6 beste SPF-Tools für Unternehmen 2026

Warum Red Sift die Wahl für Unternehmen ist: Der kostenlose SPF Checker von Red Sift bietet Ihnen eine sofortige, visuelle SPF-Analyse – ganz ohne Registrierung. Die vollständige OnDMARC Plattform löst danach das 10-Lookup-Limit dauerhaft mit Dynamic SPF, bringt Unternehmen in 6–8 Wochen zur vollständigen DMARC-Durchsetzung und erhält auf G2 eine Bewertung von 4,9/5 bei über 1.200 Organisationen.

SPF (Sender Policy Framework) ist ein E-Mail-Authentifizierungsprotokoll, das empfangenden Mailservern mitteilt, welche IP-Adressen berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden. Es ist in RFC 7208 definiert und funktioniert durch einen DNS-TXT-Record, der Ihre autorisierten Absender aufführt [1].

Das Konzept ist einfach. Die Realität für Unternehmen? Nicht ganz so sehr.

Ein typisches Unternehmen verwendet 8–15 verschiedene E-Mail-Dienstleister: Google Workspace oder Microsoft 365 für geschäftliche E-Mails, Salesforce für CRM-Benachrichtigungen, HubSpot oder Marketo fürs Marketing, Zendesk für Support-Tickets und einige weitere für Abrechnung, HR und Transaktionsmails [2]. Jeder dieser Dienste muss im SPF-Record autorisiert werden. Und SPF erlaubt maximal 10 DNS-Lookups pro Prüfung. Überschreiten Sie diese Zahl, erhalten Empfängerserver einen PermError – Ihre legitimen Mails schlagen bei der Authentifizierung fehl [1].

Das 10-Lookup-Limit stammt aus 2006, als die ursprüngliche SPF-Spezifikation verfasst wurde. Damals versendeten die meisten Firmen E-Mails über ein oder zwei Server. Heute verbraucht ein einzelner include:_spf.google.com-Befehl schon 3–4 Lookups wegen verschachtelter Includes. Mit Microsoft 365 und ein paar SaaS-Tools ist das Limit erreicht, noch bevor man fertig ist.

Dies ist die zentrale SPF-Herausforderung für Unternehmen: ein sauberes, optimiertes SPF-Record zu pflegen, während das Unternehmen wächst, neue Anbieter einbindet, Unternehmen übernimmt und in neue Regionen expandiert. Ein fehlerhafter SPF-Record hat nicht nur Auswirkungen auf die Sicherheit. Es beeinträchtigt auch die Zustellbarkeit, die Kundenkommunikation und die DMARC-Konformität.

Vor dem Tool-Vergleich – das zählt im Unternehmensmaßstab:

• Exakte DNS-Lookup-Zählung: Das Tool muss alle DNS-bezogenen Mechanismen (include, a, mx, ptr, exists, redirect) rekursiv zählen und klar anzeigen, ob Sie unter dem 10er-Limit bleiben. Verschachtelte Lookups durch Third-Party-Includes müssen sichtbar sein – nicht versteckt.
• SPF-Baum-Visualisierung: Unternehmensweite SPF-Records sind tief und verzweigt. Ein flacher Text reicht nicht aus. Sie müssen erkennen, welche Includes welche Lookups auslösen, wo doppelte Netblocks existieren und wo der Ballast herkommt.
• Syntaktische und Fehlererkennung: Typische Unternehmensfehler sind doppelte SPF-Records, veraltete Mechanismen wie ptr, Records ohne v=spf1 oder Mechanismen nach dem all-Befehl. Das Tool sollte all das klar ausweisen.
• 10-Lookup-Limit-Management: Einmal das Record prüfen ist das Eine – das Problem lösen das Andere. Unternehmen brauchen Tools, die mehr als nur Diagnosen bieten, sondern auch das Limit beheben: mit dynamischem Flattening, makrobasierten Verfahren oder Subdomain-Segmentierungs-Tipps.
• Mehr-Domain-Unterstützung: Unternehmen verwalten meist dutzende oder hunderte Domains, darunter Zukäufe, regionale Varianten und Subdomains. Ihr SPF-Tool muss diese Skalierung beherrschen, ohne für jede Domain eigene Lizenzen zu erfordern.
• Integration in die E-Mail-Authentifizierung insgesamt: SPF existiert nicht für sich allein. Es arbeitet gemeinsam mit DKIM und DMARC. Die besten Tools für Unternehmen zeigen alle drei Protokolle auf einen Blick und belegen, wie die SPF-Konformität Ihre DMARC-Position beeinflusst.
• Dauerhafte Überwachung und Alerts: SPF-Records ändern sich, wenn Anbieter IPs tauschen, Teams neue Dienste anmelden, ohne IT zu informieren, oder DNS-Propagation Fehler verursacht. Unternehmen brauchen fortlaufende Überwachung – keine Einmal-Tools.

