SPF (Sender Policy Framework): Was es ist und wie es funktioniert
von
Zuletzt aktualisiert: 7 Lesezeit: 7 Minuten
Wichtigste Erkenntnisse
- SPF (Sender Policy Framework) ist ein E-Mail-Authentifizierungsprotokoll, mit dem Domaininhaber eine Liste autorisierter Mailserver in ihrem DNS veröffentlichen können.
- Ein SPF-Eintrag ist ein DNS-TXT-Eintrag, der autorisierte IP-Adressen und Absendedienste auflistet. Er muss mit „v=spf1“ beginnen, der korrekten SPF-Syntax entsprechen und als einzelner Eintrag veröffentlicht werden.
- SPF hat echte Einschränkungen. Es versagt bei weitergeleiteten E-Mails, kann die für Benutzer sichtbare Absenderadresse nicht schützen und unterliegt einer festen Obergrenze von 10 DNS-Abfragen. Wird diese Grenze überschritten, kommt es zu einem PermError, der dazu führen kann, dass legitime E-Mails unbemerkt abgelehnt werden.
- SPF allein reicht nicht aus. Es muss mit DKIM und DMARC kombiniert werden, um einen umfassenden Schutz vor E-Mail-Spoofing, Phishing-Angriffen und Domain-Missbrauch zu gewährleisten.
E-Mail-Spoofing ist einer der ältesten Tricks im Repertoire von Angreifern, und er funktioniert immer noch, weil zu viele Domains dies ermöglichen. Das Sender Policy Framework (SPF) ist die erste Verteidigungslinie. Es handelt sich um ein grundlegendes Protokoll zur E-Mail-Authentifizierung, das empfangenden Mailservern mitteilt, welche IP-Adressen tatsächlich berechtigt sind, E-Mails in Ihrem Namen zu versenden.
Dieser Leitfaden erklärt, was SPF ist, wie das SPF-Protokoll funktioniert, wie man es richtig einrichtet und wo seine Grenzen liegen.
Was ist SPF (Sender Policy Framework)?
Das Sender Policy Framework (SPF) ist ein E-Mail-Authentifizierungsprotokoll, das entwickelt wurde, um E-Mail-Spoofingzu verhindern, eine der gängigsten Techniken bei Phishing-Angriffen und Spam-Kampagnen.
Dies funktioniert, indem Domain-Inhaber eine Liste autorisierter Mailserver in ihrem DNS veröffentlichen, sodass empfangende Server überprüfen können, ob eine eingehende Nachricht tatsächlich von einer zugelassenen Quelle stammt.
SPF ist ein grundlegender Bestandteil der E-Mail-Authentifizierung , da es empfangenden Systemen eine klare, verbindliche Antwort auf eine einfache Frage liefert: Darf dieser Server E-Mails für diese Domain versenden?
Die Rolle von SPF im Gesamtkontext der E-Mail-Sicherheit
SPF funktioniert nicht isoliert. Es ist neben DomainKeys Identified Mail (DKIM) und Domain-based Message Authentication, Reporting, and Conformance (DMARC). Zusammen bilden diese Protokolle einen umfassenden Schutz gegen E-Mail-Betrug.
| Protokoll | Was dabei überprüft wird |
|---|---|
| SPF | Ob der sendende Server vom Domaininhaber autorisiert ist |
| DKIM | Ob der Inhalt der Nachricht während der Übertragung verändert wurde |
| DMARC | Ob SPF und DKIM mit der Absenderadresse übereinstimmen und was zu tun ist, wenn dies nicht der Fall ist |
SPF ist zudem eine erforderliche Komponente für die Einrichtung von DMARC. Ohne einen gültigen SPF-Eintrag kann DMARC nicht ordnungsgemäß funktionieren.
