Was ist ein SPF-Eintrag?
SPF (Sender Policy Framework) ist ein E-Mail-Authentifizierungsmechanismus, der in der RFC 7208 definiert ist. Er ermöglicht es einer Domain anzugeben, welche Server berechtigt sind, E-Mails in ihrem Namen zu versenden.
Warum Sie SPF konfigurieren sollten:
- Ihre Domain schützen - Verhindert E-Mail-Spoofing (Identitätsfälschung)
- Zustellbarkeit verbessern - Legitime E-Mails werden von Empfängern besser akzeptiert
- Voraussetzung für DMARC - SPF ist eine der beiden Säulen der DMARC-Authentifizierung (zusammen mit DKIM)
- Industriestandard - Alle großen Provider (Gmail, Outlook, Yahoo) prüfen SPF
Syntax eines SPF-Eintrags
Ein SPF-Eintrag ist ein DNS-TXT-Eintrag, der immer mit v=spf1 beginnt:
v=spf1 include:_spf.google.com include:sendgrid.net ip4:192.0.2.1 ~all
SPF-Mechanismen
| Mechanismus | Beschreibung | Beispiel | DNS-Lookup |
|---|---|---|---|
include: | Bindet den SPF einer anderen Domain ein | include:_spf.google.com | Ja |
ip4: | Autorisiert eine IPv4-Adresse oder einen Bereich | ip4:192.0.2.1 oder ip4:192.0.2.0/24 | Nein |
ip6: | Autorisiert eine IPv6-Adresse oder einen Bereich | ip6:2001:db8::1 | Nein |
a | Autorisiert die IP des A-Records der Domain | a oder a:mail.beispiel.de | Ja |
mx | Autorisiert die MX-Server der Domain | mx | Ja |
all | Definiert das Standardverhalten | -all, ~all, ?all | Nein |
Policy-Qualifizierer
| Policy | Syntax | Bedeutung | Empfehlung |
|---|---|---|---|
| Fail | -all | Nicht autorisierte E-Mails ablehnen | Produktion (nach Tests) |
| Softfail | ~all | Als verdächtig markieren, aber akzeptieren | Empfohlen für den Anfang |
| Neutral | ?all | Keine Policy (schwacher Schutz) | Nicht empfohlen |
Das Limit von 10 DNS-Lookups
Die RFC 7208 schreibt ein Maximum von 10 DNS-Lookups bei der Auswertung eines SPF-Eintrags vor. Dies ist ein striktes Limit, dessen Überschreitung einen permerror verursacht und die Validierung fehlschlagen lässt.
Was als Lookup zählt
| Mechanismus | Zählt als Lookup? | Hinweis |
|---|---|---|
include: | Ja (+ verschachtelte Lookups) | Google = ~4 Lookups |
a | Ja | |
mx | Ja | + 1 pro aufgelöstem MX |
redirect= | Ja | |
exists: | Ja | |
ip4: / ip6: | Nein | Nutzen Sie diese, um Lookups zu sparen |
all | Nein |
Beispielrechnung
v=spf1 include:_spf.google.com include:sendgrid.net include:servers.mcsv.net mx ~all
| Mechanismus | Lookups |
|---|---|
include:_spf.google.com | 4 |
include:sendgrid.net | 1 |
include:servers.mcsv.net | 1 |
mx | 1 |
| Gesamt | 7 / 10 |
Unser Generator zeigt diesen Zähler in Echtzeit an, damit Sie unter dem Limit bleiben.
