ip6:“-Mechanismen. Diese werden nicht auf das Limit von 10 DNS-Lookups angerechnet. Der gesamte SPF-Eintrag muss jedoch innerhalb der Größenbeschränkungen für DNS-TXT-Einträge liegen (255 Zeichen pro Zeichenfolge, wobei mehrere Zeichenfolgen zu maximal etwa 4.096 Zeichen verkettet werden können). Verwenden Sie bei großen IP-Listen die CIDR-Notation (z. B. ip4:192.0.2.0/24), um Bereiche effizient abzudecken.
4) Wie lange dauert es, bis sich Änderungen des Lichtschutzfaktors bemerkbar machen?
Das hängt von der TTL (Time to Live) Ihres DNS-Eintrags ab. Wenn Ihre TTL 3600 (1 Stunde) beträgt, werden die meisten Resolver die Änderung innerhalb einer Stunde übernehmen. Um den Vorgang zu beschleunigen, setzen Sie Ihre TTL vor der Änderung auf 300 (5 Minuten) herab, warten Sie, bis die alte TTL-Dauer abgelaufen ist, und nehmen Sie dann Ihre Änderung vor. Dadurch wird die Ausbreitungszeit erheblich verkürzt.
5) Wie finde ich heraus, welche IP-Adressen derzeit E-Mails von meiner Domain versenden?
Die zuverlässigste Methode ist die DMARC-Berichterstellung. Wenn Sie einen DMARC-Eintrag mit einem „rua“-Tag veröffentlichen, senden empfangende Server täglich aggregierte Berichte, in denen alle IP-Adressen aufgeführt sind, die versucht haben, E-Mails von Ihrer Domain zu versenden, zusammen mit den SPF- und DKIM-Ergebnissen (bestanden/nicht bestanden). Ohne DMARC können Sie nur raten. PowerDMARC verarbeitet diese Berichte zu übersichtlichen, leicht verständlichen Dashboards, sodass Sie genau sehen können, wer von Ihrer Domain aus E-Mails versendet.
6) Werden IPv4- und IPv6-Vorgänge auf das Limit von 10 DNS-Abfragen angerechnet?
Nein. Nur Mechanismen, die eine DNS-Abfrage erfordern, werden auf das Limit angerechnet: include, a, mx, redirect und exists. Die Mechanismen ip4, ip6 und all werden lokal ausgewertet und verbrauchen keine DNS-Abfragen.
Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC
Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.
Neueste Beiträge von Ahona Rudra (alle anzeigen)
- So fügen Sie eine IP-Adresse zu Ihrem SPF-Eintrag hinzu (Schritt-für-Schritt-Anleitung) – 11. Mai 2026
- Avanan SPF-Eintrag: So richten Sie Ihren SPF für Check Point Harmony Email ein, beheben Fehler und optimieren ihn – 7. Mai 2026
- DNS-SPF-Eintrag: So funktioniert er und wie man ihn einrichtet – 6. Mai 2026
