Was ist v=spf1? Wozu dient es?

Sie sehen hier einen DNS-Eintrag, der mit v=spf1, und Sie wissen, dass er wichtig ist, aber wenn Sie ihn ändern, ohne ihn vollständig zu verstehen, kann dies die E-Mail-Zustellung in Ihrer gesamten Domain beeinträchtigen.

Ein fehlendes „include:“, eine zu viele Suchanfragen oder ein Syntaxfehler können dazu führen, dass E-Mails die Authentifizierung nicht bestehen, im Spam-Ordner landen oder gänzlich abgelehnt werden

SPF (Sender Policy Framework) ist ein grundlegender Bestandteil der E-Mail-Authentifizierung. Es teilt den empfangenden Servern mit, welche Absender E-Mails in Ihrem Namen versenden dürfen. Das v=spf1 Tag aktiviert diese Richtlinie, aber alles, was darauf folgt, entscheidet darüber, ob Ihre E-Mails als vertrauenswürdig eingestuft oder blockiert werden.

Die Herausforderung besteht darin, dass SPF auf den ersten Blick einfach erscheint, aber komplexer wird, sobald mehrere Absenderquellen, Marketing-Tools und Infrastrukturkomponenten hinzukommen. Abfragebeschränkungen, verschachtelte Einbindungen und Abstimmungsprobleme führen zu Schwachstellen, die oft erst sichtbar werden, wenn die Zustellbarkeit nachlässt.

In dieser Anleitung wird genau erklärt, was v=spf1 bedeutet, wie SPF-Einträge aufgebaut sind, wie die Auswertung funktioniert und wie man einen Eintrag erstellt und pflegt, der unter realen Bedingungen nicht versagt.

So funktioniert die SPF-Bewertung

Die SPF-Prüfung ist ein schrittweiser Validierungsprozess, der bei jedem E-Mail-Eingang durchgeführt wird. Dabei wird festgestellt, ob der sendende Server berechtigt ist, im Namen der im Return-Path angegebenen Domain E-Mails zu versenden.

So funktioniert es in der Praxis:

• Es geht eine E-Mail ein, die angeblich von Ihrer Domain stammt: Die Nachricht trifft auf dem Mailserver des Empfängers ein, wobei sowohl die sichtbaren Kopfzeilen (From) als auch die verborgenen Routing-Details (Return-Path) enthalten sind.
• Der empfangende Server extrahiert die Return-Path-Domäne: Dies ist die Domain, die SPF tatsächlich überprüft. Sie steht für den Absender, der bei der E-Mail-Übertragung verwendet wurde.
• Der Server fragt den DNS-Server nach dem SPF-Eintrag ab (v=spf1): Er sucht nach dem auf dieser Domain veröffentlichten TXT-Eintrag. Wenn kein SPF-Eintrag vorhanden ist, lautet das Ergebnis None (keine Authentifizierung).
• Die IP-Adresse des sendenden Servers wird anhand des SPF-Eintrags überprüft: Der Server verarbeitet den SPF-Eintrag von links nach rechts:
  • Überprüft jeden Mechanismus (ip4, einschließlich, a, usw.)
  • Führt alle erforderlichen DNS-Abfragen durch
  • Hält bei der ersten übereinstimmenden Regel an
• Auf Grundlage der Übereinstimmung wird ein Ergebnis generiert: Mögliche Ergebnisse sind unter anderem:
  • Pass → Der Absender ist autorisiert
  • Fehler / SoftFail → Absender ist nicht autorisiert (strenge vs. tolerante Behandlung)
  • Neutral / Keine → Keine klare Richtlinie oder kein SPF-Eintrag
  • PermError / TempError → SPF konnte aufgrund von Fehlern nicht ausgewertet werden
• Das Ergebnis wird mit DKIM und DMARC kombiniert: Der SPF allein entscheidet nicht über die Zustellung. Der empfangende Server nutzt ihn zusätzlich zu:
  • DKIM (Nachrichtenintegrität)
  • DMARC (Konformität + Richtlinie)
    um zu entscheiden, ob die Nachricht akzeptiert, gefiltert oder abgelehnt wird

Was ist ein SPF-Eintrag?

