Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

SPF - Sender Policy Framework

SPF ist ein DNS-basiertes E-Mail-Authentifizierungsprotokoll, das festlegt, welche Mailserver E-Mails im Namen einer Domain versenden dürfen, und damit E-Mail-Spoofing verhindert.

Inhaltsverzeichnis (5 Abschnitte)

SPF (Sender Policy Framework) ist ein DNS-TXT-Eintrag, der autorisierte Mailserver für eine Domain auflistet. Empfangende Mailserver prüfen, ob eine eingehende E-Mail von einem in diesem Eintrag aufgeführten Server gesendet wurde - und können sie andernfalls ablehnen oder als Spam markieren.

SPF ist einer der drei Bausteine der E-Mail-Authentifizierung. Die anderen beiden sind DKIM (kryptografische Signatur) und DMARC (Policy und Reporting). Alle drei gemeinsam sind nötig für vollständigen E-Mail-Schutz.

Wie SPF funktioniert

  1. Absender sendet E-Mail von info@beispiel.de über Server 203.0.113.10
  2. Empfangendes Mailsystem fragt DNS nach TXT beispiel.de
  3. SPF-Eintrag lautet: v=spf1 ip4:203.0.113.0/24 -all
  4. IP 203.0.113.10 liegt im erlaubten Bereich → SPF pass
  5. Liegt sie nicht im erlaubten Bereich → SPF fail

Wichtig: SPF prüft die Envelope-From-Adresse (technischer SMTP-MAIL FROM), nicht den sichtbaren From:-Header in der E-Mail. Ein Angreifer kann SPF bestehen und trotzdem einen falschen From:-Header zeigen - deshalb ist DMARC (Alignment-Check) zwingend nötig.

SPF-Record-Syntax

v=spf1 [mechanisms] [modifier]

Mechanismen

MechanismusBedeutung
ip4:203.0.113.0/24IPv4-Adresse oder -Bereich
ip6:2001:db8::/32IPv6-Adresse oder -Bereich
include:_spf.google.comEinbindung des SPF-Records einer anderen Domain
aDer A-Record der eigenen Domain
mxAlle MX-Records der Domain
allPasst auf alle nicht zuvor gematchten Quellen

Qualifier (vor dem Mechanismus)

QualifierBedeutungEmpfehlung
+ (default)Pass - Quelle ist autorisiertFür erlaubte Quellen
-Fail (Hardfail) - Quelle ist nicht autorisiert, AblehnungFür all am Ende
~Softfail - nicht autorisiert, aber nicht strikt ablehnenNur übergangsweise
?Neutral - keine AussageVermeiden

Empfohlenes Muster:

v=spf1 include:_spf.google.com ip4:203.0.113.0/24 -all

Das 10-DNS-Lookup-Limit

SPF erlaubt maximal 10 DNS-Lookups pro SPF-Prüfung. Jeder include:, a, mx-Mechanismus kostet einen Lookup. Bei vielen Cloud-Diensten (Google Workspace, Microsoft 365, Salesforce, HubSpot, Zendesk…) wird das Limit schnell erreicht - und SPF bricht mit PermerError ab, was zu Zustellproblemen führt.

Lösung: SPF-Flattening (Auflösung aller Includes in direkte IP-Adressen) oder Verwendung von SPF-Makros. Regelmäßige Überprüfung mit Tools wie MXToolbox oder dmarcian.

Häufige SPF-Fehler

Fehlender -all am Ende: Ohne abschließenden Qualifier ist jeder Server implizit neutral - der SPF-Eintrag schützt nicht.

~all statt -all: Softfail bedeutet, dass Empfänger die E-Mail trotzdem zustellen (wenn auch mit Spam-Markierung). Nur für die Übergangsphase sinnvoll.

Unbekannte Mailquellen vergessen: Marketing-Automation, CRM, ERP, Ticketsysteme - alle versenden E-Mails im Firmennamen und müssen im SPF-Record stehen.

Subdomains: SPF-Records gelten nicht automatisch für Subdomains. mail.beispiel.de braucht einen eigenen SPF-Record.

SPF im Zusammenspiel mit DMARC

SPF allein reicht nicht aus, weil:

  1. SPF prüft die Envelope-From, nicht den sichtbaren From-Header
  2. Bei E-Mail-Weiterleitungen (z.B. Alumni-Adressen) schlägt SPF oft fehl

DMARC löst beides: Es fordert SPF-Alignment (Envelope-From und From-Header müssen zur gleichen Domain gehören) und legt fest, was bei Scheitern des Alignments passieren soll.

Empfohlener Implementierungspfad:

  1. SPF mit -all einrichten
  2. DKIM für alle Mailquellen aktivieren
  3. DMARC mit p=none einschalten und Reports sammeln
  4. DMARC schrittweise zu p=quarantinep=reject verschärfen

Weiterführende Informationen: DMARC Wiki-Artikel | DKIM Wiki-Artikel

Quellen & Referenzen

  1. [1] RFC 7208 - Sender Policy Framework (SPF) - IETF
  2. [2] Google - SPF-Eintrag einrichten - Google

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 03.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 — freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung