SPF Flattening vs SPF Macros: Welcher Ansatz ist der richtige, um das 10-Lookup-Limit einzuhalten?
Von CaptainDNS
Veröffentlicht am 3. März 2026
- SPF Flattening löst alle
include:in direkte IP-Adressen (ip4:/ip6:) auf und erreicht damit 0 Lookups, erfordert aber monatliche Wartung - SPF Macros verwenden dynamische Variablen (
%{i},%{d},%{s}) zum Erstellen von Einträgen, die nur 1-2 Lookups verbrauchen, ohne Wartung - Flattening ist einfach umzusetzen und mit allen Servern kompatibel, Macros sind komplexer, bieten aber unbegrenzte Skalierbarkeit
- Flattening empfohlen für KMU mit 3-5 E-Mail-Providern, Macros empfohlen für große Organisationen mit 10+ Providern
- Beide Ansätze sind konform mit RFC 7208 und lösen die Überschreitung des 10-Lookup-Limits
Ihr SPF-Eintrag überschreitet das Limit von 10 DNS-Lookups und Sie müssen eine Lösung wählen. Zwei Ansätze stechen hervor: SPF Flattening, das Ihre include: in direkte IP-Adressen umwandelt, und SPF Macros, die dynamische Variablen nutzen, um das Limit zu umgehen. Jeder Ansatz hat seine Stärken und Grenzen.
Flattening besticht durch seine Einfachheit: Sie lösen alle Mechanismen in IP-Adressen auf, veröffentlichen das Ergebnis, und das Problem ist gelöst. Doch die IP-Adressen Ihrer Provider ändern sich, was regelmäßige Wartung erfordert. Macros hingegen benötigen nach der Einrichtung keinerlei Wartung, aber ihre Implementierung ist technisch anspruchsvoller und die Kompatibilität mit bestimmten Servern bleibt eingeschränkt.
Dieser Leitfaden vergleicht beide Ansätze im Detail mit konkreten Beispielen auf captaindns.com, einer Vergleichstabelle Kriterium für Kriterium und einer Entscheidungsmatrix, um die beste Lösung für Ihre Situation zu identifizieren.
Erinnerung: Warum stellt das 10-Lookup-Limit ein Problem dar?
Die RFC 7208 schreibt ein Maximum von 10 DNS-Abfragen bei der Auswertung eines SPF-Eintrags vor. Jeder Mechanismus include:, a, mx, redirect und exists verbraucht einen Lookup. Die Mechanismen ip4: und ip6: verbrauchen keinen, da sie die IP-Adresse direkt enthalten.
Mit 3-4 E-Mail-Providern (Google Workspace, SendGrid, Mailchimp, Brevo) erreicht man häufig 10-14 Lookups. Jenseits von 10 gibt der Empfangsserver einen permerror zurück: Ihr SPF gilt als ungültig und Ihre E-Mails werden abgelehnt oder als Spam eingestuft.
Prüfen Sie Ihre aktuelle Anzahl an Lookups mit unserem SPF Record Check, bevor Sie sich für eine Lösung entscheiden.
Was ist SPF Flattening?
SPF Flattening (Abflachung) besteht darin, alle Mechanismen aufzulösen, die DNS-Lookups erzeugen, und sie durch die IP-Adressen zu ersetzen, die sie zurückgeben. Das Ergebnis ist ein SPF-Eintrag, der ausschließlich aus ip4: und ip6: besteht, die keinen Lookup verbrauchen.
Wie funktioniert der Prozess?
