Wie überprüfe ich SPF-Einträge in Exchange Online?

Verwenden Sie ein SPF-Abfrage-Tool wie den PowerDMARC SPF Checker, geben Sie Ihre Domain ein und überprüfen Sie den Eintrag, die Syntax und die Anzahl der Abfragen. Sie können dies auch im Microsoft 365 Admin Center unter „Einstellungen“ → „Domains“ → „DNS-Einträge“ überprüfen. Zur Überprüfung auf Empfängerseite überprüfen Sie den Header „Authentication-Results“ in einer extern versendeten Testnachricht.

Welchen SPF-Eintrag benötige ich für Microsoft 365?

Mindestens: v=spf1 include:spf.protection.outlook.com -all. Wenn Sie weitere Versanddienste nutzen (HubSpot, SendGrid, Salesforce, Zendesk), fügen Sie deren Einträge vor -all hinzu. Stellen Sie sicher, dass die Gesamtzahl der DNS-Lookups unter 10 bleibt, einschließlich der verschachtelten Lookups innerhalb jedes Eintrags.

Warum schlägt SPF fehl, obwohl mein Eintrag korrekt aussieht?

Häufige Ursachen: Überschreitung des Limits von 10 DNS-Abfragen (PermError), mehrere SPF-Einträge für dieselbe Domain, weitergeleitete E-Mails (SPF funktioniert bei Weiterleitung grundsätzlich nicht) oder ein Anbieter, der seine autorisierten IP-Bereiche ändert, ohne Sie darüber zu informieren. Überprüfen Sie den „Authentication-Results“-Header auf das konkrete „spf=“-Ergebnis.

Was ist der Unterschied zwischen -all und ~all?

-all (Hard Fail) weist Empfänger an, Nachrichten von nicht autorisierten IP-Adressen zurückzuweisen oder als Fehler zu behandeln. ~all (Soft Fail) ist weniger streng. Ab 2026, wenn DMARC eingeführt ist, regelt die DMARC-Richtlinie die Durchsetzung unabhängig vom Qualifizierer. Wenn Sie noch kein DMARC nutzen, bietet -all einen deutlich stärkeren Schutz.

Wie viele DNS-Abfragen führt die Domain „include:spf.protection.outlook.com“ durch?

Der Microsoft-Include zählt als ein Abruf, führt jedoch zu verschachtelten Includes, die etwa zwei bis vier zusätzliche Abrufe erfordern. Die genaue Anzahl variiert, da Microsoft seine Infrastruktur aktualisiert. Überprüfen Sie dies stets mit einem Tool, das verschachtelte Abrufe rekursiv zählt.

Reicht SPF aus, um E-Mail-Spoofing zu verhindern?

Nein. SPF allein verhindert keine Fälschung der sichtbaren Absenderadresse (Header „From“). Es überprüft lediglich den Absender des Umschlags (Return-Path). Ein umfassender Schutz erfordert DKIM zur Signierung auf Nachrichtenebene sowie DMARC zur Durchsetzung der Übereinstimmung. Das Zusammenspiel aller drei Protokolle und deren kontinuierliche Überwachung ist im Jahr 2026 der Standard.

Wie MSPs DMARC mit dem MCP-Server schneller verwalten können

Wichtigste Erkenntnisse

Die Verwaltung von DMARC über Dutzende von Kundendomänen hinweg wird schwierig, wenn MSPs auf separate Dashboards und manuelle DNS-Prüfungen zurückgreifen.
Ein MCP-Server verbindet KI-Tools wie Claude oder Cursor mit Live-Daten von PowerDMARC, sodass MSPs Domains über einfache Eingabeaufforderungen abfragen und verwalten können.
MSPs können innerhalb ihres gesamten Kundenportfolios schnell fälschbare Domains, SPF-Probleme, schwache DMARC-Richtlinien und Authentifizierungslücken erkennen.
Der MCP-Server trägt zur Reduzierung des Betriebsaufwands bei, indem er Transparenz, Fehlerbehebung und die Erstellung von DNS-Einträgen in einem einzigen Arbeitsablauf vereint.

Die Verwaltung von DMARC für eine Handvoll Domains ist noch überschaubar. Die Verwaltung für 50, 100 oder 300 Kundendomains ist jedoch eine ganz andere Sache.