Lesetipp: SPF, DKIM und DMARC: Wie sie zusammenwirken
So funktioniert das SPF-Protokoll
SPF funktioniert vollständig über das DNS. Wenn eine E-Mail versendet wird, führt der empfangende Mailserver eine Reihe von Prüfungen durch, um festzustellen, ob der Nachricht vertraut werden kann. So läuft dieser Vorgang von Anfang bis Ende ab.
Der SPF-Überprüfungsprozess
- Eine E-Mail wird von einem Server versendet, wobei die Domain des Absenders in der Return-Path-Adresse enthalten ist
- Der empfangende Server ermittelt anhand dieser Return-Path-Adresse die Domain des Absenders
- Der empfangende Server führt eine SPF-Eintragssuche im DNS der Domain, um den veröffentlichten SPF-Eintrag zu finden
- Die IP-Adresse des sendenden Servers wird mit der Liste der autorisierten IP-Adressen im SPF-Eintrag abgeglichen
- Wenn eine Übereinstimmung vorliegt, besteht die E-Mail die SPF-Authentifizierung. Wenn keine Übereinstimmung vorliegt, wird die E-Mail je nach den Richtlinien der Domain möglicherweise als verdächtig markiert oder abgelehnt.
Ergebnisse der SPF-Authentifizierung
| Ergebnis | Bedeutung |
|---|---|
| Pass | Das Senden von IP-Adressen ist im SPF-Eintrag autorisiert |
| Fail | Die Absender-IP ist nicht autorisiert |
| SoftFail | Die IP-Adresse ist nicht autorisiert, aber die Domain weist den Zugriff nicht zurück |
| Neutral | Der Domaininhaber hat keine Angaben zur Absender-IP gemacht |
| Keine | Für die Domain wurde kein SPF-Eintrag gefunden |
| TempError | Bei der Überprüfung ist ein DNS-Lookup-Fehler aufgetreten |
| PermError | Der SPF-Eintrag enthält einen Syntaxfehler oder überschreitet das Suchlimit |
Es ist wichtig zu beachten, dass SPF lediglich die IP-Adresse des sendenden Servers überprüft. Die tatsächliche Identität des Absenders oder der Inhalt der Nachricht werden dabei nicht authentifiziert. Hier kommen DKIM und DMARC die Lücken schließen.
Wie sieht ein SPF-Eintrag aus?
Ein SPF-Eintrag ist ein DNS-TXT-Eintrag , der in den DNS-Einstellungen Ihrer Domain veröffentlicht wird. Er folgt einer bestimmten Syntax aus Mechanismen und Qualifizierern, die festlegen, welche Server berechtigt sind, E-Mails für Ihre Domain zu versenden.
Grundlegender Aufbau eines SPF-Eintrags
v=spf1 ip4:192.0.2.0/24 include:mailprovider.com -all
| Komponente | Bedeutung |
|---|---|
| v=spf1 | Versions-Tag, muss in jedem SPF-Eintrag an erster Stelle stehen |
| ip4: | Erlaubt eine bestimmte IPv4-Adresse oder einen bestimmten IPv4-Adressbereich |
| ip6: | Erlaubt eine bestimmte IPv6-Adresse oder einen bestimmten IPv6-Adressbereich |
| umfassen: | Autorisiert den SPF-Eintrag eines externen Absenders |
| a: | Autorisiert die IP-Adresse des A-Eintrags der Domain |
| mx: | Autorisiert die Mail-Exchange-Server der Domäne |
| -alle | Hard Fail: Alle E-Mails ablehnen, die nicht mit dem Datensatz übereinstimmen |
| ~alle | Soft-Fail: Markieren, aber E-Mail zustellen, auch wenn sie nicht mit dem Datensatz übereinstimmt |
| ?alle | Neutral: keine Richtlinie für nicht übereinstimmende E-Mails |
SPF-Einträge für Domains, die keine E-Mails versenden
Auch für Domains, die niemals E-Mails versenden, sollte ein restriktiver SPF-Eintrag veröffentlicht werden, um zu verhindern, dass sie gefälscht werden:
v=spf1 -all
Dadurch werden empfangende Server angewiesen, alle E-Mails zurückzuweisen, die angeblich von dieser Domain stammen.
