Warum einen veröffentlichten SPF-Eintrag inspizieren?
Der in Ihrem DNS veröffentlichte SPF-Eintrag (Sender Policy Framework) definiert, welche Server E-Mails für Ihre Domain senden dürfen. Aber einmal veröffentlicht, kann er sich ohne Ihr Wissen ändern: Anbieter, die ihre Includes modifizieren, erreichte Lookup-Limits, unvollständige DNS-Propagation.
Drei Hauptanwendungsfälle:
- Nach der Veröffentlichung -> Überprüfen Sie, dass DNS Ihren SPF zurückgibt und Includes korrekt aufgelöst werden
- Zustellbarkeitsdiagnose -> Identifizieren Sie, warum Empfänger SPF fail oder permerror sehen
- Periodische Überprüfung -> Erkennen Sie Drift (steigende Lookups, veraltete Includes)
SPF-Inspektor vs Syntax-Validator
| Kriterium | Syntax-Validator | SPF-Inspektor |
|---|---|---|
| Wann verwenden | VOR der Veröffentlichung | NACH der Veröffentlichung |
| Datenquelle | Manuell eingefügter Text | Live-DNS |
| Include-Auflösung | Nein (nur Syntax) | Ja (vollständig rekursiv) |
| Lookup-Zählung | Geschätzt | Real (mit Auflösung) |
| DNS-Fehlererkennung | Nein | Ja (NXDOMAIN, Timeout, CNAME) |
| IP-Test | Nein | Ja (pass/fail/softfail/neutral) |
Empfohlener Workflow:
- Schreiben Sie Ihren SPF
- Validieren Sie die Syntax mit dem SPF-Validator
- Veröffentlichen Sie in Ihrem DNS
- Inspizieren Sie mit diesem Tool, um Propagation und echte Lookup-Zählung zu bestätigen
Was analysiert der Inspektor genau?
Live-DNS-Auflösung
Der Inspektor fragt DNS ab, um abzurufen:
- Alle TXT-Einträge der Domain
- Filterung von Einträgen, die mit
v=spf1beginnen - Erkennung von Anomalien (mehrere SPF, CNAME im Pfad)
Rekursive Include-Erweiterung
Für jeden gefundenen include: macht das Tool:
- Löst die Ziel-Domain auf
- Ruft deren SPF-Eintrag ab
- Zählt den Lookup gegen das Budget von 10
- Wiederholt rekursiv bis zu den finalen Mechanismen
Beispiel-Auflösungsbaum:
captaindns.com
├── include:_spf.google.com (1 Lookup)
│ ├── include:_netblocks.google.com (2 Lookups)
│ ├── include:_netblocks2.google.com (3 Lookups)
│ └── include:_netblocks3.google.com (4 Lookups)
└── include:servers.mcsv.net (5 Lookups)
└── ip4:205.201.128.0/20 (kein Lookup)
Zurückgegebene Diagnosen
| Code | Beschreibung | Schweregrad |
|---|---|---|
lookup_no_spf | Kein SPF-Eintrag gefunden | Fehler |
lookup_bad_rcode | DNS-Fehler (NXDOMAIN, SERVFAIL) | Fehler |
lookup_multiple_spf | Mehrere SPF-Einträge | Fehler |
lookup_limit_exceeded | Mehr als 10 DNS-Lookups | Fehler |
lookup_cycle | Referenzschleife erkannt | Fehler |
void_lookup_limit_exceeded | Mehr als 2 leere Antworten | Fehler |
permissive_all | Richtlinie +all (autorisiert alle) | Warnung |
softfail_all | Richtlinie ~all ohne Härtung | Warnung |
Konkrete Anwendungsfälle
Fall 1: Überprüfung nach Veröffentlichung
Situation: Sie haben gerade einen neuen SPF für captaindns.com veröffentlicht.
Aktion: Führen Sie die Inspektion durch, um zu überprüfen:
- ✅ Der Eintrag ist im DNS sichtbar
- ✅ Alle Includes werden korrekt aufgelöst
- ✅ Die Gesamtzahl der Lookups bleibt unter 10
Fall 2: SPF-Fehlerdiagnose
Symptom: Empfänger sehen SPF fail bei Ihren E-Mails.
Diagnose: Der Inspektor zeigt:
- Der sendende Server (IP 203.0.113.50) ist nicht im SPF
- Das Include des Anbieters hat sich ohne Benachrichtigung geändert
Aktion: IP hinzufügen oder Include aktualisieren.
Fall 3: Mysteriöser permerror
Symptom: Intermittierender SPF permerror bei einigen Empfängern.
Diagnose: Der Inspektor zählt 11 Lookups:
captaindns.com: 11 Lookups (Limit: 10)
├── include:_spf.google.com (4 Lookups)
├── include:spf.protection.outlook.com (3 Lookups)
├── include:amazonses.com (2 Lookups)
└── include:sendgrid.net (2 Lookups)
Aktion: Einige Includes durch direkte ip4/ip6 ersetzen, eine dedizierte Subdomain verwenden oder Ihren SPF mit dem SPF Flattener vereinfachen.
Fall 4: Periodische Sicherheitsüberprüfung
Situation: Vierteljährliche E-Mail-Konfigurationsüberprüfung.
