Ein SPF-Record (Sender Policy Framework) ist ein TXT-Eintrag im DNS, der festlegt, welche Server berechtigt sind, E-Mails im Namen einer Domain zu versenden. Empfangende Mailserver prüfen diesen Eintrag, um gefälschte Absenderadressen zu erkennen und Spoofing zu verhindern.
Ohne SPF-Record kann jeder beliebige Server behaupten, E-Mails von Ihrer Domain zu versenden. Das ermöglicht Phishing, Spam und schädigt die Zustellbarkeit legitimer E-Mails.
Mit einem korrekten SPF-Eintrag prüfen empfangende Mailserver, ob die absendende IP-Adresse autorisiert ist. Das verbessert die Vertrauenswürdigkeit und Zustellrate Ihrer E-Mails. SPF ist neben DKIM und DMARC einer der drei Bausteine der E-Mail-Authentifizierung.
Auch große E-Mail-Anbieter setzen SPF voraus: Google verlangt seit Februar 2024 für den Empfang bei Gmail-Adressen mindestens einen gültigen SPF- oder DKIM-Eintrag. Wer mehr als 5.000 E-Mails pro Tag versendet, benötigt zusätzlich DMARC. Ohne diese Einträge werden E-Mails an Gmail-Empfänger zunehmend abgelehnt.
Ein SPF-Record ist ein DNS-TXT-Eintrag mit einer definierten Syntax. Mit einem SPF-Record-Generator lässt sich dieser Eintrag schnell und fehlerfrei erstellen.
example.com. TXT "v=spf1 ip4:192.0.2.10 include:mail.provider.de -all"Dieser Eintrag bedeutet: Nur die IP-Adresse 192.0.2.10 und Server im SPF-Eintrag von mail.provider.de dürfen E-Mails für example.com versenden. Alle anderen werden abgelehnt (-all).
Jeder SPF-Record beginnt mit der Versionsangabe und endet mit einer Abschlussregel.
v=spf1: Version des SPF-Protokolls (immer erforderlich)ip4 / ip6: Zulässige IP-Adresseninclude: Einbindung anderer Domains (z.B. externer Maildienstleister)a: Erlaubt den Server, auf den der A-Record der Domain zeigtmx: Erlaubt alle Server, die als MX-Record eingetragen sindall: Abschlussregel — definiert den Umgang mit nicht autorisierten ServernDie Abschlussregel bestimmt, wie empfangende Server mit E-Mails von nicht autorisierten Quellen umgehen.
-all: Harte Ablehnung — nicht autorisierte Server werden abgewiesen~all: Weiche Ablehnung — wird als verdächtig behandelt, aber zugestellt?all: Neutral — keine Bewertung, SPF hat keinen EinflussEmpfehlung: -all verwenden, wenn alle legitimen Versandserver im SPF-Record erfasst sind.
Ein fehlerhafter SPF-Eintrag kann dazu führen, dass legitime E-Mails im Spam landen oder abgewiesen werden.
include einbindenSPF allein reicht nicht aus. Zusammen mit DKIM und DMARC bildet es eine umfassende E-Mail-Authentifizierung.
Für maximale Sicherheit sollten alle drei Verfahren gemeinsam eingerichtet werden.
Ein SPF-Record ist ein grundlegender Schutzmechanismus gegen E-Mail-Spoofing. Er legt per DNS-TXT-Eintrag fest, welche Server E-Mails für eine Domain versenden dürfen. Die Einrichtung erfordert einen korrekt konfigurierten DNS-Eintrag — ein SPF-Record-Generator erstellt diesen in wenigen Schritten. SPF sollte immer zusammen mit DKIM und DMARC eingesetzt werden.
Die bereitgestellten Informationen dienen ausschließlich der allgemeinen Orientierung. Für Richtigkeit, Vollständigkeit und Aktualität wird keine Gewähr übernommen. Die Inhalte sind nicht rechtsverbindlich und nicht Bestandteil einer Leistungsbeschreibung.