Die Begrenzung auf 10 DNS-Abfragen
SPF hat eine Obergrenze von 10 DNS-Abfragen pro Datensatzauswertung. Jeder umfasst:, a:, mx:, und redirect: löst eine Suche aus.
Das Überschreiten dieses Limits führt zu einem PermError, was dazu führen kann, dass legitime E-Mails die SPF-Authentifizierung . Dies ist eines der häufigsten und am leichtesten übersehenen Probleme bei der SPF-Konfiguration, insbesondere für Unternehmen mit komplexen E-Mail-Umgebungen.
SPF mit PowerDMARC einrichten!Warum sollten Sie PowerDMARC anderen SPF-Tools vorziehen?
|
So erstellen und veröffentlichen Sie einen SPF-Eintrag
Das Erstellen und Veröffentlichen eines SPF-Eintrags ist einer der wichtigsten Schritte zur Absicherung der E-Mail-Kommunikation Ihrer Domain.
Wenn es richtig eingerichtet ist, teilt es jedem empfangenden Mailserver genau mit, welche Absender berechtigt sind, in Ihrem Namen E-Mails zu versenden. Bei falscher Einrichtung kann es jedoch unbemerkt dazu führen, dass die Authentifizierung Ihrer eigenen legitimen E-Mails nicht mehr funktioniert. Hier erfahren Sie, wie Sie es richtig machen.
Schritt 1: Überprüfen Sie alle Ihre E-Mail-Versandquellen
Bevor Sie auch nur eine einzige Zeile Ihres SPF-Eintrags verfassen, sollten Sie alle Dienste und Systeme identifizieren, die E-Mails über Ihre Domain versenden. Dies ist der Schritt, den die meisten Unternehmen überstürzen, und er ist der häufigste Grund dafür, dass SPF-Einträge nach der Veröffentlichung fehlschlagen.
Ihre Prüfung sollte folgende Punkte umfassen:
- Ihr primärer Mailserver
- E-Mail-Marketing-Plattformen
- CRM- und Vertriebs-Tools
- Helpdesk- und Support-Software
- E-Mail-Dienste für Rechnungsstellung und Transaktionen
- Alle Drittanbieter, die in Ihrem Namen versenden
Erfassen Sie für jede Quelle entweder die spezifischen Absender-IP-Adressen oder die von diesem Dienst bereitgestellte SPF-Include-Zeichenkette.
Schritt 2: Erstellen Sie Ihren SPF-Eintrag
Fassen Sie alle autorisierten Absender unter Verwendung der korrekten SPF-Syntax in einem einzigen DNS-TXT-Eintrag zusammen. Ein einfaches Beispiel sieht wie folgt aus:
v=spf1 ip4:192.0.2.1 include:sendingservice.com include:marketingplatform.com -all
Wichtige Regeln, die beim Verfassen zu beachten sind:
| Regel | Warum es wichtig ist |
|---|---|
| Beginne immer mit v=spf1 | Dies ist das obligatorische Versions-Tag. Ohne dieses Tag ist der Datensatz ungültig |
| Verwenden Sie nur einen Datensatz | Mehrere SPF-Einträge für dieselbe Domain führen zu einem PermError und unterbrechen die Authentifizierung |
| Nicht mehr als 10 DNS-Abfragen | Jeder „include:“, „a:“ und „mx:“-Mechanismus wird auf das Limit angerechnet. Wird dieses überschritten, wird ein PermError ausgelöst. |
| Endet auf -all oder ~all | Legt fest, was mit E-Mails geschieht, die nicht den Kriterien entsprechen. Verwenden Sie „-all“, um einen zwingenden Fehler zu erzwingen |
Schritt 3: Veröffentlichen Sie den Eintrag in Ihrem DNS
Sobald Ihr Eintrag erstellt ist, melden Sie sich bei Ihrem DNS-Anbieter an und fügen Sie ihn als TXT-Eintrag unter Ihrer Root-Domain hinzu.
