SPF Softfail vs. SPF Hardfail: Was ist der Unterschied?

Erfahren Sie mehr über den Unterschied zwischen SPF Softfail und Hardfail, bewährte Verfahren und wie Sie Ihre geschäftlichen E-Mails mit PowerDMARC schützen können. Umfassender Leitfaden für IT-Manager und E-Mail-Administratoren.

Mit SPF (Sender Policy Framework) können Sie Ihr System flexibel so konfigurieren, dass es auf Authentifizierungsfehler auf zwei Arten reagiert: Hardfail oder Softfail. In diesem Blog führen Sie unsere Experten von PowerDMARC durch die Unterschiede zwischen SPF Hardfail und Softfail, die jeweilige Konfiguration und Anwendungsfälle aus der Praxis für IT- und Sicherheitsteams. Also legen wir gleich los!

Was ist ein SPF-Fehler?

Bevor wir uns mit den Unterschieden zwischen Hard Fail und Soft Fail befassen, ist es wichtig zu verstehen, was einen SPF-Fehler ausmacht und wie die SPF-Authentifizierung funktioniert.

SPF (Sender Policy Framework) ist ein E-Mail-Authentifizierungsprotokoll, mit dem Domaininhaber festlegen können, welche IP-Adressen berechtigt sind, E-Mails im Namen ihrer Domain zu versenden. Wenn eine E-Mail empfangen wird, überprüft der empfangende Server die IP-Adresse des Absenders anhand des SPF-Eintrags der Domain, um festzustellen, ob der Absender autorisiert ist.

Die SPF-Prüfung wird anhand der Rückwegdomäne durchgeführt, die die zu authentifizierende Identität repräsentiert. Es ist von entscheidender Bedeutung, dass der SPF-Eintrag korrekt veröffentlicht wird, um eine ordnungsgemäße SPF-Authentifizierung zu gewährleisten und Probleme bei der E-Mail-Zustellung zu vermeiden.

SPF-Authentifizierungsergebnisse

• Pass: Die IP-Adresse des Absenders ist im SPF-Eintrag autorisiert.
• Fehler (Hard Fail): Die IP-Adresse des Absenders ist ausdrücklich nicht autorisiert (-all).
• Soft Fail: Die IP-Adresse des Absenders ist wahrscheinlich nicht autorisiert (~alle)
• Neutral: Keine politische Stellungnahme zum Absender (?alle)
• Keine: Für die Domain existiert kein SPF-Eintrag.
• TempError: Vorübergehender Fehler bei der DNS-Abfrage
• PermError: Permanenter Fehler in der SPF-Datensatzsyntax

Jedes SPF-Ergebnis ist eine eindeutige Aussage über den Autorisierungsstatus des Absenders. Ein „Fail“ ist eine eindeutige Aussage, dass der Absender nicht autorisiert ist, während ein „Softfail“ eine schwache Aussage ist, die auf eine wahrscheinliche, aber nicht definitive fehlende Autorisierung hinweist.

Ein SPF-Fehler tritt auf, wenn die Authentifizierungsprüfung das Ergebnis „Fail“ oder „Soft Fail“ zurückgibt, was darauf hinweist, dass der sendende Server möglicherweise nicht berechtigt ist, E-Mails für diese Domain zu versenden.

SPF Hard Fail vs. Soft Fail: Die wichtigsten Unterschiede erklärt

Die nachstehende Tabelle erläutert den grundlegenden Unterschied zwischen SPF Hardfail und Softfail.

Hinweis: Der Hardfail-Mechanismus („-all“) wurde entwickelt, um maximalen Schutz vor Phishing und gefälschten E-Mails zu bieten, indem Nachrichten von nicht autorisierten Absendern abgelehnt werden. Eine falsche Konfiguration kann jedoch dazu führen, dass E-Mails nicht zugestellt werden können und eine Bounce-Rate von 100 % für nicht autorisierte Quellen entsteht.

In der SPF-Eintragssyntax sind nur die im SPF-Eintrag angegebenen IP-Adressen berechtigt, E-Mails im Namen der Domain zu versenden. Alle anderen Quellen gelten als nicht autorisierte Absender und können je nach Art des Fehlers blockiert oder als verdächtig markiert werden.

SPF Hardfail vs. Softfail: Wie in RFC definiert 

Gemäß RFC 7208:

• Ein "Fail"-Ergebnis für SPF zeigt direkt an, dass der Absender der E-Mail nicht von der sendenden Domäne autorisiert ist. "Fail" ist gleichbedeutend mit dem Hardfail-Ergebnis (-all), das eindeutig auf eine nicht autorisierte Domänennutzung hinweist. 
• Ein wesentlich entspannterer Ansatz ist jedoch die Konfiguration von SPF Softfail, was auf eine „wahrscheinliche“ unbefugte Domain-Nutzung hinweist.