Ein SPF-Eintrag ist ein DNS-TXT-Eintrag, der alle Server und Dienste definiert, die E-Mails für Ihre Domain versenden dürfen. Wenn eine E-Mail eingeht, überprüft der empfangende Server diesen Eintrag, um zu überprüfen, ob die Absenderquelle autorisiert ist.

Was bedeutet v=spf1?

Die v=spf1 Tag ist die Kennung, die empfangenden Mail-Servern mitteilt, dass dieser DNS-TXT-Eintrag eine SPF-Richtlinie ist. Es signalisiert, dass der Eintrag anhand der in RFC 7208 definierten SPF-Regeln analysiert und ausgewertet werden soll.

Ohne diesen Tag wird der Eintrag überhaupt nicht als SPF behandelt, es findet keine Validierung statt, und die Domain verfügt faktisch über keinen SPF-Schutz.

Wenn ein empfangender Server Ihre Domain nachschlägt:

• Es durchsucht TXT-Einträge nach einem Eintrag, der mit v=spf1
• Für die SPF-Bewertung wird nur dieser Datensatz berücksichtigt
• Alles, was folgt, wird als Autorisierungsregeln interpretiert (Mechanismen, Qualifizierer, Modifikatoren)

Damit SPF ordnungsgemäß funktioniert, muss v=spf1 muss strenge Anforderungen erfüllen:

• Muss ganz am Anfang des Datensatzes stehen
• Muss genau so geschrieben werden wie v=spf1 (keine Tippfehler, keine zusätzlichen Leerzeichen)
• Pro Domain darf nur ein SPF-Eintrag vorhanden sein

Wenn das Versions-Tag in irgendeiner Weise fehlerhaft ist, schlägt der gesamte Datensatz fehl:

• Fehlt vollständig → SPF gibt zurück Keine (kein Eintrag gefunden)
• Falsch geschrieben (v=spf 1, v=spf2, v=SPF1) → Ungültige Syntax → PermError
• Steht hinter einem anderen Wert → Der Datensatz wird als fehlerhaft ignoriert

Empfangsserver können Ihre SPF-Richtlinie nicht interpretieren, sodass die Authentifizierung für alle E-Mails fehlschlägt.

Aufbau eines SPF-Eintrags: Vollständige Syntaxanalyse

Jeder SPF-Eintrag folgt einer einheitlichen Struktur, wobei ein Regelsatz nacheinander abgearbeitet wird. Nur wenn man versteht, wie jeder Teil zu dieser Auswertung beiträgt, lassen sich Konfigurationsfehler vermeiden.

Ein SPF-Eintrag beginnt immer mit einem Versions-Tag (v=spf1), gefolgt von einer Reihe von Mechanismen, die autorisierte Absender definieren. Diese Mechanismen können mit Qualifizierern kombiniert werden, die steuern, wie Übereinstimmungen behandelt werden, sowie manchmal mit Modifikatoren, die die Auswertung des Eintrags anpassen. All dies ist in einer einzigen Textzeile enthalten, doch jedes Element wirkt sich direkt darauf aus, wie empfangende Server die E-Mails Ihrer Domain interpretieren.

Beispieldatensatz

v=spf1 ip4:192.0.2.0/24 include:_spf.google.com include:spf.protection.outlook.com -all 

ip4:192.0.2.0/24 (wobei /24 einen Bereich von 256 IP-Adressen in der CIDR-Notation (Classless Inter-Domain Routing) darstellt)

Was die einzelnen Teile bewirken

• v=spf1 kennzeichnet den Eintrag als SPF-Richtlinie und ermöglicht die Auswertung
• ip4:192.0.2.0/24 erlaubt ausdrücklich einen bekannten IP-Bereich, typischerweise Ihre eigene Infrastruktur
• include:_spf.google.com autorisiert Google Workspace durch Verweis auf dessen SPF-Eintrag
• include:spf.protection.outlook.com gilt dasselbe für Microsoft 365
• -all definiert die Standardrichtlinie: Jeder Absender, der zuvor nicht gefunden wurde, ist nicht zulässig

Diese Kombination ergibt ein umfassendes Berechtigungsmodell, bei dem nur bestimmte Quellen zugelassen sind und alles andere abgelehnt wird.

