---
title: "Was ist SPF? Sender Policy Framework erklärt | DMARC Report"
description: "SPF (Sender Policy Framework) ist ein DNS-basiertes E-Mail-Authentifizierungsprotokoll, das Domain-Inhabern ermöglicht zu deklarieren, welche IP-Adressen E-Mails in ihrem Namen versenden dürfen. Erfahren Sie mehr über SPF-Eintrag-Syntax, das 10-Lookup-Limit, Mechanismen, Qualifier und häufige Probleme."
image: "https://dmarcreport.com/images/og-default.png"
canonical: "https://dmarcreport.com/de/was-ist-spf/"
---

E-Mail-Authentifizierung 

# Was ist  
SPF? 

SPF (Sender Policy Framework) ist ein DNS-basiertes E-Mail-Authentifizierungsprotokoll, das Domain-Inhabern ermöglicht zu veröffentlichen, welche IP-Adressen und Server berechtigt sind, E-Mails in ihrem Namen zu versenden - und Empfänger anweist, alles andere abzulehnen.

[ SPF-Eintrag prüfen → ](/tools/spf-checker/) 

So funktioniert es 

## IP-basierte Absenderautorisierung in drei Schritten

SPF ermöglicht es Ihnen zu deklarieren, welche Server E-Mails für Ihre Domain versenden dürfen. Empfänger prüfen jede eingehende Nachricht gegen Ihre veröffentlichte Liste.

01

### Absender versendet

Ein E-Mail-Server initiiert eine SMTP-Verbindung, um eine Nachricht zuzustellen, die vorgibt, von Ihrer Domain zu stammen. Die IP-Adresse des verbindenden Servers wird vom empfangenden Server aufgezeichnet.

02

### Empfänger prüft SPF

Der empfangende Server fragt DNS nach dem SPF-TXT-Eintrag Ihrer Domain ab. Er ruft die Liste der autorisierten IP-Adressen, Includes und Mechanismen ab, die Sie veröffentlicht haben.

03

### Pass oder Fail

Die verbindende IP wird mit dem SPF-Eintrag verglichen. Wenn sie mit einem autorisierten Mechanismus übereinstimmt, ist das Ergebnis Pass. Wenn nicht, hängt das Ergebnis von Ihrem all-Qualifier ab: Hard Fail, Soft Fail oder Neutral.

Eintrag-Anatomie 

## Wie ein SPF-Eintrag  
im DNS aussieht

Ein SPF-Eintrag ist ein einzelner DNS-TXT-Eintrag, veröffentlicht unter Ihrer Domain-Hauptebene. Er beginnt mit `v=spf1` und listet jeden autorisierten Absender unter Verwendung von Mechanismen wie `include:`, `ip4:` auf und endet mit einem `all`\-Qualifier.

- Eine Domain darf genau einen SPF-Eintrag haben (mehrere Einträge verursachen PermError)
- Der Eintrag muss mit v=spf1 als erstem Mechanismus beginnen
- Jeder include:-Mechanismus kostet 1+ DNS-Lookups zum 10-Lookup-Limit
- ip4:- und ip6:-Mechanismen zählen nicht als DNS-Lookups
- Der all-Mechanismus muss am Ende stehen und definiert die Standardaktion

DNS TXT-Eintrag 

`beispiel.de. IN TXT "v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.10 -all"` 

`v=spf1` 

Version

Erforderlich. Muss das erste Token sein. Identifiziert dies als SPF-Eintrag.

`include:` 

Delegierung

Ruft den SPF-Eintrag einer anderen Domain ab. Kostet 1+ DNS-Lookup.

`ip4:` 

IP-Adresse

Autorisiert eine bestimmte IPv4-Adresse oder einen CIDR-Bereich. Keine DNS-Lookups.

`-all` 

Hard Fail

Alle Absender ablehnen, die nicht von vorherigen Mechanismen erfasst wurden.

SPF-Lookup-Zähler 

`include:_spf.google.com` 

+3 3/10 

`include:sendgrid.net` 

+2 5/10 

`include:spf.mailchimp.com` 

+2 7/10 

`include:spf.hubspot.com` 

+2 9/10 

`include:spf.freshdesk.com` 

+2 11/10 

PermError: 10 DNS-Lookups überschritten - alle E-Mails dieser Domain scheitern bei SPF 

Das 10-Lookup-Limit 

## Warum SPF bei  
10 DNS-Lookups versagt

RFC 7208 Abschnitt 4.6.4 begrenzt die SPF-Auswertung auf 10 DNS-Mechanismus-Lookups. Dies verhindert, dass SPF-Einträge als DNS-Amplifikationsvektor verwendet werden. Jeder `include`\-, `a`\-, `mx`\-, `redirect`\- und `exists`\-Mechanismus löst einen DNS-Lookup aus. Organisationen mit 4-5 E-Mail-Diensten überschreiten dieses Limit häufig.

