E-Mail-Betrug kostet Unternehmen jedes Jahr Milliarden von Dollar – und in den meisten Fällen beginnt alles mit einer gefälschten Absenderadresse. Das Sender Policy Framework (SPF) ist neben DKIM und DMARC eines der drei grundlegenden Protokolle zur E-Mail-Authentifizierung, das unbefugte Absender daran hindert, E-Mails unter Verwendung Ihrer Domain zu versenden. Dieser Leitfaden deckt alles ab: Was SPF ist, wie es genau funktioniert, wie man einen Eintrag erstellt und validiert, was die einzelnen Mechanismen und Qualifizierer bedeuten, wie man die häufigsten Fehler behebt und wie SPF in eine umfassende DMARC-Strategie passt. Setzen Sie ein Lesezeichen – Sie werden immer wieder darauf zurückgreifen. Vollständige Implementierungsanleitungen Lookups, Softfails und Ausrichtung korrigieren SPF bei DMARC berücksichtigen Datensätze überprüfen, generieren und validieren SPF (Sender Policy Framework) ist neben DKIM und DMARC eines der drei zentralen E-Mail-Authentifizierungsprotokolle, die verhindern, dass unbefugte Server E-Mails unter Verwendung Ihrer Domain versenden. Ein SPF-Eintrag ist ein DNS-TXT-Eintrag, der alle IP-Adressen und Mailserver auflistet, die zum Versand in Ihrem Namen berechtigt sind. Ohne einen solchen Eintrag kann sich jeder Server im Internet als Ihre Domain ausgeben, und die empfangenden Server haben keine Möglichkeit, den Unterschied zu erkennen. Springen Sie zu einem beliebigen Abschnitt oder lesen Sie den Text von Anfang bis Ende durch, um sich einen umfassenden Überblick zu verschaffen: Wenn ein empfangender Mailserver eine E-Mail erhält, extrahiert er die Domain aus dem „Return-Path“ (Absender im Umschlag), fragt das DNS nach einem TXT-Eintrag ab, der mit „v=spf1“ beginnt, und prüft, ob die IP-Adresse des sendenden Servers mit der autorisierten Liste übereinstimmt. Bei Übereinstimmung wird die SPF-Prüfung bestanden. Andernfalls lautet das Ergebnis „fail“, „softfail“ oder „error“, und wie es weitergeht, hängt von Ihrer DMARC-Richtlinie ab. SPF überprüft die „Return-Path“-Domäne (die technische Absenderadresse), nicht die sichtbare „Von:“-Adresse. Das bedeutet, dass SPF allein das Fälschen des Anzeigenamens nicht verhindern kann. Aus diesem Grund gibt es die DMARC-Ausrichtung, um diese Lücke zu schließen. Ein SPF-Eintrag beginnt mit -all und ~all stehen für unterschiedliche Strenge bei der Durchsetzung in SPF. -all (Hard Fail) teilt den empfangenden Servern mit, dass nur die aufgeführten Absender autorisiert sind und alle anderen zurückgewiesen werden sollen. ~all (Soft Fail) ist weniger streng und kennzeichnet alle nicht autorisierten Absender als verdächtig, akzeptiert sie jedoch weiterhin. Verwenden Sie -all, sobald Ihre Absender vollständig geprüft wurden. Jedes Führen Sie zunächst alle Dienste auf, die E-Mails über Ihre Domain versenden, zum Beispiel: Jeder Anbieter veröffentlicht eine Verwenden Sie ein SPF-Prüftool, um sicherzustellen, dass Ihr Eintrag syntaktisch korrekt ist, das Limit von 10 Abfragen nicht überschreitet und auf die richtigen IP-Adressen verweist. Das SPF-Lookup-Tool von PowerDMARC führt all diese Prüfungen sofort durch. So nutzen Sie die SPF-Abfrage von PowerDMARC: Geben Sie Ihre Domain im PowerDMARC SPF Checker ein, um sofort einen Diagnosebericht zu erhalten, der die Anzahl der Abfragen, eine Aufschlüsselung nach Mechanismen sowie etwaige Fehler anzeigt. Die meisten SPF-Fehler sind auf Konfigurationsabweichungen zurückzuführen, nicht auf das Protokoll selbst. Hier sind die Fehler, die