Der Datensatz sollte unter @ oder yourdomain.comhinzugefügt werden, nicht bei einer Subdomain, es sei denn, Sie erstellen gezielt einen separaten Eintrag für eine Subdomain.
Wenn Sie für verschiedene Versanddienste separate Subdomains verwenden, benötigt jede Subdomain einen eigenen SPF-Eintrag. Dies ist auch eine nützliche Methode, um das Limit von 10 Lookups einzuhalten, wenn Sie mehrere externe Absender verwalten.
Schritt 4: Testen Sie Ihren Datensatz nach der Veröffentlichung
Die Veröffentlichung Ihres Datensatzes ist nicht der letzte Schritt. Überprüfen Sie ihn nach der Veröffentlichung stets, um sicherzustellen, dass:
- Der Datensatz ist korrekt formatiert und enthält keine Syntaxfehler
- Alle autorisierten IP-Adressen und Include-Zeichenfolgen sind vorhanden
- Das Limit für DNS-Abfragen wurde nicht überschritten
- Es gibt keine doppelten SPF-Einträge für dieselbe Domain
Verwenden das SPF-Lookup-Tool von PowerDMARC , um diese Überprüfung unmittelbar nach der Veröffentlichung und bei jeder Änderung erneut durchzuführen.
Schritt 5: Halten Sie Ihre Unterlagen auf dem neuesten Stand
Ein SPF-Eintrag ist keine Konfiguration, die man einmal einrichtet und dann vergessen kann.
Jedes Mal, wenn Sie eine neue Versandplattform hinzufügen, den E-Mail-Dienstanbieter wechseln oder einen alten aus dem Verkehr ziehen, muss Ihr SPF-Eintrag aktualisiert werden. Ein veralteter Eintrag, der auf alte IP-Adressen oder nicht mehr vorhandene Dienste verweist, ist einer der häufigsten Gründe dafür, dass legitime E-Mails die SPF-Authentifizierung nicht bestehen.
Legen Sie einen regelmäßigen Zeitplan für die Überprüfung Ihres SPF-Eintrags fest, insbesondere nach Änderungen an Ihrer E-Mail-Infrastruktur.
SPF und E-Mail-Zustellbarkeit
Einer der unmittelbarsten Vorteile der Einführung von SPF ist eine verbesserte E-Mail-Zustellbarkeit. Hier erfahren Sie, wie SPF den Weg Ihrer E-Mails vom Absender bis zum Posteingang beeinflusst.
Wie SPF die Zustellbarkeit verbessert
- Empfangs-Mailserver und E-Mail-Anbieter nutzen SPF als Vertrauenssignal, wenn sie entscheiden, ob eingehende E-Mails zugestellt, gefiltert oder abgelehnt werden sollen
- Ein gültiger SPF-Eintrag verringert die Wahrscheinlichkeit, dass legitime E-Mails als Spam markiert werden
- Eine konsequente SPF-Authentifizierung stärkt im Laufe der Zeit die Reputation Ihrer Domain, wodurch die Wahrscheinlichkeit sinkt, dass Ihre E-Mails blockiert oder in den Spam-Ordner umgeleitet werden
- Die Implementierung von SPF signalisiert den Internetdienstanbietern ein Engagement für E-Mail-Sicherheit und wirkt sich positiv auf die Absenderreputation aus
Wie SPF die Zustellbarkeit beeinträchtigen kann, wenn es falsch konfiguriert ist
| Problem | Auswirkungen |
|---|---|
| Fehlender SPF-Eintrag | Die Domain kann beliebig gefälscht werden; es gibt kein Vertrauenssignal für die Empfänger |
| PermError (Suchgrenze überschritten) | Legitime E-Mails können die SPF-Authentifizierung nicht bestehen |
| Veraltete autorisierte IP-Adressen | E-Mails von neuen oder geänderten Absendern scheitern beim SPF-Check |
| Mehrere SPF-Einträge | Löst einen PermError aus, wodurch die Authentifizierung vollständig unterbrochen wird |
| Zu freizügig ~alle oder ?alle | mindert den Schutzwert der Aufzeichnung |
Die Pflege eines korrekten und aktuellen SPF-Eintrags ist entscheidend für den Schutz der Reputation Ihrer Domain und die Gewährleistung einer konsistenten E-Mail-Zustellbarkeit.