Die Lösung: SPF-Flattening

SPF-Flattening ersetzt `include:`\-Mechanismen durch aufgelöste IP-Adressen und eliminiert so DNS-Lookups. [AutoSPF](https://autospf.com) \- unser Schwesterprodukt - handhabt das Flattening automatisch und scannt alle 15 Minuten neu, um Provider-IP-Änderungen zu erfassen.

SPF-Mechanismen 

## Die Bausteine eines SPF-Eintrags

Jeder Mechanismus definiert eine Regel zum Abgleich von Absender-IP-Adressen. Mechanismen werden von links nach rechts ausgewertet, bis eine Übereinstimmung gefunden wird.

`ip4 / ip6` 

Autorisiert bestimmte IPv4- oder IPv6-Adressen oder CIDR-Bereiche. Zählt nicht zum 10-Lookup-Limit, da keine DNS-Abfrage nötig ist.

`ip4:203.0.113.0/24` 

`include` 

Delegiert die Autorisierung an den SPF-Eintrag einer anderen Domain. Der Empfänger ruft diesen Eintrag ab und wertet ihn aus. Jeder Include kostet 1+ DNS-Lookups.

`include:_spf.google.com` 

`a` 

Autorisiert die IP-Adressen, die vom A- oder AAAA-Eintrag der angegebenen Domain zurückgegeben werden. Kostet 1 DNS-Lookup.

`a:mail.beispiel.de` 

`mx` 

Autorisiert die IP-Adressen der MX-(Mail-Exchange-)Server der Domain. Kostet 1 DNS-Lookup plus zusätzliche Lookups für die MX-Auflösung.

`mx` 

`redirect` 

Ersetzt den aktuellen SPF-Eintrag vollständig durch den Eintrag einer anderen Domain. Wird verwendet, wenn die Senderichtlinie einer Domain mit einer anderen identisch ist.

`redirect=_spf.beispiel.de` 

`all` 

Passt auf jede IP, die nicht von vorherigen Mechanismen erfasst wurde. Steht immer am Ende. Der Qualifier (+, -, \~, ?) bestimmt, was mit nicht zugeordneten Absendern passiert.

`-all` 

SPF-Qualifier 

## Was +, -, \~ und ? für die Zustellung bedeuten

Qualifier stehen vor jedem Mechanismus und steuern das Ergebnis, wenn dieser Mechanismus übereinstimmt. Der Qualifier Ihres `all`\-Mechanismus ist der wichtigste - er definiert, was mit jedem nicht aufgeführten Absender passiert.

+

Pass

Die IP ist autorisiert. Dies ist der Standard-Qualifier, wenn keiner angegeben ist. Wird selten explizit geschrieben.

`+all (gleich wie all)` 

\-

Hard Fail

Die IP ist NICHT autorisiert. Empfänger sollten die Nachricht ablehnen. Stärkstes Durchsetzungssignal.

`-all` 

\~

Soft Fail

Die IP ist wahrscheinlich nicht autorisiert. Empfänger sollten akzeptieren, aber als verdächtig markieren. Sicher für die anfängliche Bereitstellung.

`~all` 

?

Neutral

Keine Aussage über die IP. Das SPF-Ergebnis liefert keine Information. In der Praxis selten verwendet.

`?all` 

Fehlerbehebung 

## Häufige SPF-Probleme und ihre Behebung

Die meisten SPF-Fehler entstehen durch Lookup-Limits, fehlende Absender oder Konfigurationsfehler, die mit den richtigen Tools leicht zu erkennen sind.

### Zu viele DNS-Lookups

Ihr SPF-Eintrag überschreitet das 10-Lookup-Limit von RFC 7208\. Jeder include, a, mx, redirect und exists zählt. Verwenden Sie SPF-Flattening oder AutoSPF, um IPs statisch aufzulösen.