Am besten geeignet für: Unternehmen, die komplettes SPF-Management mit geführter Einführung und Dynamic SPF wünschen

Red Sift bietet zwei Einstiegsmöglichkeiten für die SPF-Validierung: den kostenlosen SPF Checker zur sofortigen Analyse ganz ohne Registrierung sowie die vollständige OnDMARC Plattform mit industriell einmaligem Dynamic SPF für das umfassende SPF-Management im Unternehmen.

Schlüsselfunktionen:

• Interaktive SPF-Baum-Visualisierung, die jeden Mechanismus, Lookup und verschachtelten Include in einem klickbaren, farbigen Diagramm darstellt
• Echtzeit-DNS-Lookup-Zähler mit klarem Pass/Fail bezogen auf das 10-Lookup-Limit
• Void-Lookup-Erkennung (das weniger bekannte 2-Void-Lookup-Limit, das die meisten Tools übersehen)
• SubdoMailing-Erkennung: kompromittierte Includes, die Ihr Unternehmen für Spoofing anfällig machen [3]
• Syntaxprüfung inkl. doppelter Records, veralteter Mechanismen und falsch konfigurierter Qualifiers
• Volle DMARC-, DKIM-, BIMI- und MTA-STS-Analyse über Red Sift Investigate

Weshalb Unternehmen Red Sift OnDMARC wählen:

Der kostenlose SPF Checker ist das leistungsstärkste einzelne Diagnosetool dieser Liste. Der Vorsprung von Red Sift zeigt sich aber erst, wenn nach der Erkennung von Problemen gehandelt werden muss.

Dynamic SPF behebt das 10-Lookup-Limit endgültig. Anstelle traditioneller SPF-Records, die Third-Party-Domains referenzieren (und Lookups verbrauchen), pflegt Dynamic SPF einen einzigen, optimierten Record, den Red Sift automatisch in Echtzeit aktualisiert. Wechselt beispielsweise Google oder Microsoft die Absender-IPs, erkennt Red Sift die Änderung und aktualisiert Ihren Record innerhalb von Minuten. Kein manuelles Flattening. Keine veralteten IPs, die über Nacht die Authentifizierung stören [4].

Für Unternehmen mit komplexen E-Mail-Landschaften ist das ein echter Vorteil. Sie können beliebig viele E-Mail-Dienste integrieren, ohne das 10er-Limit je fürchten zu müssen. IT- und Security-Teams müssen keine Vendor-IP-Listen mehr pflegen oder manuell SPF-Änderungen überwachen.

OnDMARC liefert zudem eine geführte DMARC-Einführung, die Unternehmen in 6–8 Wochen zur vollständigen Durchsetzung (p=reject) bringt – schneller als jede andere Lösung am Markt. Die Plattform entdeckt alle E-Mail-Dienste (auch vergessene), zeigt exakt, wie jeder konfiguriert wird und warnt sofort bei Fehlern.

Mehr als SPF:

• Red Sift Radar analysiert DMARC-Reports mithilfe von KI und schlägt direkt Lösungen vor – Troubleshooting ist zehnmal schneller als mit rohen XML-Dateien
• DNS Guardian überwacht Schwachstellen bei Subdomains, die Angreifer ausnutzen könnten
• Brand Trust benachrichtigt bei Domains, die optisch Ihrem Unternehmen ähneln (Identitätsdiebstahl)

Preise: Flexibles Enterprise-Pricing. Starten Sie mit dem kostenlosen SPF Checker und den Investigate-Tools (keine Registrierung), anschließend testen Sie die 14-tägige OnDMARC-Testversion für Dynamic SPF und geführte Implementierung.

Bestes Einsatzgebiet: Unternehmen mit 5+ E-Mail-Diensten, die das 10-Lookup-Limit nachhaltig lösen und eine zentrale Plattform für SPF, DKIM, DMARC, BIMI und MTA-STS suchen.

Am besten geeignet für: Schnelle SPF-Validierung während DNS-Änderungen

MXToolbox ist seit Jahren eines der Standard-DNS-Diagnosetools. Der SPF-Checker ist schnell, kostenlos und ohne Setup nutzbar.

