EMAIL ANLEITUNG

SPF Lookup: So schützen Sie Ihre Domäne vor E-Mail-Spoofing

Vollständiger Leitfaden zum Sender Policy Framework: Was es ist, wie es funktioniert, wie Sie es konfigurieren und Ihren SPF-Eintrag überprüfen.

SPF: die erste Verteidigungslinie gegen Spoofing

Das Sender Policy Framework (SPF) ist ein E-Mail-Authentifizierungsmechanismus, der es einem Domäneninhaber ermöglicht, festzulegen, welche Server berechtigt sind, E-Mails in seinem Namen zu versenden. Ohne SPF kann jeder E-Mails senden und dabei Ihre Domäne als Absender vortäuschen — eine Technik namens Spoofing, die die Grundlage der meisten Phishing-Angriffe bildet. SPF wurde in RFC 7208 standardisiert und stellt die erste der drei Säulen der modernen E-Mail-Authentifizierung dar, neben DKIM und DMARC.

Wenn ein Server eine E-Mail empfängt, überprüft er den SPF-Eintrag der Absenderdomäne. Ist die IP des sendenden Servers in der Liste der vom SPF-Eintrag autorisierten IPs enthalten, ist die Prüfung bestanden. Andernfalls wird die E-Mail als potenziell betrügerisch markiert. Die endgültige Entscheidung (annehmen, ablehnen oder markieren) hängt von der im Eintrag festgelegten Richtlinie und der DMARC-Konfiguration der Domäne ab.

Anatomie eines SPF-Eintrags

Ein SPF-Eintrag ist ein TXT-Eintrag im DNS der Domäne, der mit v=spf1 beginnt, gefolgt von einer Reihe von Mechanismen und Qualifizierern. Die Mechanismen definieren, wer zum Senden berechtigt ist, während der abschließende Qualifizierer (typischerweise ~all oder -all) festlegt, was mit E-Mails geschehen soll, die keinem autorisierten Mechanismus entsprechen.

SPF-Syntax und Mechanismen
# Record SPF base per Google Workspace
v=spf1 include:_spf.google.com ~all

# SPF con più servizi (Google + Mailchimp + IP dedicato)
v=spf1 ip4:203.0.113.5 include:_spf.google.com include:servers.mcsv.net ~all

# Meccanismi disponibili:
# ip4:IP/CIDR    - Autorizza un IP o range IPv4
# ip6:IP/CIDR    - Autorizza un IP o range IPv6
# include:domain - Include il record SPF di un altro dominio
# a              - Autorizza gli IP nel record A del dominio
# mx             - Autorizza gli IP dei mail server (MX)
# redirect=domain - Usa il record SPF di un altro dominio

# Qualificatori finali:
# -all  (hardfail) - Rifiuta tutto il resto
# ~all  (softfail) - Segnala ma non rifiutare
# ?all  (neutral)  - Nessuna indicazione

Das Limit von 10 DNS-Lookups

Einer der kritischsten und am wenigsten verstandenen Aspekte von SPF ist das Limit von 10 DNS-Lookups. Jedes Mal, wenn der SPF-Eintrag einen Mechanismus verwendet, der eine zusätzliche DNS-Abfrage erfordert (include, a, mx, redirect, exists), zählt dies als ein Lookup. Die Überschreitung des Limits von 10 verursacht einen permerror: Der SPF-Eintrag wird als ungültig betrachtet und die Authentifizierung schlägt für alle E-Mails fehl.

Dieses Limit wird problematisch, wenn viele Drittanbieterdienste für den E-Mail-Versand genutzt werden. Ein einzelnes include kann seinerseits weitere verschachtelte includes enthalten, und jedes zählt zum Limit. Beispielsweise verbraucht include:_spf.google.com allein schon 3–4 Lookups. Kommen Mailchimp, SendGrid und HubSpot hinzu, ist das Limit schnell erreicht. Unser SPF Lookup analysiert Ihren SPF-Eintrag und zählt automatisch die DNS-Lookups, wobei Sie gewarnt werden, wenn Sie sich dem Limit nähern.

So lösen Sie die häufigsten SPF-Probleme

Das häufigste Problem ist die Überschreitung des 10-Lookup-Limits. Lösungsansätze umfassen: include-Mechanismen durch direkte ip4/ip6-Einträge ersetzen (die nicht als Lookups zählen), SPF-Flattening-Dienste nutzen, die includes in statische IPs auflösen, oder E-Mail-Dienste konsolidieren, um die Anzahl benötigter includes zu reduzieren. Eine weitere Strategie ist die Nutzung dedizierter Subdomänen für verschiedene Dienste: marketing@news.beispiel.com kann einen eigenen unabhängigen SPF-Eintrag haben.

Ein weiterer häufiger Fehler ist das Vorhandensein mehrerer SPF-Einträge für dieselbe Domäne. Die RFCs legen klar fest, dass eine Domäne nur einen einzigen TXT-Eintrag haben darf, der mit v=spf1 beginnt. Mehrere Einträge verursachen einen permerror. Wenn Sie mehrere Quellen autorisieren müssen, kombinieren Sie alles in einem einzigen Eintrag. Überprüfen Sie mit dem TXT Lookup auf doppelte Einträge — er listet alle TXT-Einträge der Domäne auf.

SPF allein reicht nicht: das Trio SPF + DKIM + DMARC

SPF hat eine wichtige Einschränkung: Es überprüft nur die IP des sendenden Servers, nicht den Inhalt des From-Headers, den der Benutzer sieht. Ein Angreifer könnte einen von seinem eigenen SPF autorisierten Server verwenden, um E-Mails mit Ihrer Domäne im From-Header zu senden. Deshalb muss SPF durch DKIM und DMARC ergänzt werden. DKIM signiert die E-Mail kryptografisch, während DMARC überprüft, ob die Domäne im From-Header mit der durch SPF oder DKIM authentifizierten Domäne übereinstimmt.

Verwenden Sie den DMARC Lookup, um zu überprüfen, ob Ihre Domäne eine aktive DMARC-Richtlinie hat. Ohne DMARC verhindert selbst ein perfekter SPF-Eintrag nicht, dass gefälschte E-Mails zugestellt werden. Die Kombination der drei Protokolle schafft eine mehrschichtige Verteidigung, die das Spoofing Ihrer Domäne extrem schwierig macht und Ihren Ruf sowie Ihre Empfänger schützt.

Die ideale Konfiguration umfasst: SPF mit ~all oder -all, um nur legitime Server zu autorisieren, DKIM mit einem 2048-Bit-Schlüssel zur Signierung aller ausgehenden E-Mails, und DMARC mit progressiver Richtlinie (von p=none zur Überwachung bis p=reject zur vollständigen Blockierung). Dieses Trio gilt heute als Mindestanforderung für jede Domäne, die E-Mails versendet.

SPF Lookup kostenlos testen
Überprüft den SPF-Eintrag zur E-Mail-Authentifizierung und Spoofing-Prävention
SPF Lookup verwenden >

Explore the Network

capops.io Free tools for DevOps & SysAdmin — monitoring, deploy, CI/CD, server management and more Visit → pixcode.io Free graphic tools — image converter, color palette generator, SVG optimizer and more Visit →