So richten Sie SPF-Einträge für eine bessere E-Mail-Sicherheit ein

E-Mails sind nach wie vor einer der wichtigsten Kommunikationskanäle für Unternehmen, werden aber auch am häufigsten missbraucht. Da die Posteingänge immer voller werden, greifen Angreifer zunehmend auf Spam, gefälschte Nachrichten, Phishing-Kampagnen, Whaling-Versuche und andere Formen des E-Mail-Betrugs zurück, um sich als legitime Organisationen auszugeben. Die Auswirkungen sind selten geringfügig. Diese Angriffe können das Vertrauen in die Marke schädigen, zu finanziellen Verlusten führen und sensible Daten offenlegen.

Die Sicherung der E-Mail-Kommunikation ist daher eher zu einer Grundvoraussetzung als zu einer optionalen Sicherheitsmaßnahme geworden. Eine der ersten und wirksamsten Maßnahmen, die Unternehmen ergreifen können, ist die Implementierung einer E-Mail-Authentifizierung.

In dieser Anleitung zum Einrichten von SPF konzentrieren wir uns auf das Sender Policy Framework (SPF) – ein Protokoll, das entwickelt wurde, um unbefugte Absender daran zu hindern, Ihre Domain zu verwenden. SPF bietet bereits für sich genommen einen gewissen Schutz, wird jedoch in Kombination mit DKIM und DMARC noch wesentlich effektiver.
Zusammen helfen sie E-Mail-Anbietern dabei, zu bestätigen, dass Nachrichten aus zugelassenen Quellen stammen. Diese zusätzliche Validierungsebene reduziert Missbrauch und führt im Laufe der Zeit zu einer zuverlässigeren und vertrauenswürdigeren E-Mail-Zustellung.

Was ist SPF und warum ist es wichtig?

Das Sender Policy Framework, allgemein bekannt als SPF, ist ein E-Mail-Authentifizierungsprotokoll, das empfangenden Mailservern mitteilt, welche Systeme E-Mails im Namen Ihrer Domain versenden dürfen. Es funktioniert über einen DNS-Eintrag, der zugelassene Absenderquellen wie Ihren Mailserver, Marketingplattformen, Support-Tools oder Transaktions-E-Mail-Dienste auflistet. Wenn eine E-Mail empfangen wird, überprüft der Server des Empfängers diesen Eintrag, um zu bestätigen, ob die Nachricht von einer autorisierten Quelle stammt. Ist dies der Fall, besteht die E-Mail die SPF-Prüfung. Ist dies nicht der Fall, wird die Nachricht markiert oder abgelehnt.

SPF spielt eine wichtige Rolle beim Schutz von Domains vor Spoofing. Ohne SPF können Angreifer leicht die Absenderadresse einer E-Mail fälschen und Nachrichten so erscheinen lassen, als wären sie von Ihrem Unternehmen gesendet worden. SPF hilft dabei, dies zu verhindern, indem es den empfangenden Servern eine klare Möglichkeit bietet, die Legitimität des Absenders zu überprüfen. Wenn eine gefälschte E-Mail die SPF-Prüfung nicht besteht, wird sie von Mailbox-Anbietern eher blockiert, unter Quarantäne gestellt oder als verdächtig markiert. Dies verringert die Wahrscheinlichkeit, dass betrügerische Nachrichten in Posteingänge unter Ihrem Domainnamen gelangen, und schützt Ihre Marke vor Missbrauch durch Phishing- und Betrugsversuche.

Jede Organisation, die E-Mails über ihre eigene Domain versendet, profitiert von SPF. Dazu gehören Unternehmen, die interne E-Mail-Systeme betreiben, Unternehmen, die Newsletter oder Werbekampagnen versenden, SaaS-Plattformen, die automatisierte Benachrichtigungen versenden, E-Commerce-Shops, die Bestellbestätigungen versenden, gemeinnützige Organisationen, die mit Spendern kommunizieren, Bildungseinrichtungen, die E-Mails an Schüler und Studenten versenden, sowie Organisationen, die mehrere Tools von Drittanbietern zum Versenden von E-Mails verwenden. 

SPF ist besonders wichtig in Umgebungen, in denen mehrere Dienste E-Mails im Namen derselben Domain versenden, da es Mailbox-Anbietern eine einzige zuverlässige Quelle zur Verfügung stellt, um zu bestimmen, was legitim ist und was nicht.

