Das Limit für DNS-Abfragen bei SPF 10 erklärt (und wie man es behebt)

Um die Einschränkungen von SPF-Einträgen zu verstehen, muss man zunächst die Obergrenze von 10 DNS-Abfragen kennen. Wenn Ihr SPF-Eintrag mehr als 10 DNS-Abfragen auslöst, geben die empfangenden Mailserver die Fehlermeldung „SPF PermError: too many DNS lookups“ zurück, und DMARC wertet dies als „Hard Fail“ aus. Dies führt dazu, dass legitime E-Mails ohne Vorwarnung abgelehnt oder in den Spam-Ordner verschoben werden.

Diese Begrenzung geht auf RFC 7208 zurück, der die SPF-Auswertung auf 10 DNS-Abfragen pro Überprüfung begrenzt. Das Problem ist, dass die meisten Domains diese Grenze überschreiten, ohne es zu merken, oft aufgrund von verschachtelten Einbindungen und veralteten Diensten.

In diesem Leitfaden erfahren Sie, was auf das Limit angerechnet wird, warum SPF-Einträge unbemerkt ausfallen und wie Sie Suchfehler dauerhaft beheben und verhindern können.

SPF-Checker: Überprüfen Sie Ihre aktuelle Abfrageanzahl mit unserem kostenlosen SPF-Checker

Was ist das SPF 10 DNS-Lookup-Limit?

Die in RFC 7208 definierte SPF-Spezifikation begrenzt jede SPF-Prüfung auf maximal 10 DNS-Abfrageverfahren.

Einfach ausgedrückt: Jedes Mal, wenn ein empfangender Mailserver Ihren SPF-Eintrag auswertet und eine zusätzliche DNS-Abfrage durchführen muss, wird dies auf dieses Limit angerechnet.

Diese Abfragen werden durch Mechanismen wie die folgenden ausgelöst:

• einschließen.
• a
• mx
• ptr
• existiert
• umleiten

Sobald die elfte Abfrage erforderlich ist, wird die SPF-Prüfung sofort abgebrochen und es wird Folgendes zurückgegeben:

SPF PermError: Zu viele DNS-Abfragen

Jede DNS-Abfrage beansprucht Zeit und Ressourcen wie CPU-Leistung, Bandbreite und Arbeitsspeicher auf dem empfangenden Server. Ohne eine Obergrenze könnte ein Angreifer einen SPF-Eintrag mit tief verschachtelten Einbindungen erstellen und Server dazu zwingen, Hunderte von DNS-Abfragen durchzuführen.

Dies würde die SPF-Prüfung faktisch zu einem Denial-of-Service-Vektor (DoS) machen.

Durch die Durchsetzung einer strikten Begrenzung auf 10 Lookups gewährleistet die SPF-Spezifikation:

• vorhersehbare Bearbeitungszeiten für E-Mails
• Schutz vor DNS-Missbrauch
• stabile Leistung über verschiedene E-Mail-Systeme hinweg 

Was wird auf das Limit von 10 DNS-Abfragen pro Sekunde angerechnet? 

Nicht jeder Mechanismus in Ihrem SPF-Eintrag löst eine DNS-Abfrage aus. Zu wissen, was zählt und was nicht, ist der schnellste Weg, um die Anzahl Ihrer Abfragen zu reduzieren.

SPF-Mechanismen, die zählen, vs. solche, die nicht zählen

Aus diesem Grund enthält: und mx die Hauptursachen für SPF-Fehler sind, insbesondere wenn sie verschachtelte Lookups enthalten.

Ersetzen von Mechanismen mit hohem Suchaufwand durch direkte ip4: oder ip6: Einträge (wo möglich) ist eine der effektivsten Methoden, um das Limit einzuhalten.

Häufiges Szenario: MSPs, die mehrere SPF-Einträge von Kunden verwalten

Managed Service Provider haben oft mit SPF-Limits zu kämpfen, wenn ihre Kunden mehrere E-Mail-Plattformen nutzen. Ein typischer MSP-Kunde nutzt beispielsweise Office 365, Mailchimp, Salesforce und HubSpot – jede dieser Plattformen erfordert „include“-Anweisungen, die das Limit von 10 Abfragen schnell erreichen können.

Warum Sie wahrscheinlich an die SPF-Grenze stoßen (verschachtelte Includes)

In Ihrer Liste sind möglicherweise nur drei oder vier beinhaltet: Zeilen, aber Sie stoßen dennoch an die Grenze. Hier ist der Grund dafür.

v=spf1 include:sendgrid.net include:_spf.google.com include:salesforce.com ~all

Auf den ersten Blick sieht das nach drei DNS-Abfragen aus, doch die SPF-Prüfung ist damit noch nicht abgeschlossen. Sie verfolgt jede Einbindung rekursiv weiter.

Und so läuft es tatsächlich ab:

1. include:sendgrid.net → Der SPF-Eintrag von SendGrid enthält 2 zusätzliche include: Mechanismen → insgesamt 3 Lookups
2. include:_spf.google.com → Der SPF-Eintrag von Google enthält 3 zusätzliche Mechanismen → insgesamt 4 Lookups
3. include:salesforce.com → Der SPF-Eintrag von Salesforce enthält 3 zusätzliche Mechanismen → insgesamt 4 Lookups

Insgesamt: 11 DNS-Abfragen

Zu den enthält: , das Sie hinzufügen, ist nicht nur eine Abfrage. Es ist eine Abfrage plus so viele, wie die SPF-Eintrag erfordert. Deshalb ist das Limit viel schneller erreicht, als die meisten Domaininhaber erwarten, insbesondere bei der Nutzung mehrerer E-Mail-Dienstleister.