am häufigsten auftreten, und wo sie jeweils behoben werden können: SPF kann die Überprüfung bestehen, während DMARC weiterhin fehlschlägt. Dies liegt daran, dass SPF die „Return-Path“-Domain überprüft, DMARC jedoch verlangt, dass diese Domain mit der sichtbaren „From:“-Adresse übereinstimmt. Wenn Sie E-Mails über einen Drittanbieter versenden, der einen eigenen „Return-Path“ verwendet, erfolgt die SPF-Authentifizierung anhand der Domain des Anbieters und nicht Ihrer eigenen, sodass DMARC die Übereinstimmungsprüfung nicht besteht. Die Lösung besteht darin, entweder bei jedem Provider einen benutzerdefinierten Return-Path für Ihre Domain zu konfigurieren oder stattdessen auf die DKIM-Abgleichung zurückzugreifen (DKIM-Signaturen bleiben bei der Weiterleitung erhalten und sind nicht an die Absender-IP gebunden). Legen Sie den Abgleichmodus mit dem Tag „aspf=“ in Ihrem DMARC-Eintrag fest: „aspf=r“ (gelockert, Subdomains zulässig) oder „aspf=s“ (streng, exakte Übereinstimmung). Diese drei Protokolle ergänzen sich, sind jedoch nicht austauschbar. SPF überprüft den Absenderserver, während DKIM die Integrität der Nachricht mithilfe einer kryptografischen Signatur überprüft. DMARC verbindet beide miteinander, setzt eine Richtlinie durch (keine / Quarantäne / Ablehnung) und erstellt aggregierte sowie forensische Berichte. Eine E-Mail besteht die DMARC-Prüfung, wenn sie entweder die SPF- oder die DKIM-Prüfung besteht. Sie müssen beide Protokolle konfigurieren, damit das eine ausgleichen kann, wenn das andere versagt (z. B. wenn SPF bei weitergeleiteten E-Mails fehlschlägt, DKIM jedoch weiterhin funktioniert). Jedes SaaS-Tool, das Sie Ihrem SPF-Eintrag hinzufügen, verbraucht DNS-Lookups. Sobald Sie das Limit von 10 Lookups erreichen, funktioniert der gesamte Eintrag nicht mehr und alle SPF-Prüfungen geben „PermError“ zurück. Das manuelle „SPF-Flattening“ (das Ersetzen von „includes“ durch reine IP-Adressen) funktioniert zwar kurzfristig, verliert jedoch seine Gültigkeit, sobald Anbieter ihre IP-Bereiche ändern – was sie ohne Vorwarnung tun. PowerDMARCs automatische SPF-Abflachung löst dieses Problem durch dynamische Auflösung Wenn Sie SPF zum ersten Mal einrichten, beginnen Sie mit den oben aufgeführten anbieterspezifischen Anleitungen und überprüfen Sie Ihren Eintrag mit dem kostenlosen SPF-Checker von PowerDMARC. Wenn Sie SPF bereits nutzen und an Abfrage-Limits stoßen oder PermErrors erhalten, eliminiert das automatisierte SPF-Flattening den Wartungsaufwand. Und falls Sie DMARC noch nicht eingerichtet haben, ist dies der wichtigste nächste Schritt – SPF ohne DMARC ist wie ein Schloss ohne Tür. Übernehmen Sie die Kontrolle über Ihre E-Mail-Authentifizierung mit den kostenlosen SPF-Tools von PowerDMARC. Überprüfen Sie sofort Ihre Domain, erstellen Sie neue Einträge oder entdecken Sie die gesamte Plattform. Keine Anmeldung erforderlich. Überprüfen Sie sofort den SPF-Eintrag Ihrer Domain, zeigen Sie die gesamte Lookup-Kette an und erkennen Sie eventuelle Konfigurationsprobleme. Erstellen Sie einen gültigen SPF-Eintrag, der auf die Absender Ihrer Domain zugeschnitten ist, ohne die Syntax manuell eingeben zu müssen. Eine umfassende Plattform zur Überwachung, Durchsetzung und Analyse der E-Mail-Authentifizierung über mehrere Domänen hinweg. Erstellen Sie Authentifizierungsdatensätze, überprüfen Sie die DNS-Konfiguration und überwachen Sie die E-Mail-Aktivitäten Ihrer Domain über eine einzige Plattform. Verhindern Sie Spoofing, verbessern Sie die