Die Grenzen von SPF
SPF ist eine grundlegende E-Mail-Authentifizierungsmethode , weist jedoch gut dokumentierte Einschränkungen auf, die jeder Domaininhaber kennen sollte. Sich allein auf SPF zu verlassen, hinterlässt erhebliche Lücken in Ihrer E-Mail-Sicherheit.
Was der Lichtschutzfaktor nicht leisten kann
| Einschränkung | Warum es wichtig ist |
|---|---|
| Die sichtbare Absenderadresse kann nicht geschützt werden | SPF authentifiziert den Return-Path, nicht den From-Header, den die Empfänger sehen |
| Zeilenumbrüche in weitergeleiteten E-Mails | Die IP-Adresse des Weiterleitungsservers ist nicht im ursprünglichen SPF-Eintrag enthalten, was zu Fehlern führt |
| Der Inhalt der Nachricht kann nicht überprüft werden | SPF überprüft lediglich die Absender-IP-Adresse, nicht aber, ob die Nachricht verändert wurde |
| Phishing-Angriffe über ähnliche Domains können nicht blockiert werden | Angreifer können eine ähnliche Domain mit einem eigenen gültigen SPF-Eintrag registrieren |
| Es gilt eine Begrenzung auf 10 DNS-Abfragen | Komplexe Umgebungen können die Grenze überschreiten und PermErrors verursachen |
Der Lichtschutzfaktor ist der Anfang, nicht das Ende
SPF allein kann die für Benutzer sichtbare Absenderadresse nicht schützen, bleibt bei der Weiterleitung unwirksam und kann den Inhalt der Nachricht nicht authentifizieren.
Um umfassenden Schutz vor Domain-Spoofing und Phishing-Angriffen zu gewährleisten, muss SPF mit DKIM und DMARC kombiniert werden. DMARC schließt insbesondere die Lücke, die SPF offen lässt, indem es verlangt, dass die Absenderadresse mit den authentifizierten Absenderinformationen übereinstimmt.
| Empfehlung von Experten: Ich rate meinen Kunden stets, ein SPF-Änderungsprotokoll zu führen, in dem alle Änderungen dokumentiert werden, insbesondere in komplexen Umgebungen mit mehreren E-Mail-Diensten. Dies verhindert Konfigurationsabweichungen und erleichtert die Fehlerbehebung erheblich. |
Schützen Sie Ihre Domain mit SPF und PowerDMARC
SPF ist der Ausgangspunkt der E-Mail-Authentifizierung, aber es ist nur ein Teil des Puzzles.
Nur wenn Sie Ihren SPF-Eintrag korrekt einrichten, ihn im Zuge der Weiterentwicklung Ihrer Versandinfrastruktur stets auf dem neuesten Stand halten und ihn mit DKIM und DMARC kombinieren, ist Ihre Domain tatsächlich vor Spoofing, Phishing und Zustellungsproblemen geschützt.
Ein Kunde berichtet:
„PowerDMARC hat die SPF-Verwaltung für unser IT-Team zum Kinderspiel gemacht. Die Zustellbarkeit und Sicherheit unserer E-Mails haben sich von einem Tag auf den anderen verbessert.“ – CISO, Finanzinstitut
PowerDMARC macht diesen gesamten Prozess überschaubar. Von der Erstellung und Validierung Ihres SPF-Eintrags über die Überwachung der Authentifizierungsergebnisse für alle Ihre Absenderdomains bis hin zur vollständigen Durchsetzung von DMARC – PowerDMARC bietet Ihnen die nötige Transparenz und Kontrolle, um alles auf Anhieb richtig zu machen und langfristig aufrechtzuerhalten.