Warum gibt es die SPF-10-Lookup-Beschränkung?

Die Begrenzung auf 10 DNS-Abfragen mag restriktiv erscheinen, insbesondere für Unternehmen, die mehrere E-Mail-Anbieter nutzen, doch sie wurde aus wichtigen Sicherheits- und Leistungsgründen eingeführt, die Administratoren und Sicherheitsteams verstehen sollten.

Zusammenfassung: Das Lookup-Limit schützt die DNS-Infrastruktur vor Missbrauch und gewährleistet gleichzeitig eine zeitnahe E-Mail-Verarbeitung, erfordert jedoch eine sorgfältige Verwaltung der SPF-Einträge.

Verhindern von Denial-of-Service-Angriffen

Die Begrenzung auf 10 zusätzliche Abfragen wurde eingeführt, um eine unangemessene Belastung des DNS zu vermeiden und Denial-of-Service-Angriffe (DoS) zu verhindern.

Ohne diese Begrenzung könnte ein Angreifer einen SPF-Eintrag mit Hunderten von verschachtelten Einbindungen erstellen und so jeden empfangenden Mailserver, der eine E-Mail von dieser Domain verarbeitet, dazu zwingen, eine enorme Anzahl von DNS-Abfragen durchzuführen. Dies könnte DNS-Server überlasten und die Leistung im gesamten Internet beeinträchtigen.

Sicherstellung einer zeitnahen E-Mail-Bearbeitung

Jede DNS-Abfrage während einer SPF-Prüfung verlängert die Ladezeit beim E-Mail-Versand. Wenn für SPF-Einträge unbegrenzte Abfragen erlaubt wären, könnte sich die für die SPF-Überprüfung benötigte Zeit erheblich verlängern, was zu Zeitüberschreitungen bei DNS-Abfragen und vorübergehenden Ausfällen von DNS-Servern führen könnte.

Die Begrenzung auf 10 Suchvorgänge stellt sicher, dass SPF-Prüfungen schnell und zuverlässig durchgeführt werden können, ohne dass es zu Engpässen bei der E-Mail-Zustellung kommt.

Aufrechterhaltung der DNS-Stabilität

Die DNS-Infrastruktur ist eine gemeinsam genutzte Ressource. Das Zulassen unbegrenzter Lookups während der SPF-Authentifizierung würde rekursive Resolver und autoritative Nameserver übermäßig belasten, insbesondere bei Absendern mit hohem Versandvolumen.

Die Begrenzung schützt das gesamte DNS-Ökosystem, indem sie das Volumen der SPF-bezogenen Abfragen überschaubar hält.

Was passiert, wenn Sie das SPF-Lookup-Limit überschreiten?

Das Überschreiten des SPF-Abfrage -Limits führt nicht nur zu einer kleinen Warnung. Es verursacht einen schwerwiegenden Fehler, der sich direkt darauf auswirken kann, ob Ihre E-Mails den Posteingang Ihrer Empfänger erreichen.

Die SPF-Prüfung bricht bei Lookup 11 ab

SPF wird von links nach rechts ausgewertet. Wenn der empfangende Server auf den elften DNS-Abfragemechanismus oder Modifikator in Ihrem SPF-Eintrag stößt, bricht er die Verarbeitung des Eintrags sofort ab und gibt Folgendes zurück:

SPF PermError: Zu viele DNS-Abfragen

Dies ist ein dauerhafter SPF-Prüfungsfehler, kein „Soft Fail“ oder neutrales Ergebnis. Der Empfänger stuft den SPF-Eintrag als ungültig ein, da er die Authentifizierung nicht abschließen kann.

DMARC wertet einen SPF-PermError als SPF-Fehler aus

Sobald SPF einen PermError zurückgibt, interpretiert DMARC dies als SPF-Fehler. Wenn für einen erfolgreichen DMARC-Test eine SPF-Übereinstimmung erforderlich war, kann die Nachricht die DMARC-Authentifizierung vollständig verfehlen.

Das Ergebnis hängt dann ab von:

• Ihre DMARC-Richtlinie (p=none, quarantineoder ablehnen)
• Die Filterregeln des empfangenden Servers
• Ob DKIM erfolgreich verifiziert und abgeglichen wird

E-Mails können abgelehnt, in Quarantäne verschoben oder in den Spam-Ordner verschoben werden

Wenn SPF aufgrund eines PermError fehlschlägt:

• Manche Anbieter lehnen die E-Mail möglicherweise von vornherein ab
• Andere leiten die E-Mail möglicherweise in den Spam-Ordner oder in die Quarantäne um
• Sicherheitsfilter können die Nachricht als verdächtig oder nicht authentifiziert kennzeichnen

Dies wirkt sich besonders nachteilig aus, wenn strengere DMARC-Richtlinien wie p=quarantine oder p=reject.

Microsoft-Umgebungen sind in dieser Hinsicht besonders anfällig. Outlook und Exchange Online setzen Authentifizierungsprüfungen konsequent durch, sodass SPF-PermErrors die Zustellbarkeit für Unternehmen, die E-Mails an Office 365-Empfänger versenden, erheblich beeinträchtigen können.

Da SPF von links nach rechts ausgewertet wird, kann es vorkommen, dass sich einige sendende Dienste erfolgreich authentifizieren, bevor das Suchlimit erreicht ist, während andere später in der Kette scheitern.

Das bedeutet:

• Manche E-Mails scheinen normal zugestellt zu werden
• Bei anderen schlägt die Authentifizierung unerwartet fehl
• Ohne DMARC-Berichtstools und SPF-Analysewerkzeuge lässt sich das Problem nur schwer diagnostizieren

Aus diesem Grund bleiben Probleme mit den SPF-Lookup-Limits oft unbemerkt, bis die Zustellbarkeit nachlässt oder DMARC-Berichte zeitweise auftretende Fehler aufzeigen.

