Was der Generator wirklich prüft
Viele Tools kleben einfach Includes aneinander. Unseres geht weiter: es löst die Konfiguration per DNS auf, bevor es Sie veröffentlichen lässt.
Konkret macht er bei der Generierung vier Dinge.
Zuerst löst er die Include-Kette per DNS auf, mit demselben Modul wie unser SPF-Syntax-Checker. Ein include:_spf.google.com ist nicht eine einzige Anfrage: es enthält weitere, die wiederum weitere enthalten. Der Generator folgt ihnen allen und zeigt die echte Anzahl der Lookups an, keine grobe Schätzung über den Daumen.
Anschließend zählt er die Void Lookups. Ein Void Lookup ist eine DNS-Anfrage, die nichts zurückgibt: ein Include auf eine verschwundene Domain, ein NXDOMAIN, eine leere Antwort. Die RFC 7208 §4.6.4 toleriert davon 2. Beim dritten ist es ein permerror. Viele kaputte SPF sind genau deshalb kaputt, weil das Include eines alten Providers nicht mehr auflöst, ohne dass es jemand bemerkt.
Er prüft auch Ihren bereits veröffentlichten SPF. Findet er einen, lässt er Sie keinen zweiten obendrauf legen (das wäre ein sofortiger Permerror). Er schlägt vor, den bestehenden zu ersetzen, oder sagt Ihnen, dass sich nichts ändert, wenn der vorhandene SPF bereits mit dem Ergebnis identisch ist.
Schließlich prüft er Ihren DMARC. SPF allein lässt Lücken; DMARC schließt den Kreis. Existiert bereits ein DMARC, schlägt der Generator vor, ihn zu prüfen; andernfalls ihn einzurichten.
Schätzung während der Eingabe, echte Zählung bei der Generierung
Das Formular zeigt eine Live-Schätzung der DNS-Lookups an, während Sie Ihre Provider auswählen. Das geht schnell, basiert auf dem Katalog und gibt sofort eine Größenordnung.
Das Endergebnis zeigt dagegen die echte Zählung nach vollständiger Auflösung der Kette. Sie kann höher ausfallen als die Schätzung. Warum? Weil verschachtelte Includes erst sichtbar werden, sobald sie per DNS aufgelöst sind. Ein Provider, der im Katalog 1 "kostet", kann drei verbrauchen, sobald seine Kette abgewickelt ist.
Verlassen Sie sich vor der Veröffentlichung auf die finale Zahl. Sie ist es, die für das Limit von 10 zählt.
Add, replace oder no change: was der Generator empfiehlt
Der Generator liest den aktuell auf Ihrer Domain veröffentlichten SPF und passt dann seine Anweisungen an.
| Erkannte Situation | Anweisung | Warum |
|---|---|---|
| Kein SPF veröffentlicht | TXT-Eintrag hinzufügen | Die Domain ist nicht geschützt, der SPF muss erstellt werden |
| Ein SPF existiert und unterscheidet sich | Bestehenden Eintrag ersetzen | Zwei SPF auf derselben Domain verursachen einen Permerror |
| Ein identischer SPF ist bereits da | Keine Änderung | Es ist sinnlos, denselben Wert erneut zu veröffentlichen |
Die Regel zum Merken passt in einen Satz: eine Domain, ein einziger SPF. Wenn Sie einen Provider hinzufügen, bearbeiten Sie den bestehenden Eintrag, Sie legen keinen neuen an.
Was ist ein SPF-Eintrag?
SPF (Sender Policy Framework) ist ein E-Mail-Authentifizierungsmechanismus, der in der RFC 7208 definiert ist. Er ermöglicht es einer Domain anzugeben, welche Server berechtigt sind, E-Mails in ihrem Namen zu versenden.
Ohne SPF kann jeder eine E-Mail schreiben und sich dabei als Ihre Domain ausgeben. Mit einem korrekten SPF vergleichen die empfangenden Server den echten Absender mit Ihrer autorisierten Liste und lehnen ab oder markieren, was nicht passt.
