SPF-Eintrag: Was das ist, wie es funktioniert und wie man einen einrichtet

E-Mail-Betrug kostet Unternehmen jedes Jahr Milliarden von Dollar – und in den meisten Fällen beginnt alles mit einer gefälschten Absenderadresse. Das Sender Policy Framework (SPF) ist neben DKIM und DMARC eines der drei grundlegenden Protokolle zur E-Mail-Authentifizierung, das unbefugte Absender daran hindert, E-Mails unter Verwendung Ihrer Domain zu versenden.

Wichtigste Erkenntnisse

  • SPF ist neben DKIM und DMARC eines der drei grundlegenden E-Mail-Authentifizierungsprotokolle. Es handelt sich um einen DNS-TXT-Eintrag, in dem alle IP-Adressen und Mailserver aufgeführt sind, die zum Versenden von E-Mails für Ihre Domain berechtigt sind – ohne diesen Eintrag kann sich jeder Server im Internet als Ihre Domain ausgeben.
  • SPF überprüft lediglich die „Return-Path“-Domain (Envelope-Domain), nicht jedoch die sichtbare „Von:“-Adresse, sodass es allein nicht ausreicht, um das Fälschen von Anzeigenamen zu verhindern. Es muss im Rahmen von DMARC eingesetzt werden, um Ihre Domain umfassend zu schützen.
  • Die abschließende Qualifizierung legt die Durchsetzung fest: -all (Hard-Fail) lehnt jeden nicht aufgeführten Absender ab, während ~all (Soft-Fail) diese lediglich kennzeichnet. Wechseln Sie zu -all, sobald Sie alle Ihre legitimen Absenderquellen überprüft haben.
  • Jeder „include“-Eintrag, jeder „a“-Eintrag, jeder „mx“-Eintrag, jede Umleitung und jeder „exists“-Eintrag wird auf das Limit von 10 DNS-Abfragen im SPF angerechnet – wird dieses überschritten, gibt der gesamte Eintrag einen „PermError“ zurück. Halten Sie den Eintrag schlank (oder nutzen Sie die automatische Vereinfachung), um unter dem Limit zu bleiben.

PowerDMARC-Ressourcenzentrum

Dieser Leitfaden deckt alles ab: Was SPF ist, wie es genau funktioniert, wie man einen Eintrag erstellt und validiert, was die einzelnen Mechanismen und Qualifizierer bedeuten, wie man die häufigsten Fehler behebt und wie SPF in eine umfassende DMARC-Strategie passt. Setzen Sie ein Lesezeichen – Sie werden immer wieder darauf zurückgreifen.

Schritt-für-Schritt-Anleitungen zur SPF-Einrichtung

Vollständige Implementierungsanleitungen

Fehler beheben

Lookups, Softfails und Ausrichtung korrigieren

SPF- und DMARC-Abstimmung

SPF bei DMARC berücksichtigen

Kostenlose SPF-Tools

Datensätze überprüfen, generieren und validieren

Was ist SPF?

SPF (Sender Policy Framework) ist neben DKIM und DMARC eines der drei zentralen E-Mail-Authentifizierungsprotokolle, die verhindern, dass unbefugte Server E-Mails unter Verwendung Ihrer Domain versenden. Ein SPF-Eintrag ist ein DNS-TXT-Eintrag, der alle IP-Adressen und Mailserver auflistet, die zum Versand in Ihrem Namen berechtigt sind. Ohne einen solchen Eintrag kann sich jeder Server im Internet als Ihre Domain ausgeben, und die empfangenden Server haben keine Möglichkeit, den Unterschied zu erkennen.

Inhalt dieses Leitfadens

Springen Sie zu einem beliebigen Abschnitt oder lesen Sie den Text von Anfang bis Ende durch, um sich einen umfassenden Überblick zu verschaffen:

Wie SPF funktioniert

Wenn ein empfangender Mailserver eine E-Mail erhält, extrahiert er die Domain aus dem „Return-Path“ (Absender im Umschlag), fragt das DNS nach einem TXT-Eintrag ab, der mit „v=spf1“ beginnt, und prüft, ob die IP-Adresse des sendenden Servers mit der autorisierten Liste übereinstimmt. Bei Übereinstimmung wird die SPF-Prüfung bestanden. Andernfalls lautet das Ergebnis „fail“, „softfail“ oder „error“, und wie es weitergeht, hängt von Ihrer DMARC-Richtlinie ab.

