In diesem Artikel
Was ist SPF?
SPF (Sender Policy Framework) ist ein E-Mail-Authentifizierungsverfahren, das festlegt, welche Mailserver berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden. Es wird als DNS-TXT-Eintrag veröffentlicht und von empfangenden Mailservern geprüft, um zu bestätigen, dass eingehende Nachrichten aus zugelassenen Quellen stammen.
Ohne einen SPF-Eintrag kann jeder E-Mails versenden und dabei behaupten, sie kämen von Ihrer Domain. SPF gibt Domaininhabern die Möglichkeit zu erklären, welche IP-Adressen und Dienste legitime Absender sind, und hilft Empfängern so, gefälschte Nachrichten zu erkennen und zu filtern.
So funktionieren SPF-Einträge
Ein SPF-Eintrag ist ein einzelner DNS-TXT-Eintrag, der mit v=spf1 beginnt, gefolgt von Mechanismen, die zugelassene Absender definieren. Der empfangende Server wertet diese Mechanismen von links nach rechts aus und wendet den Ergebnis-Qualifizierer an (pass, fail, softfail oder neutral).
- Mechanismen – include: (verweist auf den SPF einer anderen Domain), ip4:/ip6: (erlaubt bestimmte IPs), a (erlaubt den A-Eintrag der Domain), mx (erlaubt die Mailserver der Domain), all (Auffangregel)
- Qualifizierer – + (pass, Standard), - (fail/ablehnen), ~ (softfail, annehmen, aber markieren), ? (neutral). Der all-Mechanismus am Ende verwendet meist -all (Hard Fail) oder ~all (Soft Fail)
- DNS-Lookup-Grenze – die SPF-Auswertung erlaubt maximal 10 DNS-Lookups. Jedes include:, a, mx, ptr und redirect zählt als ein Lookup; wird diese Grenze überschritten, entsteht ein dauerhafter Fehler
Kostenlos testen – keine Registrierung erforderlich
Ihren SPF-Eintrag erzeugen →Wann sich die SPF-Konfiguration lohnt
Jede Domain mit E-Mail-Dienst benötigt einen korrekt konfigurierten SPF-Eintrag, um eine zuverlässige Zustellung zu gewährleisten und Missbrauch zu verhindern.
- E-Mail-Zustellbarkeit – ohne SPF landen Ihre Nachrichten eher im Spam-Ordner, weil Empfänger Ihre Sendeberechtigung nicht überprüfen können
- Setups mit mehreren Diensten – moderne Unternehmen nutzen mehrere E-Mail-Dienste (Google Workspace, SendGrid, Mailchimp); SPF fasst alle zugelassenen Absender in einem Eintrag zusammen
- Anti-Spam-Compliance – große E-Mail-Anbieter verlangen SPF als Teil ihrer Anforderungen an Massenversender; Google und Yahoo schreiben SPF für Absender mit mehr als 5.000 Nachrichten pro Tag vor
Häufig gestellte Fragen
Was passiert, wenn mein SPF-Eintrag mehr als 10 DNS-Lookups überschreitet?
Erfordert die SPF-Auswertung mehr als 10 DNS-Lookups, führt dies zu einem dauerhaften Fehler (permerror), und viele Empfänger werten dies als SPF-Fehlschlag. Um das zu beheben, flachen Sie Ihren SPF-Eintrag ab, indem Sie include:-Verweise durch die aufgelösten IP-Adressen ersetzen, oder nutzen Sie einen SPF-Flattening-Dienst, der die IPs automatisch pflegt.
Sollte ich am Ende meines SPF-Eintrags -all oder ~all verwenden?
Verwenden Sie beim ersten Einrichten von SPF ~all (softfail), das nicht autorisierte Nachrichten markiert, aber nicht ablehnt. Sobald Sie sichergestellt haben, dass alle legitimen Absender enthalten sind, wechseln Sie zu -all (Hard Fail), um Empfänger anzuweisen, nicht autorisierte Nachrichten abzulehnen. In Kombination mit DMARC bietet selbst ~all einen starken Schutz.
Kann ich mehrere SPF-Einträge für eine Domain haben?
Nein. Die SPF-Spezifikation verlangt genau einen SPF-TXT-Eintrag pro Domain. Mehrere SPF-Einträge verursachen einen dauerhaften Fehler, und Empfänger ignorieren möglicherweise alle. Wenn Sie mehrere Dienste autorisieren müssen, fassen Sie sie mit mehreren include:-Mechanismen in einem einzigen Eintrag zusammen (bis zur Grenze von 10 Lookups).