Warum schlägt mein SPF fehl?

SPF-Fehler treten auf, wenn: 1) Die IP des sendenden Servers nicht in Ihrem SPF-Eintrag ist, 2) Mehr als 10 DNS-Lookups (permerror), 3) Syntaxfehler, 4) Unvollständige DNS-Propagation. Verwenden Sie diesen SPF Checker, um die genaue Ursache zu identifizieren.

Was ist der Unterschied zwischen SPF Checker und Syntax-Validator?

Der Syntax-Validator prüft einen SPF-Eintrag VOR der Veröffentlichung (offline). Der Checker analysiert einen BEREITS VERÖFFENTLICHTEN SPF auf einer Domain durch Live-DNS-Abfragen und rekursive Include-Auflösung.

Wie prüfe ich, ob eine IP-Adresse von meinem SPF autorisiert ist?

Fügen Sie Ihren SPF-Eintrag in den Validator ein und geben Sie die IP-Adresse im optionalen Feld ein. Das Tool wertet die SPF-Richtlinie Mechanismus für Mechanismus (ip4, ip6, include, a, mx) aus und gibt pass, fail, softfail oder neutral zurück.

Was bedeutet 'Domain bezeichnet IP nicht als autorisierten Absender'?

Diese Meldung bedeutet, dass die IP-Adresse des sendenden Servers nicht im SPF-Eintrag der Domain aufgeführt ist. Verwenden Sie den IP-Test, um zu prüfen, welche IPs autorisiert sind, und fügen Sie fehlende IPs über ip4, ip6, include oder a hinzu.

SPF Checker Kostenlos & IP-Autorisierung

Warum einen veröffentlichten SPF-Eintrag inspizieren?

Der in Ihrem DNS veröffentlichte SPF-Eintrag (Sender Policy Framework) definiert, welche Server E-Mails für Ihre Domain senden dürfen. Aber einmal veröffentlicht, kann er sich ohne Ihr Wissen ändern: Anbieter, die ihre Includes modifizieren, erreichte Lookup-Limits, unvollständige DNS-Propagation.

Drei Hauptanwendungsfälle:

Nach der Veröffentlichung -> Überprüfen Sie, dass DNS Ihren SPF zurückgibt und Includes korrekt aufgelöst werden
Zustellbarkeitsdiagnose -> Identifizieren Sie, warum Empfänger SPF fail oder permerror sehen
Periodische Überprüfung -> Erkennen Sie Drift (steigende Lookups, veraltete Includes)

SPF-Inspektor vs Syntax-Validator

Kriterium	Syntax-Validator	SPF-Inspektor
Wann verwenden	VOR der Veröffentlichung	NACH der Veröffentlichung
Datenquelle	Manuell eingefügter Text	Live-DNS
Include-Auflösung	Nein (nur Syntax)	Ja (vollständig rekursiv)
Lookup-Zählung	Geschätzt	Real (mit Auflösung)
DNS-Fehlererkennung	Nein	Ja (NXDOMAIN, Timeout, CNAME)

Empfohlener Workflow:

Schreiben Sie Ihren SPF
Validieren Sie die Syntax mit dem SPF-Validator
Veröffentlichen Sie in Ihrem DNS
Inspizieren Sie mit diesem Tool, um Propagation und echte Lookup-Zählung zu bestätigen

Was analysiert der Inspektor genau?

Live-DNS-Auflösung

Der Inspektor fragt DNS ab, um abzurufen:

Alle TXT-Einträge der Domain
Filterung von Einträgen, die mit v=spf1 beginnen
Erkennung von Anomalien (mehrere SPF, CNAME im Pfad)

Rekursive Include-Erweiterung

Für jeden gefundenen include: macht das Tool:

Löst die Ziel-Domain auf
Ruft deren SPF-Eintrag ab
Zählt den Lookup gegen das Budget von 10
Wiederholt rekursiv bis zu den finalen Mechanismen

Beispiel-Auflösungsbaum:

captaindns.com
├── include:_spf.google.com (1 Lookup)
│   ├── include:_netblocks.google.com (2 Lookups)
│   ├── include:_netblocks2.google.com (3 Lookups)
│   └── include:_netblocks3.google.com (4 Lookups)
└── include:servers.mcsv.net (5 Lookups)
    └── ip4:205.201.128.0/20 (kein Lookup)

Zurückgegebene Diagnosen

Code	Beschreibung	Schweregrad
`lookup_no_spf`	Kein SPF-Eintrag gefunden	Fehler
`lookup_bad_rcode`	DNS-Fehler (NXDOMAIN, SERVFAIL)	Fehler
`lookup_multiple_spf`	Mehrere SPF-Einträge	Fehler
`lookup_limit_exceeded`	Mehr als 10 DNS-Lookups	Fehler
`lookup_cycle`	Referenzschleife erkannt	Fehler
`void_lookup_limit_exceeded`	Mehr als 2 leere Antworten	Fehler
`permissive_all`	Richtlinie `+all` (autorisiert alle)	Warnung
`softfail_all`	Richtlinie `~all` ohne Härtung	Warnung

Konkrete Anwendungsfälle

Fall 1: Überprüfung nach Veröffentlichung

Situation: Sie haben gerade einen neuen SPF für captaindns.com veröffentlicht.