Überprüfung:
- SPF verwendet
-all(hard fail) nicht~all(soft fail) - Keine Includes zu aufgegebenen Domains
- IP-Bereiche entsprechen aktiven Servern
- Lookup-Zähler hat Sicherheitsmarge (≤8 empfohlen)
Fall 5: IP-Autorisierung eines Absenders überprüfen
Situation: Sie erhalten DMARC-Berichte, die SPF-Fehler von einer bestimmten IP anzeigen.
Aktion: Geben Sie die Domain und die IP im Inspektor ein.
Diagnose: Das Tool zeigt:
- Die IP
203.0.113.50ist von keinem Mechanismus abgedeckt - Der Mechanismus
include:_spf.google.comenthält diese IP nicht - Die Direktive
-alllehnt die IP ab
Korrektur: Fügen Sie ip4:203.0.113.50 zu Ihrem SPF hinzu oder prüfen Sie, dass der Dienst die durch ein bestehendes include abgedeckten IPs verwendet.
IP gegen den veröffentlichten SPF testen
Der IP-Autorisierungstest erlaubt es, in einer Abfrage zu prüfen, ob eine IP-Adresse berechtigt wäre, E-Mails für eine Domain zu senden. Das Tool fragt DNS live ab, löst den vollständigen SPF auf (includes, redirects) und wertet dann jeden Mechanismus gegen die angegebene IP aus.
Mögliche Ergebnisse:
| Ergebnis | Bedeutung | Aktion |
|---|---|---|
| Pass | Die IP ist explizit autorisiert | Nichts zu tun |
| Fail | Die IP wird durch -all explizit abgelehnt | IP hinzufügen oder include prüfen |
| Softfail | Die IP ist nicht autorisiert, ~all lehnt aber nicht ab | Auf -all umstellen oder IP hinzufügen |
| Neutral | Kein Mechanismus stimmt überein | IP hinzufügen, falls sie autorisiert sein sollte |
Typische Anwendungsfälle:
- Diagnose von SPF-Fehlern aus DMARC-Berichten
- Überprüfung nach Migration eines Mailservers
- Validierung der IP-Abdeckung eines neuen Versandanbieters
- Sicherheitsaudit: nicht abgedeckte IPs identifizieren
FAQ - Häufig gestellte Fragen
F: Was ist der Unterschied zwischen SPF-Inspektor und Syntax-Validator?
A: Der Syntax-Validator prüft einen SPF-Eintrag VOR der Veröffentlichung (offline, eingefügter Text). Der Inspektor analysiert einen BEREITS VERÖFFENTLICHTEN SPF durch Live-DNS-Abfragen und rekursive Auflösung aller Includes.
F: Wie viele DNS-Lookups sind für SPF erlaubt?
A: RFC 7208 begrenzt die SPF-Auswertung auf 10 DNS-Lookups. Jedes include, a, mx, ptr und exists zählt. Der Inspektor zeigt die echte Gesamtzahl nach rekursiver Auflösung.
F: Warum zeigt mein SPF "permerror"?
A: Ein permerror tritt auf, wenn:
- Mehr als 10 DNS-Lookups
- Referenzschleife (A inkludiert B, das A inkludiert)
- Ungültige Syntax
- Mehr als 2 leere DNS-Antworten
Der Inspektor identifiziert die genaue Ursache.
F: Wie löst das Tool Includes auf?
A: Der Inspektor folgt jedem include: rekursiv: Er ruft den SPF der Ziel-Domain ab, zählt den Lookup und wiederholt bis zu den finalen Mechanismen (ip4, ip6) oder dem Limit.
F: Kann ich mit verschiedenen DNS-Resolvern testen?
A: Ja. Wählen Sie Google (8.8.8.8), Cloudflare (1.1.1.1) oder einen benutzerdefinierten Resolver, um die Propagation zu überprüfen und zu bestätigen, dass alle Server dieselbe Richtlinie sehen.
F: Was tun, wenn der Inspektor keinen SPF findet?
A: Überprüfen Sie in Ihrer DNS-Oberfläche, dass:
- Ein TXT-Eintrag existiert
- Er mit
v=spf1beginnt - Es nur einen SPF gibt (mehrere = permerror)
- Die DNS-Propagation abgeschlossen ist (kann bis zu 48h dauern)
F: Validiert der Inspektor auch die Syntax?
A: Ja, der Inspektor validiert die Syntax jedes gefundenen SPF. Aber um einen Entwurf VOR der Veröffentlichung zu testen, verwenden Sie den SPF-Syntax-Validator.
Ergänzende Tools
| Tool | Zweck |
|---|---|
| SPF-Generator | SPF-Eintrag mit vorkonfigurierten Providern erstellen |
| SPF Flattener | SPF vereinfachen und unter dem 10-Lookup-Limit bleiben |
| SPF-Syntax-Validator | Syntax VOR der Veröffentlichung testen |
| DKIM-Inspektor | Ihre DKIM-Signatur validieren |
| DMARC-Inspektor | Ihre DMARC-Richtlinie konfigurieren und testen |
| DMARC-Monitoring | DMARC-Aggregatberichte Ihrer Domains sammeln und visualisieren |
| E-Mail-Header-Analyzer | SPF/DKIM/DMARC bei einer empfangenen E-Mail diagnostizieren |
Nützliche Ressourcen
- RFC 7208 - Sender Policy Framework (offizielle SPF-Spezifikation)
- Google - SPF einrichten (Google Workspace-Anleitung)
- Microsoft - SPF für Microsoft 365 (Outlook/M365-Anleitung)