SPF Permerror: So beheben Sie zu viele DNS-Lookups

Sender Policy Framework (SPF) ist eine E-Mail-Authentifizierungsmethode, mit der Domaininhaber festlegen können, welche Mailserver Nachrichten unter Verwendung ihres Domainnamens versenden dürfen. Wenn eine Nachricht eintrifft, überprüfen die empfangenden Mailserver anhand von SPF, ob sie von einer dieser zugelassenen Quellen stammt, bevor sie entscheiden, wie sie behandelt werden soll.

Während der SPF-Validierung weist ein PermError auf ein dauerhaftes Problem im SPF-Eintrag hin, das eine ordnungsgemäße Auswertung verhindert. Dies tritt in der Regel auf, wenn der Eintrag das DNS-Lookup-Limit überschreitet oder strukturelle Probleme enthält, die die Verarbeitung von SPF beeinträchtigen. Anstatt gelegentlich fehlzuschlagen, schlägt die Authentifizierung jedes Mal fehl.

In diesem Fall können selbst legitime E-Mails für Empfangsserver verdächtig erscheinen. Nachrichten können abgelehnt, in den Spam-Ordner verschoben oder ebenfalls DMARC-Fehler auslösen – alles nur, weil der SPF-Eintrag selbst nicht zuverlässig ausgewertet werden kann.

Wenn Sie SPF PermError beheben möchten, müssen Sie zunächst verstehen, wodurch dieser Fehler ausgelöst wird. In diesem Artikel erläutern wir die häufigsten Ursachen für SPF PermError und erklären praktische Möglichkeiten, diese zu beheben, damit Ihre E-Mails korrekt authentifiziert werden und die vorgesehenen Posteingänge erreichen.

Was ist SPF Permerror?

Ein SPF-Permerror ist ein permanenter Fehler in Ihrem SPF-Datensatz, d. h. es liegt ein Fehler vor, der verhindert, dass er funktioniert.

Ein Permerror-Ergebnis wird von empfangenden E-Mail-Servern zurückgegeben, wenn Ihr SPF-Datensatz ein kritisches Problem aufweist, das seine Auswertung unmöglich macht, z. B. eine falsche Syntax, zu viele DNS-Abfragen (über die 10er-Grenze hinaus) oder ungültige Mechanismen. Im Gegensatz zu einem regulären SPF "fail" (was bedeutet, dass eine E-Mail die Authentifizierung nicht bestanden hat), zeigt ein Permerror an, dass der SPF-Eintrag selbst fehlerhaft oder falsch konfiguriert ist. Dies beeinträchtigt nicht nur die Zustellbarkeit, sondern kann auch Ihre DMARC Schutz schwächen, wenn SPF der einzige Mechanismus ist, den Sie zum Ausrichten Ihrer E-Mails verwenden.

Warum hat SPF ein Limit von 10 DNS-Lookups?

Man könnte meinen, dass die Begrenzung auf 10 DNS-Abfragen in SPF restriktiv ist, aber es gibt einen sehr guten Grund dafür.

Gemäß RFC 7208dient diese Begrenzung in erster Linie der Sicherheit und Leistung. Insbesondere hilft es, empfangende Mailserver zu schützen vor Denial-of-Service (DoS) Angriffen zu schützen, die durch übermäßige DNS-Anfragen verursacht werden.

So könnte sie missbraucht werden:

Ein Bedrohungsakteur könnte einen bösartigen SPF-Eintrag erstellen, der Hunderte von DNS-Abfragen auslöst, indem er auf mehrere Domänen oder Includes verweist. Dies könnte mit einer gefälschten Domäne verbunden sein, die vorgibt, ein vertrauenswürdiges Unternehmen zu sein. Jedes Mal, wenn ein Empfangsserver versucht, eine solche E-Mail zu validieren, wäre er gezwungen, all diese Suchvorgänge aufzulösen, was den Server verlangsamt oder ihn sogar zum Absturz bringt.

Durch die Begrenzung der DNS-Abfragen auf 10 hilft SPF:

• Aufrechterhaltung der E-Mail-Verarbeitungsleistung
• Schutz vor Angriffen auf die Ressourcenerschöpfung
• Verbesserung der Zuverlässigkeit beim Schutz vor Spoofing durch die Förderung einer besseren Gestaltung der SPF-Einträge

Was verursacht SPF-Permerror?

Ein SPF-Permerror kann durch verschiedene Probleme ausgelöst werden, z. B. durch übermäßige DNS-Abfragen, Syntaxfehler, falsch konfigurierte Datensätze oder sogar zu große SPF-Einträge. Schauen wir uns die häufigsten Ursachen an:

1. SPF-Syntaxfehler

Falsche Formatierung oder ungültige Syntax im SPF-Datensatz kann zu einem Permerror führen, der eine korrekte Auswertung verhindert.