Flattening folgt einem 3-Schritte-Prozess:
- Auflösung: Jeder
include:,a,mxundredirectwird rekursiv aufgelöst, um die finalen IP-Adressen zu erhalten - Aggregation: Alle IPs werden zusammengeführt und Duplikate entfernt
- Veröffentlichung: Ein neuer SPF-Eintrag wird nur mit
ip4:undip6:generiert
Konkretes Beispiel
# Vor dem Flattening: 9 Lookups
v=spf1 include:_spf.google.com include:sendgrid.net include:servers.mcsv.net mx ~all
# Nach dem Flattening: 0 Lookups
v=spf1 ip4:209.85.128.0/17 ip4:74.125.0.0/16 ip4:35.190.247.0/24 ip4:167.89.0.0/17 ip4:198.2.128.0/18 ip4:205.201.128.0/20 ip4:203.0.113.10 ip6:2607:f8b0:4000::/36 ~all
Vorteile des Flattening
- Einfachheit: Keine fortgeschrittenen technischen Kenntnisse erforderlich
- Universelle Kompatibilität: Funktioniert ausnahmslos mit allen Empfangsservern
- Sofortiges Ergebnis: Das Lookup-Problem ist ab der Veröffentlichung gelöst
- Einfache Überprüfung: Jede IP ist sichtbar und kontrollierbar
Grenzen des Flattening
- Obligatorische Wartung: Provider ändern ihre IP-Bereiche regelmäßig (Google, Microsoft, SendGrid). Ein abgeflachter SPF mit veralteten IPs lehnt legitime E-Mails ab
- Länge des TXT-Records: Ein DNS-TXT-Eintrag ist auf 255 Zeichen pro String begrenzt. Bei vielen IPs müssen mehrere verkettete Strings verwendet werden, was die Verwaltung komplexer macht
- Keine automatische Aktualisierung: Im Gegensatz zu
include:aktualisieren sichip4:nicht, wenn der Provider seine IPs ändert
Was sind SPF Macros?
SPF Macros sind Variablen, die durch die RFC 7208, Abschnitt 7 definiert sind und bei der Auswertung des SPF-Eintrags dynamisch ersetzt werden. Sie ermöglichen es, bedingte DNS-Abfragen basierend auf den Absenderinformationen zu erstellen.
Die 3 wichtigsten Macros
| Macro | Bedeutung | Beispielwert |
|---|---|---|
%{i} | IP-Adresse des Absenders | 203.0.113.10 |
%{d} | Domain des Absenders | captaindns.com |
%{s} | Vollständige E-Mail-Adresse | contact@captaindns.com |
Wie funktioniert die Auflösung?
Wenn ein Empfangsserver einen SPF mit Macros auswertet, ersetzt er jede Variable durch ihren tatsächlichen Wert, bevor er die DNS-Abfrage durchführt.
Konkretes Beispiel
# SPF mit Macro %{i}: nur 1 Lookup
v=spf1 exists:%{i}._spf.captaindns.com ~all
Der Empfangsserver erhält eine E-Mail von der IP 203.0.113.10. Er ersetzt %{i} durch diese IP und prüft, ob 203.0.113.10._spf.captaindns.com im DNS existiert. Sie veröffentlichen einen A-Eintrag für jede autorisierte IP:
203.0.113.10._spf.captaindns.com. IN A 127.0.0.1
167.89.55.22._spf.captaindns.com. IN A 127.0.0.1
Ergebnis: nur 1 Lookup unabhängig von der Anzahl der Provider, da jede Auswertung nur eine einzige IP prüft.
