Die 6 besten SPF-Tools für mittelständische Unternehmen 2026

Executive Summary: Mittelständische Unternehmen betreiben durchschnittlich 5–10 E-Mail-Versanddienste, während SPF maximal 10 DNS-Lookups pro Überprüfung erlaubt. Diese Rechnung geht auf Dauer nicht auf. Bereits ein einzelnes Google Workspace verbraucht 3–4 Lookups. Kombinieren Sie das mit Microsoft 365, einem CRM und einer Marketingplattform, sind Sie schon vor dem vollständigen Onboarding am Limit.

Dieser Leitfaden vergleicht 6 SPF-Tools, die gezielt für mittelgroße Teams entwickelt wurden, die das 10-Lookup-Limit lösen, fehlerhafte Records beheben und DMARC-Enforcement erreichen möchten – und das ohne Enterprise-Budget oder dedizierten E-Mail-Security-Experten. Wir bewerten jedes Tool hinsichtlich diagnostischer Tiefe, dynamischem SPF-Management, geführter Implementierung, Preistransparenz und Plattformvielfalt.

Wichtige Erkenntnisse:

• Die meisten mittelständischen Unternehmen sind bereits am oder nahe am SPF-10-Lookup-Limit. Wenn Sie es nicht vor Kurzem überprüft haben, sind Sie wahrscheinlich näher dran als Sie denken. Machen Sie einen kostenlosen Check mit Red Sift's SPF Checker und finden Sie es in weniger als einer Minute heraus.
• Manuelles SPF-Flattening ist eine Falle. Es scheint eine schnelle Lösung zu sein, aber durch IP-Rotationen der Anbieter werden statische Records schnell veraltet. Automatisierte, dynamische Lösungen (Red Sift Dynamic SPF, EasyDMARC EasySPF, Valimail Instant SPF, Sendmarc SPF Optimization) sind der einzige langfristige Weg.
• SPF allein reicht nicht aus. Google, Yahoo und Microsoft verlangen mittlerweile SPF, DKIM und DMARC für Massenversender. Wählen Sie eine Plattform, die die vollständige Authentifizierungs-Stack abdeckt, damit Sie nicht drei verschiedene Tools anschaffen müssen.
• Red Sift OnDMARC ist die stärkste All-in-One-Lösung für mittelgroße Teams: SPF, DKIM, DMARC, BIMI und MTA-STS samt geführter Implementierung und 4,8/5 G2-Bewertung. EasyDMARC ist eine hervorragende Alternative, falls veröffentlichte Preise und aktive Onboarding-Unterstützung für Sie im Vordergrund stehen.
• Shadow IT ist das größte SPF-Risiko für mittelständische Betriebe. Teams nutzen SaaS-Tools, die E-Mails versenden, ohne die IT zu informieren – und mit jedem kommt ein SPF-Include, das Ihr 10-Lookup-Budget aufzehrt. Etablieren Sie einen einfachen Aufnahmeprozess, bevor Ihr Record unübersichtlich wird.

SPF (Sender Policy Framework) ist ein E-Mail-Authentifizierungsprotokoll, das Empfangsservern mitteilt, welche IP-Adressen berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden. Es ist im RFC 7208 definiert und funktioniert durch Veröffentlichung eines DNS-TXT-Records mit den autorisierten Absendern [1].

Das Wichtigste bei mittelständischen Unternehmen: Sie haben die Komplexität eines Großunternehmens, aber nicht dessen Ressourcen.

Eine typische mittelständische Organisation (100–1.000 Mitarbeitende) nutzt im Schnitt 335 SaaS-Anwendungen [2]. Nicht alle versenden E-Mails, aber überraschend viele tun es. Google Workspace oder Microsoft 365 fürs Unternehmen. HubSpot oder Marketo für Marketing. Salesforce für CRM-Benachrichtigungen. Zendesk oder Freshdesk für Support-Tickets. Hinzu kommen Abrechnung, HR-Benachrichtigungen und Transaktionsmails – die meisten mittelständischen Unternehmen betreiben 5–10 verschiedene E-Mail-Dienste.

Das ist relevant, weil SPF maximal 10 DNS-Lookups pro Prüfung erlaubt [1]. Überschreiten Sie diese Zahl, erhält der Empfangsserver einen PermError – Ihre legitimen E-Mails bestehen dann die Authentifizierung nicht. Ein einzelnes include:_spf.google.com schlägt schon mit 3–4 Lookups zu Buche, da es verschachtelte Includes gibt. Kombinieren Sie Microsoft 365 und ein paar Marketing-Tools dazu, sind Sie bereits am Limit, bevor Sie mit dem Setup fertig sind.

