Kostenloses Tool
Kostenloser SPF-Record-Generator
Erstellen Sie Ihren SPF-Eintrag in wenigen Minuten
Bauen Sie einen gültigen SPF-TXT-Eintrag, der Ihre sendeberechtigten Server benennt und Ihre Zustellbarkeit schützt. Wählen Sie Ihre Anbieter, ergänzen Sie eigene IPs und kopieren Sie einen Eintrag, der auf Anhieb stimmt.
Keine Anmeldung nötig. Validierung in Echtzeit.
Wählen Sie Ihre E-Mail-Anbieter
Beginnen Sie mit Anbietern, die eindeutig ein SPF-Include auf der Root-Domain verlangen. Bei vielen anderen hängt es vom Setup ab: Im Standardmodus läuft die Authentifizierung meist über DKIM; ein eigener Return-Path oder MAIL FROM kann SPF auf einer Sende-Subdomain nötig machen.
Übliche SPF-Includes auf der Root-Domain
Diese Anbieter verlangen üblicherweise SPF-Includes im Eintrag Ihrer Hauptdomain.
Erweitert: eigene Includes hinzufügen
Nur verwenden, wenn die Anbieter-Doku für Ihr gewähltes Setup ausdrücklich ein SPF-Include verlangt (etwa eigener Return-Path oder eigenes MAIL FROM).
Kommagetrennt. Includes zählen zum 10-DNS-Lookup-Limit und gehören womöglich auf eine Sende-Subdomain.
Setup-abhängige Anbieter
Standard-Setups nutzen oft die anbietereigene Return-Path-Domain und DKIM. Wenn Sie einen eigenen Return-Path oder MAIL FROM aktivieren, kann SPF nötig werden, häufig auf einer Subdomain.
Transaktionale E-Mails
Standard-MAIL-FROM nutzt amazonses.com; eigenes MAIL FROM braucht SPF auf dieser Subdomain
Der automatische CNAME-Modus deckt SPF meist ab; eigener Return-Path oder manueller Modus kann SPF brauchen
SPF meist auf Ihrer Sende-Domain oder -Subdomain nötig
Standardmäßig anbietereigener Return-Path; ein eigener Return-Path ermöglicht SPF-Alignment
DKIM-zuerst-Setup; manche Domain-Modi verlangen weiterhin ein SPF-Include
Marketing, Vertrieb & Support
Meist DKIM-basiert; prüfen Sie die Doku, wenn eine eigene Bounce-Domain aktiv ist
Meist DKIM-basiert; ob SPF nötig ist, hängt von Tarif und Sendemodus ab
Das Setup der Sende-Domain kann SPF-Anforderungen mitbringen
include:_spf.salesforce.com hinzufügen, wenn Salesforce E-Mails für Ihre Domain versendet
Kann ein SPF-Include verlangen, wenn im Namen Ihrer Domain versendet wird
SPF kann je nach Postfach- oder Authentifizierungs-Setup nötig sein
Meist anbietereigenes SPF; ein eigener Return-Path kann das SPF-Alignment beeinflussen
Eigene IP-Adressen hinzufügen (Optional)
Kommagetrennt. Unterstützt CIDR-Notation (z. B. 192.0.2.0/24).
Kommagetrennt. Unterstützt CIDR-Notation (z. B. 2001:db8::/32).
Wählen Sie Ihre SPF-Richtlinie
RFC-7208-Warnung: Von diesen Mechanismen wird abgeraten, weil sie DNS-Lookups verbrauchen und zu Zuverlässigkeitsproblemen führen können. Verwenden Sie nach Möglichkeit stattdessen ip4/ip6.
Generierter SPF-Eintrag
TXTv=spf1 ~all
Warnung: SPF-Einträge sind auf 10 DNS-Lookups begrenzt. Streichen Sie Includes oder tragen Sie IP-Adressen direkt ein.
So hinterlegen Sie den Eintrag im DNS
- 1 Melden Sie sich bei Ihrem DNS-Anbieter an (GoDaddy, Cloudflare, Namecheap usw.).