Vereinfachen Sie SPF mit PowerDMARC!

Behandlung von Empfängerfehlern bei Hardfail und Softfail 

In Abschnitt 8.4definiert RFC die folgenden Szenarien für die Behandlung von SPF-Hardfail- und SPF-Softfail-Ergebnissen: 

1. SPF Hardfail / Fail 

Bei einem "Fail"- oder "Hardfail"-Ergebnis kann Ihr Empfängerserver die nicht autorisierte E-Mail zurückweisen. Wenn es sich um eine SMTP-Transaktion handelt, sollte ein Fehlercode 550 5.7.1 mit einer entsprechenden Fehlerbeschreibung zurückgegeben werden. 

Wenn der Empfängerserver die E-Mail während der SMTP-Transaktion nicht zurückweist, empfiehlt der RFC den Empfängern, die SPF-Ergebnisse im Received-SPF- oder Authentication-Results-Header zu speichern. 

2. SPF Softfail

Als flexiblere Richtlinie zeigt Softfail an, dass die administrative Verwaltungsdomäne die E-Mail zwar als unberechtigt einstuft, sie aber nicht rundweg ablehnen möchte. In diesem Fall wird die Nachricht zugestellt, jedoch mit einer Warnung zur weiteren Überprüfung.  

Welchen SPF-Fehlermodus sollten Sie verwenden?

Die meisten Domains, darunter auch die von großen Organisationen und Technologieunternehmen, verwenden je nach ihren spezifischen Anforderungen und E-Mail-Praktiken eine Kombination aus verschiedenen SPF-Richtlinien. Die Wahl zwischen SPF Hard Fail und Soft Fail hängt von der E-Mail-Infrastruktur, den Sicherheitsanforderungen und der Risikotoleranz Ihres Unternehmens ab. Hier finden Sie einen Entscheidungsrahmen, der Ihnen bei der Auswahl hilft:

Wählen Sie SPF Hard Fail (-all) in folgenden Fällen:

• Sie haben die vollständige Kontrolle über alle E-Mail-Versandquellen.
• Ihre E-Mail-Infrastruktur ist ausgereift und gut dokumentiert.
• Sicherheit hat Vorrang vor Zustellbarkeit
• Sie nutzen selten E-Mail-Dienste von Drittanbietern.
• Sie verfügen über eine umfassende DMARC-Überwachung.

Wählen Sie SPF Soft Fail (~all) Wann:

• Sie implementieren SPF zum ersten Mal.
• Sie verwenden mehrere E-Mail-Dienste von Drittanbietern.
• Die Zustellbarkeit von E-Mails ist für den Geschäftsbetrieb von entscheidender Bedeutung.
• Sie haben komplexe E-Mail-Weiterleitungs- oder -Relay-Einstellungen.
• Sie identifizieren weiterhin alle legitimen E-Mail-Quellen.

Häufige Anwendungsfälle für SPF Hard Fail und Soft Fail

SPF-Hard-Fail-Anwendungsfälle:

• Finanzinstitute: Banken und Kreditgenossenschaften, die eine strenge E-Mail-Authentifizierung verlangen
• Behörden: Organisationen mit hohen Sicherheitsanforderungen
• Markenschutz-Domains: Domains, die ausschließlich zum Schutz von Marken verwendet werden
• Transaktions-E-Mail-Domains: Spezielle Domains für automatisierte E-Mails

SPF Soft Fail Anwendungsfälle:

• Marketing-Domains: Domains, die mehrere E-Mail-Marketing-Plattformen nutzen
• SaaS-Unternehmen: Organisationen mit komplexen E-Mail-Infrastrukturen
• Bildungseinrichtungen: Universitäten mit mehreren Fachbereichen und E-Mail-Systemen
• Testumgebungen: Domänen in der SPF-Implementierungsphase

Praxisbeispiel: Wenn Sie als IT-Manager für die E-Mail-Sicherheit eines mittelständischen SaaS-Unternehmens verantwortlich sind, das Google Workspace, Salesforce und Mailchimp nutzt, könnten Sie zunächst mit einem Soft Fail beginnen, um sicherzustellen, dass alle legitimen E-Mails zugestellt werden, während Sie Ihren SPF-Eintrag überwachen und optimieren.

Wann sollten Sie SPF Hard Fail oder Soft Fail verwenden?