Weitere Ursachen für den SPF-PermError

Das Überschreiten des Limits von 10 DNS-Abfragen ist die häufigste Ursache für einen SPF-PermError, aber nicht die einzige. PermErrors können auch in folgenden Fällen auftreten:

• Mehrere SPF-Einträge für dieselbe Domain
• Der SPF-Eintrag enthält Syntaxfehler
• Es werden veraltete oder nicht mehr unterstützte Mechanismen verwendet
• Rundschreiben umfassen: Anweisungen erzeugen unendliche Suchschleifen

Jedes dieser Probleme kann die SPF-Authentifizierung beeinträchtigen und sich negativ auf die Zustellbarkeit von E-Mails auswirken.

Überprüfen Sie Ihre DMARC-Richtlinie, um Ihre Anfälligkeit mit einem DMARC-Record-Checker

Jedes dieser Probleme kann zu zu SPF-Fehlern und nicht zugestellten E-Mails führen. Daher ist es wichtig, Ihre gesamte SPF-Konfiguration regelmäßig zu überprüfen.

Das SPF-Void-Lookup-Limit: Die andere Einschränkung, an die Sie möglicherweise stoßen

Die meisten SPF-Anleitungen beschränken sich auf die Obergrenze von 10 DNS-Abfragen, doch in RFC 7208 gibt es eine zweite Einschränkung, die denselben Fehler auslösen kann, selbst wenn man deutlich unter 10 Abfragen bleibt: die Obergrenze für ungültige Abfragen.

Eine „Void Lookup“-Abfrage ist eine DNS-Abfrage, die kein brauchbares Ergebnis liefert.

Dies geschieht, wenn eine Suche folgende Ergebnisse liefert:

• NXDOMAIN (Domäne existiert nicht)
• NOERROR ohne Datensätze (leere Antwort)

RFC 7208 begrenzt die SPF-Auswertung auf maximal zwei ungültige Abfragen pro Überprüfung.

Tritt ein dritter Fehlversuch bei der Abfrage auf, gibt der empfangende Server Folgendes zurück:

SPF-Dauerfehler

Das bedeutet:

Ein SPF-PermError kann auch dann ausgelöst werden, wenn Ihr Eintrag weniger als 10 DNS-Abfragen aufweist.

Genau das macht „Void“-Lookups so gefährlich, da sie schwerer zu erkennen sind und bei SPF-Prüfungen oft übersehen werden.

Fehlgeschlagene Abfragen sind in der Regel auf veraltete oder falsch konfigurierte SPF-Einträge zurückzuführen:

• einschließlich: Verweis auf eine Domain, die keinen SPF-Eintrag mehr hat
• a oder MX-Mechanismen Mechanismen, die auf Domains ohne gültige DNS-Einträge verweisen
• Veraltete oder eingestellte E-Mail-Anbieter
• Tippfehler in Domainnamen innerhalb von SPF-Mechanismen

Schon ein einziger veralteter Include-Befehl kann bei jeder SPF-Prüfung unbemerkt eine leere Suche auslösen.

Hier sehen Sie, worin sich das Limit von 10 Suchvorgängen und das Limit für ungültige Suchvorgänge unterscheiden:

Beides führt zum gleichen Ergebnis: SPF PermError.

So vermeiden Sie Fehler bei der Suche nach leeren Einträgen:

• Überprüfen Sie Ihren SPF-Eintrag regelmäßig auf veraltete beinhaltet: Anweisungen
• Entfernen Sie Dienste, die Sie nicht mehr nutzen
• Überprüfen Sie, ob alle referenzierten Domains gültige DNS-Einträge zurückgeben
• Verwenden Sie einen SPF-Checker , der nicht nur die Gesamtzahl der Suchanfragen anzeigt, sondern auch ungültige Suchanfragen markiert

Der SPF-Checker von PowerDMARC erkennt sowohl alle Abfragen als auch ungültige Abfragen, sodass Sie diese versteckten Fehler aufdecken können, bevor sie sich auf die Zustellbarkeit auswirken.

So überprüfen Sie, ob Ihr SPF-Eintrag das Limit überschreitet

Der erste Schritt zur Behebung von Zustellbarkeitsproblemen besteht darin, festzustellen, ob Ihr SPF-Eintrag das Limit von 10 DNS-Abfragen überschreitet. Es gibt mehrere Möglichkeiten, eine SPF-Eintragsprüfung durchzuführen und Ihre aktuelle Abfrageanzahl zu überprüfen.

Zusammenfassung: Eine regelmäßige SPF-Überwachung mithilfe von Diagnosetools und manueller Validierung hilft dabei, Verstöße gegen die Lookup-Limits zu verhindern, bevor sie sich auf die E-Mail-Zustellung auswirken.

Verwenden Sie ein SPF-Diagnosetool.

Mit einem SPF-Diagnosetool lässt sich überprüfen, ob ein SPF-Eintrag gültig ist und ordnungsgemäß funktioniert. Diese Tools analysieren Ihren SPF-Eintrag, zählen alle DNS-Abfragen einschließlich verschachtelter Einbindungen und kennzeichnen etwaige Fehler oder Warnungen.

Mit dem kostenlosen SPF-Eintrag-Checker von PowerDMARC können Sie sofort die Gesamtzahl der Abfragen einsehen, feststellen, welche Mechanismen die meisten Abfragen verursachen, und Fehlkonfigurationen erkennen, bevor sie zu Zustellungsproblemen führen.