Vorkonfigurierte E-Mail-Provider
Unser Generator enthält 22 Provider mit ihren offiziellen SPF-Includes:
| Provider | SPF-Include | DNS-Lookups |
|---|---|---|
| Google Workspace | _spf.google.com | ~4 |
| Microsoft 365 | spf.protection.outlook.com | ~2 |
| Zoho | zoho.com | 1 |
| SendGrid | sendgrid.net | 1 |
| Amazon SES | amazonses.com | 1 |
| Mailgun | mailgun.org | 1 |
| Postmark | spf.mtasv.net | 1 |
| SMTP.com | _spf.smtp.com | 1 |
| Mailjet | spf.mailjet.com | 1 |
| Elastic Email | _spf.elasticemail.com | 1 |
| SendPulse | mxsspf.sendpulse.com | 1 |
| Mailchimp | servers.mcsv.net | 1 |
| HubSpot | spf.hubspot.com | 1 |
| Brevo (Sendinblue) | sendinblue.com | 1 |
| Klaviyo | _spf.klaviyo.com | 1 |
| Sailthru | aspmx.sailthru.com | 1 |
| Salesforce | _spf.salesforce.com | ~2 |
| Zendesk | mail.zendesk.com | 1 |
| Freshdesk | email.freshdesk.com | 1 |
| Infomaniak | spf.infomaniak.ch | 1 |
| Migadu | spf.migadu.com | 1 |
| Titan | spf.titan.email | 1 |
Häufig gestellte Fragen (FAQ)
F: Wie erstelle ich einen SPF-Eintrag für meine Domain?
A: Nutzen Sie unseren Generator: 1) Wählen Sie Ihre E-Mail-Provider aus, 2) Fügen Sie bei Bedarf eigene IP-Adressen hinzu, 3) Wählen Sie die Policy (~all empfohlen), 4) Kopieren Sie den TXT-Eintrag und fügen Sie ihn in Ihre DNS-Zone ein.
F: Was bedeutet das Limit von 10 DNS-Lookups bei SPF?
A: Die RFC 7208 schreibt maximal 10 DNS-Lookups vor. Jeder include-, a-, mx-, redirect- und exists-Mechanismus zählt. ip4/ip6 zählen nicht. Bei Überschreitung des Limits tritt ein Permerror auf.
F: Was ist der Unterschied zwischen ~all und -all?
A: ~all (Softfail) markiert nicht autorisierte E-Mails als verdächtig. -all (Fail) lehnt sie ab. Beginnen Sie mit ~all zum Testen, dann wechseln Sie zu -all in der Produktion.
F: Kann ich mehrere SPF-Einträge haben?
A: Nein, eine Domain darf nur einen einzigen SPF-Eintrag haben. Mehrere SPF-Einträge führen zu einem Permerror. Kombinieren Sie Ihre Provider in einem einzigen Eintrag.
F: Wie konfiguriere ich SPF für Google Workspace?
A: Fügen Sie include:_spf.google.com hinzu. Unser Generator erledigt das automatisch. Dieses Include entspricht etwa 4 DNS-Lookups.
F: Wie konfiguriere ich SPF für Microsoft 365?
A: Fügen Sie include:spf.protection.outlook.com hinzu. Unser Generator fügt es automatisch hinzu, wenn Sie Microsoft 365 auswählen. Entspricht etwa 2 Lookups.
F: Wie löse ich den Fehler "too many DNS lookups"?
A: 1) Entfernen Sie ungenutzte Includes, 2) Ersetzen Sie einige Includes durch direkte IP-Adressen (ip4/ip6), 3) Nutzen Sie unseren SPF Flattener, um Includes automatisch in IPs aufzulösen. Unser Generator zeigt den Zähler an, um dieses Problem zu vermeiden.
Ergänzende Tools
| Tool | Nutzen |
|---|---|
| SPF Record Check | Überprüfe deinen veröffentlichten SPF-Eintrag |
| SPF Flattener | SPF vereinfachen und unter dem 10-Lookup-Limit bleiben |
| SPF Syntax Check | Validiere die SPF-Syntax vor der Veröffentlichung |
| DKIM Generator | Erstelle deine DKIM-Schlüssel (RSA/Ed25519) |
| DMARC Generator | Konfiguriere DMARC für vollständige Authentifizierung |
| Mail Tester | Teste die Zustellbarkeit deiner E-Mails |
Nützliche Ressourcen
- RFC 7208 - Sender Policy Framework (SPF) : Offizielle SPF-Spezifikation
- RFC 7489 - DMARC : Wie SPF mit DMARC zusammenarbeitet
- Google Workspace - SPF konfigurieren : Offizielle Google-Anleitung
- Microsoft 365 - SPF konfigurieren : Offizielle Microsoft-Anleitung