Zum Hauptinhalt springen

Neu

Testen Sie die Zustellbarkeit Ihrer E-Mails

Senden Sie eine Test-E-Mail und erhalten Sie in wenigen Sekunden eine vollständige Diagnose Ihrer SPF-, DKIM- und DMARC-Authentifizierung.

  • Echter Versandtest
  • Sofortige Diagnose
  • Ohne Registrierung
Test starten

SPF Checker

SPF Check und Lookup mit Live-DNS-Auflösung - SPF-Fehler schnell beheben

Warum schlägt Ihr SPF fehl? Geben Sie Ihre Domain ein für einen vollständigen SPF Check mit DNS-Lookup, Include-Expansion und Fehlererkennung.

Live-DNS-Lookup

Der Checker fragt DNS in Echtzeit ab, um Ihren SPF so abzurufen, wie Empfänger ihn tatsächlich sehen.

Rekursive Expansion

Jedes Include wird rekursiv aufgelöst. Visualisieren Sie den vollständigen Baum Ihrer SPF-Richtlinie bis zu den finalen Mechanismen.

Lookup-Zählung

Der Zähler zeigt die genaue Anzahl der DNS-Lookups. Das RFC-Limit ist 10 - überschreiten Sie es und Ihre E-Mails scheitern.

Fehlererkennung

Identifizieren Sie DNS-Probleme (NXDOMAIN, Timeout), Referenzschleifen und ungültige Syntax, bevor sie die Zustellbarkeit beeinträchtigen.

Klare Empfehlungen

Jede Diagnose enthält eine Erklärung und Korrekturmaßnahme. Folgen Sie den Empfehlungen, um Ihren SPF zu optimieren.

Warum einen veröffentlichten SPF-Eintrag inspizieren?

Der in Ihrem DNS veröffentlichte SPF-Eintrag (Sender Policy Framework) definiert, welche Server E-Mails für Ihre Domain senden dürfen. Aber einmal veröffentlicht, kann er sich ohne Ihr Wissen ändern: Anbieter, die ihre Includes modifizieren, erreichte Lookup-Limits, unvollständige DNS-Propagation.

Drei Hauptanwendungsfälle:

  • Nach der Veröffentlichung -> Überprüfen Sie, dass DNS Ihren SPF zurückgibt und Includes korrekt aufgelöst werden
  • Zustellbarkeitsdiagnose -> Identifizieren Sie, warum Empfänger SPF fail oder permerror sehen
  • Periodische Überprüfung -> Erkennen Sie Drift (steigende Lookups, veraltete Includes)

SPF-Inspektor vs Syntax-Validator

KriteriumSyntax-ValidatorSPF-Inspektor
Wann verwendenVOR der VeröffentlichungNACH der Veröffentlichung
DatenquelleManuell eingefügter TextLive-DNS
Include-AuflösungNein (nur Syntax)Ja (vollständig rekursiv)
Lookup-ZählungGeschätztReal (mit Auflösung)
DNS-FehlererkennungNeinJa (NXDOMAIN, Timeout, CNAME)

Empfohlener Workflow:

  1. Schreiben Sie Ihren SPF
  2. Validieren Sie die Syntax mit dem SPF-Validator
  3. Veröffentlichen Sie in Ihrem DNS
  4. Inspizieren Sie mit diesem Tool, um Propagation und echte Lookup-Zählung zu bestätigen

Was analysiert der Inspektor genau?

Live-DNS-Auflösung

Der Inspektor fragt DNS ab, um abzurufen:

  • Alle TXT-Einträge der Domain
  • Filterung von Einträgen, die mit v=spf1 beginnen
  • Erkennung von Anomalien (mehrere SPF, CNAME im Pfad)

Rekursive Include-Erweiterung

Für jeden gefundenen include: macht das Tool:

  1. Löst die Ziel-Domain auf
  2. Ruft deren SPF-Eintrag ab
  3. Zählt den Lookup gegen das Budget von 10
  4. Wiederholt rekursiv bis zu den finalen Mechanismen

Beispiel-Auflösungsbaum:

captaindns.com
├── include:_spf.google.com (1 Lookup)
│   ├── include:_netblocks.google.com (2 Lookups)
│   ├── include:_netblocks2.google.com (3 Lookups)
│   └── include:_netblocks3.google.com (4 Lookups)
└── include:servers.mcsv.net (5 Lookups)
    └── ip4:205.201.128.0/20 (kein Lookup)

Zurückgegebene Diagnosen

CodeBeschreibungSchweregrad
lookup_no_spfKein SPF-Eintrag gefundenFehler
lookup_bad_rcodeDNS-Fehler (NXDOMAIN, SERVFAIL)Fehler
lookup_multiple_spfMehrere SPF-EinträgeFehler
lookup_limit_exceededMehr als 10 DNS-LookupsFehler
lookup_cycleReferenzschleife erkanntFehler
void_lookup_limit_exceededMehr als 2 leere AntwortenFehler
permissive_allRichtlinie +all (autorisiert alle)Warnung
softfail_allRichtlinie ~all ohne HärtungWarnung

Konkrete Anwendungsfälle

Fall 1: Überprüfung nach Veröffentlichung

Situation: Sie haben gerade einen neuen SPF für captaindns.com veröffentlicht.