Verfolgen Sie Ihren SPF-Eintrag manuell

Wenn Sie Ihren SPF-Eintrag lieber selbst überprüfen möchten, können Sie die DNS-Lookups manuell zählen, indem Sie jeden Mechanismus im Eintrag durchgehen.

Beginnen Sie mit dem SPF-TXT-Eintrag Ihrer Domain und zählen Sie alle „include“-„a“-„mx“-„ptr“-„redirect“- und „exists“-Mechanismen. Schlagen Sie dann für jedes „include“ den SPF-Eintrag der referenzierten Domain nach und zählen Sie auch deren Mechanismen, die die Abfrage auslösen.

Verschachtelte Einschlüsse summieren sich schnell, weshalb Unternehmen, die mehrere E-Mail-Dienstleister nutzen, das Limit oft überschreiten, ohne es zu merken.

Überwachen Sie die SPF-Validierung im Zeitverlauf

SPF-Einträge sind nicht statisch. Wenn Sie E-Mail-Dienstanbieter hinzufügen oder entfernen, die Hosting-Umgebung wechseln oder Ihre E-Mail-Infrastruktur aktualisieren, ändert sich auch Ihr SPF-Eintrag. Es wird empfohlen, SPF-Einträge nach Änderungen zu validieren, um die Einhaltung der Beschränkung auf 10 Lookups sicherzustellen.

Durch die Einrichtung einer kontinuierlichen Überwachung über die Plattform von PowerDMARC erhalten Sie einen ständigen Überblick über Ihre SPF-Konfiguration und werden benachrichtigt, wenn Änderungen dazu führen, dass Ihr Datensatz den Grenzwert überschreitet.

So reparieren und optimieren Sie Ihren SPF-Eintrag

Wenn Ihr SPF-Eintrag das Limit von 10 DNS-Lookups überschreitet oder sich diesem annähert, gibt es mehrere praktische Maßnahmen, mit denen Sie die Anzahl der Lookups reduzieren können, ohne die E-Mail-Authentifizierungsabdeckung zu beeinträchtigen.

Zusammenfassung: Die SPF-Optimierung umfasst das Entfernen nicht genutzter Dienste, das Ersetzen von Mechanismen mit hohem Suchaufwand durch direkte IP-Adressen sowie die Implementierung einer automatisierten Verwaltung für komplexe Infrastrukturen.

Überprüfen Sie Ihren aktuellen SPF-Eintrag und zählen Sie die Abfragen

Beginnen Sie damit, mit der Analyse Ihres SPF-Eintrags mit einem zuverlässigen SPF-Checker. Dies hilft Ihnen dabei, die Gesamtzahl Ihrer DNS-Lookups einschließlich verschachtelter Einbindungen zu ermitteln und Probleme wie ungültige Lookups oder Fehlkonfigurationen zu erkennen. Außerdem wird deutlich, welche Mechanismen die meisten Abfragen verursachen.

Eine manuelle Zählung ist zwar möglich, jedoch aufgrund von Rekursionen innerhalb eingebetteter Domänen oft ungenau; verwenden Sie daher nach Möglichkeit ein Tool.

Nicht verwendete oder nicht benötigte Dienste entfernen

Die einfachste Optimierung besteht darin, Ihren SPF-Eintrag zu überprüfen und alle Mechanismen zu entfernen, die auf Dienste verweisen, die Sie nicht mehr verwenden.

Im Laufe der Zeit fügen Unternehmen E-Mail-Dienstleister, Marketingplattformen und Tools von Drittanbietern zu ihrem SPF-Eintrag hinzu, vergessen jedoch, diese wieder zu entfernen, wenn sie nicht mehr aktiv sind.

Um die Anzahl der erforderlichen Lookups zu reduzieren, sollten Unternehmen nicht verwendete Dienste aus ihrem SPF-Eintrag entfernen. Dies bedeutet auch, dass Standard-SPF-Werte entfernt werden sollten, die bei der Ersteinrichtung hinzugefügt wurden, aber derzeit keinen Zweck mehr erfüllen.

Vermeiden ptr und minimieren Sie unnötige mx Verwendung

Der ptr wird gemäß den SPF-Standards dringend abgeraten. Er führt für jede sendende IP-Adresse Reverse-DNS-Lookups durch, was ihn langsam, unzuverlässig und lookup-intensiv macht. Falls vorhanden, entfernen Sie ihn und ersetzen Sie ihn durch direkte IP-Verweise.

Die mx -Mechanismus kann zudem die Anzahl der Lookups in die Höhe treiben. Er löst zunächst die MX-Einträge auf und führt anschließend für jeden zugehörigen Mailserver zusätzliche Lookups durch. Wenn Ihre Infrastruktur stabil ist, ersetzen Sie mx durch ip4: oder ip6: Einträge für eine bessere Effizienz.

Ersetzen Sie suchintensive Mechanismen durch ip4 oder ip6.

Jeder „include“--, „a“- und „mx“-Eintrag erfordert mindestens eine DNS-Abfrage. Ersetzen Sie diese nach Möglichkeit durch ip4- oder ip6-Mechanismen, die die autorisierten IP-Adressen direkt angeben. Die Verwendung von ip4- oder ip6-Mechanismen in SPF-Einträgen erfordert keine zusätzlichen Lookups und kann dazu beitragen, die Einhaltung des Lookup-Limits zu gewährleisten.

Wenn beispielsweise der SPF-Eintrag eines E-Mail-Dienstanbieters zu einer bekannten Gruppe statischer IP-Adressen führt, können Sie diese IPs direkt auflisten, anstatt ein „include“ zu verwenden, das mehrere DNS-Lookups auslöst.