- 2 Legen Sie einen TXT-Eintrag an.
-
3
Host:
@oder leer lassen - 4 Wert: Fügen Sie den Eintrag von oben ein.
Überprüfung
SPF-Konfiguration prüfenIhr SPF-Eintrag ist erst der erste Schritt
Ein veröffentlichter SPF-Eintrag verrät Ihnen nicht, ob er wirklich funktioniert. DMARC-Berichte zeigen Ihnen jede Quelle, die im Namen Ihrer Domain versendet, welche die Prüfung bestehen und welche nicht, damit Sie Probleme beheben, bevor sie das Postfach erreichen.
Was ist ein SPF-Eintrag?
Sender Policy Framework (SPF) ist ein Standard zur E-Mail-Authentifizierung, der die sendeberechtigten Mailserver Ihrer Domain benennt. Diese Liste hinterlegen Sie als einen einzigen DNS-TXT-Eintrag, der mit v=spf1 beginnt, und empfangende Server lesen sie, um zu entscheiden, ob ein sich verbindender Server Ihre Domain verwenden darf.
Wenn ein Server Ihre E-Mails empfängt, liest er den SPF-Eintrag der Envelope-Absenderdomain und prüft, ob die einliefernde IP auf der Liste steht. Steht sie dort, gilt SPF als bestanden. Empfänger nutzen dieses Signal, um Absenderfälschung zu bekämpfen und zu entscheiden, ob Ihre E-Mails den Posteingang erreichen.
Format und Syntax eines SPF-Eintrags
Ein SPF-Eintrag ist eine einzelne Textzeile mit fester Form. Er beginnt mit dem Versionsterm v=spf1, gefolgt von einer durch Leerzeichen getrennten Liste von Termen. Der empfangende Server liest die Terme von links nach rechts und stoppt beim ersten, der zur sich verbindenden IP passt; die Reihenfolge ist also entscheidend. Jeder Term besteht aus einem optionalen Qualifizierer und einem Mechanismus. Zum Beispiel ist ~all der Qualifizierer ~ am Mechanismus all.
Zwei Terme haben eine besondere Aufgabe. Der Versionsterm v=spf1 steht zuerst. Der Mechanismus all steht zuletzt, weil er alles abdeckt, was die vorherigen Terme nicht erfasst haben. Alles dazwischen, die Includes, IP-Bereiche und übrigen Mechanismen, listet auf, wer senden darf.
Ein Eintrag pro Domain. Eine Domain muss genau einen TXT-Record veröffentlichen, der mit v=spf1 beginnt. Bei zwei Einträgen kann der empfangende Server nicht erkennen, welchem er vertrauen soll: SPF liefert einen PermError und die Prüfung schlägt fehl (RFC 7208 §4.5). Überschreitet eine Zeichenkette 255 Zeichen, verteilen Sie den Wert auf mehrere Zeichenketten in Anführungszeichen innerhalb desselben TXT-Records; der Server fügt sie ohne zusätzliches Leerzeichen zusammen (RFC 7208 §3.3).
Die vollständige Grammatik steht in RFC 7208, dem Standard, der SPF definiert.
SPF-Mechanismen: Referenz
SPF definiert acht Mechanismen (RFC 7208 §5). Die rechte Spalte übersehen die meisten fehlerhaften Einträge: jeder Mechanismus, der eine Abfrage auslöst, verbraucht einen Teil Ihres Budgets von 10 Abfragen, und das Überschreiten dieses Budgets lässt SPF fehlschlagen. Der Generator oben zählt diese Spalte live mit, während Sie bauen.
