SPF-Datensatz-Syntax: Komponenten, Regeln und Beispiele

Wenn Sie sich jemals gefragt haben, warum einige Ihrer legitimen E-Mails in Spam-Ordnern landen oder ganz blockiert werden, könnte das Problem daran liegen, wie die E-Mail-Authentifizierung Ihrer Domain eingerichtet ist. Ein Schlüsselfaktor ist hier die Syntax des SPF-Datensatzes, der eine entscheidende Rolle bei der Überprüfung spielt, ob Ihre E-Mails von autorisierten Servern gesendet werden. SPF hilft zwar zu verhindern, dass Ihre Nachrichten als verdächtig eingestuft werden, aber seine Syntax kann schwierig zu verstehen und noch schwieriger richtig zu konfigurieren sein. In diesem Beitrag erläutern wir, wie die Syntax des SPF-Eintrags funktioniert und was Sie bei der Einrichtung für Ihre Domain beachten sollten.

Was ist ein SPF-Eintrag Syntax

Die Syntax eines SPF-Datensatzes ist eine Reihe von Regeln, die festlegen, wie ein SPF-Datensatz (Sender Policy Framework) im DNS einer Domäne geschrieben wird. Einfach ausgedrückt ist dies die "Sprache", die Ihre Domäne verwendet, um empfangenden E-Mail-Servern mitzuteilen, welche Quellen berechtigt sind, E-Mails in ihrem Namen zu versenden.

Die SPF-Datensatzsyntax umfasst in der Regel Mechanismen (wie z.B. ip4, ip6, oder einschließen), Kennzeichner (wie +, -, ~, oder?), und Modifikatoren die arbeiten zusammenwirken um bestimmen ob eine eingehende E-Mail die SPF-Prüfung besteht oder nicht.

Das Verständnis dieser Syntax ist von entscheidender Bedeutung, da selbst ein kleiner Fehler, wie beispielsweise ein zusätzliches Leerzeichen, ein falscher Qualifizierer oder ein fehlender Mechanismus, dazu führen kann, dass Ihre E-Mails die Authentifizierung nicht bestehen und im Spam-Ordner landen oder abgelehnt werden.

Vereinfachen Sie die SPF-Eintragssyntax mit PowerDMARC!

SPF-Datensatz-Syntaxkomponenten

Ein SPF-Eintrag besteht aus vier Hauptbestandteilen: dem Versions-Tag, den Mechanismen, den Qualifizierern und den Modifizierern. Jeder Teil spielt eine besondere Rolle, und zusammen bestimmen sie, wie empfangende Mailserver E-Mails behandeln, die behaupten, von Ihrer Domäne zu stammen. Das Versions-Tag identifiziert den Eintrag als SPF. Die Mechanismen definieren, wer E-Mails senden darf. Qualifier entscheiden, welche Maßnahmen bei einer Übereinstimmung zu ergreifen sind. Modifikatoren liefern optionale Anweisungen, die die Richtlinie erweitern oder verfeinern.

Version Tag

Das Versions-Tag ist der Startpunkt eines SPF-Eintrags. Es kennzeichnet den Eintrag als SPF-Syntax und sorgt dafür, dass Mailserver den folgenden Text richtig interpretieren. Ohne ihn funktioniert der Eintrag nicht. Es ist nur ein Versions-Tag erlaubt, das ganz am Anfang des Eintrags stehen muss.

Die wichtigsten Merkmale:

• • Muss immer am Anfang des Datensatzes stehen.
  • Es ist nur ein Versions-Tag erlaubt.
  • Derzeit gültiges Format: v=spf1.
  • Wird die falsche Version verwendet oder weggelassen, ist der Eintrag ungültig.

SPF-Qualifikatoren

Qualifier sind Symbole, die den Mechanismen vorangestellt werden. Sie weisen den empfangenden Mailserver an, was zu tun ist, wenn der Mechanismus passt. Sie steuern das Ergebnis der SPF-Bewertung, d. h. ob die E-Mail akzeptiert, zurückgewiesen oder als verdächtig markiert wird. Wenn kein Qualifier angegeben wird, ist die Standardaktion "Zulassen".

