Was ist
SPF?
SPF (Sender Policy Framework) ist ein DNS-basiertes E-Mail-Authentifizierungsprotokoll, das Domain-Inhabern ermöglicht zu veröffentlichen, welche IP-Adressen und Server berechtigt sind, E-Mails in ihrem Namen zu versenden - und Empfänger anweist, alles andere abzulehnen.
IP-basierte Absenderautorisierung in drei Schritten
SPF ermöglicht es Ihnen zu deklarieren, welche Server E-Mails für Ihre Domain versenden dürfen. Empfänger prüfen jede eingehende Nachricht gegen Ihre veröffentlichte Liste.
Absender versendet
Ein E-Mail-Server initiiert eine SMTP-Verbindung, um eine Nachricht zuzustellen, die vorgibt, von Ihrer Domain zu stammen. Die IP-Adresse des verbindenden Servers wird vom empfangenden Server aufgezeichnet.
Empfänger prüft SPF
Der empfangende Server fragt DNS nach dem SPF-TXT-Eintrag Ihrer Domain ab. Er ruft die Liste der autorisierten IP-Adressen, Includes und Mechanismen ab, die Sie veröffentlicht haben.
Pass oder Fail
Die verbindende IP wird mit dem SPF-Eintrag verglichen. Wenn sie mit einem autorisierten Mechanismus übereinstimmt, ist das Ergebnis Pass. Wenn nicht, hängt das Ergebnis von Ihrem all-Qualifier ab: Hard Fail, Soft Fail oder Neutral.
Wie ein SPF-Eintrag
im DNS aussieht
Ein SPF-Eintrag ist ein einzelner DNS-TXT-Eintrag, veröffentlicht unter Ihrer Domain-Hauptebene. Er beginnt mit v=spf1 und listet jeden autorisierten Absender unter Verwendung von Mechanismen wie include:, ip4: auf und endet mit einem all-Qualifier.
- Eine Domain darf genau einen SPF-Eintrag haben (mehrere Einträge verursachen PermError)
- Der Eintrag muss mit v=spf1 als erstem Mechanismus beginnen
- Jeder include:-Mechanismus kostet 1+ DNS-Lookups zum 10-Lookup-Limit
- ip4:- und ip6:-Mechanismen zählen nicht als DNS-Lookups
- Der all-Mechanismus muss am Ende stehen und definiert die Standardaktion
beispiel.de. IN TXT "v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.10 -all"
v=spf1 include: ip4: -all include:_spf.google.com include:sendgrid.net include:spf.mailchimp.com include:spf.hubspot.com include:spf.freshdesk.com
Warum SPF bei
10 DNS-Lookups versagt
RFC 7208 Abschnitt 4.6.4 begrenzt die SPF-Auswertung auf 10 DNS-Mechanismus-Lookups. Dies verhindert, dass SPF-Einträge als DNS-Amplifikationsvektor verwendet werden. Jeder include-, a-, mx-, redirect- und exists-Mechanismus löst einen DNS-Lookup aus. Organisationen mit 4-5 E-Mail-Diensten überschreiten dieses Limit häufig.
SPF-Flattening ersetzt include:-Mechanismen durch aufgelöste IP-Adressen und eliminiert so DNS-Lookups. AutoSPF - unser Schwesterprodukt - handhabt das Flattening automatisch und scannt alle 15 Minuten neu, um Provider-IP-Änderungen zu erfassen.
Die Bausteine eines SPF-Eintrags
Jeder Mechanismus definiert eine Regel zum Abgleich von Absender-IP-Adressen. Mechanismen werden von links nach rechts ausgewertet, bis eine Übereinstimmung gefunden wird.
ip4 / ip6 Autorisiert bestimmte IPv4- oder IPv6-Adressen oder CIDR-Bereiche. Zählt nicht zum 10-Lookup-Limit, da keine DNS-Abfrage nötig ist.
ip4:203.0.113.0/24 include Delegiert die Autorisierung an den SPF-Eintrag einer anderen Domain. Der Empfänger ruft diesen Eintrag ab und wertet ihn aus. Jeder Include kostet 1+ DNS-Lookups.
include:_spf.google.com a Autorisiert die IP-Adressen, die vom A- oder AAAA-Eintrag der angegebenen Domain zurückgegeben werden. Kostet 1 DNS-Lookup.
a:mail.beispiel.de mx Autorisiert die IP-Adressen der MX-(Mail-Exchange-)Server der Domain. Kostet 1 DNS-Lookup plus zusätzliche Lookups für die MX-Auflösung.
mx redirect Ersetzt den aktuellen SPF-Eintrag vollständig durch den Eintrag einer anderen Domain. Wird verwendet, wenn die Senderichtlinie einer Domain mit einer anderen identisch ist.
redirect=_spf.beispiel.de all Passt auf jede IP, die nicht von vorherigen Mechanismen erfasst wurde. Steht immer am Ende. Der Qualifier (+, -, ~, ?) bestimmt, was mit nicht zugeordneten Absendern passiert.