| Mechanismus | Syntaxformen | Was er zulässt | DNS-Abfragen |
|---|---|---|---|
all |
all | Passt immer. Steht zuletzt, um das Standardergebnis für Absender festzulegen, die darüber nicht aufgeführt sind. | 0 |
include |
include:domain | Lässt jeden Absender aus dem SPF-Eintrag einer anderen Domain zu. Der übliche Weg, einen Anbieter wie Google oder SendGrid hinzuzufügen. | 1 |
a |
a a/präfix a:domain a:domain/präfix | Die A- oder AAAA-Adresse der Domain (die aktuelle Domain, wenn keine angegeben ist), optional ein ganzer CIDR-Bereich. | 1 |
mx |
mx mx/präfix mx:domain mx:domain/präfix | Die Adressen der Mailserver der Domain (ihrer MX-Hosts), optional ein ganzer CIDR-Bereich. | 1+ |
ptr |
ptr ptr:domain | Die sich verbindende IP, wenn ihr Reverse-DNS-Name auf Ihre Domain endet. RFC 7208 §5.5 besagt, dass dieser Mechanismus NICHT veröffentlicht werden SOLLTE. | 1 |
ip4 |
ip4:adresse ip4:bereich/präfix | Eine IPv4-Adresse oder ein CIDR-Bereich. Keine DNS-Abfrage, kostet also nichts im Budget. | 0 |
ip6 |
ip6:adresse ip6:bereich/präfix | Eine IPv6-Adresse oder ein CIDR-Bereich. Wie ip4 kostet er nichts im Budget. | 0 |
exists |
exists:domain | Passt, wenn eine DNS-Abfrage für die (meist per Makro gebildete) Domain einen A-Record zurückgibt. Wird für fortgeschrittene Makro-Konfigurationen verwendet. | 1 |
Der Mechanismus mx zeigt „1+", weil der Empfänger den MX-Record abfragt und dann jeden benannten Mailhost auflöst, und jede dieser Auflösungen zählt. Bevorzugen Sie ip4 und ip6 für feste Adressen. Sie passen exakt und kosten nichts im Budget.
SPF-Qualifizierer: + - ~ ?
Ein Qualifizierer ist das einzelne Zeichen vor einem Mechanismus. Es legt das Ergebnis fest, wenn dieser Mechanismus zur sich verbindenden IP passt. Lassen Sie ihn weg, nimmt SPF + (pass) an, sodass include:_spf.google.com dasselbe bedeutet wie +include:_spf.google.com (RFC 7208 §4.6.2).
| Qualifizierer | Ergebnis | Was er dem Server signalisiert |
|---|---|---|
+ |
Pass | Der Absender ist berechtigt. Das ist die Standardannahme, deshalb schreiben Sie es fast nie aus. Üblicherweise setzen Sie nur am all-Mechanismus am Ende einen Qualifizierer. |
- |
Fail | Der Absender ist nicht berechtigt; die E-Mail abweisen. Als -all geschrieben, ist das ein harter Fehlschlag (Hardfail). |
~ |
Softfail | Der Absender ist wahrscheinlich nicht berechtigt; die E-Mail annehmen, aber als verdächtig behandeln. Als ~all geschrieben. |
? |
Neutral | Keine Aussage in die eine oder andere Richtung, wie ohne Richtlinie. Als ?all geschrieben. |
~all gegenüber -all: Beginnen Sie mit ~all (Softfail), während Sie Ihre DMARC-Berichte auswerten und bestätigen, dass jeder legitime Absender aufgeführt ist. Wechseln Sie zu -all (Fail), sobald die Liste vollständig ist. Ein verfrühtes -all weist jeden vergessenen Absender ab und kann auch weitergeleitete E-Mails brechen, weil die Weiterleitung den sendenden Server ändert.
Modifikatoren: redirect und exp
Die meisten Generatoren überspringen diese beiden, aber sie sind Teil des Standards und Ihnen begegnen sie in echten Einträgen (RFC 7208 §6). Ein Modifikator wird als name=wert geschrieben und kommt, anders als ein Mechanismus, höchstens einmal vor.
redirect=domain
Übergibt die Auswertung an den SPF-Eintrag einer anderen Domain und nutzt deren Ergebnis, einschließlich ihres all-Mechanismus. Nützlich, wenn viele Domains eine Richtlinie teilen. Er zählt als eine DNS-Abfrage in Ihrem Budget und wird ignoriert, wenn der Eintrag bereits einen all-Mechanismus hat (RFC 7208 §6.1).
exp=domain
Verweist auf einen TXT-Record mit einer lesbaren Erklärung, die ein Empfänger bei einem SPF-Fehlschlag anzeigen kann. Er ändert das Ergebnis nicht, und seine Abfrage zählt nicht zum 10-Lookup-Limit (RFC 7208 §6.2, §4.6.4).