Die meisten MSPs kennen das nur zu gut: Sie springen zwischen verschiedenen Dashboards hin und her, überprüfen DNS-Einträge manuell, validieren die SPF-Syntax in separaten Tools, gehen DMARC-Berichte Mandant für Mandant durch und versuchen den Überblick darüber zu behalten, welcher Kunde noch im Überwachungsmodus feststeckt. Kommen dann noch mehrere Administratoren, unterschiedliche DNS-Anbieter und nicht miteinander verknüpfte Sicherheitstools hinzu, dauern selbst einfache Überprüfungen schon Stunden.

Das Problem ist nicht der Mangel an Tools. Es ist das Fehlen einer zentralen Betriebsebene, das MSPs daran hindert, ihr gesamtes Kundenportfolio schnell abzufragen, Fehler zu beheben und entsprechende Maßnahmen zu ergreifen.

Hier kommt der MCP-Server ins Spiel.

Der MCP-Server von PowerDMARC bietet MSPs die Möglichkeit, über KI-Tools wie Claude oder Cursor direkt auf aktuelle DMARC-Daten zuzugreifen. Anstatt zwischen Registerkarten und Portalen hin- und herzuwechseln, können Teams Fragen in einfacher Sprache stellen und erhalten sofort konkrete Antworten auf Kontoebene.

Was ist MCP – und warum sollte das MSPs interessieren?

MCP steht für „Model Context Protocol“. Einfach ausgedrückt handelt es sich um einen Standard, der es KI-Assistenten ermöglicht, sich mit externen Plattformen zu verbinden und mit Echtzeitdaten zu arbeiten.

Ohne ein MCP kann ein KI-Assistent nur allgemeine Hinweise geben, die auf seinem vorhandenen Wissen basieren. Er kann zwar erklären, was SPF oder DMARC ist, aber er kann Ihre Kundendomains nicht einsehen, deren DNS-Einträge nicht überprüfen und auch nicht feststellen, welche Domains für Spoofing anfällig sind.

Mit MCP wird die KI mit Ihrer realen Umgebung vernetzt.

Das bedeutet, dass ein MSP Fragen stellen kann wie:

„Welche Client-Domänen haben noch den Wert p=none?“
„Zeige mir Domains mit SPF-PermError -Risiko.“
„Erstellen Sie einen korrigierten SPF-Eintrag für diesen Kunden.“
„Liste aller Domains mit niedrigen Zustandswerten.“

Anstelle von allgemeinen Antworten ruft die KI aktuelle Informationen direkt von der verbundenen Plattform ab und kann dabei helfen, Aufgaben in Echtzeit auszuführen.

Für MSPs, die für die E-Mail-Sicherheit in mehreren Unternehmen zuständig sind, ist dies von Bedeutung, da es den Betriebsaufwand verringert. Die KI ist nicht mehr nur ein Assistent, sondern wird zu einer Schnittstelle, über die reale Umgebungen schneller verwaltet werden können.

Warum PowerDMARC einen MCP-Server entwickelt hat

MSPs und MSSPs, die große Domain-Portfolios verwalten, stehen oft vor demselben operativen Engpass: Die Transparenz ist lückenhaft. Das bedeutet, dass sich ein Kunde möglicherweise in der DMARC-Durchsetzungsphase befindet, ein anderer noch im Überwachungsmodus ist, bei einer Domain ein Problem mit der SPF-Abfrage vorliegt, während bei einer anderen nicht autorisierte Absender in den Berichten auftauchen. Um all diese Informationen zu erhalten, muss man sich in der Regel bei verschiedenen Dashboards anmelden, Einträge manuell überprüfen und Daten aus verschiedenen Tools zusammenführen.

PowerDMARC hat seinen MCP-Server entwickelt, um diese Reibungsverluste zu beseitigen.

Das Ziel bestand nicht darin, bestehende Arbeitsabläufe zu ersetzen. Vielmehr sollte es MSPs ermöglichen, weiterhin mit den KI-Tools zu arbeiten, die sie bereits nutzen, und gleichzeitig über ihre PowerDMARC-Umgebung auf aktuelle DMARC- und DNS-Daten zuzugreifen.

Ohne MCP-Konnektivität können selbst fortschrittliche KI-Tools lediglich theoretische Empfehlungen geben:

Ihre Anfrage: „Warum funktioniert SPF für die Domain meines Kunden nicht?“

Die Antwort: „Die Domain Ihres Kunden könnte aus verschiedenen Gründen die SPF-Prüfung nicht bestehen. So funktioniert SPF …“

Dank der MCP-Konnektivität lässt sich diese Eingabeaufforderung nun nutzen:

Die Antwort: „Ihre Client-Domain überschreitet aufgrund verschachtelter Include-Anweisungen die Grenzen für SPF-Abfragen. Hier ist der korrigierte SPF-Eintrag.“

Der Unterschied liegt im Kontext.