Genau das ist die große SPF-Herausforderung für Mittelständler. Sie sind komplex genug, um das 10-Lookup-Limit zu erreichen, haben aber meist kein dediziertes E-Mail-Security-Team dafür. Ihr IT-Team jongliert mit 20 weiteren Prioritäten. Und ein fehlerhafter SPF-Record betrifft nicht nur die Sicherheit – auch Zustellbarkeit, Kundenkommunikation und DMARC-Alignment sind betroffen.

Die Risiken sind real: Sechs von zehn mittelgroßen Unternehmen in Großbritannien wurden bereits Opfer von Betrug – mit durchschnittlichen Schäden von 245.000 £ [3]. Fast 70 % der durch Phishing verursachten Datenschutzverletzungen zielen inzwischen auf kleine und mittelgroße Unternehmen [4]. Und da Google, Yahoo und Microsoft SPF, DKIM und DMARC nun für Bulk-Versender fordern [5, 6], bleibt SPF kein Nice-to-have mehr.

Enterprise-Buying-Guides schwärmen von Features, die Sie (noch) nicht brauchen, und Preise, die dem CFO Kopfschmerzen bereiten. Doch hierauf kommt es wirklich an, wenn Ihr Unternehmen mittelgroß ist:

• Genaues DNS-Lookup-Counting. Das Tool muss rekursiv alle DNS-abfragenden Mechanismen (include, a, mx, ptr, exists, redirect) zählen und anzeigen, ob Sie im 10-Lookup-Limit bleiben. Verschachtelte Lookups aus Drittanbieter-Includes sollten sichtbar, nicht versteckt sein. Das ist die Mindestanforderung für jedes SPF-Tool.
• 10-Lookup-Limit-Management. Das Prüfen Ihres SPF-Records ist das eine. Ihn zu reparieren, das andere. Mittelständische Unternehmen brauchen Tools, die nicht nur Diagnosen stellen, sondern das Lookup-Limit mit dynamischem Flattening, Makro-basierter Verwaltung oder Subdomain-Segmentierung aktiv lösen. Bei 8 Lookups heute sind es nach der nächsten SaaS-Beschaffung rasch 12.
• Schneller Mehrwert. Sie können sich weder drei Monate noch ein Projektteam für die Einführung leisten. Die besten SPF-Tools für Mittelständler bringen Sie in Tagen oder Wochen, nicht erst nach Quartalen, zur optimierten Lösung.
• Geführtes Setup und klare Anleitungen. Ihr Generalist in der IT muss verstehen, was kaputt ist – und wie man es behebt. Tools, die ungefilterte DNS-Ausgaben liefern, helfen im hektischen Alltag nicht, wenn Sie nebenbei noch 47 andere Themen stemmen.
• Angemessene Preise und Transparenz. Mittelstandsbudgets sind begrenzt. Tools mit veröffentlichten Preisen oder Self-Service-Trials ermöglichen die Evaluation, bevor Sie mit dem Vertrieb telefonieren. Und Preise pro Domain sind entscheidend, wenn Sie 5–20 Domains verwalten – nicht hunderte.
• Integration mit weiterer E-Mail-Authentifizierung. SPF steht nicht allein, sondern wirkt mit DKIM und DMARC zusammen. Die besten Tools zeigen alle drei Protokolle sowie deren Zusammenspiel mit Ihrer DMARC-Policy. Drei Einzeltools für verwandte Protokolle zu kaufen, ist Zeit- und Geldverschwendung.
• Laufende Überwachung. SPF-Records ändern sich, wenn Anbieter IPs rotieren, Teams neue Dienste hinzufügen oder DNS-Propagation Fehler einbringt. Sie benötigen Monitoring, das Probleme erkennt, bevor die Mails des CEOs abprallen.

Am besten geeignet für: Mittelständische Organisationen, die vollständiges SPF-Management mit geführter Einführung und Dynamic SPF wollen

Red Sift bietet zwei Einstiegspunkte für SPF: Der kostenlose SPF Checker liefert sofortige Record-Analysen ohne Anmeldung, während die vollständige OnDMARC-Plattform SPF-Management inklusive Dynamic-SPF-Technologie bereitstellt.