Vereinfachen Sie die SPF-Einrichtung mit PowerDMARC!

Einrichten und Hinzufügen von SPF-Einträgen

Eine SPF-Einrichtung ist nicht nur für Ihre aktiven Quellen unerlässlich, sondern auch für alle Domänen, die Sie besitzen, einschließlich der nicht sendenden oder "geparkten" Domänen, um zu gewährleisten, dass sie vor böswilliger Nutzung sicher sind. Das Einrichten eines SPF-Eintrags ist ein einfacher Prozess, der die folgenden Schritte umfasst:

Schritt 1: Bestimmen Sie Ihre E-Mail-Server und Versandquellen.

Der erste Schritt besteht darin, eine umfassende Liste aller Server und Dienste zu erstellen, die berechtigt sind, E-Mails für Ihre Domäne zu versenden. Zu diesen Quellen können Ihre eigenen Mailserver (z. B. Microsoft Exchange, webbasiert wie Gmail), alle E-Mail-Dienstleister von Drittanbietern (ESPs), die Sie für Marketing- oder Transaktions-E-Mails nutzen, und andere Dienste wie Zahlungsabwickler, E-Commerce-Plattformen, CRMs, Helpdesks oder Support-/Ticketing-Systeme gehören, die in Ihrem Namen E-Mails versenden.

Schritt 2: Erstellen Sie einen SPF-Eintrag.

Sobald Sie alle autorisierten Sendequellen identifiziert haben, können Sie einen SPF-Eintrag mit einem SPF-Datensatz-Generator oder durch manuelle Erstellung der Syntax erstellen. Ein SPF-Eintrag ist ein TXT-Eintrag (Text) in der DNS-Konfiguration Ihrer Domäne. Stellen Sie sicher, dass Sie nur einen SPF-Eintrag pro Domäne erstellen. Eine einfache Syntax könnte wie folgt aussehen:

v=spf1 ip4:<IP address> include:<third-party domain> -all

In this example, “v=spf1” indicates the SPF version, “ip4:<IP address>” lists an authorized IP, “include:<third-party domain>” incorporates a third-party sender’s policy, and “-all” at the end indicates that emails from sources not listed should be rejected. Double-check for typos, as even small errors like ‘inlcude’ instead of ‘include’ can invalidate the record.

Schritt 3: Veröffentlichen Sie Ihren SPF-Eintrag

Nachdem Sie Ihren SPF-Eintrag erstellt haben, müssen Sie ihn im DNS Ihrer Domäne veröffentlichen. Domänenadministratoren können die erforderlichen DNS-Aktualisierungen leicht vornehmen. Melden Sie sich dazu auf der Website Ihres DNS-Anbieters an und fügen Sie einen neuen TXT-Eintrag mit dem Inhalt Ihres SPF-Eintrags hinzu. Der eigentliche Inhalt sollte mit "v=spf1" beginnen und im DNS-Eintrag selbst nicht in Anführungszeichen gesetzt werden (obwohl einige DNS-Schnittstellen ihn mit Anführungszeichen anzeigen können). Alternativ können Sie Ihr IT-Team oder Ihren Hosting-Anbieter bitten, dies für Sie zu erledigen. Denken Sie daran, dass DNS-Änderungen einige Zeit (bis zu 72 Stunden, oft aber auch viel schneller) brauchen, um sich im Internet zu verbreiten.

Schritt 4: Testen Sie Ihren SPF-Eintrag

Nachdem Sie Ihren SPF-Eintrag veröffentlicht und Zeit für die Propagierung eingeräumt haben, müssen Sie ihn unbedingt testen, um sicherzustellen, dass er korrekt funktioniert und das Limit von 10 DNS-Lookups nicht überschreitet (Mechanismen wie „include”, „a”, „mx”, „ptr”, „exists” und „redirect” zählen zu diesem Limit, einschließlich aller Lookups innerhalb verschachtelter „include”-Anweisungen). Sie können Online- SPF-Eintrag-Checkerwie den von PowerDMARC oder MXToolbox, um Ihren SPF-Eintrag zu testen. Diese Tools zeigen Ihnen, ob Ihr SPF-Eintrag gültig und korrekt formatiert ist, innerhalb des Lookup-Limits liegt und wie vorgesehen funktioniert.