### Fehlende Sendequellen

Ein legitimer E-Mail-Dienst ist nicht in Ihrem SPF-Eintrag aufgeführt. Häufig nach dem Hinzufügen neuer Dienste wie Marketing-Tools, CRMs oder Support-Desks. Prüfen Sie aggregierte DMARC-Berichte, um Absender zu finden, die SPF nicht bestehen.

### Void-Lookup-Limit

RFC 7208 begrenzt auch Void-Lookups (NXDOMAIN oder leere Antworten) auf 2\. Veraltete Include-Domains, die nicht mehr auflösen, verursachen Void-Lookups und können PermError auslösen, selbst unter 10 Gesamtlookups.

### Mehrere SPF-Einträge

Eine Domain darf genau einen SPF-TXT-Eintrag haben. Mehrere Einträge verursachen einen PermError. Konsolidieren Sie alle autorisierten Absender in einem einzigen Eintrag, der mit v=spf1 beginnt.

### Verwendung des ptr-Mechanismus

Der ptr-Mechanismus ist in RFC 7208 als veraltet markiert, da er langsam, unzuverlässig ist und DNS übermäßig belastet. Einige Empfänger ignorieren ihn vollständig. Ersetzen Sie ihn durch ip4/ip6- oder include-Mechanismen.

### Zu permissives +all

Die Verwendung von +all autorisiert jede IP-Adresse im Internet, E-Mails als Ihre Domain zu versenden, was den gesamten Zweck von SPF zunichtemacht. Verwenden Sie immer -all (Hard Fail) oder \~all (Soft Fail) als letzten Mechanismus.

FAQ 

## Häufig gestellte Fragen zu SPF

### Was ist SPF?

SPF (Sender Policy Framework) ist ein DNS-basiertes E-Mail-Authentifizierungsprotokoll, definiert in RFC 7208, das es einem Domain-Inhaber ermöglicht zu veröffentlichen, welche IP-Adressen und Server berechtigt sind, E-Mails im Namen dieser Domain zu versenden. Empfangende Mailserver prüfen die Absender-IP gegen den veröffentlichten SPF-Eintrag und lehnen Nachrichten von unautorisierten Quellen ab oder markieren sie. SPF ist eines der drei grundlegenden E-Mail-Authentifizierungsprotokolle neben DKIM und DMARC.

### Wie sieht ein SPF-Eintrag aus?

Ein SPF-Eintrag ist ein DNS-TXT-Eintrag, veröffentlicht unter der Domain-Hauptebene. Ein typischer Eintrag sieht so aus: v=spf1 include:\_spf.google.com include:sendgrid.net ip4:203.0.113.10 -all. Das v=spf1-Tag ist erforderlich und muss zuerst stehen. Include-Mechanismen delegieren die Autorisierung an eine andere Domain. Die ip4- und ip6-Mechanismen autorisieren bestimmte IP-Adressen. Der all-Mechanismus am Ende definiert die Standardrichtlinie für nicht aufgeführte Absender: -all bedeutet Hard Fail, \~all bedeutet Soft Fail.

### Warum hat SPF ein Limit von 10 Lookups?

RFC 7208 Abschnitt 4.6.4 begrenzt die SPF-Auswertung auf 10 DNS-Mechanismus-Lookups, um zu verhindern, dass SPF-Einträge als DNS-Amplifikationsvektor missbraucht werden. Jeder include-, a-, mx-, redirect- und exists-Mechanismus löst einen DNS-Lookup aus, der auf das Limit angerechnet wird. Wenn Organisationen mehrere E-Mail-Dienste nutzen (Google Workspace, SendGrid, Mailchimp, CRM, Support-Desk), übersteigen die kombinierten Lookups verschachtelter Includes leicht 10\. Das Überschreiten des Limits erzeugt einen PermError, der die Authentifizierung für jede Nachricht der Domain fehlschlagen lässt.

### Was passiert, wenn das SPF-10-Lookup-Limit überschritten wird?

Wenn ein SPF-Eintrag 10 DNS-Mechanismus-Lookups überschreitet, gibt der empfangende Server ein PermError-Ergebnis zurück. PermError bedeutet, dass der SPF-Eintrag nicht ausgewertet werden konnte, und die meisten Empfänger behandeln ihn als Fail. Dies betrifft jede E-Mail, die von der Domain gesendet wird, nicht nur Nachrichten des Absenders, der den Überlauf verursacht hat. Die Lösung ist SPF-Flattening (Ersetzen von Include-Mechanismen durch aufgelöste IP-Adressen) oder SPF-Makros. AutoSPF, das Schwesterprodukt von DMARC Report unter autospf.com, handhabt beide Ansätze und scannt alle 15 Minuten neu.