Hauptfunktionen:

• Interaktive SPF-Baum-Visualisierung – jeder Mechanismus, Lookup und verschachtelte Include in einem anklickbaren, farblich codierten Diagramm
• Echtzeit-DNS-Lookup-Zähler mit klarer Erfolg-/Fehlermeldung zum 10-Lookup-Limit
• Void-Lookup-Erkennung (das weniger bekannte 2-Void-Limit, das viele Tools übersehen)
• SubdoMailing-Angriffs-Erkennung, findet kompromittierte Includes, durch die Ihre Domain zur Spoofing-Zielscheibe wird [7]
• Syntax-Prüfung z.B. auf doppelte Records, veraltete Mechanismen oder falsch konfigurierte Qualifier
• Komplettanalyse für DMARC, DKIM, BIMI und MTA-STS über Red Sift Investigate

Der kostenlose SPF Checker ist das stärkste eigenständige Diagnosetool auf dieser Liste. Aber Red Sift hebt sich durch das ab, was nach der Problemfindung passiert.

Dynamic SPF löst das 10-Lookup-Limit dauerhaft. Statt traditioneller SPF-Records mit Drittanbieter-Referenzen (jede ein Lookup), pflegt Dynamic SPF einen einzigen, optimierten Record, den Red Sift in Echtzeit automatisch aktualisiert. Wenn ein Anbieter wie Google oder Microsoft IP-Adressen ändert, erkennt Red Sift es und passt Ihren Record binnen Minuten an. Kein manuelles Flattening. Keine veralteten IPs, die über Nacht die Authentifizierung aushebeln [8].

Für mittelständische Teams ist das entscheidend: Sie können neue Versanddienste hinzufügen, ohne sich Sorgen um das 10-Lookup-Limit zu machen. Ihre IT muss keine Vendor-IP-Wechsel mehr überwachen oder SPF-Includes in Excel-Listen führen.

OnDMARC bietet eine geführte DMARC-Einführung, die Organisationen innerhalb von 6–8 Wochen zur Durchsetzung (p=reject) bringt. Die Plattform erkennt alle Versanddienste (auch vergessene), zeigt exakt die Konfiguration und alarmiert bei Problemen sofort. Diese geführte Herangehensweise ist essenziell für Unternehmen ohne eigenen E-Mail-Security-Spezialisten.

Mehr als nur SPF:

• Red Sift Radar nutzt KI, um DMARC-Berichte zu analysieren und Lösungsvorschläge zu machen – Fehlerbehebung bis zu 10x schneller als in XML-Dateien
• DNS Guardian überwacht Schwachstellen auf Subdomains, die Angreifer ausnutzen könnten
• Brand Trust alarmiert über registrierte Lookalike-Domains, die Ihre Marke imitieren könnten

Preise: Flexible Preisgestaltung, 14-tägige kostenlose OnDMARC-Testversion verfügbar. Starten Sie mit den kostenlosen SPF Checker und Investigate-Tools (keine Anmeldung nötig).

Typischer Einsatzzweck: Wachsende Unternehmen mit 5+ Versanddiensten, die das 10-Lookup-Limit lösen wollen und eine umfassende Plattform für SPF, DKIM, DMARC, BIMI und MTA-STS suchen. Die geführte Implementierung & dedizierte Unterstützung machen eigenes Know-how für E-Mail-Authentifizierung überflüssig.

Am besten geeignet für: Mittelständische Firmen, die geführte E-Mail-Authentifizierung mit klarer Preisgestaltung und aktiver Unterstützung wünschen

EasyDMARC bietet einen kostenlosen SPF Checker sowie EasySPF, ein kostenpflichtiges, dynamisches SPF-Flattening-Tool für vereinfachtes Record-Management auf einer zentralen Plattform.

Hauptfunktionen:

• Kostenlose SPF-Record-Abfrage mit Baum-Visualisierung und Erkennung der Versandquellen
• SPF-Record-Generator für gültige Records via geführter Oberfläche
• SPF-Record-Prüfer zur Syntax-Validierung vor Veröffentlichung
• DNS-Lookup-Zähler, der das 10-Lookup-Limit markiert
• EasySPF (kostenpflichtig) mit dynamischem Flattening, das Domain-Includes automatisch in IP-Adressen übersetzt
• KI-gestützter DMARC-Report-Analyzer mit vereinfachten Dashboards
• Reputationsmonitoring inkl. Blacklist-Tracking

EasyDMARC punktet bei mittelständischen Unternehmen mit Zugänglichkeit. Die Plattform ist für Teams ohne Spezialwissen gedacht und führt Schritt für Schritt durch die SPF-Konfiguration. Statt Rohdaten zu editieren, wählen Sie Versandquellen per Dropdown – und minimieren so Syntaxfehler.