Durch die direkte Anbindung der KI an Live-Kontodaten können MSPs den Zustand von Domains bewerten, Spoofing-Risiken erkennen, Einträge überprüfen, den Status der Durchsetzung einsehen und Korrekturen generieren, ohne jedes Kundenkonto einzeln aufrufen zu müssen.

Für Teams, die Dutzende oder Hunderte von Domains verwalten, gewinnt diese operative Geschwindigkeit sehr schnell an Bedeutung.

Die beiden MSP-Probleme, die es direkt löst

Problem 1: Verwaltung von mehr als 50 Kundendomänen ohne zentrale Übersicht

Mit dem Wachstum von MSP-Portfolios wird es immer schwieriger, den Überblick zu behalten. Jeder Kunde verfügt über unterschiedliche Domains, unterschiedliche DNS-Anbieter, unterschiedliche Durchsetzungsstufen und unterschiedliche Absenderquellen. Bei einigen werden strenge DMARC-Richtlinien vollständig durchgesetzt, während andere weiterhin im Überwachungsmodus mit unvollständiger SPF-Anpassung arbeiten. All dies manuell zu verfolgen, ist nicht skalierbar.

Der MCP-Server bietet MSPs die Möglichkeit, ihr gesamtes Portfolio über eine einzige Schnittstelle mithilfe von Eingabeaufforderungen in Klartext abzufragen. Zum Beispiel:

„Listen Sie alle Kundendomänen mit ihrer DMARC-Richtlinie, dem Durchsetzungsstatus und dem Zustandswert auf.“

Anstatt Mieter einzeln zu überprüfen, kann die KI innerhalb von Sekunden einen zentralen Überblick über das gesamte Portfolio liefern.

Dies erweist sich insbesondere als nützlich für die Identifizierung von:

Domains sind nach wie vor anfällig für Spoofing
Kunden mit unzureichenden Durchsetzungsmaßnahmen
Domains mit fehlerhaften SPF-Einstellungen
Konten, bei denen vor der Verschiebung in die Quarantäne oder der Ablehnung Korrekturen erforderlich sind

Für MSPs, die sich um die E-Mail-Sicherheit für mehrere Kunden kümmern, ist eine zentralisierte Übersicht oft das fehlende Bindeglied zwischen reaktiver Fehlerbehebung und proaktivem Management.

Erfahren Sie außerdem mehr über DMARC für mehrere Domains und darüber, wie eine zentralisierte Domainverwaltung die betriebliche Effizienz in großem Maßstab verbessert.

Problem 2: Wechsel zwischen zu vielen nicht miteinander verbundenen Tools

Die meisten MSP-Umgebungen sind bereits mit Tools überladen. Die Teams wechseln regelmäßig zwischen RMM-Plattformen, Ticket-Systemen, DNS-Anbietern, Sicherheits-Dashboards und E-Mail-Authentifizierungsportalen hin und her. Da diese Systeme untereinander keinen automatischen Kontextaustausch ermöglichen, wird selbst die einfachste Fehlerbehebung zu einer zeitaufwändigen Angelegenheit.

Ein gängiges Beispiel:

Ein Kunde meldet Probleme bei der E-Mail-Zustellung
Der Techniker überprüft die SPF-Syntax separat
DNS-Abfragen erfolgen in einem anderen Tool
DMARC-Berichte werden an anderer Stelle geprüft
Anschließend wird manuell ein korrigierter Datensatz erstellt

Der MCP-Server macht die KI zur verbindenden Ebene zwischen diesen Arbeitsabläufen. Ein MSP kann eine Aufforderung wie die folgende verwenden:

„Überprüfen Sie diese Domain auf SPF-Probleme, ermitteln Sie die Ursache des PermError und erstellen Sie einen korrigierten SPF-Eintrag.“

Das Ergebnis ist eine schnellere Fehlerbehebung, ohne ständig zwischen den Plattformen hin- und herwechseln zu müssen.

Was Sie mit dem MCP-Server von PowerDMARC tatsächlich tun können

1. Verschaffen Sie sich einen umfassenden Überblick über Ihr Kundenportfolio

MSPs können über eine einzige Schnittstelle eine vollständige Liste der verwalteten Domains sowie den Status der DMARC-Richtlinien, die Durchsetzungsstufe und die Integritätsbewertungen abrufen. Der MCP-Server kann zudem feststellen, wer derzeit E-Mails im Namen der einzelnen Kundendomains versendet, wodurch sich unbefugte oder unerwartete Absender leichter erkennen lassen.