SPF-Flattening verwenden (kurzfristige Lösung)

Die SPF-Abflachung ersetzt : Mechanismen durch ihre aufgelösten IP-Adressen, wodurch DNS-Lookups nahezu auf Null reduziert werden. Um Ihren Eintrag schnell wieder unter das Limit zu bringen, verwenden Sie automatisiertes SPF-Flattening und validieren Sie den aktualisierten Eintrag, bevor Sie ihn veröffentlichen.

Dies ist jedoch mit Nachteilen verbunden. Wenn ein Anbieter seine IP-Adressen ändert und Ihr Eintrag nicht aktualisiert wird, können legitime E-Mails die SPF-Prüfung nicht bestehen. Das manuelle Flattening erfordert eine kontinuierliche Überwachung und Pflege.

Verwenden Sie Hosted SPF oder SPF-Makros (dauerhafte Lösung)

Für langfristige Stabilität sollten Sie eine gehostete SPF-Lösung wie PowerDMARC in Betracht ziehen. Diese Systeme verwalten Ihren SPF-Eintrag dynamisch mithilfe von Makros oder externer Auflösung und stellen so automatisch sicher, dass Sie die Lookup-Limits einhalten.

Dieser Ansatz verhindert:

• Manuelle Aktualisierungen bei Änderungen der IP-Adressen von Anbietern
• Risiken durch veraltete, in eine flache Struktur umgewandelte Datensätze
• Laufende Wartungskosten

Dies ist besonders wertvoll für Unternehmen, die mehrere Dienste von Drittanbietern nutzen oder komplexe E-Mail-Infrastrukturen verwalten.

Vermeiden Sie den PTR-Mechanismus

Von der Verwendung des ptr-Mechanismus wird dringend abgeraten, da dies zu einer Zunahme der erforderlichen Suchvorgänge führen und damit Permerror-Probleme verursachen kann.

Der PTR-Mechanismus führt für jede sich verbindende IP-Adresse eine Reverse-DNS-Abfrage durch, was sowohl langsam als auch unzuverlässig ist. Die SPF-Spezifikation selbst rät von dessen Verwendung ab. Falls Ihr SPF-Eintrag derzeit einen ptr-Mechanismus enthält, entfernen Sie diesen und ersetzen Sie ihn durch direkte IP-Verweise.

Minimieren Sie die Verwendung des mx-Mechanismus.

Durch den Verzicht auf den MX-Mechanismus in SPF-Einträgen lässt sich die Obergrenze von 10 DNS-Abfragen einhalten. Der MX-Mechanismus löst zunächst den MX-Eintrag der Domain auf und führt anschließend weitere Abfragen durch, um die IP-Adresse jedes aufgeführten Mail-Servers zu ermitteln.

Wenn Ihre Domain mehrere MX-Einträge hat, kann ein einzelner „mx“-Mechanismus mehrere Abfragen erfordern. Ersetzen Sie ihn nach Möglichkeit durch IPv4- oder IPv6-Einträge für Ihre Mailserver.

Konsolidierung einschließlich Aussagen

Wenn Ihr SPF-Eintrag mehrere „include“-Mechanismen enthält, die auf verwandte Dienste verweisen, prüfen Sie, ob diese konsolidiert werden können.

Einige E-Mail-Dienstanbieter nutzen sich überschneidende Infrastrukturen, was bedeutet, dass Sie möglicherweise redundante Suchvorgänge durchführen. Überprüfen Sie jede Einbindung, um festzustellen, ob sie noch erforderlich ist und ob die zugrunde liegenden IP-Adressen direkt referenziert werden können.

Nach jeder Änderung validieren

Die Validierung von SPF-Einträgen nach Änderungen ist unerlässlich, um die Einhaltung der Beschränkung auf 10 Lookups sicherzustellen.

Selbst eine kleine Änderung, wie das Hinzufügen eines einzigen neuen „include“ für eine Marketingplattform, kann Ihren Eintrag über die Grenze hinausbringen, wenn dadurch verschachtelte Abfragen ausgelöst werden. Überprüfen Sie Ihren Datensatz nach jeder Aktualisierung mit einem SPF-Diagnosetool, um sicherzustellen, dass er weiterhin gültig ist.

SPF-Record-Flattening: Was es ist und wann es verwendet wird

Das „Flattening“ von SPF-Einträgen ist eine Technik zur Optimierung von SPF-Einträgen, um die Beschränkung auf 10 DNS-Abfragen für SPF zu umgehen. Es ist eine der am häufigsten diskutierten Lösungen für Unternehmen mit komplexen E-Mail-Infrastrukturen, bringt jedoch Kompromisse mit sich, die man unbedingt verstehen sollte.

Für einen vollständigen Leitfaden zur Optimierung zur Optimierung Ihres SPF-Eintrags lesen Sie unseren Blogbeitrag zum Thema SPF-Optimierung

Wie das SPF-Record-Flattening funktioniert

SPF-Record-Flattening ersetzt Mechanismen, die Lookups in einem SPF-Record verursachen, durch die entsprechenden IP-Adressen oder CIDR-Bereiche, wodurch die Anzahl der DNS-Abfragen reduziert wird, die zur Überprüfung des SPF-Records erforderlich sind.

Anstatt einen Verweis wie „include:emailprovider.com“ einzufügen, der eine oder mehrere DNS-Lookups auslöst, lösen Sie diesen Verweis in die zugrunde liegenden IP-Adressen auf und listen diese direkt in Ihrem Datensatz unter Verwendung von ip4- oder ip6-Mechanismen auf.

Wenn beispielsweise „include:emailprovider.com“ zu drei IP-Adressen aufgelöst wird, ersetzt die Flattening-Funktion die „include“-Anweisung durch diese drei IPv4-Einträge. Die SPF-Prüfung liefert nun dasselbe Ergebnis, ohne dass zusätzliche DNS-Abfragen für diesen Provider erforderlich sind.