SPF überprüft die „Return-Path“-Domäne (die technische Absenderadresse), nicht die sichtbare „Von:“-Adresse. Das bedeutet, dass SPF allein das Fälschen des Anzeigenamens nicht verhindern kann. Aus diesem Grund gibt es die DMARC-Ausrichtung, um diese Lücke zu schließen.

SPF-ErgebnisWas es bedeutet
PassDas Senden der IP-Adresse ist zulässig.
Fehlgeschlagen (-all)Nicht genehmigt. Sollte abgelehnt werden.
SoftFail (~alle)Wahrscheinlich nicht autorisiert. Akzeptieren, aber markieren.
PermErrorDer Datensatz wurde beschädigt (Syntaxfehler, zu viele Suchvorgänge). Wird als Fehler gewertet.

Syntax von SPF-Einträgen: Mechanismen und Qualifizierer

Ein SPF-Eintrag beginnt mit v=spf1, listet autorisierte Absender mithilfe von Mechanismen wie ip4:, ip6:und umfassen:, und endet mit einer Bedingung, die den Empfängern vorgibt, wie sie mit nicht aufgeführten Absendern verfahren sollen. Hier ein Beispiel:

v=spf1 ip4:192.168.1.1 include:_spf.google.com include:sendgrid.net -all

-all und ~all stehen für unterschiedliche Strenge bei der Durchsetzung in SPF. -all (Hard Fail) teilt den empfangenden Servern mit, dass nur die aufgeführten Absender autorisiert sind und alle anderen zurückgewiesen werden sollen. ~all (Soft Fail) ist weniger streng und kennzeichnet alle nicht autorisierten Absender als verdächtig, akzeptiert sie jedoch weiterhin. Verwenden Sie -all, sobald Ihre Absender vollständig geprüft wurden.

Jedes include:, a, mx, Weiterleitung=und exists: Dieser Mechanismus fließt in die 10 DNS-Abfrage-Limit. Wird dieser Wert überschritten, wird ein „PermError“ ausgelöst, der die Authentifizierung vollständig unterbricht. Der ptr: Der Mechanismus ist veraltet., nicht verwenden.

So erstellen Sie einen SPF-Eintrag

Führen Sie zunächst alle Dienste auf, die E-Mails über Ihre Domain versenden, zum Beispiel:

  • Ihr primärer Mailserver
  • Google Workspace oder Microsoft 365
  • Marketing-Tools (Mailchimp, HubSpot, Klaviyo)
  • Transaktionsdienste (SendGrid, Mailgun, Amazon SES) sowie alle CRM- oder Helpdesk-Systeme, die in Ihrem Namen E-Mails versenden.

Jeder Anbieter veröffentlicht eine include: Wert in ihrer Dokumentation. Erstellen Sie einen einzigen Datensatz, der alle Absender zusammenfasst (es darf nur ein SPF-Eintrag pro Domain), veröffentlichen Sie ihn als TXT-Eintrag in Ihrer DNS-Anbieter, und überprüfen Sie es mit einem SPF-Prüfer. DNS-Verbreitung dauert in der Regel einige Stunden, kann aber bis zu 48 Stunden in Anspruch nehmen.

Anbieter-spezifische Einrichtungsanleitungen

So überprüfen und validieren Sie Ihren SPF-Eintrag

Verwenden Sie ein SPF-Prüftool, um sicherzustellen, dass Ihr Eintrag syntaktisch korrekt ist, das Limit von 10 Abfragen nicht überschreitet und auf die richtigen IP-Adressen verweist. Das SPF-Lookup-Tool von PowerDMARC führt all diese Prüfungen sofort durch.