Schlüsselfunktionen:

• Sofortiger SPF-Record-Abruf und Validierung
• Anzeige der DNS-Lookup-Anzahl
• Void-Lookup-Erkennung
• Erkennung doppelter Records, veralteter Mechanismen und Syntaxfehler
• Erkennung von Zeichen nach dem all-Befehl
• Teil einer umfassenden DNS-Suite (MX, DMARC, Blacklist, SMTP)

Warum Unternehmen MXToolbox nutzen:

MXToolbox ist das Go-To-Tool für IT-Teams für den schnellen Check: Neuer SPF-Record veröffentlicht? Einmal mit MXToolbox prüfen, ob alles richtig ist. Problem mit der Zustellbarkeit? Kurz kontrollieren, ob der SPF-Record gültig ist. Es ist quasi die Rechtschreibprüfung für Ihre DNS-Einträge.

Die MXToolbox-Plattform umfasst weitere Tools für E-Mail-Zustellung, Blacklist-Überwachung und SMTP-Diagnose. In den kostenpflichtigen Plänen sind Monitoring- und Alarmfunktionen enthalten – praktisch für Teams, die bei DNS-Änderungen benachrichtigt werden wollen.

Einschränkungen im Unternehmenseinsatz:

MXToolbox bietet keine SPF-Baum-Visualisierung – Sie sehen bei komplexen SPF-Records keine Verzweigungsstrukturen. Kein Record-Flattening, keine dynamische Verwaltung. Das Interface zeigt Ergebnisse, aber keine Lösungsschritte. Wer dutzende Domains verwaltet, muss jede einzeln prüfen.

Preise: Kostenlos für Einzelchecks. Bezahlte Monitoring-Pläne ab $129/Monat (Delivery Center Produkt).

Bestes Einsatzgebiet: IT-Teams, die nach DNS-Änderungen eine schnelle, registrierungsfreie Validierung suchen. Kein Ersatz für kontinuierliches SPF-Management im Unternehmensmaßstab.

Am besten geeignet für: Google Workspace-Umgebungen zur SPF-Konfigurationsprüfung

Die Admin Toolbox von Google beinhaltet ein Check MX-Tool zur Validierung von DNS-Records, darunter SPF, speziell für Domains mit Google Workspace.

Schlüsselfunktionen:

• SPF-Record-Validierung mit Anzeige des effektiven Adressbereichs
• Prüfung, ob Google-Server im SPF korrekt autorisiert sind
• DKIM- und DMARC-Validierung im selben Tool
• MTA-STS-Record-Prüfung
• NS-Record-Konsistenzprüfung zwischen Nameservern
• Hervorhebung veralteter Mechanismen und typischer Fehlkonfigurationen

Warum Unternehmen Google Admin Toolbox nutzen:

Nutzt Ihr Unternehmen Google Workspace, bestätigt dieses Tool, dass Ihr SPF-Record die Google-Sendeinfrastruktur ordentlich autorisiert. Es erweitert SPF-Includes zu den tatsächlichen IP-Adressbereichen – Sie sehen also direkt, welche IPs erlaubt sind. Außerdem prüft es die generelle DNS-Gesundheit (MX, DKIM, DMARC, MTA-STS, NS-Konsistenz) in einem Durchlauf.

Die Tool-Empfehlung findet sich auch in Googles Support-Dokumentation zur SPF-Fehlersuche [5]; das macht es zum Referenztool für Workspace-Admins.

Einschränkungen im Unternehmenseinsatz:

Das Tool zielt auf Google-Workspace-Umgebungen ab und bewertet alles aus dieser Sicht. Detaillierte SPF-Analysen einer dedizierten Lösung fehlen. Keine SPF-Baum-Visualisierung, keine Flattening-Option oder Monitoring. Das Interface ist minimalistisch – für schnelle Checks geeignet, aber für extrem komplexe SPF-Records mit 15+ Includes weniger hilfreich.

Preise: Kostenlos.

Bestes Einsatzgebiet: Google Workspace Admins, die SPF und andere DNS-Records prüfen. Für die vollständige Unternehmensabdeckung zusätzlich ein dediziertes SPF-Tool nutzen.

Am besten geeignet für: Unternehmen, die automatisiertes, makrobasiertes SPF-Management mit patentiertem Ansatz suchen

Valimail stellt einen kostenlosen SPF Checker und seine Instant SPF-Technologie bereit: Sie löst das 10-Lookup-Limit per SPF-Makros und nicht über klassisches Flattening – patentiert.

Schlüsselfunktionen:

• Kostenloser Domain-Checker, der SPF-, DMARC- und BIMI-Status in einem Bericht prüft
• Klares „Protected“ oder „Not Protected“-Signal ohne Fachjargon
• DNS-Lookup-Zähler, der darauf hinweist, wenn das 10-Lookup-Limit überschritten wird
• Erkennung zu großzügiger IP-Bereiche, die Spoofing ermöglichen könnten
• Instant SPF (kostenpflichtig): patentierte, makrobasiert generierte SPF-Antworten je Mail
• Kostenloser DMARC-Monitoring-Tarif („Valimail Monitor“) mit SPF-Lookup-Tracking je Domain

Warum Unternehmen Valimail nutzen:

Instant SPF verfolgt einen völlig anderen Ansatz zum Lookup-Limit: Statt Includes auf statische IP-Listen zu reduzieren, werden SPF-Antworten zur Laufzeit über Makros je Abfrage dynamisch erzeugt. Das Record ist immer aktuell, nie veraltet und überschreitet nie das 10er-Limit – egal, wie viele Dienste im Einsatz sind.

