Wie oft sollte ich meinen SPF-Eintrag überprüfen?

Überprüfen Sie Ihren SPF-Eintrag, wann immer Sie Änderungen an Ihrer E-Mail-Einrichtung vornehmen, neue Anbieter hinzufügen oder Zustellprobleme beheben.

Warum wird mein SPF-Eintrag nicht gefunden?

Stellen Sie sicher, dass der Domänenname korrekt ist und weitergegeben wird. DNS-Änderungen können bis zu 48 Stunden dauern. Überprüfen Sie, ob die Einträge bei Ihrem DNS-Anbieter veröffentlicht sind.

Kann ich die SPF-Einträge anderer Domains überprüfen?

Ja, unser Checker funktioniert mit jeder Domain. Dies hilft dabei, die Setups von Mitbewerbern zu überprüfen und die Best Practices für die E-Mail-Authentifizierung zu verstehen.

Was bedeutet der „Alle“-Mechanismus in SPF?

„~all“ ist ein Softfail-Mechanismus, der Mailserver anweist, E-Mails auch dann anzunehmen, wenn sie die SPF-Prüfungen geringfügig nicht bestehen. Verwenden Sie „-all“, um nicht autorisierte Absender strikt abzulehnen.

SPF-Eintrag prüfen

Überprüfen Sie Ihren SPF (Sender Policy Framework) DNS-Eintrag kostenlos. Stellen Sie sicher, dass Ihre Domain zum Versenden von E-Mails autorisiert ist.

Was ist SPF?

SPF (Sender Policy Framework) ist ein E-Mail-Authentifizierungsprotokoll, das in RFC 7208 definiert ist. Es funktioniert durch das Veröffentlichen eines DNS-TXT-Eintrags unter Ihrer Domain, der jede IP-Adresse oder jeden Hostnamen auflistet, die berechtigt sind, E-Mails „von“ dieser Domain zu senden. Wenn ein empfangender Mailserver eine Nachricht erhält, die angibt, von Ihnen zu stammen, fragt er Ihr DNS ab, um zu verifizieren, ob die IP des sendenden Servers auf Ihrer Liste der zugelassenen Absender steht.

Ohne SPF kann jeder den Return-Path (Envelope-From) einer E-Mail fälschen und den Anschein erwecken, dass sie von Ihrer Domain stammt – eine Technik, die häufig in Phishing- und Spam-Kampagnen eingesetzt wird.

Warum benötigen Sie SPF?

1Verhindert Spoofing

Stoppt böswillige Akteure daran, Ihre Domain als Absenderadresse zu fälschen.

2Verbessert die Zustellbarkeit

Empfangende Server vertrauen autorisierten Absendern und senken die Spam-Bewertung.

3Erforderlich für DMARC

SPF ist einer von zwei Mechanismen, auf die DMARC für das Alignment angewiesen ist.

4Reputationsschutz

Nicht autorisierte Absender können die Versand-Reputation Ihrer Domain nicht schädigen.

So funktioniert SPF – Schritt für Schritt

Sie veröffentlichen einen TXT-Eintrag unter `_ihre-domain.de`, der autorisierte IPs und Includes auflistet.

Ihr Mailserver sendet eine E-Mail; die Envelope-„From“-Adresse trägt Ihre Domain.

Der empfangende Server extrahiert die sendende IP und die Domain des Envelope-From.

Er fragt Ihr DNS nach dem SPF-Eintrag ab und prüft, ob die sendende IP gelistet ist.

Das Ergebnis ist `pass`, `fail`, `softfail`, `neutral` oder `permerror` – dies wird für Filterentscheidungen genutzt.