Das Limit von 10 DNS-Abfragen
SPF begrenzt, wie viel DNS-Arbeit ein Empfänger für Ihren Eintrag leistet. Höchstens 10 abfrageauslösende Terme dürfen während der Auswertung laufen (RFC 7208 §4.6.4). Die Mechanismen include, a, mx, ptr und exists sowie der Modifikator redirect zählen jeweils. Die Terme ip4, ip6, all und exp nicht.
Der Haken ist: ein include zieht einen weiteren Eintrag herein, und dessen eigene Includes zählen ebenfalls. So summieren sich drei oder vier Anbieter-Includes in Ihrer eigenen Zeile schnell auf mehr als zehn. Über dem Limit liefert SPF einen PermError. Empfänger werten das als Fehler, das heißt SPF kann nicht bestehen und Ihr DMARC-SPF-Alignment scheitert mit ihm.
Leere Abfragen. Es gibt ein zweites, stilleres Limit. Ein Empfänger SOLLTE nach zwei „leeren" Abfragen stoppen, also Abfragen, die überhaupt keinen Eintrag zurückgeben (RFC 7208 §4.6.4). Ein Tippfehler in einem Include oder ein Anbieter, der seinen SPF-Eintrag entfernt hat, kann das auslösen, selbst wenn Ihr Gesamtwert unter zehn liegt.
Wie wir das in der Produktion zählen
Der Generator auf dieser Seite zählt die Abfragespalte live mit, während Sie Anbieter ankreuzen und IPs hinzufügen, sodass Sie schon vor dem Veröffentlichen unter dem Budget bleiben. Dieselbe Logik wenden wir auf echte Domains an. Unser Analyzer setzt RFC 7208 §4.6.4 um, zählt den vollständigen verschachtelten Gesamtwert, zu dem sich ein Include ausweitet, verfolgt leere Abfragen gegen das Limit von zwei und schließt exp vom Zählen aus, wie der Standard es verlangt. Wenn ein Eintrag bereits über dem Limit liegt, sind die üblichen Korrekturen nach Aufwand: Includes für Anbieter streichen, die Sie nicht mehr nutzen, stabile Includes durch explizite ip4- und ip6-Bereiche ersetzen und erst dann zum SPF-Flattening greifen, das unser Pro-Tarif automatisch alle 30 Minuten ausführt, um den geglätteten Eintrag aktuell zu halten.
Wie SPF, DKIM und DMARC zusammenspielen
SPF steht selten allein. Es ist einer von drei Einträgen, die zusammenarbeiten, und ein Empfänger liest alle drei. So ist die Arbeit aufgeteilt:
SPF berechtigt den sendenden Server
Es beantwortet: „Darf diese IP für die Envelope-Domain senden?" SPF prüft den Envelope-Absender (den Return-Path oder MAIL FROM) und den HELO-Namen, nicht die From-Adresse, die Ihr Leser sieht (RFC 7208 §2.4).
DKIM signiert die Nachricht
Ihr Server fügt eine kryptografische Signatur in eine Kopfzeile ein, und der Empfänger prüft sie gegen einen öffentlichen Schlüssel in Ihrem DNS. Eine gültige Signatur belegt, dass die Nachricht unterwegs nicht verändert wurde und tatsächlich von Ihrer Domain stammt.
DMARC verknüpft sie mit dem sichtbaren From
DMARC besteht, wenn SPF oder DKIM verifiziert UND mit der Domain in der From-Kopfzeile übereinstimmt, die Ihr Leser sieht. Es sagt Empfängern außerdem, was im Fehlerfall zu tun ist (none, quarantine oder reject) und wohin Berichte gesendet werden.