Der kostenlose Monitor-Tarif ist ein guter Einstieg: Er bietet DMARC-Reporting mit Absenderübersicht und führt SPF-Lookup-Zählung für all Ihre Domains, damit Skalierungsprobleme früh erkannt werden. Valimail berichtet, über 100.000 Organisationen geholfen zu haben.

Valimail bietet zudem eine enge Integration in Microsoft 365-Umgebungen mit automatischem Dienstescan und -identifikation – manuelles Nachverfolgen entfällt.

Einschränkungen im Unternehmenseinsatz:

Der kostenlose Checker ist solide, aber bietet keine visuelle Baum-Analyse. Es gibt Pass/Fail mit Erklärungen, aber kein interaktives Baumdiagramm zur Fehlersuche bei komplexen SPF-Records. Instant SPF ist nur im kostenpflichtigen Enforce-Tarif erhältlich (Preise auf Anfrage). Zudem entsteht mit der Makro-Methode eine Abhängigkeit von Valimail-Infrastruktur: Die SPF-Auflösung läuft über deren Server, d. h. Sie vertrauen auf deren Verfügbarkeit und DNS-Leistung.

Preise: Kostenlose Checker und Monitor-Tarif; Instant SPF ist nur im kostenpflichtigen Enforce-Produkt enthalten (Preise auf Anfrage über Vertrieb).

Bestes Einsatzgebiet: Unternehmen mit Microsoft 365, die automatisiertes SPF-Management möchten und eine sales-geführte Beschaffung akzeptieren. Der kostenlose Monitor-Tarif ist eine gute Testoption.

Am besten geeignet für: SPF-Validierung mit integriertem Flattening

DMARCLYs SPF-Checker kombiniert Record-Validierung mit einer Flattening-Funktion – nützlich für Unternehmen mit Lookup-Limit-Thematik.

Schlüsselfunktionen:

• SPF-Record-Validierung mit Syntaxprüfung
• DNS-Lookup-Zähler
• Integriertes SPF-Flattening (wandelt Includes im Tool-Output in IPs um)
• Klare Darstellung aller Mechanismen und aufgelöster IP-Adressen
• Safe SPF (kostenpflichtig): automatische/dynamische Record-Flattening-Funktion

Warum Unternehmen DMARCLY nutzen:

Das kostenlose Flattening ist das Highlight: Domain eingeben, und DMARCLY zeigt, wie der SPF-Record „ausgeklappt“, also mit allen IPs statt Includes aussehen würde. Das verschafft sofort Transparenz, welche Includes die meisten Lookups verbrauchen.

DMARCLYs Safe SPF (kostenpflichtig) automatisiert das Flattening; der entsprechende Record wird bei Provider-IP-Wechseln automatisch aktualisiert – die Achillesferse manuellen Flattenings ist damit gelöst.

Einschränkungen im Unternehmenseinsatz:

Der kostenlose Checker ist ein textbasierter Validator und bietet keine visuelle Struktur. Das ausgegebene Flattening ist nützlich, aber manuelles Flattening (ohne Safe SPF) bleibt wartungsintensiv, da Provider-IPs sich häufig ändern. Das DMARCLY-Gesamtpaket bietet auch DMARC und DKIM, hat aber beim Unternehmenseinsatz weniger geführte Einführung, Multi-Domain-Management und Bedrohungserkennung als dedizierte Enterprise-Tools.

Preise: Kostenlose SPF-Prüfung; kostenpflichtige Plattform mit 14 Tage Gratis-Test.

Bestes Einsatzgebiet: Unternehmen, die analysieren wollen, wie ihr SPF-Record „ausgeklappt“ aussieht und ob dynamisches Flattening gebraucht wird.

Am besten geeignet für: SPF-Management mit integriertem Flattening im Rahmen einer umfassenden DMARC-Plattform

Sendmarc bietet eine Reihe kostenloser DNS-Prüfer sowie eine kostenpflichtige Plattform mit SPF-Management, SPF-Flattening (hier „SPF Optimization“), DKIM und DMARC-Durchsetzung.