Zustellbarkeit und erhalten Sie vollständigen Einblick darin, wer in Ihrem Namen E-Mails versendet. Vertrauen von Unternehmen, MSPs und Sicherheitsteams, die für die Aufrechterhaltung der Domain-Reputation und die Verhinderung von Spoofing verantwortlich sind. „PowerDMARC ist ein sehr leistungsstarkes und umfassendes Tool, das die tägliche Arbeit der Überwachung von E-Mail-Authentifizierungs- und Sicherheitsfunktionen erheblich vereinfacht. Es bietet Transparenz und Klarheit, die sonst nur schwer zu erreichen wären. Ich kann PowerDMARC jedem empfehlen, der seine E-Mail-Sicherheit verbessern möchte!“ SPF ist nur eines von vielen Signalen. Die Zustellbarkeit von E-Mails hängt auch von der Domain-Reputation, der IP-Reputation, der Qualität der Inhalte, der bisherigen Interaktionshistorie sowie davon ab, ob DKIM und DMARC ebenfalls konfiguriert sind. Eine bestandene SPF-Prüfung garantiert nicht, dass die E-Mails im Posteingang landen. Warum E-Mails im Spam-Ordner landen und wie man das beheben kann → Ja. Sie decken unterschiedliche Fehlerfälle ab. DKIM bleibt bei der Weiterleitung erhalten, überprüft jedoch nicht den Absenderserver. SPF überprüft den Server, versagt jedoch bei der Weiterleitung. DMARC erfordert, dass mindestens eine der beiden Methoden die Überprüfung mit Alignment besteht; sind beide vorhanden, kann die Nachricht auch dann noch authentifiziert werden, wenn eine der beiden Methoden versagt. Kann man DMARC ohne DKIM verwenden? → Nur, wenn Sie legitime Absender haben, die noch nicht in Ihrem Eintrag aufgeführt sind. Beobachten Sie vor der Umstellung mindestens 2–4 Wochen lang die DMARC-Gesamtberichte, um jeden Versanddienst zu identifizieren. Sobald Sie sicher sind, dass der Eintrag alle legitimen Quellen abdeckt, ist „-all“ die richtige Wahl. SPF-Softfail vs. Hardfail: Wann sollte man umstellen? → Jedes Mal, wenn Sie einen E-Mail-Versanddienst hinzufügen oder entfernen. In der Praxis sollte die Überprüfung vierteljährlich erfolgen. Anbieter wechseln ihre IP-Adressen, Teams fügen Tools hinzu, ohne die IT-Abteilung zu informieren, und es kommt vor, dass Domains gelegentlich nicht mehr erreichbar sind. Hosted SPF kümmert sich automatisch darum; manuell angelegte Einträge erfordern planmäßige Überprüfungen. SPF weist bekannte Einschränkungen auf. Bei Diensten mit gemeinsam genutzten IP-Adressen (wie Mailchimp) bestehen alle Kunden im selben IP-Bereich Ihre SPF-Prüfung. Durch das Fälschen des Anzeigenamens wird SPF vollständig umgangen, da der Return-Path dabei nicht berührt wird. Und der „BreakSPF“-Angriff hat gezeigt, wie übermäßig großzügig gestaltete Einträge mit breiten IP-Bereichen ausgenutzt werden können. DMARC mit strikter Ausrichtung mindert diese Risiken. Mit der SPF-Delegierung können Sie die SPF-Einstellungen für eine Subdomain von einer anderen DNS-Zone aus verwalten. Der Modifikator „redirect=“ weist Empfänger an, den SPF-Eintrag einer anderen Domain vollständig zu verwenden. Er ersetzt Ihren Eintrag, anstatt ihn zu ergänzen. Verwenden Sie „redirect“, wenn die SPF-Richtlinie einer Domain für eine andere Domain in identischer Weise gelten soll. Die DNS-Propagierung hängt von der TTL Ihres bestehenden Eintrags und der Zwischenspeicherung durch zwischengeschaltete Resolver ab. In der Regel dauert die Propagierung 1 bis 4 Stunden. Im schlimmsten Fall kann sie bis zu 48 Stunden dauern. Verringern Sie die TTL vor der Änderung auf 300 Sekunden und erhöhen Sie sie wieder, sobald die Propagierung abgeschlossen ist.