Wie die Bewertung tatsächlich funktioniert

SPF wird auf strenge und vorhersehbare Weise verarbeitet:

• Der empfangende Server liest den Datensatz von links nach rechts
• Jeder Mechanismus wird nacheinander anhand der IP-Adresse des sendenden Servers überprüft
• Sobald eine Übereinstimmung gefunden wird, wird die Auswertung sofort beendet
• Die an diesen Mechanismus geknüpfte Bedingung bestimmt das Ergebnis

Wenn kein Mechanismus übereinstimmt:

• Die Gesamtmechanismus Mechanismus dient als Ausweichlösung

Das bedeutet, dass SPF kein System ist, bei dem „alles geprüft und dann entschieden“ wird. Es ist ein System, bei dem die erste Übereinstimmung zählt.

SPF-Mechanismen erklärt

Mechanismen bilden das Herzstück eines SPF-Eintrags. Sie legen fest, welche Absenderquellen autorisiert sind, und bilden die Logik, anhand derer der empfangende Server die IP-Adresse des Absenders überprüft. Jeder Mechanismus fügt eine Regel hinzu, und zusammen bilden sie die Zulassungsliste Ihrer Domain.

In der Praxis kommt es nicht nur darauf an, was die einzelnen Mechanismen bewirken, sondern auch darauf, wie sie sich bei der Auswertung verhalten und wie sie sich auf die Grenzen und die Zuverlässigkeit auswirken.

Die Mechanismen werden der Reihe nach geprüft, und der erste, der mit der Absender-IP übereinstimmt, bestimmt das Ergebnis. Das bedeutet, dass jeder Mechanismus, den Sie hinzufügen, sowohl die Autorisierungsabdeckung als auch die Komplexität der Prüfung beeinflusst.

Einige Mechanismen ordnen IP-Adressen direkt zu, während andere DNS-Abfragen erfordern, um zusätzliche Daten abzurufen. 

Wie sich verschiedene Mechanismen verhalten

Zu den umfassen: Der „include“-Mechanismus wird am häufigsten verwendet und verursacht aufgrund verschachtelter DNS-Abfragen am ehesten Probleme mit der Suchgrenze.

SPF erlaubt maximal 10 DNS-Abfragen pro Auswertung. Mechanismen, die auf dieses Limit angerechnet werden:

• umfassen:
• a
• mx
• existiert:
• Weiterleitung=
• ptr

Mechanismen, die dies nicht tun:

• ip4:
• ip6:

Dies führt zu einem praktischen Kompromiss:

• Komfort (einschließlich:) → höherer Suchaufwand
• Steuerung (IPv4/IPv6) → geringerer Suchaufwand, aber höherer Wartungsaufwand

SPF-Qualifikatoren erklärt

Qualifizierer legen fest, welche Maßnahme zu ergreifen ist, wenn ein Mechanismus zutrifft. Während Mechanismen die Frage „Wer ist zugelassen?“ beantworten, beantworten Qualifizierer die Frage „Was soll als Nächstes geschehen?“. Zusammen bestimmen sie, wie streng Ihre SPF-Richtlinie durchgesetzt wird.

Jedem Mechanismus kann ein Qualifizierer vorangestellt werden. Wird kein Qualifizierer angegeben, ist die Standardeinstellung „pass“ (+). Der Qualifizierer beeinflusst direkt, wie der empfangende Server die Übereinstimmung interpretiert und wie stark er der Nachricht vertraut oder sie ablehnt.

Wie sich Qualifizierer bei der Auswertung verhalten

Wenn ein Mechanismus übereinstimmt:

• Der daran angehängte Qualifizierer bestimmt das Ergebnis sofort
• Die SPF-Prüfung endet an dieser Stelle
• Dieses Ergebnis wird dann (zusammen mit DKIM und DMARC) zur Entscheidung über die weitere Behandlung der Nachricht herangezogen

Das bedeutet, dass die Qualifikationsspiele endgültige Entscheidungssignale im SPF-Prozess.

Was die einzelnen Qualifizierer (im Kontext) tatsächlich bewirken

In den meisten SPF-Einträgen werden Qualifizierer auf die alle am Ende, um die Standardrichtlinie festzulegen.

Wie Qualifizierer in SPF-Einträgen üblicherweise verwendet werden

Die meisten SPF-Einträge stützen sich an einer Stelle auf Qualifizierer: dem all am Ende.