SPF-Eintrags-Syntax

Beispiel für einen DNS-TXT-Eintrag

v=spf1 ip4:203.0.113.10 include:_spf.google.com include:sendgrid.net -all

Aufschlüsselung der Mechanismen

v=spf1— Version, steht immer an erster Stelle

ip4:— Autorisierung einer IPv4-Adresse/eines Bereichs

ip6:— Autorisierung einer IPv6-Adresse/eines Bereichs

include:— Übernimmt das SPF einer anderen Domain

a— Autorisiert die IP des A-Records der Domain

mx— Autorisiert die MX-Server der Domain

redirect=— Delegiert an das vollständige SPF einer anderen Domain

Qualifikatoren (Präfix vor jedem Mechanismus)

+ (Standard)Pass — autorisiert

-Fail — lehnt nicht autorisierte Absender ab

~SoftFail — als verdächtig markieren, nicht ablehnen

?Neutral — keine Aussage

Häufige SPF-Fehler und Lösungen

Zu viele DNS-Abfragen

„Flatten“ (glätten) Sie Ihren SPF-Eintrag, indem Sie Includes durch reine IPs ersetzen oder einen SPF-Flattening-Service nutzen.

Fehlender Versanddienst

Fügen Sie den include:-Tag des Dienstes (z. B. Mailchimp, Zendesk) zu Ihrem SPF-Eintrag hinzu.

Mehrere SPF-Einträge

Es ist nur EIN TXT-Eintrag mit v=spf1 erlaubt – führen Sie diese in einem einzigen Eintrag zusammen.

Weitergeleitete E-Mails

SPF schlägt bei Weiterleitungen oft fehl, da die IP des weiterleitenden Servers nicht in Ihrer Liste steht – DKIM löst dieses Problem.

FAQs

Häufig gestellte Fragen

Ein SPF-Eintrag (Sender Policy Framework) ist ein TXT-Eintrag in Ihrem DNS, der alle IP-Adressen und Domains auflistet, die autorisiert sind, E-Mails in Ihrem Namen zu versenden. Durch die Definition Ihrer autorisierten Absender verhindern Sie, dass Spammer Ihre Domain für Phishing nutzen, was den Ruf Ihrer Domain schützt.

SPF-Einträge haben ein striktes Limit von 10 DNS-Abfragen, um DoS-Angriffe auf DNS-Server zu verhindern. Jedes 'include', 'a', 'mx', 'ptr' und 'exists' zählt für dieses Limit. Wenn Sie 10 überschreiten, schlägt Ihr SPF-Eintrag fehl (PermError). Sie können dies vermeiden, indem Sie Ihren Eintrag 'flach' gestalten, IP-Adressen anstelle von Hostnamen verwenden oder veraltete Dienste entfernen.

Der Mechanismus '~all' (SoftFail) besagt, dass eine E-Mail, die SPF nicht besteht, akzeptiert, aber als verdächtig markiert oder in den Spam verschoben werden sollte. Der Mechanismus '-all' (Fail) ist eine strengere Anweisung, die Servern sagt, die E-Mail komplett abzulehnen, wenn sie nicht von einer autorisierten Quelle stammt.

Ein 'PermError' (Permanent Error) tritt normalerweise auf, wenn Ihr SPF-Eintrag syntaktisch falsch ist oder das Limit von 10 Abfragen überschreitet. Häufige Syntaxfehler sind mehrere SPF-Einträge, ungültige Mechanismen oder Tippfehler in IP-Bereichen. Unser SPF-Checker identifiziert diese spezifischen Fehler.

Nein, eine Domain darf genau einen SPF-Eintrag haben, der mit 'v=spf1' beginnt. Mehrere SPF-Einträge führen bei den meisten empfangenden Servern zu einem automatischen Fehler (PermError). Wenn Sie mehrere Dienste autorisieren müssen, müssen Sie diese in einer einzigen Zeichenfolge innerhalb eines Eintrags zusammenführen.

Nicht direkt. SPF validiert die 'Return-Path'-Adresse (oder den Umschlag), die von Mailservern verwendet wird. Um die sichtbare 'Von'-Adresse zu schützen, benötigen Sie DMARC, das prüft, ob die sichtbare 'Von'-Domain mit der von SPF oder DKIM validierten Domain übereinstimmt.