Ein SPF-Record ist ein einzelner DNS-Texteintrag Ihrer Domain, der auflistet, welche Mailserver in Ihrem Namen versenden dürfen. Empfangende Systeme wie Microsoft 365 oder Gmail schlagen bei jeder eingehenden E-Mail automatisch diesen Eintrag nach und vergleichen ihn mit dem tatsächlich sendenden Server. Stimmt er nicht überein, gilt die Mail als nicht autorisiert – unabhängig davon, wie seriös ihr Inhalt ist.
Was im DNS tatsächlich steht
Ein SPF-Record ist ein TXT-Eintrag auf Ihrer Domain, keine separate Datei und kein Login irgendwo. Er sieht typischerweise so aus:
v=spf1 ip4:203.0.113.10 include:_spf.google.com include:sendgrid.net ~all
Jedes Element hat eine feste Bedeutung:
| Baustein | Bedeutung |
|---|---|
v=spf1 | Kennzeichnet den Eintrag als SPF, Version 1 |
ip4: / ip6: | Eine konkrete Server-Adresse, die senden darf |
include: | Verweist auf den SPF-Record eines Dienstleisters (z. B. Ihr Newsletter-Tool) |
~all | Softfail: alles Übrige gilt als verdächtig, wird aber meist trotzdem zugestellt |
-all | Hardfail: alles Übrige wird konsequent abgelehnt |
Die Reihenfolge der Einträge spielt keine Rolle, das Präfix vor all dagegen schon – es bestimmt, wie streng nicht gelistete Server behandelt werden.
Wie Sie Ihren eigenen Record lesen
Sie brauchen kein Spezialwerkzeug, ein einfacher DNS-Abfragebefehl genügt:
dig TXT ihredomain.ch +short
Unter Windows funktioniert nslookup -type=TXT ihredomain.ch ebenso. Das Ergebnis kann mehrere TXT-Einträge zeigen – gesucht ist die Zeile, die mit v=spf1 beginnt. Prüfen Sie darin jeden include:, ob der jeweilige Dienst tatsächlich noch aktiv genutzt wird, und jede ip4:-Adresse, ob der dahinterliegende Server noch existiert.
Warum die meisten SPF-Fehler erst nach dem Einrichten entstehen
Die meisten SPF-Probleme entstehen nicht beim Einrichten, sondern beim Vergessen danach:
- Verwaiste
include:-Einträge. Ein Newsletter-Anbieter wird gewechselt, der alte Eintrag bleibt aber im Record stehen. - Das 10-Lookup-Limit. SPF erlaubt maximal 10 DNS-Abfragen pro Prüfung (jedes
include:zählt, teils mehrfach verschachtelt). Wird das überschritten, gilt der gesamte Record als ungültig – auch die korrekten Einträge werden dann ignoriert. +allstatt~alloder-all. Das erlaubt praktisch jedem Server, in Ihrem Namen zu senden – das Gegenteil von Schutz.- Zwei SPF-Records gleichzeitig. Pro Domain ist nur ein SPF-TXT-Eintrag zulässig; ein zweiter macht beide ungültig.
Ein konkretes Beispiel: Ein Treuhandbüro wechselt von einem lokalen Mailserver zu Microsoft 365, vergisst aber, den alten ip4:-Eintrag zu entfernen und den neuen include:spf.protection.outlook.com zu ergänzen. Ergebnis: Ausgehende Mails über Microsoft 365 werden bei manchen Empfängern als nicht autorisiert markiert, weil der SPF-Record noch den stillgelegten Server nennt und Microsoft fehlt.
Ein SPF-Record ohne DKIM und DMARC schützt nur die technische Versandroute – nicht die sichtbare Absenderadresse, die Ihre Kunden tatsächlich lesen.
Häufige Fragen
Reicht SPF allein als Schutz vor gefälschten Mails aus?
Nein. SPF prüft nur, ob der versendende Server autorisiert ist – nicht, ob die Nachricht unterwegs verändert wurde, und nicht, ob die im «From»-Feld sichtbare Adresse mit dem geprüften Server übereinstimmt. Dafür braucht es DKIM und DMARC zusätzlich.
Was ist der Unterschied zwischen `~all` und `-all`?
~all (Softfail) markiert nicht autorisierte Absender als verdächtig, viele Empfänger stellen die Mail trotzdem zu, meist im Spam-Ordner. -all (Hardfail) verlangt eine konsequente Ablehnung. Der Wechsel zu -all lohnt sich erst, wenn Sie sicher sind, dass alle legitimen Versandwege im Record erfasst sind.
Was passiert, wenn ich das 10-Lookup-Limit überschreite?
Der SPF-Record wird als permerror gewertet und von vielen Empfängern wie ein fehlender Record behandelt – der Schutz entfällt vollständig, obwohl der Eintrag vorhanden ist. Grössere Organisationen mit vielen Drittdiensten (CRM, Newsletter, Ticketsystem) stossen daran schneller, als man denkt.
Wie oft muss ich meinen SPF-Record pflegen?
Bei jedem Wechsel eines Mail- oder Versanddienstes – Hosting, Newsletter-Tool, CRM mit E-Mail-Funktion. Ein jährlicher Check reicht als Minimum, um verwaiste Einträge zu finden.