• ~alle → Standardmäßig sanfte Durchsetzung (Überwachungsphase)
• -all → Standardmäßig strenge Durchsetzung (produktionsreife Richtlinie)

Diese abschließende Bedingung legt fest, wie mit Absendern verfahren werden soll, die zuvor nicht ausdrücklich berücksichtigt wurden.

Praktische Hinweise

• Beginne mit ~all während der Einrichtung: So können Sie die SPF-Ergebnisse beobachten, ohne legitime Absender zu blockieren, die Sie möglicherweise übersehen haben.
• Wechseln zu -alle , sobald Ihr Datensatz vollständig ist: Nachdem Sie sich vergewissert haben, dass alle gültigen Quellen enthalten sind, wechseln Sie zu „hardfail“, um die vollständige Durchsetzung zu gewährleisten.
• Vermeiden ?all :Es bietet empfangenden Servern keinen sinnvollen Schutz oder keine sinnvolle Orientierungshilfe.
• Verwende niemals +all:  Dadurch kann jeder Absender die SPF-Prüfung bestehen, was die Authentifizierung für Ihre Domain praktisch außer Kraft setzt.

SPF-Modifikatoren erklärt (erläutert)

Modifikatoren sind ein kleiner, aber wichtiger Bestandteil der SPF-Syntax. Im Gegensatz zu Mechanismen legen sie nicht fest, wer E-Mails versenden darf. Stattdessen beeinflussen sie die Art und Weise, wie die SPF-Auswertung erfolgt, sobald der Eintrag verarbeitet wird.

Sie sind optional und kommen in bestimmten Situationen zum Einsatz, in denen die auf Standardmechanismen basierenden Regeln nicht ausreichen.

Wie sich Modifikatoren bei der Auswertung verhalten

Modifikatoren werden nach der Verarbeitung der Mechanismen ausgewertet und beeinflussen, wie das Gesamtergebnis ermittelt oder dargestellt wird.

• Sie stimmen nicht mit den Absender-IPs überein
• Sie genehmigen oder verweigern Absendern nicht direkt
• Sie passen den Durchfluss oder Ergebnis der SPF-Bewertung

Aus diesem Grund werden Modifikatoren in der Regel nur in fortgeschrittenen oder strukturierten Konfigurationen verwendet, nicht jedoch in einfachen SPF-Einträgen.

redirect= – vollständige Delegierung der SPF-Bewertung

Die redirect= überträgt die SPF-Auswertung an eine andere Domäne.

• Dem empfangenden Server wird mitgeteilt: „Ignoriere den Rest dieses Datensatzes und bewerte die SPF-Rate anhand der für eine andere Domain definierten Richtlinie.“
• Im Gegensatz zu umfassen::
  • Fügen Sie Folgendes hinzu: fügt Ihrer Bewertung eine weitere Richtlinie hinzu
  • redirect= ersetzt Ihre Auswertung vollständig

Beispiel:

v=spf1 redirect=_spf.example.com

In diesem Fall:

• Ihre Domain definiert keine eigenen SPF-Regeln
• Die gesamte Auswertung wird von _spf.example.com

Wann es zu verwenden ist:

• Verwaltung mehrerer Domains mit einer zentralisierten SPF-Richtlinie
• Sicherstellung der Konsistenz über verschiedene Bereiche hinweg, ohne Datensätze zu duplizieren

exp= – benutzerdefinierte Erklärung für Fehler

Die exp= Modifikator liefert eine für Menschen lesbare Erklärung, wenn SPF fehlschlägt.

• Er verweist auf einen DNS-Eintrag, der eine Textnachricht enthält
• Diese Nachricht kann im Fehlerfall an den sendenden Server zurückgesendet werden

Beispiel:

v=spf1 -all exp=explain._spf.example.com

Auf diese Weise können Sie eine eigene Erklärung festlegen, zum Beispiel:

• Warum die Nachricht fehlgeschlagen ist
• Was der Absender als Nächstes tun sollte

So erstellen Sie einen SPF-Eintrag

Erstellen eines SPF-Eintrags ist ein kontrollierter, schrittweiser Prozess. Das Ziel besteht darin, jede legitime Absenderquelle genau aufzulisten und gleichzeitig den Eintrag gültig, effizient und durchsetzbar zu halten.