Was bei einer gründlichen SPF-Prüfung überprüft werden sollte:

  • Der Datensatz beginnt mit v=spf1
  • Für die Domain existiert nur ein SPF-Eintrag
  • Die Gesamtzahl der DNS-Abfragen beträgt 10 oder weniger
  • Keine Syntaxfehler oder nicht auflösbare include: Domains
  • Diese all Die Qualifikation ist vorhanden und angemessen
  • Keine veralteten Mechanismen (z. B. ptr:)

Überprüfung über die Befehlszeile (Linux/Mac):

dig TXT yourdomain.com +short | grep "v=spf1"

So nutzen Sie die SPF-Abfrage von PowerDMARC: Geben Sie Ihre Domain im PowerDMARC SPF Checker ein, um sofort einen Diagnosebericht zu erhalten, der die Anzahl der Abfragen, eine Aufschlüsselung nach Mechanismen sowie etwaige Fehler anzeigt.

Häufige SPF-Fehler und wie man sie behebt

Die meisten SPF-Fehler sind auf Konfigurationsabweichungen zurückzuführen, nicht auf das Protokoll selbst. Hier sind die Fehler, die am häufigsten auftreten, und wo sie jeweils behoben werden können:

FehlerWas gibt’s Neues?Anleitung zur Fehlerbehebung
PermError: Zu viele DNS-AbfragenDer Datensatz überschreitet das Limit von 10 AbfragenSPF-PermError beheben
Mehrere SPF-EinträgeZwei v=spf1-Einträge für dieselbe DomainMehrere SPF-Einträge korrigieren
SPF wird bestanden, DMARC jedoch nichtDer „Return-Path“ stimmt nicht mit dem „From:“ überein:SPF-Ausrichtung korrigieren
SoftFail. Die Domain gibt den Absender nicht an.Die Absender-IP ist nicht im SPF-Eintrag enthaltenSPF-SoftFail beheben
SPF-Prüfung 550 fehlgeschlagenHard Rejection auf dem empfangenden ServerFehler 550 SPF beheben
Kein SPF-Eintrag gefundenFehlender oder unveröffentlichter DatensatzSPF-Eintrag fehlt – beheben
SPF-Prüfung bei weitergeleiteten E-Mails schlägt fehlIP-Adresse des Weiterleitungsservers nicht autorisiertAnleitung zur E-Mail-Weiterleitung
SPF-ValidierungsfehlerProblem mit der Syntax oder der FormatierungSPF-Validierungsfehler beheben
E-Mail gemäß SPF-Richtlinie abgelehntEmpfangsserver, der strenge SPF-Regeln durchsetztSPF-Ablehnung beheben
Der SPF-Eintrag überschreitet die ZeichenbegrenzungDer Eintrag ist zu lang für einen einzelnen DNS-TXT-EintragBegrenzung der Zeichenanzahl bei SPF beheben

SPF und DMARC: Die Zusammenhänge verstehen

SPF kann die Überprüfung bestehen, während DMARC weiterhin fehlschlägt. Dies liegt daran, dass SPF die „Return-Path“-Domain überprüft, DMARC jedoch verlangt, dass diese Domain mit der sichtbaren „From:“-Adresse übereinstimmt. Wenn Sie E-Mails über einen Drittanbieter versenden, der einen eigenen „Return-Path“ verwendet, erfolgt die SPF-Authentifizierung anhand der Domain des Anbieters und nicht Ihrer eigenen, sodass DMARC die Übereinstimmungsprüfung nicht besteht.

Die Lösung besteht darin, entweder bei jedem Provider einen benutzerdefinierten Return-Path für Ihre Domain zu konfigurieren oder stattdessen auf die DKIM-Abgleichung zurückzugreifen (DKIM-Signaturen bleiben bei der Weiterleitung erhalten und sind nicht an die Absender-IP gebunden). Legen Sie den Abgleichmodus mit dem Tag „aspf=“ in Ihrem DMARC-Eintrag fest: „aspf=r“ (gelockert, Subdomains zulässig) oder „aspf=s“ (streng, exakte Übereinstimmung).

