SPF-Verstoß

Von Vermarktern gesendete E-Mails können aus einer Vielzahl von Gründen zurückgewiesen werden. Sie hatten Probleme bei der E-Mail-Zustellung für Fallaktualisierungen und abgegebene Kommentare.

In den meisten Fällen erhalten die Benutzer eine Fehlermeldung, wie z. B.: "SPF-Verletzung".

Der Hauptgrund dafür: Sie haben keinen SPF-Eintrag.

Was ist ein SPF-Eintrag?

Ein SPF-Eintrag (Sender Policy Framework) ist ein DNS-TXT-Eintrag, der alle Server identifiziert, die E-Mails von einer bestimmten Domäne aus versenden dürfen.

Ein Domänenadministrator kann einen DNS-TXT-Eintrag ("Text") verwenden, um dem Domänennamensystem (DNS) einen beliebigen Text hinzuzufügen. TXT-Einträge wurden entwickelt, um wichtige Domain-Hinweise zu enthalten, aber sie haben sich weiterentwickelt, um verschiedene Funktionen zu erfüllen.

SPF wird überprüft, indem Server, die Nachrichten empfangen, den Return-Path-Wert der Domäne in den E-Mail-Kopfzeilen abfragen. Wenn dieser Return-Path verwendet wird, sucht der Empfängerserver im DNS-Server nach einem TXT-Eintrag. Wenn SPF aktiviert ist, wird eine Liste aller akzeptierten Server angezeigt, von denen E-Mails gesendet werden können. Die SPF-Prüfung schlägt fehl und erzeugt eine Fehlermeldung mit der Angabe "SPF Violation", wenn die IP-Adresse nicht in der Liste enthalten ist.

Vereinfachen Sie SPF mit PowerDMARC!

Warum ist die Wiederherstellung nach einer SPF-Verletzung wichtig?

Das Sender Policy Framework (SPF) ist eine einfache, aber wirksame Methode zur Überprüfung von E-Mails, um gefälschte E-Mails zu erkennen.

Zur Verhinderung von Spam und gefälschten E-Mails ist ein SPF-Eintrag erforderlich. Obwohl das Simple Mail Transfer Protocol (SMTP) gefälschte E-Mails nicht vollständig blockieren kann, zeigt der SPF-Header, ob die E-Mail echt ist oder nicht. Wenn Sie über einen SPF-Eintrag verfügen, können Mailserver überprüfen, ob die im SPF-Eintrag aufgeführten IP-Adressen berechtigt sind, eine E-Mail im Namen Ihrer Domäne zu senden oder nicht. Ist dies nicht der Fall, werden alle von diesen IP-Adressen eingehenden Nachrichten zurückgewiesen.

Um eine SPF-Verletzung zu beheben, muss Ihr Eintrag gültig und aktualisiert sein. Um die Syntax und die MTA-Server zu überprüfen, stellen Sie sicher, dass der SPF-DNS-Eintrag korrekt konfiguriert ist, indem Sie Routineprüfungen mit unserem SPF-Eintragsüberprüfungstool durchführen. Falls ein Fehler festgestellt wird, benötigen Sie Zugriff auf das DNS-Kontrollpanel Ihrer Domain, um Ihren Eintrag zu ändern und das SPF-Problem zu beheben. Wenn Sie einen DNS-Hosting-Service nutzen, ist der Prozess recht einfach, da dieser die Aktualisierung für Sie übernimmt.

Stellen Sie außerdem einen defensiven SPF-Eintrag für jede Domäne in Ihrem Unternehmen bereit, die keine E-Mails zustellt, wie z. B. eine geparkte Domäne. Dies wird auch von der Messaging, Malware, and Mobile Anti-Abuse Working Group (M3AAWG) empfohlen. Böswillige Akteure können gefälschte E-Mails versenden, indem sie eine beliebige (d. h. auch inaktive) Domain imitieren.

Sind Sie bereit, Ihren SPF-Eintrag zu erstellen, um eine SPF-Verletzung zu vermeiden?

Ihr DNS-Host bestimmt, wie Sie einen SPF-Eintrag bereitstellen. Wenn Sie den DNS-Server Ihrer Domänenregistrierungsstelle nutzen, sollten Sie in der Lage sein, DNS-Einträge über das Dashboard der Registrierungsstelle hinzuzufügen und zu löschen. Dies ist der Bildschirm, auf dem Sie einen SPF-Eintrag erstellen können.