Vorteile der Macros
- Null Wartung am SPF: IP-Änderungen werden im DNS verwaltet (Hinzufügen/Entfernen von A-Einträgen), nicht im SPF-TXT-Record selbst
- Unbegrenzte Skalierbarkeit: 5 oder 500 Provider, der SPF bleibt identisch und kompakt
- Nur ein Lookup: Der Mechanismus
exists:verbraucht nur einen Lookup, unabhängig von der Anzahl autorisierter IPs - Kompakter Record: Der SPF-TXT-Eintrag passt immer in eine einzige Zeile
Grenzen der Macros
- Komplexe Konfiguration: Die Veröffentlichung eines A-Eintrags pro autorisierter IP erfordert eine sorgfältige DNS-Verwaltung
- Variable Kompatibilität: Bestimmte ältere Empfangsserver unterstützen SPF Macros nicht korrekt
- Schwierigeres Debugging: Bei Problemen erfordert die Identifizierung, welche IP autorisiert ist oder nicht, die Prüfung einzelner A-Einträge
- DNS-Abhängigkeit: Die gesamte Autorisierungslogik hängt von der Existenz von A-Einträgen in Ihrer DNS-Zone ab
Detaillierter Vergleich: Flattening vs. Macros
| Kriterium | SPF Flattening | SPF Macros |
|---|---|---|
| Komplexität der Umsetzung | Gering | Hoch |
| Erforderliche Wartung | Monatlich (erneute IP-Auflösung) | Keine am TXT-SPF |
| Serverkompatibilität | Universell (100%) | Variabel (95%+) |
| Verbrauchte Lookups | 0 | 1-2 |
| Länge des SPF-Records | Kann lang werden (255+ Zeichen) | Kompakt (~50 Zeichen) |
| Skalierbarkeit | Begrenzt durch TXT-Größe | Unbegrenzt |
| Automatisierung | Über Flattening-Tool | Über DNS-Verwaltung |
| Hauptrisiko | Veraltete IPs bei fehlender Wartung | Inkompatible Server |
| IP-Sichtbarkeit | Alle sichtbar im TXT | Verteilt in A-Einträgen |
| Einrichtungszeit | 5-10 Minuten | 30-60 Minuten |
Welchen Ansatz sollten Sie wählen?
Szenario 1: KMU mit 3-5 E-Mail-Providern
Empfehlung: SPF Flattening
Ihre Organisation nutzt Google Workspace, einen Newsletter-Dienst (Mailchimp oder Brevo) und ein transaktionales Tool (SendGrid). Die Anzahl der zu verwaltenden IPs ist begrenzt (20-50 Adressen) und die Änderungshäufigkeit ist gering.
Flattening löst Ihr Problem in wenigen Minuten. Eine monatliche Überprüfung mit einem dedizierten Tool reicht aus, um den Record aktuell zu halten. Die Einfachheit dieses Ansatzes überwiegt die Skalierbarkeitsvorteile der Macros, die Sie nicht benötigen werden.
Szenario 2: Große Organisation mit 10+ Providern
Empfehlung: SPF Macros
Ihre Organisation verwaltet Dutzende von E-Mail-Diensten: interne Kommunikation, CRM, Support, Marketing, transaktionale E-Mails, Systembenachrichtigungen. Die Anzahl der Provider übersteigt das, was ein abgeflachter SPF-Record enthalten kann, ohne die 255-Zeichen-Grenze pro TXT-String zu überschreiten.
Macros bieten unbegrenzte Skalierbarkeit: Ihr SPF bleibt kompakt und identisch, unabhängig davon, wie viele Provider hinzugefügt werden. Die anfängliche Investition in die DNS-Konfiguration wird durch den Wegfall der TXT-Record-Wartung kompensiert.
Szenario 3: Schrittweise Migration
Empfehlung: Flattening jetzt, Macros später
Wenn Sie die Lookup-Überschreitung schnell beheben müssen, aber ein Wachstum Ihrer E-Mail-Provider planen, beginnen Sie mit Flattening für ein sofortiges Ergebnis. Planen Sie die Migration zu Macros, wenn Ihre DNS-Infrastruktur dies ermöglicht.
Erstellen Sie den SPF jeder Subdomain oder jedes Providers mit unserem SPF Generator, um Ihre Konfiguration vorzubereiten.
Empfohlener Aktionsplan
- Zählen Sie Ihre aktuellen Lookups: Prüfen Sie, wie viele DNS-Lookups Ihr veröffentlichter SPF verbraucht
- Bewerten Sie Ihre Anzahl an Providern: Listen Sie alle Dienste auf, die E-Mails für Ihre Domain versenden
- Wählen Sie Ihren Ansatz: Flattening bei weniger als 5 Providern, Macros bei mehr als 10, Einzelfallentscheidung zwischen 5 und 10
- Implementieren und testen: Wenden Sie die gewählte Lösung in einer Testumgebung an, bevor Sie Ihre Produktions-DNS-Zone ändern
- Überwachen Sie regelmäßig: Beim Flattening monatlich erneut abflachen, bei Macros überprüfen, ob die A-Einträge aktuell sind
FAQ
Was ist SPF Flattening?