Häufige Ursachen:

• Fehlende oder falsch gesetzte Zeichen (z. B. Anführungszeichen " oder Doppelpunkte 🙂
• Ungültige oder fehlerhafte Mechanismen oder Qualifizierer (z. B. Verwendung von include_spf.example.com anstelle von include:spf.example.com)
• Falsche Makrodefinitionen oder nicht unterstützte Makros
  

Beispiele:

❌ v=spf1 include_spf.example.com -all → fehlender Doppelpunkt in include

❌ v=spf1 +mx a:mail.example.com -all → + Qualifier ist unnötig und wird oft falsch verwendet

2. Probleme mit der DNS-Konfiguration

Dabei handelt es sich um Probleme mit der DNS-Einrichtung im Zusammenhang mit Ihrem SPF-Eintrag.

Allgemeine Probleme:

• SPF-Datensatz, der auf nicht existierende oder falsch konfigurierte Domänen verweist
• Fehlende SPF-Einträge auf referenzierten Domänen
• Ungültige oder veraltete DNS-Datentypen (z. B. Verwendung von SPF-Datensätzen anstelle von TXT)
  

Beispiel:

Ihre Domain verweist auf include:spf.partner.com, aber spf.partner.com existiert nicht oder hat keinen TXT-Eintrag, was zu einem SPF-Auswertungsfehler führt.

3. Zu viele DNS-Lookups

SPF erlaubt nur 10 DNS-Lookups während der Datensatzbewertung, wie in RFC 7208, Abschnitt 4.6.4 definiert. Dies ist eine Sicherheitsmaßnahme, um Missbrauch (z. B. Denial-of-Service-Angriffe) zu verhindern und die Auswertungen schlank zu halten.

Was als Nachschlagen gilt:

• einschließen.
• a, mx, ptr
• existiert, umleiten
  

Ungültige Suchanfragen (Abfragen, die keine DNS-Daten zurückgeben) sind ebenfalls begrenzt auf 2.

Gemeinsame Ursache:

Ein SPF-Datensatz mit vielen "Include"-Mechanismen oder verschachtelten "Includes", die zusammen die Grenze von 10 Suchvorgängen überschreiten.

4. Rundschreiben enthält

Zirkuläre Einschlüsse treten auf, wenn SPF-Datensätze in einer Schleife aufeinander verweisen, wodurch unendliche Auflösungszyklen entstehen.

Beispiel:

• Bereich A: v=spf1 include:domainB.com -all
• Bereich B: v=spf1 include:domainA.com -all

Diese zirkuläre Referenz führt dazu, dass die SPF-Auswertung fehlschlägt, was häufig zu einem Permerror führt.

5. Ungültige Mechanismen oder Qualifizierer

Die Verwendung nicht anerkannter oder veralteter Mechanismen in Ihrem SPF-Eintrag kann zu einem Permerror führen.

Häufige Fehler:

• Tippfehler wie ip6v anstelle von ip6
• Nicht unterstützte Mechanismen wie all:, ptr: falsch verwendet
• Unnötige oder falsche Verwendung von + oder ?
  

Beispiel:

❌ v=spf1 ptr:mail.example.com -all → entmutigter Mechanismus
❌ v=spf1 ip4v:192.0.2.0/24 -all → ungültiger Mechanismus (ip4v sollte ip4 sein)

6. Übergroße SPF-Datensätze

SPF-Einträge müssen Größenbeschränkungen einhalten:

• Jede Zeichenfolge in einem TXT-Datensatz muss ≤ 255 Zeichen sein.
• Die Gesamtlänge des TXT-Datensatzes sollte 512 Bytes nicht überschreiten.
  

Ursachen für übergroße Datensätze:

• Zu viele IPs, Includes oder Mechanismen
• Doppelte oder unnötige Einträge

Beispiel:

Ein Eintrag wie v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.0/24 include:spf1.example.com include:spf2.example.com include:spf3.example.com include:spf4.example.com -all kann DNS-Limits oder Größenbeschränkungen überschreiten.

Wie zu viele DNS-Lookups Ihre E-Mails beeinträchtigen

Wenn Ihr SPF-Eintrag mehr als 10 DNS-Lookups auslöst, kann das Ihre E-Mail-Zustellung ernsthaft stören. So kann es passieren:

• Verzögerungen bei der Lieferung: E-Mail-Server können die Verarbeitung verlangsamen, wenn sie versuchen, Ihren SPF-Eintrag zu bewerten, was zu Verzögerungen bei der Zustellung führt.
• Zeitüberschreitungsfehler: Zu viele Suchvorgänge können zu Zeitüberschreitungen während der SPF-Auswertung führen, was dazu führt, dass die Nachrichten nicht angenommen oder verworfen werden.
• Abgelehnte E-Mails: Einige Empfangsserver lehnen E-Mails mit SPF-Permerror ab oder kennzeichnen sie als solche, um ihre Infrastruktur zu schützen.
• DMARC schlägt fehl: Wenn sich Ihre DMARC-Richtlinie auf den SPF-Abgleich stützt, kann eine fehlgeschlagene SPF-Prüfung DMARC gefährden und die Vertrauenswürdigkeit Ihrer Domain verringern.