Aktion: Führen Sie die Inspektion durch, um zu überprüfen:

✅ Der Eintrag ist im DNS sichtbar
✅ Alle Includes werden korrekt aufgelöst
✅ Die Gesamtzahl der Lookups bleibt unter 10

Fall 2: SPF-Fehlerdiagnose

Symptom: Empfänger sehen SPF fail bei Ihren E-Mails.

Diagnose: Der Inspektor zeigt:

Der sendende Server (IP 203.0.113.50) ist nicht im SPF
Das Include des Anbieters hat sich ohne Benachrichtigung geändert

Aktion: IP hinzufügen oder Include aktualisieren.

Fall 3: Mysteriöser permerror

Symptom: Intermittierender SPF permerror bei einigen Empfängern.

Diagnose: Der Inspektor zählt 11 Lookups:

captaindns.com: 11 Lookups (Limit: 10)
├── include:_spf.google.com (4 Lookups)
├── include:spf.protection.outlook.com (3 Lookups)
├── include:amazonses.com (2 Lookups)
└── include:sendgrid.net (2 Lookups)

Aktion: Einige Includes durch direkte ip4/ip6 ersetzen, eine dedizierte Subdomain verwenden oder Ihren SPF mit dem SPF Flattener vereinfachen.

Fall 4: Periodische Sicherheitsüberprüfung

Situation: Vierteljährliche E-Mail-Konfigurationsüberprüfung.

Überprüfung:

SPF verwendet -all (hard fail) nicht ~all (soft fail)
Keine Includes zu aufgegebenen Domains
IP-Bereiche entsprechen aktiven Servern
Lookup-Zähler hat Sicherheitsmarge (≤8 empfohlen)

FAQ - Häufig gestellte Fragen

F: Was ist der Unterschied zwischen SPF-Inspektor und Syntax-Validator?

A: Der Syntax-Validator prüft einen SPF-Eintrag VOR der Veröffentlichung (offline, eingefügter Text). Der Inspektor analysiert einen BEREITS VERÖFFENTLICHTEN SPF durch Live-DNS-Abfragen und rekursive Auflösung aller Includes.

F: Wie viele DNS-Lookups sind für SPF erlaubt?

A: RFC 7208 begrenzt die SPF-Auswertung auf 10 DNS-Lookups. Jedes include, a, mx, ptr und exists zählt. Der Inspektor zeigt die echte Gesamtzahl nach rekursiver Auflösung.

F: Warum zeigt mein SPF "permerror"?

A: Ein permerror tritt auf, wenn:

Mehr als 10 DNS-Lookups
Referenzschleife (A inkludiert B, das A inkludiert)
Ungültige Syntax
Mehr als 2 leere DNS-Antworten

Der Inspektor identifiziert die genaue Ursache.

F: Wie löst das Tool Includes auf?

A: Der Inspektor folgt jedem include: rekursiv: Er ruft den SPF der Ziel-Domain ab, zählt den Lookup und wiederholt bis zu den finalen Mechanismen (ip4, ip6) oder dem Limit.

F: Kann ich mit verschiedenen DNS-Resolvern testen?

A: Ja. Wählen Sie Google (8.8.8.8), Cloudflare (1.1.1.1) oder einen benutzerdefinierten Resolver, um die Propagation zu überprüfen und zu bestätigen, dass alle Server dieselbe Richtlinie sehen.

F: Was tun, wenn der Inspektor keinen SPF findet?

A: Überprüfen Sie in Ihrer DNS-Oberfläche, dass:

Ein TXT-Eintrag existiert
Er mit v=spf1 beginnt
Es nur einen SPF gibt (mehrere = permerror)
Die DNS-Propagation abgeschlossen ist (kann bis zu 48h dauern)

F: Validiert der Inspektor auch die Syntax?

A: Ja, der Inspektor validiert die Syntax jedes gefundenen SPF. Aber um einen Entwurf VOR der Veröffentlichung zu testen, verwenden Sie den SPF-Syntax-Validator.

Ergänzende Tools

Tool	Zweck
SPF-Generator	SPF-Eintrag mit vorkonfigurierten Providern erstellen
SPF Flattener	SPF vereinfachen und unter dem 10-Lookup-Limit bleiben
SPF-Syntax-Validator	Syntax VOR der Veröffentlichung testen
DKIM-Inspektor	Ihre DKIM-Signatur validieren
DMARC-Inspektor	Ihre DMARC-Richtlinie konfigurieren und testen
DMARC-Monitoring	DMARC-Aggregatberichte Ihrer Domains sammeln und visualisieren
E-Mail-Header-Analyzer	SPF/DKIM/DMARC bei einer empfangenen E-Mail diagnostizieren

Nützliche Ressourcen

RFC 7208 - Sender Policy Framework (offizielle SPF-Spezifikation)
Google - SPF einrichten (Google Workspace-Anleitung)
Microsoft - SPF für Microsoft 365 (Outlook/M365-Anleitung)