Wenn Abflachung hilft

Durch das Abflachen eines SPF-Eintrags kann die Anzahl der DNS-Abfragemechanismen und Modifikatoren auf weniger als 10 reduziert werden. Dies ist besonders nützlich, wenn:

• Ihre Domain versendet E-Mails über zahlreiche Drittanbieter-Dienste, wobei allein die Anzahl der Einbindungen 10 übersteigt.
• Sie haben bereits nicht genutzte Dienste entfernt und wo möglich konsolidiert, überschreiten aber immer noch das Limit.
• Sie benötigen eine schnelle Möglichkeit, Ihre Aufzeichnungen in Einklang zu bringen, während Sie eine längerfristige Optimierungsstrategie planen.

Warum das manuelle Abflachen von SPF nur eine vorübergehende Lösung ist

Durch das „Flattening“ des SPF-Eintrags kann Ihr Eintrag schnell unter die Grenze von 10 Lookups fallen, doch das manuelle „Flattening“ Ihres SPF-Eintrags ist keine langfristige Lösung, da es andere Risiken mit sich bringt, die die E-Mail-Zustellung ebenso leicht beeinträchtigen können.

Risiko 1: Änderung der IP-Adressen der Anbieter

Die meisten E-Mail-Dienstleister ändern oder erweitern ihre IP-Adressbereiche für den Versand ohne Vorankündigung.

Wenn Sie Ihren SPF-Eintrag manuell vereinfachen:

• Sie fügen diese IP-Adressen fest in Ihre DNS-Einstellungen ein
• aber Ihr Anbieter entwickelt sich hinter den Kulissen ständig weiter

Sobald sich ihre IP-Liste ändert, ist Ihr SPF-Eintrag veraltet, und legitime E-Mails scheitern bei der Authentifizierung.

Risiko 2: Größe des SPF-Eintrags (255 Zeichen + DNS-Beschränkungen)

Durch das „Flattening“ werden Einträge mit mehreren IP-Adressen ersetzt, was Ihren SPF-Eintrag schnell aufblähen kann.

Dies führt zu zwei Problemen:

• DNS-TXT-Einträge sind auf 255 Zeichen pro Zeichenfolge begrenzt
• Zu lange SPF-Einträge können die Auswertung beeinträchtigen oder die DNS-Grenzwerte überschreiten

Der Versuch, Suchgrenzen „zu korrigieren“, kann versehentlich zu Syntaxfehlern oder Problemen mit abgeschnittenen Datensätzen führen.

Risiko 3: Keine Überwachung oder Transparenz

Das manuelle Flattening ist statisch. Es gibt keine integrierte Möglichkeit, um:

• Erkennen, wenn sich IP-Bereiche ändern
• Anzahl der Suchanfragen im Zeitverlauf
• Sie über Authentifizierungsfehler informieren

Das bedeutet, dass Probleme oft unbemerkt bleiben, bis die Zustellbarkeit nachlässt.

Risiko 4: Anhaltender Wartungsaufwand

Jedes Mal, wenn du:

• einen neuen E-Mail-Dienst hinzufügen
• Infrastruktur ändern
• oder Ihr Provider aktualisiert die IP-Adressen

Sie müssen Ihren SPF-Eintrag manuell neu erstellen und validieren.

Für Teams, die mehrere Domains oder Kunden verwalten, wird dies schnell unhaltbar.

Handbuch SPF-Flattening behebt das Symptom (Lookup-Limit), nicht die zugrunde liegende Komplexität (dynamische Infrastruktur).

Hier kommen gehostete SPF-Lösungen ins Spiel.

Anstatt IP-Adressen fest zu programmieren, verwalten Plattformen wie PowerDMARC Ihren SPF-Eintrag dynamisch mithilfe von Makros und automatischen Aktualisierungen, sodass Sie das Abfragelimit einhalten können, ohne ständig manuell eingreifen zu müssen.

Weitere wichtige Einschränkungen für SPF-Einträge

Die Begrenzung auf 10 DNS-Abfragen ist die bekannteste Einschränkung bei SPF, aber nicht die einzige. Domain-Inhaber sollten sich dieser zusätzlichen Einschränkungen bei SPF-Einträgen bewusst sein, um unerwartete Authentifizierungsfehler zu vermeiden.

Zusammenfassung: Über die Grenze von 10 Abfragen hinaus unterliegt SPF Einschränkungen hinsichtlich der Anzahl der Einträge, Zeichenbeschränkungen, ungültigen Abfragen und Weiterleitungsszenarien, die sich auf die E-Mail-Authentifizierung auswirken.

Nur ein SPF-Eintrag pro Domain

Die SPF-Spezifikation verlangt, dass jede Domain nur einen einzigen SPF-TXT-Eintrag veröffentlicht.

Wenn der SPF-Eintrag mehrere SPF-Einträge für eine Domain enthält, kann dies zu einem SPF-PermError führen, und der empfangende Server lehnt die E-Mail möglicherweise ab oder verarbeitet sie fehlerhaft. Wenn Sie weitere Absender autorisieren müssen, fügen Sie diese Ihrem bestehenden SPF-Eintrag hinzu, anstatt einen zweiten Eintrag zu erstellen.

SPF überprüft den Rückweg, nicht die Absenderadresse.

SPF authentifiziert die Domain in der Return-Path-Adresse, nicht das für Menschen lesbare Feld „Von“, das der Empfänger sieht. Das bedeutet, dass ein Angreifer die Absenderadresse fälschen kann, während er SPF umgeht, indem er eine andere Return-Path-Domain verwendet.