SPF-Eintrag: Was das ist, wie es funktioniert und wie man einen einrichtet
Wichtigste Erkenntnisse
PowerDMARC-Ressourcenzentrum
Inhaltsverzeichnis
Was ist SPF?
Inhalt dieses Leitfadens
Wie SPF funktioniert
SPF-Ergebnis Was es bedeutet Pass Das Senden der IP-Adresse ist zulässig. Fehlgeschlagen (-all) Nicht genehmigt. Sollte abgelehnt werden. SoftFail (~alle) Wahrscheinlich nicht autorisiert. Akzeptieren, aber markieren. PermError Der Datensatz wurde beschädigt (Syntaxfehler, zu viele Suchvorgänge). Wird als Fehler gewertet. Syntax von SPF-Einträgen: Mechanismen und Qualifizierer
v=spf1, listet autorisierte Absender mithilfe von Mechanismen wie ip4:, ip6:und umfassen:, und endet mit einer Bedingung, die den Empfängern vorgibt, wie sie mit nicht aufgeführten Absendern verfahren sollen. Hier ein Beispiel:v=spf1 ip4:192.168.1.1 include:_spf.google.com include:sendgrid.net -all
include:, a, mx, Weiterleitung=und exists: Dieser Mechanismus fließt in die 10 DNS-Abfrage-Limit. Wird dieser Wert überschritten, wird ein „PermError“ ausgelöst, der die Authentifizierung vollständig unterbricht. Der ptr: Der Mechanismus ist veraltet., nicht verwenden.So erstellen Sie einen SPF-Eintrag
include: Wert in ihrer Dokumentation. Erstellen Sie einen einzigen Datensatz, der alle Absender zusammenfasst (es darf nur ein SPF-Eintrag pro Domain), veröffentlichen Sie ihn als TXT-Eintrag in Ihrer DNS-Anbieter, und überprüfen Sie es mit einem SPF-Prüfer. DNS-Verbreitung dauert in der Regel einige Stunden, kann aber bis zu 48 Stunden in Anspruch nehmen.Anbieter-spezifische Einrichtungsanleitungen
So überprüfen und validieren Sie Ihren SPF-Eintrag
Was bei einer gründlichen SPF-Prüfung überprüft werden sollte:
v=spf1include: Domainsall Die Qualifikation ist vorhanden und angemessenptr:)Überprüfung über die Befehlszeile (Linux/Mac):
dig TXT yourdomain.com +short | grep "v=spf1"
Häufige SPF-Fehler und wie man sie behebt
Fehler Was gibt’s Neues? Anleitung zur Fehlerbehebung PermError: Zu viele DNS-Abfragen Der Datensatz überschreitet das Limit von 10 Abfragen SPF-PermError beheben Mehrere SPF-Einträge Zwei v=spf1-Einträge für dieselbe Domain Mehrere SPF-Einträge korrigieren SPF wird bestanden, DMARC jedoch nicht Der „Return-Path“ stimmt nicht mit dem „From:“ überein: SPF-Ausrichtung korrigieren SoftFail. Die Domain gibt den Absender nicht an. Die Absender-IP ist nicht im SPF-Eintrag enthalten SPF-SoftFail beheben SPF-Prüfung 550 fehlgeschlagen Hard Rejection auf dem empfangenden Server Fehler 550 SPF beheben Kein SPF-Eintrag gefunden Fehlender oder unveröffentlichter Datensatz SPF-Eintrag fehlt – beheben SPF-Prüfung bei weitergeleiteten E-Mails schlägt fehl IP-Adresse des Weiterleitungsservers nicht autorisiert Anleitung zur E-Mail-Weiterleitung SPF-Validierungsfehler Problem mit der Syntax oder der Formatierung SPF-Validierungsfehler beheben E-Mail gemäß SPF-Richtlinie abgelehnt Empfangsserver, der strenge SPF-Regeln durchsetzt SPF-Ablehnung beheben Der SPF-Eintrag überschreitet die Zeichenbegrenzung Der Eintrag ist zu lang für einen einzelnen DNS-TXT-Eintrag Begrenzung der Zeichenanzahl bei SPF beheben SPF und DMARC: Die Zusammenhänge verstehen