SPF vs. DKIM vs. DMARC: Wie sie zusammenwirken

Diese drei Protokolle ergänzen sich, sind jedoch nicht austauschbar. SPF überprüft den Absenderserver, während DKIM die Integrität der Nachricht mithilfe einer kryptografischen Signatur überprüft. DMARC verbindet beide miteinander, setzt eine Richtlinie durch (keine / Quarantäne / Ablehnung) und erstellt aggregierte sowie forensische Berichte. Eine E-Mail besteht die DMARC-Prüfung, wenn sie entweder die SPF- oder die DKIM-Prüfung besteht. Sie müssen beide Protokolle konfigurieren, damit das eine ausgleichen kann, wenn das andere versagt (z. B. wenn SPF bei weitergeleiteten E-Mails fehlschlägt, DKIM jedoch weiterhin funktioniert).

Hosted SPF: Lösung des Skalierbarkeitsproblems

Jedes SaaS-Tool, das Sie Ihrem SPF-Eintrag hinzufügen, verbraucht DNS-Lookups. Sobald Sie das Limit von 10 Lookups erreichen, funktioniert der gesamte Eintrag nicht mehr und alle SPF-Prüfungen geben „PermError“ zurück. Das manuelle „SPF-Flattening“ (das Ersetzen von „includes“ durch reine IP-Adressen) funktioniert zwar kurzfristig, verliert jedoch seine Gültigkeit, sobald Anbieter ihre IP-Bereiche ändern – was sie ohne Vorwarnung tun.

PowerDMARCs automatische SPF-Abflachung löst dieses Problem durch dynamische Auflösung include: Ketten in optimierte Einträge umwandeln, Änderungen an der IP-Adresse des Anbieters überwachen und Ihren Eintrag ohne manuelle DNS-Bearbeitungen unterhalb des Suchlimits halten. Für Unternehmen, die SPF-Makros oder die Verwaltung SPF über mehrere Domains und Subdomains hinweg, Durch den gehosteten SPF entfällt der Wartungsaufwand vollständig.

Checkliste für bewährte Verfahren im Bereich SPF

Ein „Hard Fail“ sendet ein klares Signal. Ein „Soft Fail“ ist mehrdeutig.
Bleib unter 8 Abfragen
Das lässt Spielraum. Genau 10 ist eine tickende Zeitbombe.
SPF auf Domains veröffentlichen, von denen keine E-Mails versendet werden
Angreifer fälschen geparkte Domains gerade deshalb, weil diese kein SPF haben.
SPF auf jeder Subdomain veröffentlichen
SPF unter „yourdomain.com“ gilt nicht für „mail.yourdomain.com“.
Die Anbieter verwalten ihre IP-Bereiche; dazu gehört auch, dass diese stets auf dem neuesten Stand bleiben.
Verwenden Sie niemals ptr:
Gemäß RFC 7208 veraltet. Langsam, unzuverlässig, verschwendet eine Abfrage.
Überwachung anhand von DMARC-Berichten
RUA-Berichte decken Absender auf, von denen Sie bisher nichts wussten. Siehe auch RUA vs. RUF.
Vierteljährliche Prüfung
Entfernen Sie Anbieter, deren Dienste Sie nicht mehr in Anspruch nehmen, bevor sie zu einer Belastung werden.
In Kombination mit DKIM und DMARC verwenden
SPF allein sorgt nicht für die Durchsetzung. DKIM deckt die Weiterleitung ab. DMARC sorgt für die Durchsetzung.

SPF richtig einrichten

Wenn Sie SPF zum ersten Mal einrichten, beginnen Sie mit den oben aufgeführten anbieterspezifischen Anleitungen und überprüfen Sie Ihren Eintrag mit dem kostenlosen SPF-Checker von PowerDMARC. Wenn Sie SPF bereits nutzen und an Abfrage-Limits stoßen oder PermErrors erhalten, eliminiert das automatisierte SPF-Flattening den Wartungsaufwand. Und falls Sie DMARC noch nicht eingerichtet haben, ist dies der wichtigste nächste Schritt – SPF ohne DMARC ist wie ein Schloss ohne Tür.