Behebung des SPF-Fehlers (Schritt für Schritt)

Manuelle Korrekturen

• Nicht verwendete Include-Mechanismen entfernen

Gehen Sie alle include: in Ihrem SPF-Eintrag durch und prüfen Sie, ob sie noch notwendig sind. Wenn er mit einem Dienst verknüpft ist, den Sie nicht mehr nutzen, entfernen Sie ihn.

• Ersetzen Sie „include“ durch IP-Adressen (falls statisch).

Wenn ein include: nur auf eine statische IP oder einen kleinen IP-Bereich verweist, ersetzen Sie es direkt durch einen ip4: oder ip6: Mechanismus, um eine DNS-Suche zu vermeiden.

• PTR-Mechanismen beseitigen

Von PTR wird in RFC 7208 aufgrund von Leistungs- und Zuverlässigkeitsbedenken abgeraten. Entfernen Sie es vollständig, um Suchvorgänge zu reduzieren und Fehler zu vermeiden.

• Konsolidieren, einschließlich Domänen

Einige Dienste (z. B. E-Mail-Plattformen oder Provider) bieten mehrere SPF-Einträge an. Prüfen Sie deren Dokumentation, da sie oft ein einziges konsolidiertes Include anbieten, das Sie anstelle von mehreren verwenden können.

• Verwenden Sie nach Möglichkeit ip4 / ip6.

Wenn Sie die IPs Ihrer sendenden Server kennen, fügen Sie sie direkt mit ip4: oder ip6: hinzu, anstatt sich auf Mechanismen wie MX oder A zu verlassen, die Lookups benötigen.

Bewährte Vorgehensweise: Verwenden Sie ein automatisches SPF-Flattening-Tool.

Automatische SPF-Verflachung ist der Prozess der dynamischen Umwandlung mehrerer "include"-Anweisungen und anderer DNS-basierter Suchanfragen in eine vereinfachte Liste von IP-Adressen. Dieser Ansatz reduziert die Anzahl der DNS-Abfragen bei SPF-Prüfungen.

Das manuelle Abflachen von SPF mag wie eine schnelle Lösung erscheinen, birgt jedoch erhebliche Risiken. Wenn Ihr E-Mail-Dienstanbieter seine sendenden IP-Adressen ändert, wird diese Änderung nicht in Ihrem SPF-Eintrag widergespiegelt, es sei denn, Sie aktualisieren ihn manuell. Daher sind eine ständige Überwachung und manuelle Bearbeitungen erforderlich, um die Konformität aufrechtzuerhalten. Eine veraltete IP-Adresse in Ihrem abgeflachten Eintrag kann dazu führen, dass SPF fehlschlägt, was sich auf die Zustellbarkeit von E-Mails und die DMARC-Ausrichtung auswirkt.

PowerSPF ist unser gehostetes SPF-Flattening- und Optimierungs-Tool, das den gesamten Prozess automatisiert, so dass Sie sich nie wieder Gedanken über Lookup-Limits oder IP-Änderungen machen müssen.

• Automatische Aktualisierung bei Änderung der IP-Adressen von Anbietern: Wir halten Ihren SPF-Eintrag in Echtzeit auf dem neuesten Stand.
• Einmalige Einrichtung: Einmal einrichten und fertig. Keine laufende Wartung erforderlich.
• Die Anzahl der Lookups bleibt gering: Ihr SPF-Eintrag bleibt schlank und entspricht den RFC-Richtlinien und -Beschränkungen.

Wichtige Unterschiede zwischen SPF Fail und SPF Permerror

Verhindern Sie zu viele DNS-Lookups und andere SPF-Fehler

Die Vermeidung von SPF-Fehlern erfordert kontinuierliche Aufmerksamkeit, insbesondere wenn sich Ihre E-Mail-Infrastruktur verändert und im Laufe der Zeit neue Dienste von Drittanbietern hinzukommen. Einige wenige konsequente Maßnahmen tragen dazu bei, dass Ihre SPF-Einträge gültig bleiben und sicher innerhalb der Protokollgrenzen bleiben (auch wenn sich Ihre Konfiguration weiterentwickelt).