SPF vs. DKIM vs. DMARC: Wie sie zusammenwirken
Hosted SPF: Lösung des Skalierbarkeitsproblems
include: Ketten in optimierte Einträge umwandeln, Änderungen an der IP-Adresse des Anbieters überwachen und Ihren Eintrag ohne manuelle DNS-Bearbeitungen unterhalb des Suchlimits halten. Für Unternehmen, die SPF-Makros oder die Verwaltung SPF über mehrere Domains und Subdomains hinweg, Durch den gehosteten SPF entfällt der Wartungsaufwand vollständig.Checkliste für bewährte Verfahren im Bereich SPF
SPF richtig einrichten
Kostenlose Tools von PowerDMARC
SPF-Datensatz-Prüfer
Hauptmerkmale:
SPF-Datensatz-Generator
Hauptmerkmale:
PowerDMARC-Toolbox
Hauptmerkmale:
Schützen und überwachen Sie Ihre Domain
Häufig gestellte Fragen
Mein SPF-Eintrag ist gültig, aber E-Mails landen trotzdem im Spam-Ordner. Warum?
Brauche ich SPF, wenn ich bereits DKIM nutze?
Wird der Wechsel von „~all“ zu „-all“ meine E-Mails beeinträchtigen?
Wie oft müssen SPF-Einträge aktualisiert werden?
Können Angreifer SPF umgehen?
Was ist der Unterschied zwischen einer SPF-Delegierung und einer SPF-Weiterleitung?
Wie lange dauert es, bis sich die SPF-Änderungen auswirken?
Was ist SPF?
So funktioniert SPF
Syntax von SPF-Einträgen: Mechanismen und Qualifizierer
So erstellen Sie einen SPF-Eintrag
So überprüfen und validieren Sie Ihren SPF-Eintrag
Häufige SPF-Fehler und wie man sie behebt
SPF und DMARC: Die Zusammenhänge verstehen
SPF vs. DKIM vs. DMARC
Hosted SPF: Die Lösung für das Skalierbarkeitsproblem von SPF
Bewährte Verfahren für SPF
Häufig gestellte Fragen
Verwende „-all“, nicht „~all“
Ein „Hard Fail“ sendet ein klares Signal. Ein „Soft Fail“ ist mehrdeutig.
Bleib unter 8 Abfragen
Das lässt Spielraum. Genau 10 ist eine tickende Zeitbombe.
SPF auf Domains veröffentlichen, von denen keine E-Mails versendet werden
Angreifer fälschen geparkte Domains gerade deshalb, weil diese kein SPF haben.
SPF auf jeder Subdomain veröffentlichen
SPF unter „yourdomain.com“ gilt nicht für „mail.yourdomain.com“.
Verwenden Sie „include:“ für Dritte
Die Anbieter verwalten ihre IP-Bereiche; dazu gehört auch, dass diese stets auf dem neuesten Stand bleiben.
Verwenden Sie niemals ptr:
Gemäß RFC 7208 veraltet. Langsam, unzuverlässig, verschwendet eine Abfrage.
Überwachung anhand von DMARC-Berichten
RUA-Berichte decken Absender auf, von denen Sie bisher nichts wussten. Siehe auch RUA vs. RUF.
Vierteljährliche Prüfung
Entfernen Sie Anbieter, deren Dienste Sie nicht mehr in Anspruch nehmen, bevor sie zu einer Belastung werden.
10.000+Geschützte Organisationen
32Kostenlose Tools verfügbar
4,9/5Bewertung auf G2
G2-MarktführerDMARC-Software
SOC 2
HIPAA
PCI-DSS
DSGVO
ISO 27001