5 Missverständnisse über SPF-Einträge 

Im Internet kursieren einige Mythen über SPF-Einträge, die dazu führen können, dass Menschen falsche Entscheidungen treffen. Lassen Sie uns mit einem nach dem anderen aufräumen: 

1. SPF allein kann Spoofing verhindern. 

Das ist nicht richtig. Die Einrichtung von SPF allein kann nicht alle Arten von Spoofing oder Impersonation verhindern, vor allem nicht in Bezug auf den "From"-Header, den die Benutzer sehen. Um einen stärkeren Schutz zu bieten und den Empfängern mitzuteilen, wie sie mit Fehlern umgehen sollen, muss SPF mit DKIM und DMARC (Domain-based Message Authentication, Reporting, and Conformance) kombiniert werden. DMARC ermöglicht es Domänenbesitzern, eine Richtlinie (wie Ablehnung oder Quarantäne) für E-Mails festzulegen, die SPF- oder DKIM-Prüfungen nicht bestehen.

2. Sie können +all in Ihrem SPF-Eintrag verwenden.

Die Verwendung von +all ermöglicht es jedem Server im Internet, E-Mails im Namen Ihrer Domäne zu versenden. Dadurch wird der Sicherheitszweck des SPF-Protokolls vollständig zunichte gemacht. Stattdessen sind ~all (soft fail) oder vorzugsweise -all (hard fail) die empfohlenen Mechanismen am Ende Ihres Eintrags, um SPF effektiv einzusetzen.

3. SPF funktioniert für weitergeleitete E-Mails. 

Wir alle wünschten, das wäre wahr. Leider wird SPF in vielen Fällen bei der Weiterleitung von E-Mails nicht eingehalten. Dies geschieht, weil die IP-Adresse des Weiterleitungs-Servers oft nicht mit den autorisierten IP-Adressen übereinstimmt, die im SPF-Eintrag des ursprünglichen Absenders aufgeführt sind, und sich die Header-Informationen ändern können. In solchen Fällen können Protokolle wie DKIM (das in der Regel die Weiterleitung übersteht) oder vorzugsweise ARC(Authenticated Received Chain) dabei helfen, die Authentifizierungsergebnisse über Weiterleitungsschritte hinweg beizubehalten.

4. SPF-Einträge haben unbegrenzte DNS-Lookups. 

Die SPF-Spezifikation (RFC) schreibt eine maximale Grenze von 10 DNS-Lookups pro SPF-Prüfung vor. Mechanismen wie „include”, „a”, „mx”, „ptr”, „exists” und „redirect” führen DNS-Lookups durch. Eine Überschreitung dieser Grenze führt zu einem SPF PermError (Permanent Error), wodurch legitime E-Mails die Authentifizierung nicht bestehen können. Es ist wichtig, Ihren Datensatz übersichtlich zu halten und möglicherweise SPF-Optimierungsmethoden wie Flattening oder dynamische SPF-Makros zu verwenden, um innerhalb der Grenze zu bleiben, insbesondere wenn Sie viele Drittanbieter-Absender verwenden.

5. Mit SPF können Sie „einmal einrichten und dann vergessen!“ 

Begehen Sie diesen SPF-Fehler nicht! Ihre Infrastruktur für den E-Mail-Versand kann sich im Laufe der Zeit ändern - vielleicht fügen Sie neue Dienste von Drittanbietern hinzu, wechseln ESPs oder stellen alte Server außer Betrieb. Sie müssen Ihre SPF-Einträge regelmäßig aktualisieren, um diese Änderungen zu berücksichtigen. Eine unterlassene Aktualisierung bedeutet, dass neue legitime Sendequellen möglicherweise nicht autorisiert sind, was dazu führen kann, dass ihre E-Mails von den Empfangsservern blockiert oder als Spam markiert werden.

SPF Bewährte Praktiken

Die Einrichtung von SPF ist keine einmalige Aufgabe. Domains ändern sich im Laufe der Zeit, neue Tools kommen hinzu und das Verhalten beim Versenden von E-Mails entwickelt sich weiter. Eine kontinuierliche Überwachung ist unerlässlich, um sicherzustellen, dass Ihr SPF-Eintrag weiterhin wie vorgesehen funktioniert. Durch regelmäßige Überprüfung der Authentifizierungsergebnisse und der Zustellungsrückmeldungen können Fehler frühzeitig erkannt werden, bevor sie sich auf die Platzierung im Posteingang auswirken oder Ihre Domain für Missbrauch anfällig machen.