EasySPF löst das 10-Lookup-Limit mithilfe dynamischen Flattenings. Domain-Includes werden in IP-Adressen übersetzt und Änderungen der Anbieter automatisch übernommen – nur ein DNS-Eintrag zu EasySPF genügt, den Rest pflegt die Plattform selbst.

Der Support wird in Nutzerbewertungen häufig gelobt. EasyDMARC stellt für jedes Onboarding dedizierte DMARC-Experten zur Seite – ein Pluspunkt, wenn Sie DMARC erstmals produktiv einführen. Über 83.000 Organisationen nutzen EasyDMARC; bei G2 gibt es ein Rating von 4,8/5 bei 151+ Bewertungen.

Einschränkungen im Mittelstand:

Der kostenlose SPF-Checker ist zwar brauchbar, bietet aber keine interaktive Baum-Visualisierung und keine SubdoMailing-Erkennung wie das Tool von Red Sift. EasySPF ist nur in kostenpflichtigen Tarifen enthalten, sodass Sie den Einstieg in die Plattform wählen müssen, um Flattening zu bekommen. Das Gesamtpaket deckt DMARC, SPF und DKIM ab, aber kein BIMI oder MTA-STS-Management. Einige G2-Reviews merken an, dass die Plattform bei vielen Domains teuer werden kann. Eine öffentliche API gibt es nicht, was für technisch anspruchsvollere Teams ein Nachteil sein könnte.

Preise: Kostenloser Plan für 1 Domain, 10.000 E-Mails/Monat, 14 Tage Datenhistorie. Bezahlte Pläne ab $17,99/Monat (Plus) bzw. $35,99/Monat (Premium, jährliche Abrechnung). Enterprise-Preise nur über Vertrieb. EasySPF in kostenpflichtigen Tarifen inklusive.

Typischer Einsatzzweck: Unternehmen mit schlanken IT-Teams, die erstmals DMARC umsetzen und besonders Wert auf aktive Onboarding-Unterstützung und geführtes Setup legen. Besonders stark, wenn veröffentlichte Preise und keine BIMI-oder MTA-STS-Anbindung gefordert sind.

Am besten geeignet für: Schnelle SPF-Validierung bei DNS-Änderungen

MXToolbox ist seit Jahren das DNS-Diagnosetool schlechthin. Der SPF-Checker ist schnell, kostenlos und erfordert keine Einrichtung.

Hauptfunktionen:

• Sofortiges SPF-Record-Lookup und Validierung
• Ausgabe der DNS-Lookup-Anzahl
• Void-Lookup-Erkennung
• Warnung bei doppelten Records, veralteten Mechanismen und Syntaxfehlern
• Erkennung nach all auftretender Zeichen
• Teil der breiten DNS-Diagnose-Suite (MX, DMARC, Blacklist, SMTP)

MXToolbox ist das Tool für schnelle Plausibilitätsprüfungen in der IT. Neuer SPF-Record publiziert? Ein kurzer Test bei MXToolbox bestätigt die Syntax. Probleme mit der Zustellbarkeit? Validieren Sie den SPF-Record in Sekunden. Es ist quasi der Rechtschreib-Checker für Ihre DNS-Records.

Im Ecosystem gibt es auch Tools zur E-Mail-Deliverability, Blacklist-Überwachung und SMTP-Diagnose. Mit den kostenpflichtigen Plänen lassen sich auch Änderungen überwachen und Benachrichtigungen versenden – nützlich, falls DNS-Records unerwartet geändert werden.

Einschränkungen für Mittelständler:

MXToolbox bietet keine SPF-Baum-Visualisierung, sodass Sie die Verzweigung komplexer Records nicht erkennen. Es gibt kein SPF-Flattening oder dynamische Verwaltung. Die Oberfläche zeigt Ergebnisse, gibt aber keine Reparaturhinweise. Die kostenpflichtigen Monitoring-Pläne starten bei $129/Monat – möglicherweise zu teuer, wenn Sie nur SPF-spezifische Tools brauchen.