SPF zu konfigurieren schützt Ihre Domain vor Spoofing, verbessert die Zustellbarkeit Ihrer legitimen E-Mails und legt eine der beiden Säulen von DMARC (die andere ist DKIM). Gmail, Outlook und Yahoo prüfen alle SPF: ihn nicht zu haben heißt, mit einem Handicap zu starten.
Syntax eines SPF-Eintrags
Ein SPF-Eintrag ist ein DNS-TXT-Eintrag, der immer mit v=spf1 beginnt:
v=spf1 include:_spf.google.com include:sendgrid.net ip4:192.0.2.1 ~all
SPF-Mechanismen
| Mechanismus | Beschreibung | Beispiel | DNS-Lookup |
|---|---|---|---|
include: | Bindet den SPF einer anderen Domain ein | include:_spf.google.com | Ja |
ip4: | Autorisiert eine IPv4-Adresse oder einen Bereich | ip4:192.0.2.1 oder ip4:192.0.2.0/24 | Nein |
ip6: | Autorisiert eine IPv6-Adresse oder einen Bereich | ip6:2001:db8::1 | Nein |
a | Autorisiert die IP des A-Eintrags der Domain | a oder a:mail.captaindns.com | Ja |
mx | Autorisiert die MX-Server der Domain | mx | Ja |
all | Definiert das Standardverhalten | -all, ~all, ?all | Nein |
Policy-Qualifizierer
| Policy | Syntax | Bedeutung | Empfehlung |
|---|---|---|---|
| Fail | -all | Nicht autorisierte Sendungen ablehnen | Produktion, nach Tests |
| Softfail | ~all | Als verdächtig markieren, ohne zu blockieren | Für den Anfang |
| Neutral | ?all | Keine Anweisung | Nicht empfohlen |
Das ?all verdient ein Wort. Für die Auswertung schützt es so gut wie nichts: ein empfangender Server behandelt es fast wie das Fehlen eines SPF. Zu vermeiden, außer für die ganz kurze Dauer einer Diagnose.
Das Limit von 10 DNS-Lookups
Die RFC 7208 begrenzt die Anzahl der DNS-Anfragen auf 10 während der Auswertung eines SPF. Striktes Limit: es zu überschreiten verursacht einen permerror und das Scheitern der Validierung.
Was als Lookup zählt
| Mechanismus | Zählt? | Hinweis |
|---|---|---|
include: | Ja, plus die verschachtelten Lookups | Ein Include kann mehrere verbergen |
a | Ja | |
mx | Ja | Plus 1 pro aufgelöstem MX-Eintrag |
redirect= | Ja | |
exists: | Ja | |
ip4: / ip6: | Nein | Bevorzugen, um zu sparen |
all | Nein |
Die klassische Falle: ein Include, das harmlos wirkt. include:_spf.google.com enthält selbst mehrere Includes. Genau hier macht die echte Zählung des Generators den Unterschied zu einer Schätzung über den Daumen.
Unterstützte E-Mail-Provider
Der Generator kennt die wichtigsten E-Mail-Provider und fügt deren Include im richtigen Format hinzu, sobald Sie sie auswählen. Eine Suche deckt den gesamten Katalog ab, über die standardmäßig angezeigten gängigen Provider hinaus. Hier einige Beispiele aus den unterstützten Providern:
| Provider | SPF-Include |
|---|---|
| Google Workspace | _spf.google.com |
| Microsoft 365 | spf.protection.outlook.com |
| Amazon SES | amazonses.com |
| SendGrid | sendgrid.net |
| Mailgun | mailgun.org |
| Brevo (ehemals Sendinblue) | spf.sendinblue.com |
| Zoho | spf.zoho.com |
| Mailchimp | servers.mcsv.net |
| Postmark | spf.mtasv.net |
| HubSpot | spf.hubspot.com |
| Salesforce | _spf.salesforce.com |
| Infomaniak | spf.infomaniak.ch |
Ihr Provider ist nicht in der Liste? Suchen Sie seinen Namen im Generator: der Katalog reicht weit über diese wenigen Beispiele hinaus.