SPF ist die erste Etappe. Bauen Sie die zweite mit unserem DMARC-Eintrag-Generator und folgen Sie dann der DMARC-Einrichtungs-Checkliste, um Ihre Domain ohne Zustellprobleme von keinem Schutz auf eine Reject-Richtlinie zu bringen.
So sieht ein echter SPF-Eintrag aus
Hier ist ein Eintrag für eine Domain, die über Google Workspace, SendGrid und einen eigenen Server versendet:
v=spf1
Kennzeichnet den Eintrag als SPF-Record. Jeder Eintrag beginnt damit, und pro Domain darf es nur einen geben.
include:_spf.google.com
Bindet Googles veröffentlichte Liste sendeberechtigter IPs ein. Jedes Include kostet einen DNS-Lookup vom Budget von 10.
include:sendgrid.net
Berechtigt SendGrid auf demselben Weg. Zwei Includes bedeuten zwei verbrauchte Lookups.
ip4:198.51.100.10
Trägt einen Server, den Sie selbst betreiben, direkt mit seiner Adresse ein. ip4 und ip6 kosten keinen Lookup; für feste IPs sind sie deshalb erste Wahl.
~all
Erfasst jeden Absender, der oben nicht steht, und wertet ihn als SoftFail. Mechanismen werden von links nach rechts gelesen; all steht deshalb immer am Ende.
So funktioniert die SPF-Authentifizierung
Empfangende Mailserver prüfen SPF schon während des SMTP-Dialogs, bevor sie die Nachricht annehmen:
Ein Server baut die Verbindung auf
Ihr Mailserver verbindet sich mit dem Server des Empfängers und übermittelt die Envelope-Absenderadresse und eine Quell-IP.
Der Empfänger schlägt SPF nach
Er nimmt die Domain aus dem Return-Path (dem Envelope-Absender) und fragt im DNS deren SPF-Eintrag ab.
Die IP wird geprüft
Er geht die Mechanismen des Eintrags der Reihe nach durch und prüft, ob einer davon die einliefernde IP abdeckt.
Ein Ergebnis wird vergeben
Aus dem Treffer und Ihrem abschließenden Qualifier ergibt sich das Prüfergebnis: pass, fail, softfail oder neutral.
Das Ergebnis fließt in die Filterung ein
SPF geht zusammen mit DKIM und DMARC in die Spam- und Authentifizierungsentscheidung des Empfängers ein.
Warum Ihre Domain SPF braucht
Eine Domain ohne SPF ist leichter zu fälschen, und ihre E-Mails kommen schlechter an. Das bringt Ihnen ein hinterlegter Eintrag:
Schwerer zu fälschen
SPF benennt die sendeberechtigten Server Ihrer Domain. Ohne den Eintrag kann jeder Ihre Adresse von jedem Server aus fälschen, und Empfänger können das nicht erkennen.
Bessere Zustellbarkeit
Gmail, Microsoft und Yahoo lesen SPF. E-Mails von einer Domain ohne SPF landen eher im Spam-Ordner oder werden abgewiesen.
Erfüllt die Regeln für Massenversender
Seit Februar 2024 verlangen Google und Yahoo von Massenversendern (rund 5.000+ Nachrichten pro Tag), SPF, DKIM und einen DMARC-Eintrag zu veröffentlichen. SPF ist ein Bestandteil dieser Anforderung.
Zählt für das DMARC-Alignment
DMARC besteht, wenn SPF oder DKIM mit Ihrer From-Domain übereinstimmt (Alignment). SPF ist einer der beiden Wege und entscheidet damit mit, ob DMARC Ihre Domain schützt.
Schützt Ihre Reputation
Wer eine Phishing-Mail mit Ihrer gefälschten Absenderadresse erhält, macht Ihre Marke dafür verantwortlich. SPF ist ein Baustein, um das zu unterbinden.