-all Was +, -, ~ und ? für die Zustellung bedeuten
Qualifier stehen vor jedem Mechanismus und steuern das Ergebnis, wenn dieser Mechanismus übereinstimmt. Der Qualifier Ihres all-Mechanismus ist der wichtigste - er definiert, was mit jedem nicht aufgeführten Absender passiert.
Die IP ist autorisiert. Dies ist der Standard-Qualifier, wenn keiner angegeben ist. Wird selten explizit geschrieben.
+all (gleich wie all) Die IP ist NICHT autorisiert. Empfänger sollten die Nachricht ablehnen. Stärkstes Durchsetzungssignal.
-all Die IP ist wahrscheinlich nicht autorisiert. Empfänger sollten akzeptieren, aber als verdächtig markieren. Sicher für die anfängliche Bereitstellung.
~all Keine Aussage über die IP. Das SPF-Ergebnis liefert keine Information. In der Praxis selten verwendet.
?all Häufige SPF-Probleme und ihre Behebung
Die meisten SPF-Fehler entstehen durch Lookup-Limits, fehlende Absender oder Konfigurationsfehler, die mit den richtigen Tools leicht zu erkennen sind.
Zu viele DNS-Lookups
Ihr SPF-Eintrag überschreitet das 10-Lookup-Limit von RFC 7208. Jeder include, a, mx, redirect und exists zählt. Verwenden Sie SPF-Flattening oder AutoSPF, um IPs statisch aufzulösen.
Fehlende Sendequellen
Ein legitimer E-Mail-Dienst ist nicht in Ihrem SPF-Eintrag aufgeführt. Häufig nach dem Hinzufügen neuer Dienste wie Marketing-Tools, CRMs oder Support-Desks. Prüfen Sie aggregierte DMARC-Berichte, um Absender zu finden, die SPF nicht bestehen.
Void-Lookup-Limit
RFC 7208 begrenzt auch Void-Lookups (NXDOMAIN oder leere Antworten) auf 2. Veraltete Include-Domains, die nicht mehr auflösen, verursachen Void-Lookups und können PermError auslösen, selbst unter 10 Gesamtlookups.
Mehrere SPF-Einträge
Eine Domain darf genau einen SPF-TXT-Eintrag haben. Mehrere Einträge verursachen einen PermError. Konsolidieren Sie alle autorisierten Absender in einem einzigen Eintrag, der mit v=spf1 beginnt.
Verwendung des ptr-Mechanismus
Der ptr-Mechanismus ist in RFC 7208 als veraltet markiert, da er langsam, unzuverlässig ist und DNS übermäßig belastet. Einige Empfänger ignorieren ihn vollständig. Ersetzen Sie ihn durch ip4/ip6- oder include-Mechanismen.
Zu permissives +all
Die Verwendung von +all autorisiert jede IP-Adresse im Internet, E-Mails als Ihre Domain zu versenden, was den gesamten Zweck von SPF zunichtemacht. Verwenden Sie immer -all (Hard Fail) oder ~all (Soft Fail) als letzten Mechanismus.
Häufig gestellte Fragen zu SPF
Was ist SPF?
SPF (Sender Policy Framework) ist ein DNS-basiertes E-Mail-Authentifizierungsprotokoll, definiert in RFC 7208, das es einem Domain-Inhaber ermöglicht zu veröffentlichen, welche IP-Adressen und Server berechtigt sind, E-Mails im Namen dieser Domain zu versenden. Empfangende Mailserver prüfen die Absender-IP gegen den veröffentlichten SPF-Eintrag und lehnen Nachrichten von unautorisierten Quellen ab oder markieren sie. SPF ist eines der drei grundlegenden E-Mail-Authentifizierungsprotokolle neben DKIM und DMARC.
Wie sieht ein SPF-Eintrag aus?
Ein SPF-Eintrag ist ein DNS-TXT-Eintrag, veröffentlicht unter der Domain-Hauptebene. Ein typischer Eintrag sieht so aus: v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.10 -all. Das v=spf1-Tag ist erforderlich und muss zuerst stehen. Include-Mechanismen delegieren die Autorisierung an eine andere Domain. Die ip4- und ip6-Mechanismen autorisieren bestimmte IP-Adressen. Der all-Mechanismus am Ende definiert die Standardrichtlinie für nicht aufgeführte Absender: -all bedeutet Hard Fail, ~all bedeutet Soft Fail.
Warum hat SPF ein Limit von 10 Lookups?