Kostenlose Tools von PowerDMARC

Übernehmen Sie die Kontrolle über Ihre E-Mail-Authentifizierung mit den kostenlosen SPF-Tools von PowerDMARC. Überprüfen Sie sofort Ihre Domain, erstellen Sie neue Einträge oder entdecken Sie die gesamte Plattform. Keine Anmeldung erforderlich.

SPF-Datensatz-Prüfer

Überprüfen Sie sofort den SPF-Eintrag Ihrer Domain, zeigen Sie die gesamte Lookup-Kette an und erkennen Sie eventuelle Konfigurationsprobleme.

Hauptmerkmale:

  • Sofortige Erweiterung der Lookup-Kette: Sehen Sie sich jede IP-Adresse an und fügen Sie den Eintrag hinzu, zu dem Ihr Eintrag aufgelöst wird.
  • Lookup-Zähler: Zeigt an, dass das Limit von 10 DNS-Lookups erreicht ist, bevor der E-Mail-Versand unterbrochen wird.
  • Fehlererkennung: Erkennt PermError, TempError und Syntaxfehler.
  • Unbegrenzt und kostenlos: Führen Sie unbegrenzt viele Überprüfungen durch – ganz ohne Registrierung.
SPF-Checker verwenden

SPF-Datensatz-Generator

Erstellen Sie einen gültigen SPF-Eintrag, der auf die Absender Ihrer Domain zugeschnitten ist, ohne die Syntax manuell eingeben zu müssen.

Hauptmerkmale:

  • Assistent: Fügen Sie in wenigen einfachen Schritten Absender und Mechanismen hinzu.
  • Ausgabe als einzelne Datei: Fasst alle Ihre Sender zu einer einzigen konformen Datei zusammen.
  • Fehlerfreie Ausgabe: Erzeugt jedes Mal korrekt formatierte SPF-Dateien.
  • Einsteigerfreundlich: einfache Benutzeroberfläche für eine schnelle und unkomplizierte Einrichtung.
SPF-Generator verwenden

PowerDMARC-Toolbox

Eine umfassende Plattform zur Überwachung, Durchsetzung und Analyse der E-Mail-Authentifizierung über mehrere Domänen hinweg.

Hauptmerkmale:

  • All-in-One-Übersicht: Überprüfen Sie SPF-, DKIM-, DMARC-, BIMI-, MTA-STS-, TLS-RPT-, MX- und NS-Einträge über ein einziges Dashboard.
  • Einblicke in die Reputation: Zeigen Sie WHOIS-Daten, den Status auf Blocklisten, PTR und FCrDNS an, um Risiken für die Zustellbarkeit zu erkennen.
Werkzeugkasten erkunden

Schützen und überwachen Sie Ihre Domain

Erstellen Sie Authentifizierungsdatensätze, überprüfen Sie die DNS-Konfiguration und überwachen Sie die E-Mail-Aktivitäten Ihrer Domain über eine einzige Plattform. Verhindern Sie Spoofing, verbessern Sie die Zustellbarkeit und erhalten Sie vollständigen Einblick darin, wer in Ihrem Namen E-Mails versendet.

10.000+Geschützte Organisationen
32Kostenlose Tools verfügbar
4,9/5Bewertung auf G2
G2-MarktführerDMARC-Software

Vertrauen von Unternehmen, MSPs und Sicherheitsteams, die für die Aufrechterhaltung der Domain-Reputation und die Verhinderung von Spoofing verantwortlich sind.

SOC 2 HIPAA PCI-DSS DSGVO ISO 27001

„PowerDMARC ist ein sehr leistungsstarkes und umfassendes Tool, das die tägliche Arbeit der Überwachung von E-Mail-Authentifizierungs- und Sicherheitsfunktionen erheblich vereinfacht. Es bietet Transparenz und Klarheit, die sonst nur schwer zu erreichen wären. Ich kann PowerDMARC jedem empfehlen, der seine E-Mail-Sicherheit verbessern möchte!“

— Yves P., Systemingenieur

Häufig gestellte Fragen

Mein SPF-Eintrag ist gültig, aber E-Mails landen trotzdem im Spam-Ordner. Warum?