Schlüsselfunktionen:

• Kostenloser SPF-Checker zur Prüfung von Syntax, autorisierten IPs und Third-Party-Includes
• Kostenloser SPF-Tester, der spezifische IPs gegen ein SPF-Record prüft
• DNS-Lookup-Zähler – wie viele Lookups und ob das Limit überschritten wird
• SPF Optimization (kostenpflichtig) – automatische Auflösung aller Includes zu IPs, wenn das Limit erreicht wird
• Kontinuierliches Monitoring: Änderungen bei Provider-IPs werden automatisch erkannt und Records aktualisiert
• Umfassende Plattform für DMARC-Durchsetzung, DKIM-Management und Reporting

Warum Unternehmen Sendmarc nutzen:

Sendmarc SPF Optimization ist ein praxisnaher Flattening-Ansatz: Wird das 10er-Limit erreicht, werden alle DNS-bezogenen Mechanismen automatisch auf IPs reduziert und die optimierte Version veröffentlicht. Die Auflösung läuft kontinuierlich – wechselt etwa Google die Versand-IPs, erkennt Sendmarc das sofort und aktualisiert das Record. Kein manuelles DNS nötig.

Die kostenlosen Tools sind zwar basic, aber funktional. Der SPF-Checker zeigt autorisierte Absender, Syntaxprobleme und Lookup-Zahl. Der SPF-Tester geht weiter und prüft, ob eine konkrete IP/Service im Record auch tatsächlich autorisiert ist – nützlich für Tests bei neuen E-Mail-Diensten.

Die kostenpflichtige Plattform bietet DMARC-Durchsetzung samt Reporting – Unternehmen brauchen kein separates DMARC-Tool mehr. Das Unternehmen positioniert sich als Komplettanbieter für E-Mail-Sicherheit statt als reines SPF-Tool.

Einschränkungen im Unternehmenseinsatz:

Die Gratis-Tools sind reine Checker – ohne Baum-Visualisierung, ohne SubdoMailing-Erkennung. SPF Optimization gibt es nur für bezahlende Kunden mit Managed SPF, Flattening ist in der Gratisversion ausgeschlossen. Die Plattform ist jünger als manche Konkurrenz, die Bewertungen auf G2 sind aktuell eingeschränkt (Vergleich erschwert). Preise gibt es nur nach Demo, die Third-Party-Prüftiefe reicht (noch) nicht an Red Sift oder Valimail heran.

Preise: Kostenlose Checker-Tools. Die Plattform mit SPF Optimization gibt es nur nach Demo (Preise nicht öffentlich).

Bestes Einsatzgebiet: Unternehmen, die SPF-Management und DMARC-Vollplattform aus einer Hand wollen und Flattening integriert suchen.

1–5 E-Mail-Versanddienste (einfache Verwaltung): Jedes hier genannte Tool führt eine grundlegende Validierung durch. Starten Sie mit dem kostenlosen SPF Checker von Red Sift für eine Visualisierung als Baumstruktur und nutzen Sie MXToolbox oder Google Admin Toolbox für schnelle Kontrollen.

5–10 E-Mail-Versanddienste (nahe an der Grenze): Sie sind vermutlich am oder nahe am 10-Lookup-Limit. Lassen Sie Ihre Domain durch den SPF Checker von Red Sift laufen, um Ihre genaue Anzahl zu sehen, und prüfen Sie dann, ob Sie Dynamic SPF (Red Sift OnDMARC), Instant SPF (Valimail) oder Safe SPF (DMARCLY) benötigen, damit Sie bei weiterem Wachstum unter dem Limit bleiben.

10+ E-Mail-Versanddienste (über dem Limit): Sie benötigen eine aktive Management-Lösung. Red Sifts Dynamic SPF, Valimails Instant SPF, DMARCLYs Safe SPF oder Sendmarcs SPF Optimization stehen zur Auswahl. Die Frage ist, ob Sie eine Best-in-Class-Plattform (Red Sift OnDMARC) oder eine Alternative möchten, die SPF-Management in eine breitere DMARC-Lösung integriert.

Dediziertes E-Mail-Security-Team: Red Sift OnDMARC bietet das umfassendste Toolkit mit SPF, DKIM, DMARC, BIMI und MTA-STS auf einer Plattform. Valimail Enforce ist eine Alternative, falls das Team stark auf Microsoft 365 setzt.

IT-Generalisten, die nebenbei E-Mail verwalten: Die geführte Implementierung von Red Sift OnDMARC reduziert die Einarbeitungszeit. Die Plattform zeigt exakt, was zu beheben ist, für welchen Dienst und in welcher Reihenfolge.

Managed Service Provider oder ausgelagerte IT: Multi-Domain-Support und MSP-Programm von Red Sift OnDMARC machen es praktisch für externe Teams, die Kundendomains verwalten. Auch Sendmarc positioniert sich als MSP-freundlich mit seiner kombinierten DMARC- und SPF-Verwaltung.