RFC 7208 Abschnitt 4.6.4 begrenzt die SPF-Auswertung auf 10 DNS-Mechanismus-Lookups, um zu verhindern, dass SPF-Einträge als DNS-Amplifikationsvektor missbraucht werden. Jeder include-, a-, mx-, redirect- und exists-Mechanismus löst einen DNS-Lookup aus, der auf das Limit angerechnet wird. Wenn Organisationen mehrere E-Mail-Dienste nutzen (Google Workspace, SendGrid, Mailchimp, CRM, Support-Desk), übersteigen die kombinierten Lookups verschachtelter Includes leicht 10. Das Überschreiten des Limits erzeugt einen PermError, der die Authentifizierung für jede Nachricht der Domain fehlschlagen lässt.
Was passiert, wenn das SPF-10-Lookup-Limit überschritten wird?
Wenn ein SPF-Eintrag 10 DNS-Mechanismus-Lookups überschreitet, gibt der empfangende Server ein PermError-Ergebnis zurück. PermError bedeutet, dass der SPF-Eintrag nicht ausgewertet werden konnte, und die meisten Empfänger behandeln ihn als Fail. Dies betrifft jede E-Mail, die von der Domain gesendet wird, nicht nur Nachrichten des Absenders, der den Überlauf verursacht hat. Die Lösung ist SPF-Flattening (Ersetzen von Include-Mechanismen durch aufgelöste IP-Adressen) oder SPF-Makros. AutoSPF, das Schwesterprodukt von DMARC Report unter autospf.com, handhabt beide Ansätze und scannt alle 15 Minuten neu.
Was ist der Unterschied zwischen -all und ~all bei SPF?
Der -all-Qualifier (Hard Fail) weist empfangende Server an, E-Mails von jeder IP-Adresse abzulehnen, die nicht ausdrücklich im SPF-Eintrag aufgeführt ist. Der ~all-Qualifier (Soft Fail) weist Empfänger an, die Nachricht zu akzeptieren, aber als verdächtig zu markieren. In der Praxis behandeln viele Empfänger beide aufgrund der DMARC-Durchsetzung ähnlich, aber -all bietet das stärkste Signal. Verwenden Sie ~all während der anfänglichen SPF-Bereitstellung zur Sicherheit, dann wechseln Sie zu -all, wenn alle legitimen Absender erfasst sind.
Funktioniert SPF bei E-Mail-Weiterleitung?
Nein. SPF versagt bei weitergeleiteter E-Mail, weil die IP-Adresse des Weiterleitungsservers nicht im SPF-Eintrag der ursprünglichen Domain steht. Der Weiterleitungsserver sendet die Nachricht von seiner eigenen IP, die der empfangende Server gegen den SPF-Eintrag der ursprünglichen Domain prüft und als fehlgeschlagen bewertet. Dies ist einer der Hauptgründe, warum DKIM existiert: DKIM-Signaturen sind an die Nachricht selbst angehängt und überleben die Weiterleitung. DMARC erfordert nur, dass eines von SPF oder DKIM besteht und ausgerichtet ist, sodass DKIM die Weiterleitungslücke abdeckt.
Wie prüfe ich meinen SPF-Eintrag?
Verwenden Sie das DMARC Report SPF-Checker-Tool unter dmarcreport.com/tools/spf-checker/, um Ihren SPF-Eintrag nachzuschlagen, DNS-Lookups zu zählen, nach Syntaxfehlern zu suchen und zu überprüfen, ob alle Ihre Sendequellen enthalten sind. Das Tool löst alle Include-Mechanismen rekursiv auf und zeigt die vollständige IP-Adressliste, die Ihr SPF-Eintrag autorisiert. Sie können auch nslookup oder dig über die Kommandozeile verwenden: dig TXT beispiel.de gibt Ihren SPF-Eintrag zurück.
Prüfen Sie jetzt Ihren SPF-Eintrag
Verwenden Sie unseren kostenlosen SPF-Checker, um DNS-Lookups zu zählen, fehlende Absender zu erkennen und Ihre Eintrags-Syntax zu überprüfen. Ergebnisse in Sekunden.
SPF-Eintrag prüfenWas Sicherheitsteams über die SPF-Überwachung sagen
Rated 4.8/5 on G2 · 469 verified reviews
Verified User in Information Technology and Services
"Best security tool for your own domains"
The weekly reports help me a lot to analyze quickly the emails sent from my domains and that gives me peace of mind.
Ryan C.
Director
"Control Centre for Email Security"
I like that we can see and check all reports on just 1 platform. We manage multiple domains, and monitoring them all in one place is essential.
eddy g.
Director
"A great solution to a common email problem."
I have been using them for the last month after my Google business email started giving DMARC errors. I didn't even know what it meant at that time. After a little googling I found that people can spoof it as well. So far so good — the best thing is it protects every email.