Aktion: Führen Sie die Inspektion durch, um zu überprüfen:

  • ✅ Der Eintrag ist im DNS sichtbar
  • ✅ Alle Includes werden korrekt aufgelöst
  • ✅ Die Gesamtzahl der Lookups bleibt unter 10

Fall 2: SPF-Fehlerdiagnose

Symptom: Empfänger sehen SPF fail bei Ihren E-Mails.

Diagnose: Der Inspektor zeigt:

  • Der sendende Server (IP 203.0.113.50) ist nicht im SPF
  • Das Include des Anbieters hat sich ohne Benachrichtigung geändert

Aktion: IP hinzufügen oder Include aktualisieren.

Fall 3: Mysteriöser permerror

Symptom: Intermittierender SPF permerror bei einigen Empfängern.

Diagnose: Der Inspektor zählt 11 Lookups:

captaindns.com: 11 Lookups (Limit: 10)
├── include:_spf.google.com (4 Lookups)
├── include:spf.protection.outlook.com (3 Lookups)
├── include:amazonses.com (2 Lookups)
└── include:sendgrid.net (2 Lookups)

Aktion: Einige Includes durch direkte ip4/ip6 ersetzen, eine dedizierte Subdomain verwenden oder Ihren SPF mit dem SPF Flattener vereinfachen.

Fall 4: Periodische Sicherheitsüberprüfung

Situation: Vierteljährliche E-Mail-Konfigurationsüberprüfung.

Überprüfung:

  • SPF verwendet -all (hard fail) nicht ~all (soft fail)
  • Keine Includes zu aufgegebenen Domains
  • IP-Bereiche entsprechen aktiven Servern
  • Lookup-Zähler hat Sicherheitsmarge (≤8 empfohlen)

FAQ - Häufig gestellte Fragen

F: Was ist der Unterschied zwischen SPF-Inspektor und Syntax-Validator?

A: Der Syntax-Validator prüft einen SPF-Eintrag VOR der Veröffentlichung (offline, eingefügter Text). Der Inspektor analysiert einen BEREITS VERÖFFENTLICHTEN SPF durch Live-DNS-Abfragen und rekursive Auflösung aller Includes.

F: Wie viele DNS-Lookups sind für SPF erlaubt?

A: RFC 7208 begrenzt die SPF-Auswertung auf 10 DNS-Lookups. Jedes include, a, mx, ptr und exists zählt. Der Inspektor zeigt die echte Gesamtzahl nach rekursiver Auflösung.

F: Warum zeigt mein SPF "permerror"?

A: Ein permerror tritt auf, wenn:

  1. Mehr als 10 DNS-Lookups
  2. Referenzschleife (A inkludiert B, das A inkludiert)
  3. Ungültige Syntax
  4. Mehr als 2 leere DNS-Antworten

Der Inspektor identifiziert die genaue Ursache.

F: Wie löst das Tool Includes auf?

A: Der Inspektor folgt jedem include: rekursiv: Er ruft den SPF der Ziel-Domain ab, zählt den Lookup und wiederholt bis zu den finalen Mechanismen (ip4, ip6) oder dem Limit.

F: Kann ich mit verschiedenen DNS-Resolvern testen?

A: Ja. Wählen Sie Google (8.8.8.8), Cloudflare (1.1.1.1) oder einen benutzerdefinierten Resolver, um die Propagation zu überprüfen und zu bestätigen, dass alle Server dieselbe Richtlinie sehen.

F: Was tun, wenn der Inspektor keinen SPF findet?

A: Überprüfen Sie in Ihrer DNS-Oberfläche, dass:

  1. Ein TXT-Eintrag existiert
  2. Er mit v=spf1 beginnt
  3. Es nur einen SPF gibt (mehrere = permerror)
  4. Die DNS-Propagation abgeschlossen ist (kann bis zu 48h dauern)

F: Validiert der Inspektor auch die Syntax?

A: Ja, der Inspektor validiert die Syntax jedes gefundenen SPF. Aber um einen Entwurf VOR der Veröffentlichung zu testen, verwenden Sie den SPF-Syntax-Validator.

Ergänzende Tools

ToolZweck
SPF-GeneratorSPF-Eintrag mit vorkonfigurierten Providern erstellen
SPF FlattenerSPF vereinfachen und unter dem 10-Lookup-Limit bleiben
SPF-Syntax-ValidatorSyntax VOR der Veröffentlichung testen
DKIM-InspektorIhre DKIM-Signatur validieren
DMARC-InspektorIhre DMARC-Richtlinie konfigurieren und testen
E-Mail-Header-AnalyzerSPF/DKIM/DMARC bei einer empfangenen E-Mail diagnostizieren

Nützliche Ressourcen