### Was ist der Unterschied zwischen -all und \~all bei SPF?

Der -all-Qualifier (Hard Fail) weist empfangende Server an, E-Mails von jeder IP-Adresse abzulehnen, die nicht ausdrücklich im SPF-Eintrag aufgeführt ist. Der \~all-Qualifier (Soft Fail) weist Empfänger an, die Nachricht zu akzeptieren, aber als verdächtig zu markieren. In der Praxis behandeln viele Empfänger beide aufgrund der DMARC-Durchsetzung ähnlich, aber -all bietet das stärkste Signal. Verwenden Sie \~all während der anfänglichen SPF-Bereitstellung zur Sicherheit, dann wechseln Sie zu -all, wenn alle legitimen Absender erfasst sind.

### Funktioniert SPF bei E-Mail-Weiterleitung?

Nein. SPF versagt bei weitergeleiteter E-Mail, weil die IP-Adresse des Weiterleitungsservers nicht im SPF-Eintrag der ursprünglichen Domain steht. Der Weiterleitungsserver sendet die Nachricht von seiner eigenen IP, die der empfangende Server gegen den SPF-Eintrag der ursprünglichen Domain prüft und als fehlgeschlagen bewertet. Dies ist einer der Hauptgründe, warum DKIM existiert: DKIM-Signaturen sind an die Nachricht selbst angehängt und überleben die Weiterleitung. DMARC erfordert nur, dass eines von SPF oder DKIM besteht und ausgerichtet ist, sodass DKIM die Weiterleitungslücke abdeckt.

### Wie prüfe ich meinen SPF-Eintrag?

Verwenden Sie das DMARC Report SPF-Checker-Tool unter dmarcreport.com/tools/spf-checker/, um Ihren SPF-Eintrag nachzuschlagen, DNS-Lookups zu zählen, nach Syntaxfehlern zu suchen und zu überprüfen, ob alle Ihre Sendequellen enthalten sind. Das Tool löst alle Include-Mechanismen rekursiv auf und zeigt die vollständige IP-Adressliste, die Ihr SPF-Eintrag autorisiert. Sie können auch nslookup oder dig über die Kommandozeile verwenden: dig TXT beispiel.de gibt Ihren SPF-Eintrag zurück.

## Prüfen Sie jetzt Ihren SPF-Eintrag

Verwenden Sie unseren kostenlosen SPF-Checker, um DNS-Lookups zu zählen, fehlende Absender zu erkennen und Ihre Eintrags-Syntax zu überprüfen. Ergebnisse in Sekunden.

[SPF-Eintrag prüfen](/tools/spf-checker/)

## Was Sicherheitsteams über die SPF-Überwachung sagen

![G2 Leader - DMARC](https://media.mailhop.org/dmarcreport/images/g2-badges/DMARC_Leader_Leader.png)

Rated 4.8/5 on G2 · 469 verified reviews

![G2 Momentum Leader - DMARC](https://media.mailhop.org/dmarcreport/images/g2-badges/DMARC_MomentumLeader_Leader.png)

VU

Verified User in Information Technology and Services

5/5

### "Best security tool for your own domains"

The weekly reports help me a lot to analyze quickly the emails sent from my domains and that gives me peace of mind.

8/31/2022Verified on G2

RC

Ryan C.

Director

4.5/5

### "Control Centre for Email Security"

I like that we can see and check all reports on just 1 platform. We manage multiple domains, and monitoring them all in one place is essential.

8/29/2022Verified on G2

eg

eddy g.

Director

4.5/5

### "A great solution to a common email problem."

I have been using them for the last month after my Google business email started giving DMARC errors. I didn't even know what it meant at that time. After a little googling I found that people can spoof it as well. So far so good — the best thing is it protects every email.