SPF funktioniert am besten, wenn es mit DKIM und DMARC kombiniert wird. SPF überprüft, von wo eine E-Mail gesendet wird, während DKIM bestätigt, dass der Inhalt der Nachricht nicht verändert wurde, und DMARC verbindet diese Überprüfungen miteinander, indem es definiert, wie empfangende Server mit Fehlern umgehen sollen. Die kombinierte Verwendung aller drei Verfahren schafft ein stärkeres Authentifizierungsframework und gibt Mailbox-Anbietern klarere Signale darüber, welchen Nachrichten vertraut werden kann.

Es ist auch wichtig, regelmäßig zu überprüfen, welche Systeme berechtigt sind, E-Mails in Ihrem Namen zu versenden. Im Laufe der Zeit fügen Unternehmen häufig Marketingplattformen, Kundensupport-Tools, Abrechnungssysteme oder Automatisierungsdienste hinzu, während ältere Tools möglicherweise nicht mehr verwendet werden. Das Beibehalten veralteter oder unnötiger Absender in Ihrem SPF-Eintrag erhöht das Risiko und kann zu Konfigurationsfehlern führen. Auf diese Weise stellt eine regelmäßige Überprüfung sicher, dass nur aktive und genehmigte Dienste autorisiert bleiben, sodass Ihr SPF-Eintrag korrekt und effektiv bleibt.

Optimieren Sie Ihre SPF-Einstellungen mit PowerDMARC

SPF ist einer der Grundpfeiler der E-Mail-Sicherheit. Bei korrekter Konfiguration hilft es Mailbox-Anbietern dabei, legitime Absender zu verifizieren, Domain-Spoofing zu reduzieren und das allgemeine Vertrauen in Ihre E-Mails zu stärken.

Um SPF richtig einzurichten, muss man sich kontinuierlich darum kümmern. Das bedeutet, jeden autorisierten Absender zu identifizieren, den Datensatz sorgfältig zu strukturieren, die DNS-Lookup-Grenzen einzuhalten und regelmäßig Tests durchzuführen. Wenn sich Ihre E-Mail-Umgebung verändert (neue Tools, neue Plattformen, neue Workflows), muss die Konfiguration entsprechend angepasst werden. Ist dies der Fall, arbeitet SPF weiterhin still und effektiv im Hintergrund.

Da die manuelle Verwaltung von SPF komplex sein kann, insbesondere für Unternehmen, die mehrere E-Mail-Dienste oder Plattformen von Drittanbietern nutzen, kann PowerDMARC diesen Prozess vereinfachen! Es hilft Ihnen dabei, die SPF-Leistung zu überwachen, Konfigurationsprobleme zu erkennen, Suchgrenzen einzuhalten und SPF mit DKIM- und DMARC-Richtlinien abzustimmen. Mit integrierten Analyse- und Optimierungstools erleichtert PowerDMARC die Aufrechterhaltung einer sicheren, genauen und skalierbaren E-Mail-Authentifizierungskonfiguration.

Starten Sie eine kostenlose 15-tägige Testversion oder eine Demo bei PowerDMARC, um Ihre SPF-Konfiguration zu optimieren und Ihre E-Mail-Sicherheit insgesamt zu verbessern.

Häufig gestellte Fragen (FAQs)

Kann ich mehrere SPF-Einträge für eine Domäne haben?

Nein. Eine Domäne muss genau einen SPF-Eintrag haben. Die Veröffentlichung mehrerer SPF-Einträge für dieselbe Domäne ist ein häufiger Fehler, der dazu führt, dass die SPF-Validierung fehlschlägt oder unvorhersehbare Ergebnisse zurückgibt (oft None oder PermError). Wenn Sie mehrere Sendequellen autorisieren müssen, müssen sie alle in einer einzigen SPF-TXT-Eintragszeichenfolge enthalten sein.

Kann ich einen großen SPF-Eintrag aufteilen?

