Was ist SPF?
SPF (Sender Policy Framework) ist eine E-Mail-Authentifizierungs-Methode, die es Domain-Besitzern erlaubt, anzugeben, welche Mail-Server autorisiert sind, E-Mail in ihrem Namen zu senden. Empfangende Mail-Server überprüfen SPF-Einträge, um sicherzustellen, dass eingehende E-Mail von einem Domain von einer autorisierten Quelle kommt.
Warum SPF wichtig ist
Ohne SPF kann jemand E-Mail senden, die von Ihrem Domain zu stammen scheint (Spoofing). SPF hilft:
- Phishing verhindern: Angreifer können Ihren Domain nicht einfach nachahmen
- Zustellbarkeit verbessern: E-Mail-Provider vertrauen authentifizierten Nachrichten
- Ruf schützen: Gefälschter Spam schädigt nicht den Ruf Ihres Domains
- DMARC aktivieren: SPF ist ein Baustein für DMARC-Richtlinien
Wie SPF funktioniert
1. Domain-Besitzer veröffentlicht einen SPF-Eintrag (TXT) in DNS
2. Sender's Mail-Server sendet eine E-Mail, die angibt, von @example.com zu sein
3. Receiver's Mail-Server schaut example.com's SPF-Eintrag auf
4. Server überprüft ob die Sender-IP autorisiert ist
5. Ergebnis wird angewendet: Pass, Fail, Softfail oder Neutral
SPF Record Syntax
Ein SPF-Eintrag ist ein TXT-Eintrag mit einem spezifischen Format:
v=spf1 [mechanisms] [qualifier]allBeispiel SPF Records
Basis (einzelner Mail-Server):v=spf1 ip4:203.0.113.50 -allv=spf1 include:_spf.google.com ~allv=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 -allSPF Mechanisms
| Mechanism | Beschreibung | Beispiel |
|---|---|---|
| ip4 | IPv4-Adresse oder Bereich | ip4:203.0.113.0/24 |
| ip6 | IPv6-Adresse oder Bereich | ip6:2001:db8::/32 |
| include | Schließen Sie einen anderen Domain's SPF ein | include:_spf.google.com |
| a | Domain's A-Eintrag IPs | a:mail.example.com |
| mx | Domain's MX-Server IPs | mx |
| all | Alle (normalerweise letzte) | -all, ~all, ?all |
Qualifiers
| Qualifier | Ergebnis | Bedeutung |
|---|---|---|
| + (default) | Pass | Autorisierter Sender |
| - | Fail | Nicht autorisiert, ablehnen |
| ~ | SoftFail | Wahrscheinlich nicht autorisiert, akzeptieren aber kennzeichnen |
| ? | Neutral | Keine Richtlinien-Aussage |
SPF Implementierungs Best Practices
Beginnen Sie mit SoftFail
Wenn Sie SPF das erste Mal implementieren, verwenden Sie ~all um zu vermeiden, legitime E-Mail abzulehnen:
v=spf1 include:_spf.google.com ~allÜbergang zu Fail
Sobald bestätigt funktioniert, wechseln Sie zu -all für strenge Durchsetzung:
v=spf1 include:_spf.google.com -allHalten Sie DNS-Lookups unter 10
SPF erlaubt maximal 10 DNS-Lookups (include, a, mx, redirect, exists). Überschreitung dieser Grenze verursacht SPF-Fehler.
# Zählt als DNS-Lookups:
include:_spf.google.com # 1 (plus verschachtelte includes)
a:mail.example.com # 1
mx # 1
# Zählt NICHT:
ip4:203.0.113.50 # 0
ip6:2001:db8::1 # 0
Nur ein SPF Record
Mehrere SPF-Einträge verursachen Validierungs-Fehler. Kombinieren Sie alle Mechanisms in einem Eintrag:
# Falsch - zwei SPF-Einträge
v=spf1 include:_spf.google.com ~all
v=spf1 include:sendgrid.net ~all
# Korrekt - kombiniert
v=spf1 include:_spf.google.com include:sendgrid.net ~all
SPF Records überprüfen
Using dig:dig example.com TXT | grep spfcurl "https://domscan.net/v1/health?domain=example.com"
# Gibt hasSPF Status zurück
Allgemeine SPF Probleme
Zu viele DNS-Lookups
Symptom: SPF Permerror
Lösung: Flatten includes oder verwenden Sie weniger externe Services
Fehlende Drittanbieter-Services
Symptom: Legitime E-Mail schlägt SPF fehl
Lösung: Fügen Sie include/ip4 für alle Sending-Services hinzu (Marketing-Tools, CRM, etc.)
Übermäßig permissive SPF
Symptom: Gefälschte E-Mail passiert SPF
Problem: Verwenden von +all oder Einbeziehen von zu vielen Services
Lösung: Überprüfen und beschränken Sie autorisierte Sender
SPF ist essentiell für E-Mail-Authentifizierung, funktioniert aber am besten kombiniert mit DKIM und DMARC für umfassenden Schutz.