8/29/2022Verified on G2

[Read all 469 reviews on G2 →](https://www.g2.com/products/dmarc-report/reviews)

```json
{"@context":"https://schema.org","@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138898167","name":"DMARC Report","url":"https://dmarcreport.com","logo":{"@type":"ImageObject","url":"https://dmarcreport.com/images/dmarcreport-logo.png"},"description":"DMARC reporting and email authentication management. Monitor aggregate and forensic DMARC reports, analyze authentication results, and enforce DMARC policies across all your domains.","parentOrganization":{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138883901","name":"DuoCircle LLC","url":"https://www.duocircle.com","sameAs":["https://www.wikidata.org/wiki/Q138883901","https://www.crunchbase.com/organization/duocircle-llc","https://www.linkedin.com/company/duocircle","https://github.com/duocircle"],"subOrganization":[{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138898167","name":"DMARC Report","url":"https://dmarcreport.com"},{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138897474","name":"AutoSPF","url":"https://autospf.com"},{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138897912","name":"Phish Protection","url":"https://www.phishprotection.com"}]},"sameAs":["https://www.wikidata.org/wiki/Q138898167","https://www.linkedin.com/company/duocircle","https://x.com/duocirclellc","https://www.g2.com/products/dmarc-report/reviews","https://github.com/duocircle","https://www.crunchbase.com/organization/duocircle-llc","https://www.trustradius.com/products/duocircle/reviews"],"aggregateRating":{"@type":"AggregateRating","ratingValue":"4.8","reviewCount":"470","bestRating":"5","worstRating":"1","url":"https://www.g2.com/products/dmarc-report/reviews"},"contactPoint":{"@type":"ContactPoint","contactType":"customer support","url":"https://dmarcreport.com/support/"},"knowsAbout":["DMARC","DMARC Reporting","DMARC Aggregate Reports","DMARC Forensic Reports","Sender Policy Framework","DKIM","Email Authentication","Email Security","DNS Management","Email Deliverability"]}
```

```json
{"@context":"https://schema.org","@type":"WebSite","name":"DMARC Report","url":"https://dmarcreport.com","description":"DMARC reporting and email authentication management. Monitor aggregate and forensic DMARC reports, analyze authentication results, and enforce DMARC policies across all your domains.","publisher":{"@type":"Organization","name":"DMARC Report","url":"https://dmarcreport.com","logo":{"@type":"ImageObject","url":"https://dmarcreport.com/images/dmarcreport-logo.png"},"description":"DMARC reporting and email authentication management. Monitor aggregate and forensic DMARC reports, analyze authentication results, and enforce DMARC policies across all your domains.","parentOrganization":{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138883901","name":"DuoCircle LLC","url":"https://www.duocircle.com","sameAs":["https://www.wikidata.org/wiki/Q138883901","https://www.crunchbase.com/organization/duocircle-llc","https://www.linkedin.com/company/duocircle","https://github.com/duocircle"],"subOrganization":[{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138898167","name":"DMARC Report","url":"https://dmarcreport.com"},{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138897474","name":"AutoSPF","url":"https://autospf.com"},{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138897912","name":"Phish Protection","url":"https://www.phishprotection.com"}]}}}
```

```json
[{"@context":"https://schema.org","@type":"FAQPage","mainEntity":[{"@type":"Question","name":"Was ist SPF?","acceptedAnswer":{"@type":"Answer","text":"SPF (Sender Policy Framework) ist ein DNS-basiertes E-Mail-Authentifizierungsprotokoll, definiert in RFC 7208, das es einem Domain-Inhaber ermöglicht zu veröffentlichen, welche IP-Adressen und Server berechtigt sind, E-Mails im Namen dieser Domain zu versenden. Empfangende Mailserver prüfen die Absender-IP gegen den veröffentlichten SPF-Eintrag und lehnen Nachrichten von unautorisierten Quellen ab oder markieren sie. SPF ist eines der drei grundlegenden E-Mail-Authentifizierungsprotokolle neben DKIM und DMARC."