Preise: Kostenlos für Einzelchecks. Kostenpflichtiges Monitoring ab $129/Monat (Delivery Center Produkt).

Typischer Einsatzzweck: IT-Teams, die nach DNS-Änderungen schnelle Checks ohne Anmeldung machen möchten. Sollte zusammen mit einer SPF-Management-Plattform genutzt werden.

Am besten geeignet für: Google-Workspace-Umgebungen zur Prüfung der SPF-Konfiguration

Googles Admin Toolbox enthält das Tool Check MX, das DNS-Records (inkl. SPF) für Domains mit Google Workspace prüft.

Hauptfunktionen:

• SPF-Record-Validierung mit Anzeige der effektiven Adressbereiche
• Prüft, ob Google-Server im SPF richtig autorisiert sind
• DKIM- und DMARC-Prüfung im selben Tool
• MTA-STS-Record-Check
• Überprüfung der NS-Record-Konsistenz auf allen Nameservern
• Erkennung veralteter Mechanismen und häufiger Fehlkonfigurationen

Wer Google Workspace betreibt, kann mit diesem Tool bestätigen, ob der SPF-Record tatsächlich die Google-Versandinfrastruktur autorisiert. Die SPF-Includes werden in effektive IP-Adressbereiche aufgelöst und zeigen so, welche IPs tatsächlich berechtigt sind. Außerdem überprüft das Tool allgemeine DNS-Gesundheit (MX, DKIM, DMARC, MTA-STS, NS-Konsistenz) in einem Durchgang.

Googles eigene Support-Dokumentation verweist auf dieses Tool als Referenz für SPF-Probleme [9]; es ist deshalb besonders für Workspace-Admins vertrauenswürdig.

Einschränkungen im Mittelstand:

Das Tool ist auf Google Workspace ausgerichtet und bewertet aus dieser Perspektive. Es gibt keine SPF-Baum-Visualisierung, kein Flattening, kein kontinuierliches Monitoring. Die Oberfläche ist minimalistisch und für schnelle Checks konzipiert – bei langen Records mit 10+ Includes schnell unübersichtlich. Wer kein Google Workspace nutzt, bekommt keinen Mehrwert im Vergleich zu anderen kostenlosen Prüfern.

Preise: Kostenlos.

Typischer Einsatzzweck: Administratoren von Google Workspace, die SPF- und DNS-Konfiguration prüfen – in Kombination mit einem spezialisierten SPF-Management-Tool.

Am besten geeignet für: Mittelständische Organisationen mit Microsoft-365-Umgebungen, die automatisierte, makrobasierte SPF-Verwaltung suchen

Valimail stellt einen kostenlosen SPF-Checker neben Instant SPF bereit, einem patentierten Ansatz zur Auflösung des 10-Lookup-Limits per SPF-Makros.

Hauptfunktionen:

• Kostenloser Domain-Checker für SPF-, DMARC- und BIMI-Status in einem Bericht
• Klare Anzeige „Protected“ oder „Not Protected“
• DNS-Lookup-Zähler, der das 10-Lookup-Limit markiert
• Erkennung zu großzügiger IP-Bereiche
• Instant SPF (kostenpflichtig) mit patentierter Makro-Technologie zur dynamischen SPF-Generierung pro E-Mail
• Kostenloses DMARC-Monitoring (Valimail Monitor) mit SPF-Lookup-Tracking pro Domain

Valimails Instant SPF verfolgt einen anderen Ansatz in Bezug auf die Lookup-Grenze. Anstatt Includes in statische IP-Listen umzuwandeln, nutzt es SPF-Makros, um zur Auswertungszeit dynamisch die richtige SPF-Antwort zu erstellen. Der Eintrag ist immer aktuell, niemals veraltet und überschreitet unabhängig von der Anzahl der genutzten Dienste nie die Lookup-Grenze.

Die kostenlose Monitor-Stufe ist ein solider Einstieg. Sie bietet DMARC-Berichte mit Absendertransparenz und zählt SPF-Lookups über alle Ihre Domains hinweg. Valimail hat zudem eine starke Integration in Microsoft 365 mit automatischer Service-Erkennung für M365-Umgebungen.