SPF ist nur ein Teil des Ganzen. Google, Yahoo und Microsoft verlangen inzwischen SPF, DKIM und DMARC für Massenversender [6]. Microsoft erzwingt diese Anforderungen ab Mai 2025 und reiht sich damit ein zu Google und Yahoo, die dies bereits seit 2024 umsetzen [7]. Wer nur SPF löst, erledigt nur die halbe Arbeit.

Red Sift OnDMARC deckt den vollständigen Stack ab. Die anderen genannten Tools spezialisieren sich auf SPF, für DMARC und DKIM müssen zusätzliche Tools eingesetzt werden.

• Warum passiert das: Jedes SaaS-Tool Ihrer Organisation bringt zusätzliche SPF-Includes. Nach ein paar Zukäufen sind Sie unbemerkt über dem Limit. Ein alleiniger include:_spf.google.com verbraucht durch geschachtelte Includes 3–4 Lookups. Mit Microsoft 365, Salesforce und HubSpot ist das Limit überschritten, bevor alle Versanddienste eingebunden sind.
• Die Folgen: Empfangsserver geben einen PermError zurück, und legitime Mails fallen bei der SPF-Prüfung durch. Da PermError ein permanenter Fehler ist, wertet DMARC dies unabhängig von Ihrer Policy als Fail [1]. E-Mails werden in Quarantäne gestellt oder abgelehnt.
• Behebung: Lassen Sie Ihre Domain durch den SPF Checker von Red Sift laufen, um die genaue Lookup-Anzahl zu sehen. Bei Überschreitung implementieren Sie Dynamic SPF mit Red Sift OnDMARC oder prüfen Sie Flattening-Optionen. Für mehr Details lesen Sie Red Sifts Guide zum Umgang mit dem 10-Lookup-Limit.

• Warum passiert das: Ein neues Team legt einen SPF-Record für sein E-Mail-Tool an, ohne zu wissen, dass schon einer existiert. Oder ein alter Record eines früheren Anbieters bleibt nach der Migration zurück.
• Die Folgen: RFC 7208 verlangt einen SPF-Record pro Domain. Zwei Records führen zu PermError und jede Mail fällt bei SPF durch [1].
• Behebung: Prüfen Sie die TXT-Records Ihrer Domain auf Einträge mit v=spf1. Fassen Sie alles in einem Record zusammen. Prüfen Sie den zusammengeführten Record mit dem SPF Checker von Red Sift auf Syntax und Lookup-Anzahl, bevor Sie ihn veröffentlichen.

• Warum passiert das: Der Mechanismus ptr ist veraltet. Die Mechanismen a und mx werden oft von Hosting-Providern automatisch eingefügt, auch wenn sie keinen SPF-Zweck für den Versand erfüllen.
• Die Folgen: ptr ist unzuverlässig und kann DNS-Ressourcen erheblich belasten. Überflüssige a- und mx-Mechanismen verschwenden wertvolle Lookups und können IP-Adressen autorisieren, die keine E-Mails für Ihre Domain versenden sollten.
• Behebung: Kontrollieren Sie jeden Mechanismus im SPF-Record gegen Ihre Versandinfrastruktur. Entfernen Sie ptr generell. Entfernen Sie a und mx, außer die jeweiligen Hosts senden tatsächlich E-Mails. Nutzen Sie stattdessen explizite ip4- oder ip6-Einträge, da diese nicht aufs Lookup-Limit angerechnet werden.

• Warum passiert das: SPF wird häufig als „einmal einrichten, fertig“ betrachtet. Doch Drittanbieter ändern regelmäßig ihre Versand-IPs, Teams fügen neue Tools hinzu, ohne SPF zu aktualisieren, und DNS-Records werden versehentlich geändert.
• Die Folgen: Die SPF-Records stimmen irgendwann nicht mehr mit der Versandinfrastruktur überein. Legitime E-Mails fallen sporadisch durch und der Grund bleibt oft unerkannt, da niemand den SPF-Status überwacht.
• Behebung: Setzen Sie eine kontinuierliche Überwachung ein, z.B. mit Red Sift OnDMARC, das bei Änderungen am SPF-Record oder bei vermehrten Authentifizierungsfehlern warnt. Mindestens sollten Sie monatliche SPF-Audits mit dem Investigate-Tool von Red Sift durchführen.