Die wichtigsten Merkmale:

• • Sie dienen als Präfixe für Mechanismen.
  • Kontrollieren Sie das Ergebnis der SPF-Prüfung.
  • Vier Typen:
    • + Passieren (erlauben)
    • - Fail (Block)
    • ~ Softfail (akzeptieren, aber markieren)
    • ? Neutral (keine Entscheidung)
      • Das Standardverhalten ist Pass, wenn kein Qualifier verwendet wird.

SPF-Mechanismen

Mechanismen sind die wichtigsten Regeln in einem SPF-Eintrag. Sie legen fest, welche Server, IP-Adressen oder Domänen berechtigt sind, E-Mails im Namen der Domäne zu versenden. Jeder Mechanismus wird der Reihe nach überprüft, und wenn eine Übereinstimmung gefunden wird, wird der zugehörige Qualifier angewendet. Wenn kein Mechanismus übereinstimmt, wird der Eintrag bis zum Ende fortgesetzt.

Die wichtigsten Merkmale:

• • Legen Sie fest, wer E-Mails für die Domäne senden darf.
    Markiert in der Reihenfolge von links nach rechts.
  • Arbeiten Sie mit den Qualifikanten zusammen, um das Ergebnis zu ermitteln.
  • Acht Standardmechanismen:
    • alle - trifft auf alle Absender zu.
    • ip4 - lässt IPv4-Adressen zu.
    • ip6 - lässt IPv6-Adressen zu.
    • a - autorisiert basierend auf den A/AAAA-Einträgen.
    • mx - autorisiert auf der Grundlage der Mailserver der Domäne.
    • ptr - Reverse-DNS-Prüfung (veraltet).
    • existiert - prüft, ob eine Domäne aufgelöst werden kann.
    • include - verweist auf den SPF-Eintrag einer anderen Domäne.

SPF-Modifikatoren

Modifikatoren sind optionale Elemente, die einem SPF-Eintrag zusätzliche Anweisungen hinzufügen. Sie erlauben oder verweigern nicht direkt E-Mails, aber sie bieten Flexibilität und mehr Kontrolle darüber, wie der Eintrag verarbeitet wird. Modifikatoren werden oft in erweiterten Konfigurationen verwendet, sind aber nicht immer erforderlich.

Die wichtigsten Merkmale:

• Geben Sie optionale, zusätzliche Anweisungen.
• Sie bestimmen nicht direkt das Bestehen/Nichtbestehen.
• Übliche Modifikatoren:
  • redirect - verweist auf den SPF-Eintrag einer anderen Domäne.
  • exp - liefert eine benutzerdefinierte Erklärung für SPF-Fehlschläge.

• Sie erscheinen in der Regel am Ende des Datensatzes.

Vereinfachen Sie SPF mit PowerDMARC!

SPF Record Syntax Beispiele

Anhand echter SPF-Einträge lässt sich leichter nachvollziehen, wie die verschiedenen Komponenten zusammenwirken. Nachfolgend finden Sie zwei Beispiele: ein einfaches und ein fortgeschritteneres. Jedes Beispiel entspricht den korrekten Syntaxregeln und zeigt, wie Mechanismen, Qualifizierer und Modifikatoren in der Praxis funktionieren.

Einfacher SPF-Eintrag

v=spf1 ip4:203.0.113.5 -all

Aufschlüsselung:

• v=spf1 → Versions-Tag, das den Datensatz als SPF Version 1 kennzeichnet.
• ip4:203.0.113.5 → Mechanismus zur Autorisierung der IPv4-Adresse 203.0.113.5 Mails zu versenden.
• -alle → Qualifier und Mechanismus kombiniert, was bedeutet, dass alle anderen nicht aufgeführten Server die SPF-Prüfung nicht bestehen sollten.

Warum sie gültig ist:

• Der Datensatz beginnt mit dem richtigen Versions-Tag.
• Der Mechanismus (ip4) ist korrekt geschrieben.
• Der Qualifier (-) wird ordnungsgemäß vor allen.
• Die Syntax ist vollständig und entspricht den SPF-Regeln.