Häufige SPF-Fehler, die Sie vermeiden sollten
Die meisten fehlerhaften SPF-Einträge scheitern aus einem dieser Gründe:
Mehr als 10 DNS-Lookups
Jedes include, a, mx, ptr, exists und redirect zählt zum Limit von 10. Darüber liefert SPF einen PermError. Ersetzen Sie Includes durch ip4/ip6, wo die IPs stabil sind.
Zwei SPF-Einträge veröffentlichen
Eine Domain darf nur einen Eintrag haben, der mit v=spf1 beginnt. Zwei davon sind ein automatischer PermError. Führen Sie alles in einem einzigen Eintrag zusammen.
Includes hinzufügen, die Sie nicht brauchen
Viele Anbieter versenden über ihren eigenen Return-Path; ein Include auf der Root-Domain verschenkt dann nur einen Lookup. Fügen Sie eines erst hinzu, wenn die Anbieter-Doku es verlangt, meist bei eigenem Return-Path oder MAIL FROM.
Zu früh zu -all wechseln
HardFail weist jeden Absender ab, den Sie vergessen haben, auch Ihre eigenen Server. Bleiben Sie bei ~all und werten Sie Ihre DMARC-Berichte aus, bis dort jede legitime Quelle auftaucht.
Eigene Server vergessen
Kontaktformulare, App-Benachrichtigungen und Monitoring-Skripte versenden ebenfalls E-Mails. Wenn einer Ihrer Server sendet, gehört seine IP in den Eintrag.
Subdomains brauchen einen eigenen Eintrag
SPF vererbt sich nicht. Ein Eintrag auf example.com sagt nichts über E-Mails aus, die von mail.example.com oder news.example.com versendet werden. Jede Subdomain, die E-Mails versendet, braucht ihren eigenen SPF-Eintrag unter ihrem eigenen Namen.
Für eine Subdomain, die niemals E-Mails versendet, hinterlegen Sie einen Eintrag, der nichts erlaubt: v=spf1 -all. Damit fällt jede gefälschte E-Mail von dieser Subdomain durch die SPF-Prüfung, und ein Weg, den Angreifer gern nutzen, ist geschlossen.
Testen Sie den Eintrag nach dem Hinterlegen
DNS-Änderungen brauchen ein paar Minuten bis einige Stunden, bis sie überall ankommen. Sobald der Eintrag live ist, lesen Sie ihn über die Kommandozeile zurück, bevor Sie sich darauf verlassen:
macOS oder Linux
Windows
Ein korrektes Ergebnis liefert exakt die Zeichenkette zurück, die Sie hinterlegt haben, zum Beispiel:
Lieber im Browser? Führen Sie dieselbe Prüfung mit unserem kostenlosen Domain-Checker aus und erhalten Sie ein klares Prüfergebnis zu SPF, DKIM und DMARC.
So erstellen Sie einen SPF-Eintrag für Ihre Domain
Haken Sie die Anbieter an, die ein Include auf der Root-Domain verlangen, ergänzen Sie die IPs Ihrer eigenen Server, übernehmen Sie weitere Includes aus der Anbieter-Doku, wenn nötig, und wählen Sie eine Richtlinie. Das Tool baut dabei laufend gültige SPF-Syntax; das Ergebnis kopieren Sie ins DNS.
Bei vielen transaktionalen und Marketing-Anbietern ist ein Include auf der Root-Domain optional. Sie versenden über ihren eigenen Return-Path und erreichen das DMARC-Alignment über DKIM. Fügen Sie ein Include erst hinzu, wenn Sie einen eigenen Return-Path oder MAIL FROM aktivieren, und dann gehört es meist auf die Sende-Subdomain.
SPF ist nur ein Schritt. Folgen Sie der DMARC-Einrichtungs-Checkliste, um Ihre Domain ohne Zustellprobleme von keinem Schutz auf eine Reject-Richtlinie zu bringen.
Häufige Fragen
Was ist ein SPF-Eintrag und warum brauche ich ihn für E-Mails?
