SPF (Sender Policy Framework) ist ein DNS-Eintrag, der angibt, welche Mailserver berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden.

Wie füge ich einen SPF-Eintrag zu meinem DNS hinzu?

Melden Sie sich bei Ihrem DNS-Anbieter an, fügen Sie einen neuen TXT-Eintrag hinzu und fügen Sie den generierten SPF-Eintragswert ein. Es dauert in der Regel 24 bis 48 Stunden, bis Änderungen wirksam werden.

Kann ich mehrere SPF-Einträge haben?

Nein, Sie können nur einen SPF-Eintrag pro Domain haben. Wenn Sie mehrere Includes benötigen, fügen Sie sie alle einem einzigen SPF-Eintrag hinzu.

Was bedeutet der „Alle“-Mechanismus in SPF?

„~all“ ist ein Softfail, das Mailserver anweist, E-Mails auch dann anzunehmen, wenn die SPF-Prüfungen leicht fehlschlagen. Verwenden Sie „-all“, um nicht autorisierte Absender strikt abzulehnen.

SPF-Eintrag-Generator

Erstellen Sie SPF-DNS-Einträge für Ihre Domain mit unserem kostenlosen Schritt-für-Schritt-Assistenten.

Domain eingeben

Geben Sie zunächst die Domain ein, für die Sie einen SPF-Eintrag erstellen möchten.

Domainname *

Was ist SPF?

SPF (Sender Policy Framework) ist ein E-Mail-Authentifizierungsprotokoll, das in RFC 7208 definiert ist. Es funktioniert durch das Veröffentlichen eines DNS-TXT-Eintrags unter Ihrer Domain, der jede IP-Adresse oder jeden Hostnamen auflistet, die berechtigt sind, E-Mails „von“ dieser Domain zu senden. Wenn ein empfangender Mailserver eine Nachricht erhält, die angibt, von Ihnen zu stammen, fragt er Ihr DNS ab, um zu verifizieren, ob die IP des sendenden Servers auf Ihrer Liste der zugelassenen Absender steht.

Ohne SPF kann jeder den Return-Path (Envelope-From) einer E-Mail fälschen und den Anschein erwecken, dass sie von Ihrer Domain stammt – eine Technik, die häufig in Phishing- und Spam-Kampagnen eingesetzt wird.

Warum benötigen Sie SPF?

1Verhindert Spoofing

Stoppt böswillige Akteure daran, Ihre Domain als Absenderadresse zu fälschen.

2Verbessert die Zustellbarkeit

Empfangende Server vertrauen autorisierten Absendern und senken die Spam-Bewertung.

3Erforderlich für DMARC

SPF ist einer von zwei Mechanismen, auf die DMARC für das Alignment angewiesen ist.

4Reputationsschutz

Nicht autorisierte Absender können die Versand-Reputation Ihrer Domain nicht schädigen.

So funktioniert SPF – Schritt für Schritt

Sie veröffentlichen einen TXT-Eintrag unter `_ihre-domain.de`, der autorisierte IPs und Includes auflistet.

Ihr Mailserver sendet eine E-Mail; die Envelope-„From“-Adresse trägt Ihre Domain.

Der empfangende Server extrahiert die sendende IP und die Domain des Envelope-From.

Er fragt Ihr DNS nach dem SPF-Eintrag ab und prüft, ob die sendende IP gelistet ist.

Das Ergebnis ist `pass`, `fail`, `softfail`, `neutral` oder `permerror` – dies wird für Filterentscheidungen genutzt.

SPF-Eintrags-Syntax

Beispiel für einen DNS-TXT-Eintrag

v=spf1 ip4:203.0.113.10 include:_spf.google.com include:sendgrid.net -all

Aufschlüsselung der Mechanismen

v=spf1— Version, steht immer an erster Stelle

ip4:— Autorisierung einer IPv4-Adresse/eines Bereichs

ip6:— Autorisierung einer IPv6-Adresse/eines Bereichs

include:— Übernimmt das SPF einer anderen Domain

a— Autorisiert die IP des A-Records der Domain

mx— Autorisiert die MX-Server der Domain

redirect=— Delegiert an das vollständige SPF einer anderen Domain

Qualifikatoren (Präfix vor jedem Mechanismus)

+ (Standard)Pass — autorisiert

-Fail — lehnt nicht autorisierte Absender ab

~SoftFail — als verdächtig markieren, nicht ablehnen

?Neutral — keine Aussage

Häufige SPF-Fehler und Lösungen

Zu viele DNS-Abfragen

„Flatten“ (glätten) Sie Ihren SPF-Eintrag, indem Sie Includes durch reine IPs ersetzen oder einen SPF-Flattening-Service nutzen.

Fehlender Versanddienst

Fügen Sie den include:-Tag des Dienstes (z. B. Mailchimp, Zendesk) zu Ihrem SPF-Eintrag hinzu.

Mehrere SPF-Einträge

Es ist nur EIN TXT-Eintrag mit v=spf1 erlaubt – führen Sie diese in einem einzigen Eintrag zusammen.

Weitergeleitete E-Mails

SPF schlägt bei Weiterleitungen oft fehl, da die IP des weiterleitenden Servers nicht in Ihrer Liste steht – DKIM löst dieses Problem.

FAQs

Häufig gestellte Fragen

Identifizieren Sie jeden Dienst, der E-Mails für Ihre Domain versendet (z. B. Google Workspace, Shopify). Verwenden Sie unseren Generator, um diese als 'include'-Mechanismen hinzuzufügen. Beenden Sie Ihren Eintrag immer mit einem Mechanismus wie ~all oder -all.

Sie können spezifische IP-Adressen mit den Mechanismen 'ip4:' oder 'ip6:' autorisieren. Zum Beispiel autorisiert ip4:1.2.3.4 eine einzelne IP. Dies ist oft der effizienteste Weg, um eigene Webserver zu autorisieren, ohne das DNS-Abfragelimit zu belasten.

Die häufigsten Mechanismen sind 'v=spf1' (Version), 'include' (SPF einer anderen Domain autorisieren), 'ip4'/'ip6', 'a' (A-Eintrag der Domain autorisieren) und 'mx' (MX-Server der Domain autorisieren).

Verwenden Sie nach Möglichkeit 'ip4' oder 'ip6' für Ihre eigenen Server. Diese Mechanismen erfordern keine DNS-Abfrage. Verwenden Sie 'include' nur für Drittanbieterdienste, bei denen sich die IP-Adressen des Anbieters häufig ändern können.

Listen Sie einfach mehrere 'include'-Mechanismen in einem einzigen Eintrag auf. Beispiel: v=spf1 include:_spf.google.com include:sendgrid.net ~all. Achten Sie darauf, das Limit von 10 DNS-Abfragen nicht zu überschreiten.