Bei der Weiterleitung von SMTP-E-Mails können Sie SPF Softfail als sicherere Methode gegenüber Hardfail betrachten. Lassen Sie uns herausfinden, wie: 

SMTP-E-Mail-Relaying ist die automatische Weiterleitung von Nachrichten von einem Server zu einem anderen. Das bedeutet, dass die E-Mail an einen Server weitergeleitet wird, dessen IP-Adresse nicht im SPF-Eintrag Ihrer Domäne aufgeführt ist. Dies macht ihn zu einem nicht autorisierten Absender für Ihre E-Mails, obwohl er in der Praxis legitim ist. 

Haben Sie irgendeine Kontrolle über diesen Vorgang? Die Antwort ist nein, da die E-Mail automatisch auf der Seite des Empfängers weitergeleitet wird. Unter diesen Umständen wird SPF für die weitergeleiteten E-Mails fehlschlagen. 

Hier können Sie mit einer SPF-Hardfail-Richtlinie in Schwierigkeiten geraten! Wie wir bereits wissen, können die Hardfail-Mechanismen zur Ablehnung von fehlgeschlagenen Nachrichten führen. Folglich können diese weitergeleiteten E-Mails nicht zugestellt werden, wenn Ihre Domäne mit einer Hardfail-Richtlinie konfiguriert ist. 

Das Schlimmste daran? Die Maßnahmen der SPF-Fehlerbehandlung setzen sich über DMARC- und DKIM- -Authentifizierungsergebnisse außer Kraft. Das bedeutet im Wesentlichen, dass selbst wenn DKIM und anschließend DMARC erfolgreich sind, die E-Mail möglicherweise dennoch nicht zugestellt wird.   

Wie unter RFC 7489 Abschnitt 10.1 wenn SPF-Prüfungen vor DMARC-Vorgängen durchgeführt werden, könnte das Vorhandensein eines "-"-Präfixes im SPF-Mechanismus eines Absenders wie "-all" zu einer sofortigen Zurückweisung von E-Mails führen. Diese Ablehnung erfolgt zu einem frühen Zeitpunkt im E-Mail-Bearbeitungsprozess, noch bevor eine DMARC-Verarbeitung stattfindet.

Wenn also die SPF-Richtlinie eines E-Mail-Absenders einen "-all"-Mechanismus enthält, der eine strikte Richtlinie zur Zurückweisung von E-Mails, die SPF-Prüfungen nicht bestehen, anzeigt, kann dies zu einer Zurückweisung der Nachricht führen, bevor irgendwelche DMARC-Richtlinien oder eine Verarbeitung stattfinden. Diese frühzeitige Ablehnung kann unabhängig davon erfolgen, ob die E-Mail letztendlich die DMARC-Authentifizierung besteht.

Unter diesen Umständen hat daher der SPF Soft Fail Vorrang vor dem Hard Fail Mechanismus. Es handelt sich um einen Ansatz mit relativ geringem Risiko, der Raum für Überprüfungen lässt, indem autorisierte E-Mails lediglich markiert und nicht abgelehnt werden. 

SPF-Umgehung und Weiterleitungs-Schwachstellen

Das Verständnis potenzieller Schwachstellen bei der SPF-Implementierung ist für die Aufrechterhaltung einer robusten E-Mail-Sicherheit von entscheidender Bedeutung:

Häufige SPF-Umgehungsszenarien:

• E-Mail-Weiterleitung: Legitime E-Mails, die über Dienste von Drittanbietern weitergeleitet werden, können SPF-Prüfungen nicht bestehen.
• Mailinglisten-Server: Nachrichten, die über Mailinglisten versendet werden, ändern häufig die Absender-IP.
• Cloud-E-Mail-Dienste: Dynamische IP-Bereiche in Cloud-Diensten können zu SPF-Fehlern führen.
• Mobile E-Mail-Clients: E-Mails, die von mobilen Geräten über verschiedene Netzwerke versendet werden

Bewährte Verfahren zur Risikominderung:

• Implementieren Sie DKIM zusammen mit SPF für zusätzliche Authentifizierung.
• Verwenden Sie DMARC, um SPF-Fehler elegant zu behandeln.
• SPF-Einträge regelmäßig überprüfen und aktualisieren
• Überwachen Sie E-Mail-Authentifizierungsberichte auf Anomalien.

Wie funktionieren SPF-Einträge?