}},{"@type":"Question","name":"Wie sieht ein SPF-Eintrag aus?","acceptedAnswer":{"@type":"Answer","text":"Ein SPF-Eintrag ist ein DNS-TXT-Eintrag, veröffentlicht unter der Domain-Hauptebene. Ein typischer Eintrag sieht so aus: v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.10 -all. Das v=spf1-Tag ist erforderlich und muss zuerst stehen. Include-Mechanismen delegieren die Autorisierung an eine andere Domain. Die ip4- und ip6-Mechanismen autorisieren bestimmte IP-Adressen. Der all-Mechanismus am Ende definiert die Standardrichtlinie für nicht aufgeführte Absender: -all bedeutet Hard Fail, ~all bedeutet Soft Fail."}},{"@type":"Question","name":"Warum hat SPF ein Limit von 10 Lookups?","acceptedAnswer":{"@type":"Answer","text":"RFC 7208 Abschnitt 4.6.4 begrenzt die SPF-Auswertung auf 10 DNS-Mechanismus-Lookups, um zu verhindern, dass SPF-Einträge als DNS-Amplifikationsvektor missbraucht werden. Jeder include-, a-, mx-, redirect- und exists-Mechanismus löst einen DNS-Lookup aus, der auf das Limit angerechnet wird. Wenn Organisationen mehrere E-Mail-Dienste nutzen (Google Workspace, SendGrid, Mailchimp, CRM, Support-Desk), übersteigen die kombinierten Lookups verschachtelter Includes leicht 10. Das Überschreiten des Limits erzeugt einen PermError, der die Authentifizierung für jede Nachricht der Domain fehlschlagen lässt."}},{"@type":"Question","name":"Was passiert, wenn das SPF-10-Lookup-Limit überschritten wird?","acceptedAnswer":{"@type":"Answer","text":"Wenn ein SPF-Eintrag 10 DNS-Mechanismus-Lookups überschreitet, gibt der empfangende Server ein PermError-Ergebnis zurück. PermError bedeutet, dass der SPF-Eintrag nicht ausgewertet werden konnte, und die meisten Empfänger behandeln ihn als Fail. Dies betrifft jede E-Mail, die von der Domain gesendet wird, nicht nur Nachrichten des Absenders, der den Überlauf verursacht hat. Die Lösung ist SPF-Flattening (Ersetzen von Include-Mechanismen durch aufgelöste IP-Adressen) oder SPF-Makros. AutoSPF, das Schwesterprodukt von DMARC Report unter autospf.com, handhabt beide Ansätze und scannt alle 15 Minuten neu."}},{"@type":"Question","name":"Was ist der Unterschied zwischen -all und ~all bei SPF?","acceptedAnswer":{"@type":"Answer","text":"Der -all-Qualifier (Hard Fail) weist empfangende Server an, E-Mails von jeder IP-Adresse abzulehnen, die nicht ausdrücklich im SPF-Eintrag aufgeführt ist. Der ~all-Qualifier (Soft Fail) weist Empfänger an, die Nachricht zu akzeptieren, aber als verdächtig zu markieren. In der Praxis behandeln viele Empfänger beide aufgrund der DMARC-Durchsetzung ähnlich, aber -all bietet das stärkste Signal. Verwenden Sie ~all während der anfänglichen SPF-Bereitstellung zur Sicherheit, dann wechseln Sie zu -all, wenn alle legitimen Absender erfasst sind."}},{"@type":"Question","name":"Funktioniert SPF bei E-Mail-Weiterleitung?","acceptedAnswer":{"@type":"Answer","text":"Nein. SPF versagt bei weitergeleiteter E-Mail, weil die IP-Adresse des Weiterleitungsservers nicht im SPF-Eintrag der ursprünglichen Domain steht. Der Weiterleitungsserver sendet die Nachricht von seiner eigenen IP, die der empfangende Server gegen den SPF-Eintrag der ursprünglichen Domain prüft und als fehlgeschlagen bewertet. Dies ist einer der Hauptgründe, warum DKIM existiert: DKIM-Signaturen sind an die Nachricht selbst angehängt und überleben die Weiterleitung. DMARC erfordert nur, dass eines von SPF oder DKIM besteht und ausgerichtet ist, sodass DKIM die Weiterleitungslücke abdeckt."}},{"@type":"Question","name":"Wie prüfe ich meinen SPF-Eintrag?","acceptedAnswer":{"@type":"Answer","text":"Verwenden Sie das DMARC Report SPF-Checker-Tool unter dmarcreport.com/tools/spf-checker/, um Ihren SPF-Eintrag nachzuschlagen, DNS-Lookups zu zählen, nach Syntaxfehlern zu suchen und zu überprüfen, ob alle Ihre Sendequellen enthalten sind. Das Tool löst alle Include-Mechanismen rekursiv auf und zeigt die vollständige IP-Adressliste, die Ihr SPF-Eintrag autorisiert. Sie können auch nslookup oder dig über die Kommandozeile verwenden: dig TXT beispiel.de gibt Ihren SPF-Eintrag zurück."}}]}]
```

```json
{"@context":"https://schema.org","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https://dmarcreport.com/"},{"@type":"ListItem","position":2,"name":"Lernen","item":"https://dmarcreport.com/de/was-ist-dmarc/"},{"@type":"ListItem","position":3,"name":"Was ist SPF","item":"https://dmarcreport.com/de/was-ist-spf/"}]}
```