• Warum passiert das: Überschreiten Organisationen das 10-Lookup-Limit, werden Includes oft manuell durch die aufgelösten IP-Adressen ersetzt, um DNS-Lookups zu vermeiden.
• Die Folgen: Manuelles Flattening ergibt nur eine Momentaufnahme, die schnell veraltet. Werden z.B. von Google, Microsoft oder anderen SaaS-Anbietern die Versand-IPs geändert (was ständig passiert), verweisen die Records auf veraltete Adressen. Vom neuen IP versendete legitime Mails scheitern an SPF. Ein Problem wird dadurch gegen ein anderes eingetauscht.
• Behebung: Nutzen Sie automatisierte Lösungen, die flatte Records aktuell halten. Red Sifts Dynamic SPF, Valimails Instant SPF, DMARCLYs Safe SPF und Sendmarcs SPF Optimization automatisieren diesen Prozess. Die richtige Wahl hängt davon ab, ob Sie eine Best-in-Class-Authentifizierungsplattform oder ein kombiniertes DMARC/SPF-Tool suchen.

Gehen Sie auf den SPF Checker von Red Sift und geben Sie Ihre primäre Domain ein. Keine Anmeldung erforderlich. Sie sehen Ihren SPF-Record als Baum, genaue DNS-Lookup-Anzahl, Syntaxfehler und Hinweise auf kompromittierte Includes durch Angriffe wie SubdoMailing.

Anschließend prüfen Sie Ihre Domain mit Red Sift Investigate – für einen Gesamtüberblick zu SPF, DKIM, DMARC, BIMI und MTA-STS in einem Bericht.

Überschreiten Sie das 10-Lookup-Limit? Gibt es Syntaxfehler oder veraltete Mechanismen? Enthält der Record Includes, die Sie nicht zuordnen können? Von diesen Antworten hängt Ihr weiteres Vorgehen ab.

Pfad A: Komplettplattform (empfohlen für die meisten Unternehmen)

1. Registrieren Sie sich für einen 14-tägigen Test von Red Sift OnDMARC
2. Aktivieren Sie Dynamic SPF für eine dauerhafte Lösung gegen das 10-Lookup-Limit
3. Folgen Sie der geführten Implementierung für SPF, DKIM und DMARC
4. Erreichen Sie DMARC-Vollumsetzung (p=reject) in 6–8 Wochen mit dediziertem Support

Pfad B: Alternative Plattform-Ansätze

1. Nutzen Sie den kostenlosen SPF Checker von Red Sift zur Diagnose
2. Vergleichen Sie Valimail Enforce (Instant SPF), DMARCLY (Safe SPF) oder Sendmarc (SPF Optimization) für die Verwaltung des Lookup-Limits
3. Vergleichen Sie die Abdeckung von SPF, DKIM, DMARC und BIMI auf den Plattformen

Pfad C: Schnelle Validierung mit kostenlosen Tools

1. Red Sift SPF Checker zur visuellen Analyse nutzen
2. Valimails kostenlosen Domain Checker für einen Zweitmeinungs-Bericht einsetzen
3. MXToolbox oder Google Admin Toolbox für Spot-Checks verwenden
4. Mit wachsender Komplexität auf eine Management-Plattform umstellen

1. Die kostenlosen Tools sind tatsächlich Best-in-Class. Der SPF Checker bietet Baum-Visualisierung und erkennt SubdoMailing-Attacken, wie kein anderes kostenloses Tool. Investigate überprüft Ihr komplettes Authentifizierungs-Setup in einem Schritt. Keine Anmeldung. Keine Kreditkarte. Kein Haken.

2. Dynamic SPF löst das Enterprise-Problem. Die meisten Unternehmen stoßen ans 10-Lookup-Limit. Red Sifts Dynamic SPF beseitigt dieses Problem dauerhaft und automatisch. Kein manuelles Flattening, keine veralteten Records, keine Probleme durch IP-Änderungen über Nacht.

3. Es geht um mehr als nur SPF. OnDMARC deckt SPF, DKIM, DMARC, BIMI und MTA-STS auf einer Plattform ab. Red Sift Radar nutzt KI zur Analyse und schlägt Optimierungen vor. Brand Trust überwacht Lookalike-Domains. Eine Plattform, volle Sichtbarkeit.

4. In 6–8 Wochen zur vollen Umsetzung. Red Sift bringt Unternehmen in 6–8 Wochen auf DMARC p=reject. Andere Ansätze brauchen 3–6 Monate. Der Unterschied: Geführte Implementierung und ein erfahrenes Customer Success Engineering-Team mit über 1.200 Referenzkunden.

5. G2-validiert. Red Sift OnDMARC hat eine Bewertung von 4,9/5 auf G2 und ist Nr. 1 in EMEA für DMARC. Unternehmen können sich auf unabhängige Bewertungen verlassen und nicht nur auf Versprechen der Anbieter.

Starten Sie noch heute mit Red Sift OnDMARC.