 Dies ist eine übliche Konfiguration für eine kleine Domäne, die E-Mails nur von einem einzigen Server aus versendet.

Erweiterter SPF-Datensatz

v=spf1 ip4:203.0.113.0/24 include:_spf.google.com include:_spf.mailhost.com ~all exp=explain._spf.example.com

Aufschlüsselung:

• v=spf1 → Versionskennzeichnung am Anfang, erforderlich aufgrund der Syntax.
• ip4:203.0.113.0/24 → Mechanismus, der alle IP-Adressen in dem Bereich zulässt 203.0.113.0 - 203.0.113.255.
• einschließen:_spf.google.com → Mechanismus, der es den Mailservern von Google ermöglicht, im Namen der Domäne zu senden.
• einschließen:_spf.mailhost.com → Mechanismus, der die Server eines anderen Drittanbieters zulässt.
• ~all → Qualifier und Mechanismus kombiniert, d. h. Nachrichten von nicht aufgelisteten Servern werden akzeptiert, aber als verdächtig markiert.
• exp=explain._spf.example.com → Modifikator, der eine benutzerdefinierte Erklärungszeichenfolge liefert, wenn eine Nachricht SPF nicht besteht.

Warum sie gültig ist:

• Der Datensatz beginnt mit dem Versions-Tag.
• Mehrere Mechanismen sind enthalten und richtig formatiert.
• Der Qualifier ~ wird angewendet auf alleangewendet, was erlaubt ist.
• Der Modifikator exp wird am Ende korrekt verwendet und erweitert die Funktionalität, ohne die Syntax zu verletzen.

Diese Konfiguration ist typisch für Unternehmen, die mehrere E-Mail-Anbieter nutzen und dennoch nicht autorisierte Quellen kontrollieren.

Regeln und Validierung für korrekte SPF-Syntax

Beim Schreiben eines SPF-Eintrags geht es vor allem darum, Mechanismen und Qualifizierer in die richtige Reihenfolge zu bringen und sicherzustellen, dass der Eintrag tatsächlich wie vorgesehen funktioniert. Selbst kleine Syntaxfehler, wie ein fehlendes Tag oder ein zusätzliches Leerzeichen, können dazu führen, dass der Eintrag fehlschlägt und E-Mails abgelehnt oder als Spam markiert werden oder Ihre Domain anfällig für Spoofing ist.

In diesem Abschnitt werden drei wichtige Bereiche behandelt: bewährte Verfahren für die Erstellung der SPF-Syntax, häufige Fehler, die vermieden werden sollten, und die Validierung Ihres Eintrags vor der Live-Veröffentlichung.

Befolgen Sie die besten Praktiken für die SPF-Syntax

Um die SPF richtig zu gestalten, müssen einige goldene Regeln beachtet werden, damit die Aufzeichnung sowohl effektiv als auch zuverlässig ist:

• • Beginnen Sie immer mit dem richtigen Versions-Tag: v=spf1.
  • Grenze DNS Lookups, um das Überschreiten des 10-Lookup-Grenzezu überschreiten, was zu einem Bruch des Datensatzes führen würde.
  • Verwenden Sie die include Mechanismus sorgfältig, um Schleifen oder zirkuläre Verweise zu vermeiden.
  • Halten Sie die Aufzeichnungen so übersichtlich wie möglich - allzu komplexe Konfigurationen sind schwieriger zu pflegen und werden eher scheitern.
  • Überprüfen Sie SPF-Einträge regelmäßig, insbesondere wenn sich Ihre E-Mail-Infrastruktur ändert oder wenn Sie Anbieter hinzufügen oder entfernen.