Durch die Aktualisierung der Einstellungen Ihres E-Mail-Dienstanbieters stellen Sie sicher, dass autorisierte Absender weiterhin mit Ihrem SPF-Eintrag übereinstimmen. Wenn Anbieter ihre Absendeinfrastruktur aktualisieren oder Änderungen zur Einbindung von Domänen empfehlen, kann die Nichtberücksichtigung dieser Aktualisierungen zu Authentifizierungsfehlern führen.

Ebenso wichtig ist es, Ihre SPF-Konfiguration zu überprüfen, wenn Anbieter hinzugefügt, entfernt oder ersetzt werden. Marketingplattformen, Abrechnungssysteme, Support-Tools und Automatisierungsdienste versenden häufig E-Mails im Namen Ihrer Domain, und jede Änderung sollte eine Überprüfung auslösen, um sicherzustellen, dass Ihr SPF-Eintrag weiterhin alle aktiven Absender widerspiegelt.

Die Einhaltung eines regelmäßigen Auditplans trägt dazu bei, dass die Datensätze nicht zu komplex werden. Regelmäßige Überprüfungen erleichtern das Entfernen ungenutzter Include-Anweisungen, das Verfolgen von DNS-Lookups und das Sicherstellen, dass der Datensatz innerhalb des SPF-Lookup-Limits bleibt, bevor Fehler auftreten.

Die Dokumentation aller Dienste, die E-Mails im Namen Ihrer Domain versenden, bietet einen klaren Bezugspunkt für zukünftige Aktualisierungen. Eine einfache Bestandsaufnahme der zugelassenen Absender reduziert Spekulationen, beschleunigt die Fehlerbehebung und trägt dazu bei, eine saubere und zuverlässige SPF-Konfiguration über einen längeren Zeitraum aufrechtzuerhalten.

Schlussfolgerung

SPF-Permerror kann sich auf Ihre Zustellbarkeit, den Zustand Ihrer Domäne und Ihre Sicherheit auswirken. Einfache Maßnahmen wie das Entfernen redundanter Mechanismen, das Ersetzen von Mechanismen durch IP-Bereiche und die Überwachung der Zustellbarkeit können viel bewirken.

Und für Unternehmen, die sich den Aufwand ersparen und Zeit sparen möchten, gibt es gehostete Lösungen wie PowerSPF. Möchten Sie erfahren, wie es funktioniert und wie es Ihre Authentifizierungsstrategie revolutionieren kann?Vereinbaren Sienoch heuteeinen Termin für eine kostenlose Demomit einem unserer internen Experten!

Häufig gestellte Fragen (FAQs)

Kann SPF bei Bedarf mehr als 10 Lookups durchführen?

Nein, SPF ist während der Auswertung streng auf 10 DNS-Lookups beschränkt, wie in RFC 7208 definiert. Das Überschreiten dieses Limits führt zu einem Permerror, und Ihre E-Mails können abgelehnt oder als Spam markiert werden.

Kann ich mehrere SPF-Einträge haben?

Nein. Sie sollten nur einen SPF-Eintrag pro Domain einrichten, der alle Ihre Sendequellen für diese Domain autorisiert. Mehrere Einträge können alle ungültig machen und Fehler verursachen.

Was ist der sicherste Weg, Permerror zu beheben?

Der sicherste Weg, Permerror zu beheben, ist die Verwendung einer gehosteten SPF-Lösung wie PowerSPF, um SPF dynamisch zu optimieren, wobei Experten-Support rund um die Uhr verfügbar ist.  

Ist Flattening für dynamische IPs sicher?

Wenn Ihr Provider dynamische IPs verwendet, kann die manuelle Vereinfachung schnell veraltet sein und zu SPF-Fehlern führen. Bei dynamischen oder sich häufig ändernden IPs ist die sicherste Option die Verwendung einer gehosteten Lösung, die IPs automatisch für Sie abruft und aktualisiert. 

• Über
• Neueste Beiträge

Maitham Al Lawati

Cybersecurity-Experte, CEO bei PowerDMARC

Maitham ist ein Tech-Unternehmer, Cybersecurity-Experte, CEO und Gründer von PowerDMARC mit mehr als 15 Jahren Branchenerfahrung. Maitham hat einen Global MBA von der University of Manchester und verschiedene berufliche Zertifizierungen, darunter CISSP, CISM, CRISC und ISC2 CCSP.

Neueste Beiträge von Maitham Al Lawati (alle anzeigen)

• E-Mail-Phishing und DMARC-Statistiken: E-Mail-Sicherheitstrends für 2026 – 6. Januar 2026
• So beheben Sie „Kein SPF-Eintrag gefunden“ im Jahr 2026 – 3. Januar 2026
• SPF Permerror: So beheben Sie zu viele DNS-Lookups – 24. Dezember 2025