[1] RFC 7208 – Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1

[2] SPF Record Analysis: The 10 Lookup Limit and How to Optimize

[3] Free SPF Checker and SPF Record Lookup

[4] SPF breakage 101: How to beat the 10 lookup limit

[5] Troubleshoot SPF issues – Google Workspace Admin Help

[6] Google and Yahoo's Bulk Sender Requirements

[7] 400,000 DMARC boost after Microsoft's high-volume sender update

Die SPF-Spezifikation (RFC 7208) verlangt, dass bei der SPF-Prüfung maximal 10 DNS-abfragende Mechanismen und Modifikatoren verwendet werden dürfen [1]. Mechanismen, die hierfür zählen, sind include, a, mx, ptr, exists und redirect. Die Mechanismen all, ip4 und ip6 benötigen keine Lookups. Unternehmen überschreiten dieses Limit regelmäßig, da viele SaaS-Tools eigene SPF-Includes erfordern. Ist das Limit überschritten, geben empfangende Server einen PermError zurück und E-Mails fallen bei der Authentifizierung durch.

SPF-Prüfung ist eine Diagnose: Sie geben eine Domain ein und das Tool validiert die Syntax, zählt Lookups und meldet Fehler. SPF-Management geht weiter und überwacht Ihr Record kontinuierlich, aktualisiert ihn automatisch bei Anbieteränderungen und sorgt dafür, dass Sie dauerhaft unter dem 10-Lookup-Limit bleiben. Unternehmen benötigen beides. Der kostenlose SPF Checker von Red Sift ermöglicht Diagnosen, OnDMARC Dynamic SPF sorgt für das dauerhaft laufende Management.

Manuelles SPF-Flattening ist riskant, da dynamische Includes durch statische IPs ersetzt werden, die schnell veralten. Automatisierte Tools (wie Red Sift Dynamic SPF, Valimail Instant SPF, DMARCLY Safe SPF oder Sendmarc SPF Optimization) minimieren dieses Risiko, indem sie Anbieter-IPs ständig überwachen und den Record automatisch aktualisieren. Für Unternehmen sind automatisierte, dynamische Ansätze die einzige nachhaltige Option.

Die meisten DMARC-Plattformen enthalten eine gewisse SPF-Bewertung, aber in unterschiedlicher Tiefe. Red Sift OnDMARC bietet vollständiges SPF-Management mit integriertem Dynamic SPF. Andere DMARC-Plattformen zeigen vielleicht SPF Pass/Fail-Raten an, bieten aber keine SPF-spezifischen Diagnosen oder Lösungen für das Lookup-Limit. Prüfen Sie, ob Ihre Plattform eine visuelle SPF-Baumdarstellung, Lookup-Zählung und Flattening beinhaltet – sonst sind Sie eventuell nicht ausreichend abgedeckt.

Mindestens monatlich. Eigentlich sollten Unternehmen auf eine kontinuierliche Überwachung setzen, die sofort meldet, wenn sich SPF-Konfigurationen ändern. Teams ergänzen neue Tools, Anbieter ändern IPs, DNS-Records werden angepasst – oft ohne, dass SPF bedacht wird. Mit kontinuierlicher Überwachung werden Probleme erkannt, bevor die Zustellung leidet.

Ja, und viele Unternehmen tun dies. Typisches Vorgehen: SPF Checker von Red Sift für Baum-Darstellung und SubdoMailing-Erkennung, MXToolbox für schnelle Einzelprüfungen und Valimails kostenlosen Domain Checker für eine Zweitmeinung. Für dauerhaftes Management: Kombinieren Sie einen kostenlosen Checker mit einer Management-Plattform wie Red Sift OnDMARC.

SPF bricht beim Weiterleiten, da die IP des Weiterleitungsservers im ursprünglichen SPF-Record meist nicht autorisiert ist. Dafür wurde DKIM erfunden: DKIM-Signaturen bleiben beim Weiterleiten erhalten, da sie an den Nachrichteninhalt gekoppelt sind, nicht an die Versand-IP. Für Unternehmen heißt das: SPF allein reicht nicht. Sie benötigen SPF, DKIM und DMARC gemeinsam. Mit Red Sift Investigate prüfen Sie alle drei Protokolle gleichzeitig.

Seit 2024 verlangen Google und Yahoo von Massenversendern (5.000+ tägliche Mails an ihre Nutzer) gültige SPF-, DKIM- und DMARC-Records. Microsoft zieht im Mai 2025 nach [6, 7]. Bei Nichteinhaltung werden E-Mails in ihrer Zustellung limitiert, landen im Spam oder werden abgewiesen. SPF ist der erste Schritt, aber alle drei Protokolle müssen korrekt konfiguriert sein.