Die Aufteilung einer logisch großen SPF-Richtlinie auf mehrere TXT-Datensätze für dieselbe Domäne ist aufgrund der Ein-Datensatz-Regel nicht zulässig. Darüber hinaus haben einzelne DNS-TXT-Datensätze eine Begrenzung der Zeichenketten (obwohl moderne DNS-Systeme oft mehrere Zeichenketten innerhalb eines einzigen Datensatzes unterstützen, um die ältere Begrenzung auf 255 Zeichen zu überwinden). Wenn Ihr Eintrag zu komplex wird oder die Grenze von 10 DNS-Lookups überschreitet, können Sie ihn nicht einfach aufteilen. Versuchen Sie stattdessen diese Taktik: 

1. Vereinfachen Sie Ihren Datensatz: Entfernen Sie redundante oder unnötige Einträge. Konsolidieren Sie IP-Bereiche unter Verwendung der CIDR-Notation, wo dies möglich ist.
2. Minimierung der Mechanismen zur Erzeugung von Nachschlagewerken: Reduzieren Sie die Anzahl der Mechanismen `include`, `a`, `mx`, `exists` und `redirect`.
3. Verwenden Sie SPF-Verwaltungslösungen: Nutzen Sie Dienste von Drittanbietern, die SPF-Flattening oder dynamische SPF-Lösungen (makrobasiert) anbieten, um komplexe Datensätze zu verwalten und innerhalb der Grenzen zu bleiben.

Warum wird der SPF-Eintrag verwendet?

Ein SPF-Eintrag wird verwendet, um E-Mail-Spoofing zu verhindern, indem Domänenbesitzer öffentlich erklären können, welche Mailserver berechtigt sind, E-Mails im Namen ihrer Domäne zu versenden. Die empfangenden Server überprüfen diesen Eintrag, um die Legitimität des sendenden Servers zu verifizieren, wodurch die Wahrscheinlichkeit verringert wird, dass Phishing-, Spam- und andere betrügerische E-Mails, die unter dem Namen der Domäne gesendet werden, die Posteingänge der Empfänger erreichen.

Wann benötigen Sie SPF?

Sie benötigen SPF für jede Domain, die Sie besitzen, insbesondere für solche, die zum Versenden von E-Mails verwendet werden. Es ist ein grundlegendes E-Mail-Authentifizierungsprotokoll, das benötigt wird, um die Zustellbarkeit von E-Mails zu verbessern, den Ruf Ihrer Marke zu schützen, die Authentizität zu überprüfen und die Richtlinien des Empfangsservers und die bewährten Praktiken der Branche einzuhalten, einschließlich der jüngsten Vorgaben von großen Anbietern wie Google und Yahoo. Erfahren Sie mehr über die Bedeutung der SPF-Konfiguration. Auch Domänen, die keine E-Mails versenden, sollten einen restriktiven SPF-Eintrag haben (z. B. "v=spf1 -all"), um Missbrauch zu verhindern.

Wie optimiert man einen SPF-Eintrag?

Sie können Ihren SPF-Datensatz manuell optimieren, indem Sie autorisierte Absender sorgfältig überprüfen und konsolidieren, ungenutzte Quellen entfernen, eine effiziente IP-Bereichs-Notation (CIDR) verwenden und Mechanismen minimieren, die DNS-Lookups verursachen. Für komplexe Szenarien oder um sicherzustellen, dass Sie unter der 10-Lookup-Grenze bleiben, ist die Nutzung von SPF-Optimierungsdiensten von Drittanbietern, die automatisierte Flattening- oder dynamische SPF-Makrolösungen für die laufende Datensatzverwaltung anbieten, eine mühelose Option.

Wie kann ich sicherstellen, dass mein SPF-Eintrag korrekt eingerichtet ist?

Sie können Ihren SPF-Eintrag mit einem Online SPF-Datensatz-Überprüfungstool. Diese Tools validieren die Syntax, prüfen, ob der Eintrag in Ihrem DNS existiert, ob Sie innerhalb der 10 DNS-Lookup-Grenze liegen und ob er generell korrekt konfiguriert ist.

"`

• Über
• Neueste Beiträge

Ahona Rudra

Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC

Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.

Neueste Beiträge von Ahona Rudra (alle anzeigen)

• PowerDMARC Splunk-Integration: Einheitliche Transparenz für E-Mail-Sicherheit – 8. Januar 2026
• Was ist Doxxing? Ein umfassender Leitfaden zum Verständnis und zur Prävention – 6. Januar 2026
• Die besten Alternativen zu Palisade E-Mail – 31. Dezember 2025