Ein SPF-Eintrag (Sender Policy Framework) ist ein DNS-TXT-Eintrag, der die sendeberechtigten Mailserver Ihrer Domain auflistet. Ohne ihn markieren Empfänger wie Gmail und Outlook Ihre E-Mails eher als Spam oder weisen sie ab. Seit Februar 2024 verlangen Google und Yahoo SPF von Massenversendern.
Wie erstelle ich einen SPF-Eintrag für meine Domain?
Geben Sie Ihre Domain im Tool oben ein, wählen Sie die Anbieter, die für Sie versenden (Google Workspace, Microsoft 365 und so weiter), ergänzen Sie eigene IP-Adressen, wählen Sie eine Richtlinie und kopieren Sie. Der Generator baut die korrekte SPF-Syntax für Sie zusammen.
Wo trage ich meinen SPF-Eintrag im DNS ein?
Hinterlegen Sie ihn als TXT-Eintrag im Root Ihrer Domain (Host @ oder leer). Melden Sie sich bei Ihrem DNS-Anbieter an (GoDaddy, Cloudflare, Namecheap, Route 53 und dergleichen), legen Sie einen TXT-Eintrag an und fügen Sie den generierten Wert ein. Veröffentlichen Sie nur einen Eintrag, der mit v=spf1 beginnt.
Was ist das SPF-Limit von 10 DNS-Lookups?
Ein SPF-Eintrag darf höchstens 10 DNS-Lookups auslösen, wenn ein Empfänger ihn auswertet. Die Mechanismen include, a, mx, ptr, exists und redirect zählen mit; ip4, ip6 und all nicht. Über 10 hinaus liefert SPF einen PermError, den Empfänger als Fehler werten. Der Zähler auf dieser Seite zählt live mit.
Was ist der Unterschied zwischen ~all und -all in SPF?
~all (SoftFail): Empfänger nehmen E-Mails an, die die SPF-Prüfung nicht bestehen, behandeln sie aber als verdächtig. Die richtige Einstellung, solange Sie Ihre DMARC-Berichte auswerten, denn DMARC trifft die endgültige Entscheidung.
-all (Fail): Empfänger weisen E-Mails ab, die SPF nicht bestehen. Die strengste Option; wechseln Sie dorthin, sobald jeder legitime Absender gelistet ist. Bei Weiterleitungen kann es dadurch zu Zustellproblemen kommen.
?all (Neutral): Das Ergebnis zählt nicht, im Effekt wie gar kein Eintrag. Im Produktivbetrieb vermeiden.
Warum prüft SPF den Return-Path statt der From-Adresse?
SPF authentifiziert den Envelope-Absender, also den Return-Path beziehungsweise MAIL FROM, plus den HELO-Namen. Den sichtbaren „From“-Header, den Ihre Empfänger lesen, prüft es nicht. Viele Anbieter setzen ihre eigene Domain in den Return-Path (bei Mailchimp zum Beispiel mcsv.net), die SPF-Prüfung läuft dann gegen deren Server, nicht gegen Ihre.
DMARC braucht Alignment, also die Übereinstimmung der Domains, um zu bestehen. Standard-Setups der Anbieter erreichen das meist über die DKIM-Signatur mit Ihrer Domain; ein zusätzliches SPF-Include auf Ihrer Root-Domain ist dafür nicht nötig.
Das hängt vom Setup ab. Sobald Sie einen eigenen Return-Path oder MAIL FROM auf Ihrer Domain oder Subdomain aktivieren, wird SPF für diese Absenderdomain Pflicht.
Wie prüfe ich, welchen Return-Path mein Anbieter verwendet?
Senden Sie sich über den Anbieter eine Testnachricht und lesen Sie die Header:
- Gmail: Nachricht öffnen, auf das Drei-Punkte-Menü klicken, "Original anzeigen" wählen.
- Outlook: Nachricht öffnen, dann Datei → Eigenschaften → "Internetkopfzeilen".