DMARC schließt diese Lücke, indem es eine Übereinstimmung oder Angleichung zwischen der für Menschen lesbaren Absender-Domäne und der durch SPF authentifizierten Domäne verlangt.

Die Zeichenbegrenzung von 255 Zeichen

Ein SPF-Eintrag kann zwar insgesamt mehr als 255 Zeichen enthalten, ein einzelner DNS-TXT-Eintrag auf 255 Zeichen begrenzt. Längere SPF-Einträge müssen innerhalb desselben TXT-Eintrags in mehrere Zeichenfolgen aufgeteilt werden.

Die meisten DNS-Anbieter handhaben dies automatisch, aber falsch konfigurierte Aufteilungen können zu Parsing-Fehlern führen.

Leere Suchgrenze

Zusätzlich zur Begrenzung auf 10 DNS-Lookups begrenzt die SPF-Spezifikation auch die Anzahl der „ungültigen Lookups“, also DNS-Abfragen, die keine Datensätze zurückgeben (entweder eine leere Antwort oder eine NXDOMAIN-Antwort).

Das Überschreiten dieser Grenze, die in der Regel bei zwei ungültigen Lookups liegt, kann ebenfalls einen SPF PermError auslösen.

Kein Schutz für weitergeleitete E-Mails

Wenn eine E-Mail weitergeleitet wird, ändert sich die Absender-IP-Adresse in die IP-Adresse des Weiterleitungsservers, die höchstwahrscheinlich nicht im SPF-Eintrag des ursprünglichen Absenders aufgeführt ist. Dies kann dazu führen, dass die weitergeleitete E-Mail die SPF-Prüfung nicht besteht, selbst wenn die ursprüngliche Nachricht legitim war.

Bewährte Verfahren zur Einhaltung des Limits für SPF-Abfragen

Das Einhalten des DNS-Lookup-Limits von SPF 10 erfordert ständige Disziplin. Befolgen Sie diese bewährten Vorgehensweisen, um Ihre Einträge zu optimieren und unerwartete Ausfälle zu vermeiden:

• Überprüfen Sie Ihren SPF-Eintrag jedes Mal, wenn Sie eine Versandplattform hinzufügen oder entfernen
• Veröffentlichen Sie niemals mehr als einen SPF-Eintrag pro Domain
• Vermeiden Sie den ptr -Mechanismus, entfernen Sie ihn, falls er in Ihrem Datensatz vorhanden ist
• Verwenden ip4: und ip6: überall dort, wo IP-Bereiche stabil und bekannt sind
• Richten Sie die DMARC -Berichterstellung ein, um sporadische SPF-Fehler frühzeitig zu erkennen
• Nutzen Sie eine automatisierte Überwachung (wie PowerDMARC), um Benachrichtigungen zu erhalten, wenn sich die Anzahl der Abfragen ändert
• Ziehen Sie Hosted SPF in Betracht, wenn Sie mehr als drei oder vier Versanddienste von Drittanbietern verwalten

Wie der gehostete SPF-Dienst von PowerDMARC dazu beiträgt, Fehler bei der SPF-Abfrage zu vermeiden 

Die manuelle SPF-Verwaltung stößt in modernen E-Mail-Umgebungen schnell an ihre Grenzen. Jede neue E-Mail-Plattform, jedes neue Marketing-Tool, jedes CRM-System, jeder Helpdesk oder jeder Cloud-Dienst kann zusätzliche SPF-Einträge, verschachtelte Lookups und einen erhöhten Wartungsaufwand mit sich bringen.

Das manuelle Abflachen von SPF-Einträgen kann die Anzahl der Lookups vorübergehend verringern, führt jedoch zu einem anderen Problem: Es ist schwierig, fest codierte IP-Adressen auf dem neuesten Stand zu halten, da Anbieter ihre Versandinfrastruktur ständig aktualisieren.

Das Hosted SPF von PowerDMARC auch bekannt als PowerSPF, löst das zugrunde liegende Verwaltungsproblem, indem es SPF-Einträge aktualisiert, sobald sich Ihre Versandinfrastruktur ändert. Im Gegensatz zum statischen SPF-Flattening verwaltet Hosted SPF Ihre SPF-Konfiguration dynamisch im Hintergrund und hilft Unternehmen so, die Anforderungen von RFC 7208 einzuhalten, ohne ständige DNS-Wartung.

Mit PowerSPF können Unternehmen:

• SPF-Einträge automatisch aktualisieren, wenn sich die IP-Adressen der Anbieter ändern
• Verwenden Sie SPF-Makros, um das Limit von 10 DNS-Abfragen und die Zeichenlängenbeschränkungen für DNS einzuhalten
• Nehmen Sie eine einmalige DNS-Änderung vor, anstatt die SPF-Einträge immer wieder manuell zu bearbeiten
• Verwalten Sie komplexe SPF-Konfigurationen über mehrere Anbieter, verschachtelte Einbindungen, regionale Infrastrukturen und Unternehmensdomänen hinweg
• Überwachen Sie SPF-Fehler, ungültige Lookups und Authentifizierungsprobleme, bevor sie die Zustellbarkeit beeinträchtigen

Dies ist besonders wertvoll für Unternehmen, die Plattformen wie Microsoft 365, Salesforce, HubSpot, SendGrid, Mailchimp und andere Drittanbieter-Versender gleichzeitig nutzen, da verschachtelte Einbindungen dazu führen können, dass SPF-Einträge unbemerkt die RFC-Grenzwerte überschreiten.

Mit automatisierter SPF-Flattening, Echtzeit-Überwachung der Lookups, Fehlerwarnungen und Tools für SPF, DKIM, DMARC und BIMI hilft PowerDMARC Unternehmen dabei, SPF-Einträge innerhalb des Lookup-Limits zu halten und eine übersichtlichere Authentifizierungskonfiguration zu gewährleisten.