Jeder Schritt ist wichtig, da SPF genau so ausgewertet wird, wie es geschrieben steht. Das Fehlen eines Absenders oder das Hinzufügen falscher Logik kann sich direkt auf die Zustellung auswirken.

• Beginnen Sie mit v=spf1: Dadurch wird SPF für Ihre Domain aktiviert. Ohne diesen Eintrag wird der Datensatz ignoriert und es findet keine Authentifizierung statt.
• Fügen Sie Ihre eigene Versandinfrastruktur hinzu (ip4: / ip6:): Fügen Sie alle Server hinzu, die Sie direkt kontrollieren, wie z. B. Transaktions-Mailserver oder interne Systeme. Dies sind die zuverlässigsten Einträge, da sie nicht von externen DNS-Abfragen abhängig sind.
• Fügen Sie Ihren primären E-Mail-Anbieter hinzu (einschließlich:): Wenn Sie eine Plattform wie Google Workspace oder Microsoft 365 nutzen, müssen Sie deren SPF-Eintrag hinzufügen. Dadurch wird sichergestellt, dass deren gesamte Versandinfrastruktur in Ihrem Namen autorisiert ist.

Zu den Include: fügt mindestens eine DNS-Abfrage hinzu und kann je nach der SPF-Struktur des Anbieters zusätzliche verschachtelte Abfragen verursachen.

• Fügen Sie alle externen Absender hinzu: Dazu gehören Marketing-Tools, CRMs, Support-Plattformen und alle Dienste, die E-Mails über Ihre Domain versenden. Jeder einzelne muss ausdrücklich autorisiert werden, da SPF externen Diensten nicht automatisch vertraut.
• Schließen Sie mit Ihrer Richtlinie ab (~alle oder -alle): Hier wird festgelegt, wie mit Absendern umgegangen werden soll, die oben nicht aufgeführt sind:
  • ~alle → akzeptieren, aber als verdächtig behandeln (wird während der Einrichtung verwendet)
  • -alle → Unberechtigte Absender ablehnen (wird nach vollständiger Validierung verwendet)
• Als einzelnen DNS-TXT-Eintrag veröffentlichen: SPF erlaubt nur einen Eintrag pro Domain. Alle Mechanismen müssen in diesem einen Eintrag zusammengefasst werden.
• Vor und nach der Veröffentlichung überprüfen: Überprüfen Sie auf Syntaxfehler, Suchgrenzen und fehlende Quellen. Überprüfen Sie außerdem den Live-DNS-Eintrag, nicht nur die eingegebenen Daten.

Die manuelle Verwaltung von SPF wird mit zunehmender Anzahl von Absenderquellen immer schwieriger. Jede einzelne Quelle erhöht die Komplexität der Abfrage, und Anbieter können ihre IP-Adressen ohne Vorankündigung ändern.

Tools wie PowerSPF (Hosted SPF) von PowerDMARC automatisieren diesen Prozess durch:

• Halten Sie Ihren Datensatz innerhalb der Begrenzung auf 10 Abfragen
• Automatische Aktualisierung von IP-Änderungen seitens der Anbieter
• Reduzierung manueller Fehler und des Wartungsaufwands

Dadurch wird sichergestellt, dass Ihr SPF-Eintrag gültig bleibt und die Zustellbarkeit im Laufe der Zeit nicht beeinträchtigt wird.

Beispieldatensatz

v=spf1 ip4:203.0.113.5 include:_spf.google.com include:servers.mcsv.net -all

Was dieser Datensatz tatsächlich bewirkt

• Autorisiert einen dedizierten Server (ip4:203.0.113.5)
• Autorisiert Google Workspace (include:_spf.google.com)
• Autorisiert Mailchimp (include:servers.mcsv.net)
• Lehnt jeden Absender ab, der nicht ausdrücklich aufgeführt ist (-all)

Dadurch entsteht eine geschlossene und durchsetzbare Richtlinie: Nur bekannte Quellen können Daten senden, alles andere wird blockiert.

Die Beschränkung auf 10 Suchanfragen

Die folgenden Mechanismen lösen DNS-Abfragen aus:

• umfassen:
• a
• mx
• existiert:
• Weiterleitung=
• ptr (veraltet, zählt aber weiterhin, wenn verwendet)

Diese Mechanismen erfordern, dass der empfangende Server eine DNS-Abfrage durchführt, um zusätzliche Daten aufzulösen, bevor er mit der Auswertung fortfährt.

