Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

SPF - Sender Policy Framework

SPF ist ein DNS-basiertes E-Mail-Authentifizierungsprotokoll, das festlegt, welche Mailserver E-Mails im Namen einer Domain versenden dürfen, und damit E-Mail-Spoofing verhindert.

Inhaltsverzeichnis (5 Abschnitte)

SPF (Sender Policy Framework) ist ein DNS-TXT-Eintrag, der autorisierte Mailserver für eine Domain auflistet. Empfangende Mailserver prüfen, ob eine eingehende E-Mail von einem in diesem Eintrag aufgeführten Server gesendet wurde - und können sie andernfalls ablehnen oder als Spam markieren.

SPF ist einer der drei Bausteine der E-Mail-Authentifizierung. Die anderen beiden sind DKIM (kryptografische Signatur) und DMARC (Policy und Reporting). Alle drei gemeinsam sind nötig für vollständigen E-Mail-Schutz.

Wie SPF funktioniert

  1. Absender sendet E-Mail von info@beispiel.de über Server 203.0.113.10
  2. Empfangendes Mailsystem fragt DNS nach TXT beispiel.de
  3. SPF-Eintrag lautet: v=spf1 ip4:203.0.113.0/24 -all
  4. IP 203.0.113.10 liegt im erlaubten Bereich → SPF pass
  5. Liegt sie nicht im erlaubten Bereich → SPF fail

Wichtig: SPF prüft die Envelope-From-Adresse (technischer SMTP-MAIL FROM), nicht den sichtbaren From:-Header in der E-Mail. Ein Angreifer kann SPF bestehen und trotzdem einen falschen From:-Header zeigen - deshalb ist DMARC (Alignment-Check) zwingend nötig.

SPF-Record-Syntax

v=spf1 [mechanisms] [modifier]

Mechanismen

MechanismusBedeutung
ip4:203.0.113.0/24IPv4-Adresse oder -Bereich
ip6:2001:db8::/32IPv6-Adresse oder -Bereich
include:_spf.google.comEinbindung des SPF-Records einer anderen Domain
aDer A-Record der eigenen Domain
mxAlle MX-Records der Domain
allPasst auf alle nicht zuvor gematchten Quellen

Qualifier (vor dem Mechanismus)

QualifierBedeutungEmpfehlung
+ (default)Pass - Quelle ist autorisiertFür erlaubte Quellen
-Fail (Hardfail) - Quelle ist nicht autorisiert, AblehnungFür all am Ende
~Softfail - nicht autorisiert, aber nicht strikt ablehnenNur übergangsweise
?Neutral - keine AussageVermeiden

Empfohlenes Muster:

v=spf1 include:_spf.google.com ip4:203.0.113.0/24 -all

Das 10-DNS-Lookup-Limit

SPF erlaubt maximal 10 DNS-Lookups pro SPF-Prüfung. Jeder include:, a, mx-Mechanismus kostet einen Lookup. Bei vielen Cloud-Diensten (Google Workspace, Microsoft 365, Salesforce, HubSpot, Zendesk...) wird das Limit schnell erreicht - und SPF bricht mit PermerError ab, was zu Zustellproblemen führt.

Lösung: SPF-Flattening (Auflösung aller Includes in direkte IP-Adressen) oder Verwendung von SPF-Makros. Regelmäßige Überprüfung mit Tools wie MXToolbox oder dmarcian.

Häufige SPF-Fehler

Fehlender -all am Ende: Ohne abschließenden Qualifier ist jeder Server implizit neutral - der SPF-Eintrag schützt nicht.

~all statt -all: Softfail bedeutet, dass Empfänger die E-Mail trotzdem zustellen (wenn auch mit Spam-Markierung). Nur für die Übergangsphase sinnvoll.

Unbekannte Mailquellen vergessen: Marketing-Automation, CRM, ERP, Ticketsysteme - alle versenden E-Mails im Firmennamen und müssen im SPF-Record stehen.

Subdomains: SPF-Records gelten nicht automatisch für Subdomains. mail.beispiel.de braucht einen eigenen SPF-Record.

SPF im Zusammenspiel mit DMARC

SPF allein reicht nicht aus, weil:

  1. SPF prüft die Envelope-From, nicht den sichtbaren From-Header
  2. Bei E-Mail-Weiterleitungen (z.B. Alumni-Adressen) schlägt SPF oft fehl

DMARC löst beides: Es fordert SPF-Alignment (Envelope-From und From-Header müssen zur gleichen Domain gehören) und legt fest, was bei Scheitern des Alignments passieren soll.

Empfohlener Implementierungspfad:

  1. SPF mit -all einrichten
  2. DKIM für alle Mailquellen aktivieren
  3. DMARC mit p=none einschalten und Reports sammeln
  4. DMARC schrittweise zu p=quarantinep=reject verschärfen

Weiterführende Informationen: DMARC Wiki-Artikel | DKIM Wiki-Artikel

Quellen & Referenzen

  1. [1] RFC 7208 - Sender Policy Framework (SPF) - IETF
  2. [2] Google - SPF-Eintrag einrichten - Google

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 03.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de