Teams können den Verlauf des E-Mail-Aufkommens einsehen, DKIM-Analysen prüfen und Authentifizierungstrends über mehrere Kundenumgebungen hinweg überwachen, ohne jeden Mandanten manuell öffnen zu müssen.

2. Probleme erkennen, bevor die Kunden sie bemerken

Der MCP-Server hilft MSPs dabei, Domains zu identifizieren, die weiterhin für Spoofing anfällig sind, und genau zu verstehen, warum sie weiterhin gefährdet sind. Er kann SPF-Konfigurationen überprüfen, Probleme mit Suchlimitbeschränkungen erkennen und potenzielle PermError-Risiken kennzeichnen, bevor diese den E-Mail-Verkehr stören. Teams können zudem forensische Fehlerberichte für fehlgeschlagene Nachrichten abrufen und Audit-Protokolle einsehen, um aktuelle Konfigurationsänderungen zu überprüfen, die möglicherweise zu Problemen geführt haben.

Anstatt auf eine Eskalation durch den Kunden zu warten, können MSPs Schwachstellen im gesamten Portfolio proaktiv aufdecken.

3. Lösungen erarbeiten und sofort Maßnahmen ergreifen

MSPs können DNS-fähige DMARC-, SPF- und DKIM-Einträge direkt über Eingabeaufforderungen erstellen, ohne die Syntax manuell zusammenstellen zu müssen. Der MCP-Server unterstützt zudem DNS-Abfragen für verschiedene Eintragstypen, wodurch Techniker Konfigurationen bei der Fehlerbehebung schnell überprüfen können.

Auch operative Maßnahmen können über dieselbe Benutzeroberfläche abgewickelt werden. So können MSPs beispielsweise eine neue Kundendomäne hinzufügen und diese im Überwachungsmodus konfigurieren, ohne das Dashboard separat öffnen zu müssen. Dadurch verringert sich die Anzahl der sich wiederholenden Verwaltungsaufgaben, die Techniker täglich erledigen müssen.

4. MSSP-Unterkonten über eine einzige Oberfläche verwalten

Für größere MSSPs und Partnerumgebungen unterstützt der MCP-Server zudem die Kontoverwaltung auf Portfolioebene. Teams können über eine einzige zentrale Oberfläche Kundenunterkonten auflisten und verwalten, Benutzer hinzufügen oder entfernen sowie Domänengruppen in der gesamten Kundenumgebung überwachen.

Für Unternehmen, die umfangreiche E-Mail-Sicherheitsmaßnahmen verwalten, trägt dies dazu bei, den Verwaltungsaufwand zu verringern, der mit der Verwaltung von Mandantenumgebungen einhergeht.

MSPs, die daran interessiert sind, E-Mail-Authentifizierungsdienste für mehrere Kunden zu skalieren, können sich auch über das MSP/MSSP-Partnerprogramm von PowerDMARC informieren.

Abschließende Worte

Für MSPs besteht die größte Herausforderung beim DMARC-Management selten darin, die Protokolle selbst zu verstehen. Vielmehr geht es darum, den Überblick und die Kontrolle über Dutzende von Kundenumgebungen zu behalten, ohne dabei wertvolle Arbeitszeit zu verschwenden.

Derzeit lassen sich einige Kundendomänen möglicherweise noch manipulieren, ohne dass dies bemerkt wird. Bei anderen bestehen möglicherweise bereits SPF-Probleme oder eine unzureichende DMARC-Durchsetzung, die die Sicherheitslage unbemerkt beeinträchtigen. Je länger diese Schwachstellen verborgen bleiben, desto größer wird das Risiko. Tools, die den Wechsel zwischen verschiedenen Dashboards reduzieren, aktuelle Domain-Risiken schneller aufdecken und Abhilfemaßnahmen vereinfachen, werden für moderne MSPs, die E-Mail-Sicherheit in großem Maßstab gewährleisten, schnell zu einer betrieblichen Notwendigkeit.

Über
Neueste Beiträge

Ahona Rudra

Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC

Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.

Neueste Beiträge von Ahona Rudra (alle anzeigen)

Wie MSPs mit dem MCP-Server von PowerDMARC die DMARC-Einstellungen jedes Kunden schneller verwalten können