Um SPF für Ihre E-Mails zu implementieren, müssen Sie einen SPF-Eintrag im DNS Ihrer Domäne erstellen und veröffentlichen. Ein typisches Beispiel für einen SPF-Eintrag sieht wie folgt aus:

v=spf1 include:_spf.google.com ~all

In diesem SPF-Eintrag genehmigen Sie alle E-Mails, die von IP-Adressen stammen, die im SPF-Eintrag von Google aufgeführt sind. Der Fehler-Mechanismus wird ganz am Ende des Eintrags (~all) definiert, d. h. Softfail. 

Ein SPF-Datensatz definiert also die verwendete Protokollversion, die von Ihnen autorisierten Absender und den Fehler-Mechanismus. Wenn Sie diesen Eintrag in Ihrem DNS veröffentlichen, stellen Sie sicher, dass nur autorisierte Absender E-Mails im Namen Ihrer Domäne senden dürfen. Wenn eine nicht autorisierte Quelle versucht, sich als Sie auszugeben, schlägt SPF mit dem in Ihrem Eintrag definierten Fehlermechanismus fehl. 

Sichere SPF-Implementierungsstrategien

Die optimale Implementierung von SPF ist unerlässlich, um die E-Mail-Kommunikation vor unbefugtem Spoofing und Phishing Angriffen zu schützen. Durch die Befolgung bewährter Verfahren können Unternehmen ihre E-Mail-Sicherheit verbessern und den Ruf ihrer Marke schützen. Hier sind einige Strategien und Richtlinien für die sichere Implementierung von SPF:

1. Verwenden Sie ein Tool zur Erstellung von SPF-Einträgen

Der SPF-Implementierungsprozess beginnt mit der Erstellung des Datensatzes. Sie können Ihren Datensatz manuell erstellen, wenn Sie die SPF-Tags richtig verstanden haben. Diese Methode ist jedoch anfällig für menschliche Fehler. Idealerweise können Sie unseren automatischen SPF-Generator Werkzeug. Damit können Sie einen fehlerfreien, genauen SPF-Eintrag erstellen, der auf die Bedürfnisse Ihres Unternehmens zugeschnitten ist.

2. Geeignete SPF-Mechanismen verwenden

Verwenden Sie SPF-Mechanismen wie "include", "a" und "IP4", um die zulässigen Sendequellen anzugeben. Wählen Sie die Mechanismen entsprechend Ihrer E-Mail-Infrastruktur aus und stellen Sie sicher, dass sie Ihre E-Mail-Versandpraktiken korrekt widerspiegeln.

3. Pflegen und optimieren Sie Ihren SPF-Eintrag

Ihr Sender Policy Framework-Eintrag muss gepflegt und optimiert werden, um Fehlfunktionen zu vermeiden. SPF neigt dazu, zu versagen, wenn Ihre autorisierten Absender das Limit von 10 DNS-Lookups auf der Empfängerseite überschreiten. Um ein optimales Lookup-Limit aufrechtzuerhalten, wird unser gehostete SPF Lösung die beste Wahl! Wir helfen Domain-Besitzern, SPF mit einem einzigen Klick zu optimieren, um unter den Lookup- und Void-Limits zu bleiben und ein fehlerfreies SPF zu gewährleisten. 

4. Kombinieren Sie SPF mit DMARC

Bereitstellung von DMARC (Domain-based Message Authentication, Reporting, and Conformance) bietet neben SPF eine zusätzliche (aber wichtige) Sicherheitsebene. DMARC ermöglicht es Domänenbesitzern, Richtlinien für die E-Mail-Behandlung festzulegen, einschließlich der Maßnahmen, die bei E-Mails ergriffen werden sollen, die SPF nicht erfüllen.

DMARC hat nachweislich dazu beigetragen, E-Mail-Betrug, Kompromittierung und Angriffe durch Nachahmung zu minimieren. 

5. Strenge SPF-Fehlerbehandlungsrichtlinien implementieren

Konfigurieren Sie Ihren Datensatz für die Behandlung von SPF-Authentifizierungsfehlern mit strengen Richtlinien zu behandeln, wie z. B. das Ablehnen oder Markieren von E-Mails von Domänen mit Fehlern. Dazu können Sie entweder SPF hardfail oder SPF softfail anstelle einer neutralen Richtlinie implementieren.

6. SPF-Authentifizierungsergebnisse überwachen

Implementierung DMARC-Berichte zur Überwachung von SPF-Authentifizierungsergebnissen, wie z. B. SPF bestanden und fehlgeschlagen, sowie von Ausrichtungsfehlern. A DMARC-Analysator Tool kann Ihnen dabei helfen, SPF-Authentifizierungsdaten in einer organisierten, für den Menschen lesbaren Weise zu analysieren und zu analysieren.