Vermeiden Sie häufige Syntaxfehler

Viele SPF-Probleme entstehen durch einfache, aber schädliche Fehler. Achten Sie auf diese Fallstricke:

• Fehlendes Versions-Tag: Jeder Datensatz muss mit v=spf1beginnen .
• Doppelte Bezeichner: Die Verwendung von mehr als einem Bezeichner für denselben Mechanismus ist ungültig.
• Exzessive Mechanismen: Lange, aufgeblähte Datensätze erhöhen das Risiko von Fehlern und überschreiten die DNS-Grenzen.
• Probleme bei der Syntaxformatierung: Falsche Leerzeichen, Tippfehler oder nicht unterstützte Zeichen können dazu führen, dass der Datensatz fehlschlägt.
• Mehrere SPF-Einträge : Eine Domäne darf nur einen SPF-Datensatz haben - wenn mehr als einer vorhanden ist, schlägt die Validierung fehl.
• Veraltete Mechanismen: vermeiden ptrzu vermeiden, das nicht mehr empfohlen wird und möglicherweise nicht von allen Servern unterstützt wird.

Denken Sie daran: Auch wenn die Absicht des Datensatzes korrekt ist, führen Syntaxfehler dazu, dass SPF vollständig fehlschlägt.

Überprüfen Sie die Syntax Ihres SPF-Eintrags

Vor der Veröffentlichung Ihres SPF-Datensatzes ist die Validierung entscheidend. Die Validierer prüfen, ob die Syntax korrekt ist und ob der Eintrag nicht die DNS-Lookup-Grenzen überschreitet oder nicht unterstützte Mechanismen enthält.

• SPF-Datensatzprüfungstools verwenden, wie z. B. den SPF-Checker von PowerDMARC, um Probleme schnell zu erkennen.
• Durch die Validierung wird sichergestellt, dass der Eintrag auf verschiedenen empfangenden E-Mail-Servern einheitlich funktioniert.
• Es wird empfohlen, neue oder aktualisierte Datensätze in einer Staging-Umgebung zu testen, bevor sie live geschaltet werden.
• Durch die regelmäßige Validierung nach Änderungen bleibt Ihre SPF-Richtlinie aktuell und funktionsfähig.

Durch die Validierung verringern Sie das Risiko, dass E-Mails nicht angenommen werden, in Spam landen oder Ihre Domäne anfällig für Spoofing ist.

SPF-Datensatz-Syntax in Aktion

Die korrekte Syntax des SPF-Datensatzes ist entscheidend für eine sichere E-Mail-Zustellung und den Schutz vor Spoofing. Jeder Teil, einschließlich Versions-Tag, Mechanismen, Qualifizierer und Modifizierer, wirkt zusammen, um zu bestimmen, wie Mailserver Ihre Nachrichten behandeln.

Indem Sie sich an bewährte Verfahren halten, Fehler vermeiden und regelmäßig validieren, verringern Sie das Risiko von Fehlern und halten Ihre Domäne sicher. Wenn sich Ihre E-Mail-Einrichtung weiterentwickelt, sind laufende Aktualisierungen unerlässlich. Um die Verwaltung zu erleichtern und die Sicherheit zu erhöhen, sollten Sie PowerDMARC verwenden.

Häufig gestellte Fragen

Wie schreibt man einen SPF-Eintrag?

Beginnen Sie mit 'v=spf1', hinzufügen Mechanismen zu Liste autorisierte Absender, und beenden. mit a Qualifizierer wie '-all' um alles andere zu blockieren.

Was passiert, wenn die Syntax meines SPF-Eintrags falsch ist?

Mailserver können Ihre E-Mails zurückweisen oder als Spam kennzeichnen, und Ihre Domäne wird anfälliger für Spoofing.

Was ist ein Beispiel für einen SPF-Eintrag MX?

Ein SPF-Eintrag mit MX (MX-Eintrag) sieht folgendermaßen aus: v=spf1 mx -allund erlaubt nur den Mailservern der Domäne, E-Mails zu versenden.

• Über
• Neueste Beiträge

Ahona Rudra

Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC

Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.

Neueste Beiträge von Ahona Rudra (alle anzeigen)

• IP-Reputation vs. Domain-Reputation: Was sorgt dafür, dass Ihre E-Mails im Posteingang landen? – 1. April 2026
• Versicherungsbetrug beginnt im Posteingang: Wie gefälschte E-Mails routinemäßige Versicherungsabläufe in Auszahlungsbetrug verwandeln – 25. März 2026
• FTC-Sicherheitsvorschrift: Benötigt Ihr Finanzunternehmen DMARC? – 23. März 2026