SPF Flattening besteht darin, alle SPF-Mechanismen aufzulösen, die DNS-Lookups erzeugen (include:, a, mx, redirect), und sie durch die direkten IP-Adressen zu ersetzen, die sie zurückgeben (ip4:, ip6:). Das Ergebnis ist ein äquivalenter SPF-Eintrag, der keinen DNS-Lookup verbraucht.
Was ist ein SPF Macro?
Ein SPF Macro ist eine durch die RFC 7208 definierte Variable, die bei der Auswertung des SPF-Eintrags dynamisch ersetzt wird. Die drei wichtigsten Macros sind %{i} (IP des Absenders), %{d} (Domain des Absenders) und %{s} (vollständige E-Mail-Adresse). Sie ermöglichen die Erstellung bedingter DNS-Abfragen.
Wie viele Lookups verbraucht ein abgeflachter SPF?
Ein vollständig abgeflachter SPF verbraucht exakt 0 DNS-Lookups, da er nur Mechanismen ip4: und ip6: enthält, die keine DNS-Abfrage durchführen. Das ist sein Hauptvorteil gegenüber einem klassischen SPF mit include:.
Werden SPF Macros von allen Servern unterstützt?
Nein. Die große Mehrheit der modernen Empfangsserver (Gmail, Outlook, Yahoo) unterstützt SPF Macros korrekt. Allerdings können bestimmte ältere oder falsch konfigurierte Server sie nicht richtig interpretieren, was zu unerwarteten Ergebnissen führen kann.
Kann man Flattening und Macros kombinieren?
Ja. Ein hybrider Ansatz besteht darin, Flattening für Provider mit stabilen IPs und Macros für Provider mit wechselnden IPs zu verwenden. Diese Kombination ermöglicht es, von der Einfachheit des Flattening zu profitieren und gleichzeitig die Flexibilität der Macros beizubehalten.
Wie oft sollte man einen SPF erneut abflachen?
Eine monatliche Neuabflachung wird empfohlen. Große Provider wie Google und Microsoft ändern ihre IP-Bereiche mehrmals pro Jahr. Ein automatisiertes Flattening-Tool kann diese Änderungen erkennen und Sie benachrichtigen, wenn eine Aktualisierung erforderlich ist.
Welcher Ansatz ist am sichersten für die Zustellbarkeit?
Flattening bietet die beste Kompatibilität, da es ausschließlich die Mechanismen ip4: und ip6: verwendet, die 100% der Server unterstützen. Macros sind mit 95%+ der modernen Server kompatibel, können aber bei bestimmten älteren Servern Probleme verursachen. Für maximale Zustellbarkeit ist Flattening die sicherste Wahl.
Glossar
- SPF Flattening: Technik, bei der SPF-Mechanismen, die Lookups erfordern, durch die direkten IP-Adressen ersetzt werden, die sie auflösen, wodurch der Lookup-Zähler auf null reduziert wird.
- SPF Macro: Dynamische Variable (
%{i},%{d},%{s}), die durch die RFC 7208 definiert ist und vom Empfangsserver bei der SPF-Auswertung substituiert wird. - DNS-Lookup: DNS-Abfrage, die bei der Auswertung eines SPF-Eintrags durchgeführt wird, um einen Mechanismus wie
include:odermxaufzulösen. - Permerror: Permanenter Fehler, der zurückgegeben wird, wenn ein SPF strukturell ungültig ist, insbesondere bei Überschreitung des Limits von 10 Lookups.
- RFC 7208: Offizielle Spezifikation des SPF-Protokolls (Sender Policy Framework), die die Auswertungsregeln, Lookup-Limits und Macros definiert.
Flachen Sie Ihren SPF-Eintrag jetzt ab: Nutzen Sie unseren SPF Flattener, um alle Ihre Includes in direkte IP-Adressen aufzulösen und das Limit von 10 Lookups einzuhalten.
📚 Verwandte SPF-Leitfäden
- SPF "Too Many DNS Lookups": Die komplette Anleitung zur Behebung des 10-Lookup-Limits
- SPF PermError: Verstehen, diagnostizieren und beheben (demnächst)