Was zählt NICHT

Diese werden direkt ausgewertet und lösen keine DNS-Abfragen aus:

• ip4:
• ip6:
• alle
• v=spf1

Die Herausforderung besteht darin, dass SPF-Probleme nicht immer auf den ersten Blick erkennbar sind. Verschachtelte Einbindungen, inaktive Absender und versteckte IP-Bereiche können dazu führen, dass Ihr Eintrag ohne offensichtliche Anzeichen die Grenze überschreitet.

Wie sich die Anzahl der Suchvorgänge erhöht

Selbst ein kleiner SPF-Eintrag kann aufgrund verschachtelter Einbindungen die Grenzwerte überschreiten. So vergrößert sich die Anzahl der Abfragen in der Praxis:

Obwohl nur vier enthalten: sind, kann die Gesamtzahl der Lookups das Limit von 10 Lookups überschreiten, sobald verschachtelte Datensätze ausgewertet werden.

Grenzwert für die Suche nach leeren Werten (wird oft übersehen)

SPF erzwingt nicht nur eine Begrenzung auf 10 DNS-Abfragen, sondern auch eine Begrenzung auf zwei ungültige Abfragen.

Eine „Void Lookup“-Abfrage liegt vor, wenn eine DNS-Abfrage kein Ergebnis liefert, beispielsweise eine „Non-Existent Domain“-Antwort (NXDOMAIN) oder eine leere DNS-Antwort.

Eine leere Abfrage liegt vor, wenn eine DNS-Abfrage kein Ergebnis liefert, beispielsweise eine „Non-Existent Domain“-Antwort (NXDOMAIN) oder eine leere DNS-Antwort.

Häufige Ursachen:

• Falsche oder veraltete beinhaltet: Domains
• Tippfehler in SPF-Mechanismen
• Verweise auf Domains, die nicht mehr existieren

Wenn während der SPF-Auswertung mehr als zwei ungültige Suchvorgänge auftreten:

• SPF gibt einen PermError zurück
• Die gesamte SPF-Prüfung schlägt fehl
• Legitime E-Mails können ihre Authentifizierung verlieren

Im Gegensatz zu Problemen mit der Anzahl der Abfragen sind leere Abfragen oft schwerer zu erkennen, da sie eher auf ungültige oder veraltete DNS-Verweise zurückzuführen sind als auf sichtbare Komplexität.

Weißt du nicht genau, wie viele DNS-Abfragen dein SPF-Eintrag benötigt? 

Lösungen wie PowerDMARCs SPF-Analysen und -Berichte bieten:

• Einblick in alle Absenderquellen und IP-Adressen (auch verschachtelte)
• Erkennung von Problemen mit Suchgrenzen und Fehlkonfigurationen
• Eindeutige Diagnose mit umsetzbaren Lösungen

So lässt sich leichter nachvollziehen, was Ihr SPF-Eintrag tatsächlich bewirkt und wo Optimierungsbedarf besteht.

Schlussfolgerung

SPF ist eine Kontrollschicht, die festlegt, wer E-Mails unter Verwendung Ihrer Domain versenden darf. Die v=spf1 leitet diesen Prozess ein, doch die Zuverlässigkeit Ihrer Konfiguration hängt davon ab, wie gut der Eintrag erstellt, gepflegt und innerhalb der Grenzen gehalten wird.

Die meisten SPF-Probleme entstehen nicht durch fehlerhafte Konfiguration, sondern durch Abweichungen, neu hinzugefügte Tools ohne entsprechende Aktualisierung, zurückgelassene, nicht mehr verwendete Einbindungen oder im Laufe der Zeit überschrittene Abfragegrenzen. Diese Fehler bleiben oft unbemerkt, bis sie sich auf die Zustellung auswirken.

Damit SPF wie vorgesehen funktioniert:

• Halten Sie Ihre Aufzeichnungen korrekt und knapp
• Überprüfen Sie regelmäßig die Absender
• Halten Sie sich an die Suchbeschränkungen
• Änderungen vor und nach der Veröffentlichung überprüfen

SPF funktioniert am besten, wenn es als aktive Konfiguration und nicht als einmalige Einrichtung betrachtet wird. Bei ordnungsgemäßer Pflege liefert es den empfangenden Servern ein klares und konsistentes Signal, auf das sie sich verlassen können und das die Zustellbarkeit und Authentifizierung in Ihrem gesamten E-Mail-System direkt unterstützt.