Abschließende Worte

Es gibt keine direkte Antwort auf die Frage "Was ist besser? SPF hardfail oder softfail". Das Hardfail-Tag kann Ihnen zwar mehr Sicherheit bieten, aber die Wahl der richtigen Lösung für die Überwachung Ihrer Sendequellen ist entscheidend. 

Die erweiterte Domänenauthentifizierungs- und Berichtsplattform von PowerDMARC bietet umfassende SPF- und DMARC-Lösungen für Unternehmen jeder Größe. 

Probieren Sie die SOC2-zertifizierte Plattform aus, der Tausende von Unternehmen weltweit vertrauen. Starten Sie noch heute Ihre kostenlose Testversion noch heute!

Häufig gestellte Fragen

1. Was ist der Grund für einen SPF-Soft-Fail?

Ein SPF-Soft-Fail tritt auf, wenn eine E-Mail von einer IP-Adresse gesendet wird, die nicht ausdrücklich im SPF-Eintrag der Domain autorisiert ist, der Domaininhaber jedoch einen „~all“-Mechanismus anstelle von „-all“ konfiguriert hat. Dies bedeutet, dass der Absender „wahrscheinlich nicht autorisiert“ ist, die E-Mail jedoch mit einer Warnmeldung zugestellt wird, anstatt sofort abgelehnt zu werden.

2. Was ist ein 550 5.7.0 SPF Hard Fail?

Der Fehler „550 5.7.0 SPF hard fail“ tritt auf, wenn ein E-Mail-Server eine Nachricht ablehnt, weil die IP-Adresse des Absenders nicht im SPF-Eintrag der Domain autorisiert ist, der mit „-all“ endet. Dies ist ein permanenter Fehler, der die Zustellung von E-Mails verhindert und darauf hinweist, dass der empfangende Server strenge SPF-Richtlinien anwendet.

3. Wann würde es zu einem SPF-Hard-Fail kommen?

Sie erhalten einen SPF-Hard-Fail, wenn: 1) Die sendende IP-Adresse nicht im SPF-Eintrag der Domain aufgeführt ist, 2) Der SPF-Eintrag mit „-all“ endet (Hard-Fail-Richtlinie), 3) Die E-Mail von einem nicht autorisierten Server oder Dienst gesendet wird, 4) Der SPF-Eintrag Konfigurationsfehler enthält oder 5) Die Domain strenge E-Mail-Authentifizierungsrichtlinien implementiert hat.

4. Was bedeutet das Symbol für einen Hard Fail in SPF?

Das Symbol für einen Hard Fail in SPF ist das Minuszeichen „-“, gefolgt von „all“ (geschrieben als „-all“). Dieser Mechanismus weist empfangende E-Mail-Server an, alle E-Mails abzulehnen, die nicht mit den im SPF-Eintrag aufgeführten autorisierten IP-Adressen oder Domänen übereinstimmen. Dies ist die strengste SPF-Richtlinie und bietet das höchste Maß an Sicherheit bei der E-Mail-Authentifizierung.

5. Sollte ich für mein Unternehmen SPF Hard Fail oder Soft Fail verwenden?

Für die meisten Unternehmen empfiehlt es sich, während der Implementierungs- und Testphase mit SPF Soft Fail (~all) zu beginnen, um zu vermeiden, dass legitime E-Mails blockiert werden. Sobald Sie alle autorisierten Absenderquellen identifiziert und gründlich getestet haben, sollten Sie für maximale Sicherheit den Wechsel zu Hard Fail (-all) in Betracht ziehen. Unternehmen mit komplexen E-Mail-Infrastrukturen oder Drittanbieterdiensten sollten das Risiko der Blockierung legitimer E-Mails sorgfältig abwägen, bevor sie Hard Fail implementieren.

• Über
• Neueste Beiträge

Yunes Tarada

Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC

Yunes ist Operations Team Lead bei PowerDMARC und verfügt über Expertenwissen im Bereich E-Mail-Authentifizierung und -Sicherheit. Yunes ist ein Microsoft-zertifizierter Azure Administrator Associate mit Zertifizierungen in CompTIA A+ und vielen mehr.

Neueste Beiträge von Yunes Tarada (alle anzeigen)

• Verifiziertes Markenzeichen vs. gewöhnliches Markenzeichen: Die richtige Wahl treffen – 10. März 2026
• Spam Confidence Level (SCL) -1 Umgehung: Was das bedeutet und wie man damit umgeht – 4. März 2026
• „DMARC-Überprüfung nicht bestanden und DMARC-Richtlinie auf Ablehnung gesetzt“: Was das bedeutet und wie man das Problem behebt – 26. Februar 2026