FAQ - Häufige Fragen
F: Wie erstelle ich einen SPF-Eintrag für meine Domain?
A: Wählen Sie Ihre E-Mail-Provider, fügen Sie bei Bedarf Ihre IPs hinzu und wählen Sie dann die Policy (~all für den Anfang). Der Generator löst die Includes auf, zeigt die echte Anzahl der DNS-Lookups an und sagt Ihnen, ob Sie einen SPF hinzufügen oder den bestehenden ersetzen sollten. Kopieren Sie den TXT-Eintrag und veröffentlichen Sie ihn in Ihrer DNS-Zone.
F: Was ist ein Void Lookup bei SPF?
A: Eine DNS-Anfrage, die nichts zurückgibt: Include auf eine verschwundene Domain, NXDOMAIN, leere Antwort. Die RFC 7208 §4.6.4 erlaubt davon maximal 2. Darüber hinaus schlägt die Auswertung mit permerror fehl. Der Generator erkennt und zählt sie, während er die Kette auflöst.
F: Zeigt der Generator die echte Anzahl der Lookups an?
A: Während der Eingabe ist es eine schnelle Schätzung auf Basis des Katalogs. Bei der Generierung löst er die Include-Kette tatsächlich per DNS auf, mit demselben Modul wie unser SPF-Syntax-Checker. Die finale Zählung ist exakt und manchmal höher als die Schätzung, weil sie verschachtelten Includes folgt.
F: Kann der Generator meinen aktuellen SPF erkennen?
A: Ja. Er liest den auf Ihrer Domain veröffentlichten SPF. Kein SPF: er schlägt vor, einen hinzuzufügen. SPF vorhanden und abweichend: er schlägt vor, ihn zu ersetzen, niemals einen zweiten anzulegen. SPF bereits identisch: keine Änderung.
F: Kann ich mehrere SPF-Einträge haben?
A: Nein. Nur ein einziger SPF pro Domain. Zwei zu veröffentlichen verursacht einen permerror. Kombinieren Sie die Includes Ihrer Provider in einem einzigen Eintrag.
F: Was ist der Unterschied zwischen ~all und -all?
A: ~all (Softfail) markiert nicht autorisierte Sendungen als verdächtig, ohne sie zu blockieren. -all (Fail) lehnt sie ab. Beginnen Sie mit ~all während der Validierung und wechseln Sie dann zu -all.
F: Wie behebe ich den Fehler 'too many DNS lookups'?
A: Entfernen Sie unnötige Includes, ersetzen Sie einige Includes durch direkte IPs (ip4/ip6 zählen nicht) oder flatten Sie den Eintrag mit unserem SPF Flattener. Der Generator zeigt den Zähler der echten Lookups an, damit es gar nicht so weit kommt.
Ergänzende Tools
| Tool | Nutzen |
|---|---|
| SPF Record Check | Prüfen Sie Ihren veröffentlichten SPF und seine Gültigkeit |
| SPF Flattener | Flatten Sie Ihren SPF, um unter die 10 DNS-Lookups zu kommen |
| SPF Syntax Check | Validieren Sie die SPF-Syntax vor der Veröffentlichung |
| DKIM Generator | Erstellen Sie Ihre DKIM-Schlüssel (RSA/Ed25519) |
| DMARC Generator | Konfigurieren Sie DMARC, um die Authentifizierung abzuschließen |
| Mail Tester | Testen Sie die Zustellbarkeit Ihrer E-Mails |
Nützliche Ressourcen
- RFC 7208 - Sender Policy Framework (SPF) : offizielle Spezifikation, darunter §4.6.4 zu den Void Lookups
- RFC 7489 - DMARC : wie sich SPF mit DMARC verbindet
- Google Workspace - SPF konfigurieren : offizielle Google-Anleitung
- Microsoft 365 - SPF konfigurieren : offizielle Microsoft-Anleitung