Warten Sie nicht, bis SPF-Fehler Ihre E-Mail-Zustellung beeinträchtigen.

Verschaffen Sie sich einen umfassenden Überblick über Ihren SPF-Eintrag, beheben Sie Probleme bei der Abfrage und sorgen Sie dafür, dass Ihre Konfiguration auch bei Weiterentwicklungen Ihrer Versandinfrastruktur stets korrekt bleibt. 

Erfahren Sie, wie Sie SPF mit PowerDMARC ganz einfach überwachen und verwalten.

FAQs

1. Was passiert, wenn mein SPF-Eintrag fehlt oder nicht konfiguriert ist?

Wenn kein SPF-Eintrag vorhanden ist, geben die empfangenden Server eine „None“ zurück. Das bedeutet, dass Ihre Domain über keine SPF-basierte Authentifizierung verfügt und Empfänger sich auf andere Signale wie DKIM oder Spamfilter verlassen. In der Praxis erhöht dies das Risiko von Spoofing und kann die Zustellbarkeit beeinträchtigen.

2. Kann ich mehr als einen SPF-Eintrag für meine Domain haben?

Nein. Eine Domain darf genau einen SPF-Eintrag haben. Wenn mehrere TXT-Einträge mit v=spf1, gibt die SPF-Auswertung einen PermError, und die Authentifizierung schlägt für alle E-Mails fehl. Führen Sie immer alle Absenderquellen in einem einzigen Eintrag zusammen.

3. Wie kann ich feststellen, ob mein SPF-Eintrag korrekt ist?

Sie müssen drei Dinge überprüfen:

• Die Syntax ist korrekt (keine Tippfehler oder Formatierungsfehler)
• Alle legitimen Absender sind enthalten
• Die Anzahl der DNS-Abfragen bleibt innerhalb des Limits von 10 Abfragen

Verwenden Sie ein SPF-Prüftool und überprüfen Sie die tatsächlichen Ergebnisse anhand der DMARC-Berichte, um sicherzustellen, dass alles wie erwartet funktioniert.

4. Was ist der Unterschied zwischen „SPF Pass“, „Fail“ und „PermError“?

• Pass → Der sendende Server ist autorisiert
• Fehler / SoftFail → Der Absender ist nicht autorisiert (strenge vs. lockere Handhabung)
• PermError → SPF funktioniert aufgrund einer Fehlkonfiguration nicht (z. B. zu viele Lookups, ungültige Syntax)

„PermError“ ist der schwerwiegendste Fehler, da dies bedeutet, dass die SPF-Prüfung überhaupt nicht durchgeführt werden kann.

5. Brauche ich SPF, wenn ich bereits DKIM und DMARC nutze?

Ja. SPF ist eines der zentralen Authentifizierungssignale, die von DMARC verwendet werden. Auch wenn DKIM für sich allein ausreichend sein kann, erhöht die Kombination von SPF und DKIM die Zuverlässigkeit und Abdeckung. Viele Empfänger erwarten, dass alle drei korrekt konfiguriert sind.

6. Schützt SPF vor E-Mail-Spoofing?

Nicht allein. SPF überprüft nur die „Return-Path“-Domain, nicht die sichtbare „From“-Adresse. Ein Angreifer kann den „From“-Header weiterhin fälschen und die SPF-Prüfung mit seiner eigenen Domain umgehen. DMARC ist erforderlich, um die Übereinstimmung sicherzustellen und dies zu verhindern.

• Über
• Neueste Beiträge

Ahona Rudra

Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC

Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.

Neueste Beiträge von Ahona Rudra (alle anzeigen)

• Was ist v=spf1? Wozu dient es? – 5. Mai 2026
• DMARC-MSP-Fallstudie: Wie die Digital Infinity IT Group die DMARC- und DKIM-Verwaltung für ihre Kunden mit PowerDMARC optimierte – 21. April 2026
• Was ist DANE? DNS-basierte Authentifizierung benannter Entitäten erklärt (2026) – 20. April 2026