Überprüfen Sie zunächst die Anzahl Ihrer SPF-Abfragen mit PowerDMARCs SPF-Checker und identifizieren Sie Probleme, bevor sie die E-Mail-Authentifizierung beeinträchtigen.

Häufig gestellte Fragen

1. Was ist das Limit für DNS-Abfragen bei SPF 10?

Die in RFC 7208 definierte SPF-Spezifikation begrenzt jede SPF-Prüfung auf maximal 10 DNS-Abfrageverfahren.

Wenn Ihr SPF-Eintrag bei der Auswertung mehr als 10 Abfragen erfordert, gibt der empfangende Server einen SPF-PermError zurück, der von DMARC als Fehler gewertet wird. Dies kann dazu führen, dass legitime E-Mails abgelehnt oder in den Spam-Ordner verschoben werden.

2. Welche SPF-Mechanismen werden auf das Limit von 10 Abfragen angerechnet?

Die folgenden Mechanismen lösen DNS-Abfragen aus und werden auf das Limit angerechnet:

• einschließen.
• a
• mx
• ptr
• existiert
• Weiterleitung=

Diese zählen nicht:

• ip4, ip6 (direkte IP-Adressen)
• alle (Sammelbegriff)
• v=spf1 (Versions-Tag)
• Die erste DNS-Abfrage zum Abrufen Ihres SPF-Eintrags

3. Was ist ein SPF-PermError?

Ein SPF-PermError (dauerhafter Fehler) tritt auf, wenn ein empfangender Server Ihren SPF-Eintrag nicht ordnungsgemäß auswerten kann.

Die häufigste Ursache ist das Überschreiten des Limits von 10 DNS-Abfragen, aber es kann auch folgende Ursachen haben:

• Syntaxfehler
• mehrere SPF-Einträge
• Verletzungen der Suchbegrenzungen
• Das Rundschreiben enthält

In diesem Fall versagt SPF vollständig, was sich auf die Zustellung von E-Mails auswirken kann.

4. Wie hoch ist das Limit für die SPF-Leerwertabfrage?

Neben der Begrenzung auf 10 Abfragen schränkt RFC 7208 auch „void lookups“ ein, also DNS-Abfragen, die kein Ergebnis liefern (NXDOMAIN oder leere Antworten).

Pro SPF-Prüfung sind maximal zwei erfolglose Abfragen zulässig.

Wenn Ihr SPF-Eintrag eine dritte ungültige Abfrage auslöst, gibt der empfangende Server einen PermError zurück, selbst wenn die Gesamtzahl der Abfragen unter 10 liegt.

5. Behebt die SPF-Flachlegung das Limit von 10 Lookups?

Ja, aber nur vorübergehend.

SPF-Flattening ersetzt die -Mechanismen durch direkte IP-Adressen und reduziert so DNS-Lookups. Dies erfordert jedoch ständige Wartung, da E-Mail-Dienstanbieter ihre IP-Bereiche häufig aktualisieren.

Wenn Ihre abgeflachte Datensatzdatei veraltet ist, können legitime E-Mails die SPF-Prüfung nicht bestehen.

6. Wie kann ich überprüfen, wie viele DNS-Abfragen mein SPF-Eintrag verursacht?

Sie können ein SPF-Prüfungstool verwenden, um Ihren Eintrag zu analysieren und die Anzahl der DNS-Abfragen zu ermitteln, einschließlich verschachtelter Einbindungen.

Der SPF-Checker von PowerDMARC zeigt:

• Gesamtzahl der Suchanfragen
• Anzahl der Suchvorgänge
• Welche Mechanismen verursachen Suchvorgänge?

So können Sie Probleme erkennen, bevor sie sich auf die Zustellbarkeit auswirken.

7. Was ist der Unterschied zwischen SPF-Flattening und SPF-Makros?

SPF-Flattening ersetzt Includes statisch durch IP-Adressen, wodurch die Anzahl der Lookups reduziert wird, jedoch manuelle Aktualisierungen erforderlich sind.

SPF-Makros (die in gehosteten SPF-Lösungen verwendet werden) lösen SPF-Einträge während der Auswertung dynamisch auf, sodass Sie die Abfrage-Limits einhalten können, ohne IP-Listen manuell pflegen zu müssen.

Makros sind skalierbarer und eignen sich besser für komplexe E-Mail-Konfigurationen oder solche, bei denen mehrere Anbieter zum Einsatz kommen.

8. Wie oft sollte ich meinen SPF-Eintrag überprüfen?

Sie sollten Ihren SPF-Eintrag überprüfen:

• jedes Mal, wenn Sie einen E-Mail-Dienst hinzufügen oder entfernen
• nach Änderungen an der Infrastruktur
• mindestens einmal im Monat

Bei komplexen Konfigurationen wird eine kontinuierliche Überwachung empfohlen, um Probleme mit Suchgrenzen frühzeitig zu erkennen und eine konsistente Zustellbarkeit zu gewährleisten.

• Über
• Neueste Beiträge

Ahona Rudra

Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC

Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.

Neueste Beiträge von Ahona Rudra (alle anzeigen)

• Wie MSPs mit dem MCP-Server von PowerDMARC die DMARC-Einstellungen jedes Kunden schneller verwalten können – 25. Mai 2026
• So fügen Sie eine IP-Adresse zu Ihrem SPF-Eintrag hinzu (Schritt-für-Schritt-Anleitung) – 11. Mai 2026
• Avanan SPF-Eintrag: So richten Sie Ihren SPF für Check Point Harmony Email ein, beheben Fehler und optimieren ihn – 7. Mai 2026