Was ist das DNS-Lookup-Limit?

SPF erlaubt maximal 10 DNS-Lookups pro Auswertung. Jeder include:, a:, mx:, exists: und ptr: zählt mit. Wird das Limit überschritten, antwortet der prüfende Server mit PermError und SPF gilt als nicht bestanden.

Was ist der Unterschied zwischen -all und ~all?

-all (Hardfail) weist Mailserver an, nicht-passende Mails abzulehnen. ~all (Softfail) lässt sie zu, markiert sie aber als verdächtig. Für Production-Domains mit aktivem DMARC ist -all die richtige Wahl.

Kann ich mehrere SPF-Records auf einer Domain haben?

Nein. Mehrere TXT-Records mit v=spf1 auf demselben Host führen zu PermError. Konsolidieren Sie alle Mechanismen in einem einzigen Record.

Brauche ich SPF, wenn ich DMARC nutze?

Ja. DMARC baut auf SPF und/oder DKIM auf. Ohne mindestens einen der beiden bestanden plus aligned scheitert DMARC, selbst wenn die anderen Komponenten korrekt sind.

Wie teste ich SPF-Änderungen risikofrei?

Setzen Sie zuerst eine niedrige TTL (300 Sekunden), prüfen Sie mit dem Mailantis SelfCheck und beobachten Sie DMARC-Aggregate-Reports einige Tage. Erst dann TTL wieder erhöhen.

Was ist SPF? — Mailantis Wissen

Das Problem

Im Standard-E-Mail-Protokoll kann jeder beliebige Server behaupten, er versende Mails für ihre-firma.at. Empfänger haben ohne Zusatzinformation keine Möglichkeit zu prüfen, ob die Absenderadresse echt ist. Das ist die Grundlage von Phishing und CEO-Fraud.

Wie SPF funktioniert

SPF löst das Problem per DNS-Eintrag. In einem TXT-Record veröffentlichen Sie eine Liste der Server, die für Ihre Domain senden dürfen. Der empfangende Mailserver fragt diese Liste ab und vergleicht sie mit der IP-Adresse, von der die E-Mail gerade kommt.

SPF-Check in 4 Schritten

Beispiel-Record

So sieht ein typischer SPF-Eintrag im DNS aus — hier für eine Domain, die Google Workspace und Mailgun nutzt:

; TXT-Record für @ (Root-Domain)
"v=spf1 include:_spf.google.com include:mailgun.org ~all"

Die wichtigen Bestandteile:

v=spf1 — kennzeichnet den Record als SPF Version 1.
include:… — übernimmt die erlaubten Server eines Anbieters.
~all — alles andere ist „Softfail": Mail kommt vermutlich durch, wird aber markiert.

Die vier Policy-Endungen

Endung	Bedeutung	Empfehlung
`-all`	Hard-Fail — alles außerhalb der Liste wird abgelehnt.	Ideal
`~all`	Soft-Fail — verdächtig, aber nicht blockiert.	Gut
`?all`	Neutral — keine Aussage.	Schwach
`+all`	Alles erlaubt.	Nie

Wichtig: SPF allein schützt nicht vollständig. Ein Angreifer kann die sichtbare From-Adresse fälschen, ohne dass SPF es merkt. Erst die Kombination mit DKIM und DMARC schließt diese Lücke.

Die häufigsten Stolperfallen

Mehr als 10 DNS-Lookups — SPF hat ein hartes Limit von 10 Abfragen. Viele include:-Einträge können dieses Limit sprengen und den Record ungültig machen.
Zwei SPF-Records auf einer Domain — ist technisch verboten, wird von Empfängern ignoriert. Es darf nur einen TXT-Record mit v=spf1 geben.
Weiterleitungen — wenn Mails von einer Adresse automatisch weitergeleitet werden, schlägt SPF beim neuen Empfänger fehl. DKIM löst das.

Was ist SPF?

Das Problem

Wie SPF funktioniert

Beispiel-Record

Die vier Policy-Endungen

Die häufigsten Stolperfallen

Häufige Fragen