• Beginnen Sie mit der v=spf1 (Version 1) und fügen Sie dann die IP-Adressen hinzu, die zum Senden von E-Mails berechtigt sind. v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 ist ein Beispiel.
• Wenn Sie einen Dritten damit beauftragen, eine E-Mail in Ihrem Namen zu versenden, müssen Sie eine "include"-Anweisung in Ihren SPF-Eintrag schreiben (z. B. include:thirdparty.com), um den Dritten als echten Absender zu bezeichnen. Ein KI-Autor kann Ihnen helfen, Zeit zu sparen und einzigartige Texte zu erstellen.
• Fügen Sie das all- oder -all-Tag hinzu, sobald Sie alle zugelassenen IP-Adressen und Include-Anweisungen hinzugefügt haben.
• Ein weicher SPF-Fehler wird durch ein all-Tag angezeigt, ein harter SPF-Fehler hingegen durch ein -all-Tag. Nach Angaben der großen Mailbox-Anbieter führen sowohl all als auch -all zu einem SPF-Fail. Ein -all ist am sichersten.
• SPF-Datensätze dürfen nicht länger als 255 Zeichen sein und nicht mehr als 10 Include-Anweisungen (auch bekannt als "Lookups") enthalten. Hier ist ein Beispiel dafür, wie Ihr Eintrag aussehen könnte:

v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 include:thirdparty.com -all

• Der SPF-Eintrag schließt alle Änderungen außer -all für Ihre Domänen aus, die keine E-Mails versenden. Für eine nicht sendende Domäne finden Sie hier einen Beispielsatz:

v=spf1 -all

Sie können auch den SPF-Datensatz-Generator Tool von PowerDMARC verwenden, um einen sofortigen, fehlerfreien Datensatz zu erzeugen.

Entdecken Sie SPF-Verletzungen mit SPF Record Checker

Mit dem SPF-Datensatz-Prüfer von PowerDMARC erfahren Sie die folgenden Daten:

• Ob Sie bereits einen SPF-Eintrag in Ihrem DNS haben oder nicht
• ob Ihr Datensatz aufgrund häufiger SPF-Probleme, wie z. B. Überschreitung der 10 DNS-Lookup-Grenze, Veröffentlichung mehrerer SPF-Datensätze für dieselbe Domäne oder falsche Syntax, für ungültig erklärt wurde

Wenn Ihre Domäne SPF aktiviert hat, sollten Sie regelmäßig SPF-Einträge überprüfen, um über alle DNS-Aktualisierungen auf dem Laufenden zu bleiben.

• Beginnen Sie mit der Eingabe Ihres Domänennamens in das dafür vorgesehene Feld. (Wenn die URL Ihrer Domäne beispielsweise company.com lautet, ist der nachfolgende Domänenname firma.com, der kein Präfix hat).
• Sie sind fertig, wenn Sie auf die Schaltfläche "Nachschlagen" klicken.

Beispiel für Details der SPF-Richtlinie:

IP-Adresse: 13.108.238.141

SPF Record: v=spf1 ip4:13.108.238.141/26 ip4:87.222.138.192/26 ip4:80.43.144.0/20 ip4:126.146.128.64/27 ip4:116.146.208.0/21 ip4:136.147.32.0/19 ip4:112.50.78.64/28 exists:%{i}._spf.mta.dummyvalue.com -all

Adresse für HELO/EHLO: [email protected]

Beispielhafte Ausgabe

Mails, die von dieser IP-Adresse gesendet wurden: 13.108.238.141

Mail Server HELO/EHLO Identität: [email protected]

HELO/EHLO Ergebnisse - PASS Absender SPF autorisiert

Abschließende Worte

Eine SPF-Verletzung ist ein großes Risiko, das Sie vom Versand wichtiger E-Mails abhält. Sie können einen einfacheren Ansatz wählen, indem Sie keine Durchsetzungs-Tags auswählen und eine entspanntere Richtlinie wählen, die die Zustellung aller E-Mails erlaubt (auch derjenigen, die die Authentifizierung nicht bestehen). Dies ist ein guter Schritt für Anfänger, die nur den E-Mail-Verkehr durch DMARC-Berichte überwachen möchten. Für den Schutz vor Spam und E-Mail-Betrug muss dieses Problem jedoch vorrangig gelöst werden.

PowerDMARC mit seinen neuesten Tools macht es einfach, die richtigen DNS-TXT-Einträge einzurichten, um SPF-Verletzungen zu verhindern. Erstellen Sie ein kostenloses PowerDMARC-Konto und machen Sie einen DMARC Testversion, um Zugang zu einer Reihe von Authentifizierungs- und Validierungstools zu erhalten!

• Über
• Neueste Beiträge

Ahona Rudra

Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC

Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.

Neueste Beiträge von Ahona Rudra (alle anzeigen)

• Was ist DANE? DNS-basierte Authentifizierung benannter Entitäten erklärt (2026) – 20. April 2026
• VPN-Sicherheit für Einsteiger: Bewährte Methoden zum Schutz Ihrer Privatsphäre – 14. April 2026
• MXtoolbox-Testbericht: Funktionen, Nutzererfahrungen, Vor- und Nachteile (2026) – 14. April 2026