Starten Sie noch heute mit PowerDMARC noch heute!
FAQs
1. Was ist das SPF-Sender-Policy-Framework?
Das SPF (Sender Policy Framework) ist ein E-Mail-Authentifizierungsprotokoll, mit dem Domaininhaber festlegen können, welche Mailserver berechtigt sind, E-Mails im Namen ihrer Domain zu versenden. Dazu wird ein DNS-TXT-Eintrag veröffentlicht, der die zugelassenen Absenderquellen auflistet. Dies hilft den empfangenden Servern, die Echtheit der E-Mails zu überprüfen und Spoofing zu verhindern.
2. Wie unterscheidet sich SPF von DKIM und DMARC?
SPF überprüft die IP-Adresse des sendenden Servers, DKIM nutzt kryptografische Signaturen zur Überprüfung der Nachrichtenintegrität und DMARC sorgt für die Durchsetzung von Richtlinien und die Berichterstellung. SPF überprüft den Absender im Umschlag, DKIM stellt sicher, dass der Inhalt der Nachricht nicht verändert wurde, und DMARC teilt den empfangenden Servern mit, wie sie vorgehen sollen, wenn SPF oder DKIM versagen. Alle drei Verfahren arbeiten zusammen, um eine umfassende E-Mail-Authentifizierung zu gewährleisten.
3. Wie verwende ich das Sender Policy Framework?
Ermitteln Sie alle Dienste, die E-Mails über Ihre Domain versenden, erfassen Sie deren autorisierte IP-Adressen und veröffentlichen Sie einen einzigen DNS-TXT-Eintrag, der mit „v=spf1“ beginnt. Testen Sie diesen nach der Veröffentlichung und halten Sie ihn auf dem neuesten Stand, sobald sich Ihre Versandinfrastruktur ändert.
4. Welche Einschränkungen gibt es bei SPF-E-Mail-Einträgen?
SPF überprüft lediglich den sendenden Server, nicht jedoch die Identität des Absenders oder den Inhalt der Nachricht. Bei weitergeleiteten E-Mails versagt das Verfahren, und es gilt eine strenge Begrenzung auf 10 DNS-Abfragen, deren Überschreitung die Authentifizierung stillschweigend zum Scheitern bringen kann.
5. Ist SPF dasselbe wie DKIM?
Nein. SPF überprüft die IP-Adresse des sendenden Servers. DKIM nutzt eine kryptografische Signatur, um sicherzustellen, dass der Inhalt der Nachricht während der Übertragung nicht verändert wurde.
6. Warum würde eine E-Mail die SPF-Prüfung nicht bestehen?
Die häufigsten Ursachen sind ein nicht autorisierter Absenderserver, ein veralteter SPF-Eintrag, in dem ein legitimer Absender fehlt, Syntaxfehler im Eintrag oder die Überschreitung des Limits von 10 DNS-Abfragen.
Cybersecurity-Experte, CEO bei PowerDMARC
Maitham ist ein Tech-Unternehmer, Cybersecurity-Experte, CEO und Gründer von PowerDMARC mit mehr als 15 Jahren Branchenerfahrung. Maitham hat einen Global MBA von der University of Manchester und verschiedene berufliche Zertifizierungen, darunter CISSP, CISM, CRISC und ISC2 CCSP.
Neueste Beiträge von Maitham Al Lawati (alle anzeigen)
- E-Mail-Phishing und DMARC-Statistiken: E-Mail-Sicherheitstrends für 2026 – 6. Januar 2026
- So beheben Sie „Kein SPF-Eintrag gefunden“ im Jahr 2026 – 3. Januar 2026
- SPF Permerror: So beheben Sie zu viele DNS-Lookups – 24. Dezember 2025