Suchen Sie die Return-Path-Zeile. Zeigt sie Ihre Domain oder eine Subdomain, die Sie kontrollieren (etwa [email protected]), braucht diese Absenderdomain SPF. Zeigt sie die Domain des Anbieters (etwa [email protected]), kümmert sich der Anbieter um SPF, und das Alignment läuft bei Ihnen über DKIM.
Wo finde ich die offizielle SPF-Dokumentation der einzelnen Anbieter?
Jeder Anbieter dokumentiert sein eigenes SPF-Setup. Direkte Links:
E-Mail-Plattformen
Transaktionale E-Mails
Marketing-E-Mails
Was ist ein SPF-PermError?
Ein PermError (permanenter Fehler) bedeutet, dass ein Empfänger Ihren SPF-Eintrag nicht auswerten konnte. Die übliche Ursache ist das Überschreiten des 10-Lookup-Limits; eine zweite sind zwei veröffentlichte Einträge, die mit v=spf1 beginnen. Empfänger werten einen PermError als Fehler; damit scheitert auch das DMARC-Alignment über SPF.
Beheben Sie ihn in dieser Reihenfolge:
- Streichen Sie Includes für Anbieter, die Sie nicht mehr nutzen.
- Ersetzen Sie stabile Includes durch explizite
ip4/ip6-Mechanismen. - Nutzen Sie SPF-Flattening für Anbieter mit dynamischen IP-Bereichen. Unser Pro-Tarif automatisiert das.
Wie behebe ich „SPF zu viele DNS-Lookups“?
SPF liefert einen PermError, sobald der Eintrag mehr als 10 DNS-Lookups braucht. So kommen Sie wieder unter das Limit:
- Zählen Sie jedes
include,a,mx,ptr,existsundredirectin Ihrem Eintrag. Jedes davon ist ein Lookup. - Entfernen Sie Absender, die Sie nicht mehr nutzen.
- Ersetzen Sie Includes durch
ip4/ip6, wo die IPs stabil bleiben. - Bei Anbietern mit wechselnden IPs nutzen Sie SPF-Flattening, damit der Eintrag automatisch neu gebaut wird.
Was ist der Unterschied zwischen SoftFail (~all), Neutral (?all) und HardFail (-all)?
~all (SoftFail): Empfänger nehmen E-Mails von nicht gelisteten Absendern an, markieren sie aber als verdächtig. Nutzen Sie das, solange Sie mit DMARC überwachen.
-all (HardFail): Empfänger weisen E-Mails von nicht gelisteten Absendern ab. Wechseln Sie hierher, sobald jeder legitime Absender in Ihrem Eintrag steht.
?all (Neutral): Empfänger verhalten sich, als gäbe es keinen SPF-Eintrag. Dann können Sie sich das Veröffentlichen auch sparen.
Wie liest man einen SPF-Eintrag?
Lesen Sie ihn von links nach rechts. Der Eintrag beginnt mit v=spf1, danach ist jeder durch ein Leerzeichen getrennte Term ein optionaler Qualifizierer gefolgt von einem Mechanismus. Der Empfänger prüft die sich verbindende IP gegen jeden Term der Reihe nach und stoppt beim ersten Treffer. So bedeutet v=spf1 include:_spf.google.com ip4:198.51.100.10 ~all: die Server von Google zulassen, diese eine IP zulassen und alle anderen per Softfail behandeln.
Was ist der Unterschied zwischen einem SPF-Mechanismus, einem Qualifizierer und einem Modifikator?
Ein Mechanismus gibt an, wer senden darf (include, ip4, a, mx und die übrigen). Ein Qualifizierer ist das + - ~ ? vor einem Mechanismus, das dessen Ergebnis festlegt. Ein Modifikator (redirect, exp) wird als name=wert geschrieben und ändert, wie der gesamte Eintrag ausgewertet wird, statt mit einer IP übereinzustimmen.
Vervollständigen Sie Ihre E-Mail-Authentifizierung
SPF ist nur ein Baustein der E-Mail-Authentifizierung. Erst zusammen mit DKIM und DMARC schützt es Ihre Domain vor Absenderfälschung und Phishing.