SPF ist nur eines von vielen Signalen. Die Zustellbarkeit von E-Mails hängt auch von der Domain-Reputation, der IP-Reputation, der Qualität der Inhalte, der bisherigen Interaktionshistorie sowie davon ab, ob DKIM und DMARC ebenfalls konfiguriert sind. Eine bestandene SPF-Prüfung garantiert nicht, dass die E-Mails im Posteingang landen. Warum E-Mails im Spam-Ordner landen und wie man das beheben kann →

Brauche ich SPF, wenn ich bereits DKIM nutze?

Ja. Sie decken unterschiedliche Fehlerfälle ab. DKIM bleibt bei der Weiterleitung erhalten, überprüft jedoch nicht den Absenderserver. SPF überprüft den Server, versagt jedoch bei der Weiterleitung. DMARC erfordert, dass mindestens eine der beiden Methoden die Überprüfung mit Alignment besteht; sind beide vorhanden, kann die Nachricht auch dann noch authentifiziert werden, wenn eine der beiden Methoden versagt. Kann man DMARC ohne DKIM verwenden? →

Wird der Wechsel von „~all“ zu „-all“ meine E-Mails beeinträchtigen?

Nur, wenn Sie legitime Absender haben, die noch nicht in Ihrem Eintrag aufgeführt sind. Beobachten Sie vor der Umstellung mindestens 2–4 Wochen lang die DMARC-Gesamtberichte, um jeden Versanddienst zu identifizieren. Sobald Sie sicher sind, dass der Eintrag alle legitimen Quellen abdeckt, ist „-all“ die richtige Wahl. SPF-Softfail vs. Hardfail: Wann sollte man umstellen? →

Wie oft müssen SPF-Einträge aktualisiert werden?

Jedes Mal, wenn Sie einen E-Mail-Versanddienst hinzufügen oder entfernen. In der Praxis sollte die Überprüfung vierteljährlich erfolgen. Anbieter wechseln ihre IP-Adressen, Teams fügen Tools hinzu, ohne die IT-Abteilung zu informieren, und es kommt vor, dass Domains gelegentlich nicht mehr erreichbar sind. Hosted SPF kümmert sich automatisch darum; manuell angelegte Einträge erfordern planmäßige Überprüfungen.

Können Angreifer SPF umgehen?

SPF weist bekannte Einschränkungen auf. Bei Diensten mit gemeinsam genutzten IP-Adressen (wie Mailchimp) bestehen alle Kunden im selben IP-Bereich Ihre SPF-Prüfung. Durch das Fälschen des Anzeigenamens wird SPF vollständig umgangen, da der Return-Path dabei nicht berührt wird. Und der „BreakSPF“-Angriff hat gezeigt, wie übermäßig großzügig gestaltete Einträge mit breiten IP-Bereichen ausgenutzt werden können. DMARC mit strikter Ausrichtung mindert diese Risiken.

Was ist der Unterschied zwischen einer SPF-Delegierung und einer SPF-Weiterleitung?

Mit der SPF-Delegierung können Sie die SPF-Einstellungen für eine Subdomain von einer anderen DNS-Zone aus verwalten. Der Modifikator „redirect=“ weist Empfänger an, den SPF-Eintrag einer anderen Domain vollständig zu verwenden. Er ersetzt Ihren Eintrag, anstatt ihn zu ergänzen. Verwenden Sie „redirect“, wenn die SPF-Richtlinie einer Domain für eine andere Domain in identischer Weise gelten soll.

Wie lange dauert es, bis sich die SPF-Änderungen auswirken?

Die DNS-Propagierung hängt von der TTL Ihres bestehenden Eintrags und der Zwischenspeicherung durch zwischengeschaltete Resolver ab. In der Regel dauert die Propagierung 1 bis 4 Stunden. Im schlimmsten Fall kann sie bis zu 48 Stunden dauern. Verringern Sie die TTL vor der Änderung auf 300 Sekunden und erhöhen Sie sie wieder, sobald die Propagierung abgeschlossen ist.