Einschränkungen für den Einsatz im Mid-Market:

Der kostenlose Checker bietet keine visuelle SPF-Baum-Analyse. Instant SPF ist nur in kostenpflichtigen Stufen (Valimail Enforce) erhältlich; die Preise werden nicht veröffentlicht und erfordern ein Gespräch mit dem Vertrieb. Das ist eine Hürde für Käufer im Mid-Market, die Optionen eigenständig bewerten möchten. Der Makro-basierte Ansatz schafft zudem eine Abhängigkeit von Valimails Infrastruktur – Ihre SPF-Auflösung läuft über deren Server, sodass Sie auf deren Verfügbarkeit und DNS-Leistung vertrauen.

Preise: Kostenloser Domain-Checker und Monitor-Stufe. Instant SPF ist im kostenpflichtigen Enforce-Produkt enthalten (Preise auf Anfrage beim Vertrieb).

Bester Mid-Market-Anwendungsfall: Unternehmen, die stark auf Microsoft 365 setzen, automatisiertes SPF-Management wünschen und mit einem vertriebsgeleiteten Beschaffungsprozess einverstanden sind. Die kostenlose Monitor-Stufe ermöglicht es, vor einer Bindung zu evaluieren.

Am besten geeignet für: SPF-Management mit integriertem Flattening und einer umfassenden DMARC-Plattform

Sendmarc bietet eine Reihe kostenloser DNS-Checker-Tools sowie eine kostenpflichtige Plattform mit SPF-Management, SPF-Flattening (SPF Optimization), DKIM und DMARC-Durchsetzung.

Wichtige Funktionen:

• Kostenloser SPF-Records-Checker zur Validierung von Syntax, autorisierten IPs und Drittanbieter-Includes
• Kostenloser SPF-Policy-Tester, der bestimmte IP-Adressen für einen Domain-SPF-Eintrag überprüft
• DNS-Lookup-Zähler, der Gesamtanzahl und Status der Grenze anzeigt
• SPF Optimization (kostenpflichtig), das beim Erreichen der Lookup-Grenze automatisch alle Includes auflöst und als IP-Adressen publiziert
• Kontinuierliche Überwachung erkennt IP-Änderungen von Anbietern und aktualisiert die geflatteten Einträge
• Umfassende Plattform für DMARC-Durchsetzung, DKIM-Management und Reporting

Sendmarcs SPF Optimization verfolgt einen praxisnahen Ansatz: Erreicht Ihr Eintrag die 10-Lookup-Grenze, werden alle DNS-abfragenden Mechanismen automatisch in IP-Adressen aufgelöst und die optimierte Version veröffentlicht. Diese Auflösung läuft kontinuierlich – ändert ein Anbieter seine Versand-IPs, erkennt Sendmarc das und aktualisiert den Eintrag.

Der kostenlose SPF-Policy-Tester ist ein nützliches Feature für den Mid-Market: Damit können Sie eine bestimmte IP-Adresse gegen Ihren Eintrag testen, was praktisch ist, wenn Sie prüfen möchten, ob ein neues SaaS-Tool korrekt autorisiert wurde.

Einschränkungen für den Mid-Market-Einsatz:

Die kostenlosen Tools sind einfache Checker, ohne visuelle Baum-Analyse oder SubdoMailing-Erkennung. SPF Optimization ist nur für zahlende Kunden verfügbar. Die Plattform ist jünger als manche Wettbewerber und hat eine begrenzte G2-Bewertungsbasis. Für veröffentlichte Preise ist ein Demo-Termin erforderlich, was die Bewertung für Käufer im Mid-Market mit Selbstbedienungs-Vorlieben erschwert.

Preise: Kostenlose Checker-Tools. Die kostenpflichtige Plattform mit SPF Optimization erfordert eine Demo (Preise nicht öffentlich einsehbar).

Bester Mid-Market-Anwendungsfall: Unternehmen, die eine kombinierte Plattform für SPF-Management und DMARC-Durchsetzung suchen, mit integriertem Flattening im umfassenden Toolset statt einer reinen SPF-Lösung.

• 3–5 E-Mail-Versanddienste (einfacher Eintrag): Wahrscheinlich sind Sie unter der 10-Lookup-Grenze, sollten das aber bestätigen. Starten Sie mit dem kostenlosen SPF Checker von Red Sift für eine visuelle Baum-Analyse und nutzen Sie MXToolbox oder Google Admin Toolbox für schnelle Einzelprüfungen. Bei 7–8 Lookups sollten Sie über eine Managementlösung nachdenken, bevor Ihr nächster SaaS-Kauf Sie über die Grenze schiebt.
• 5–8 E-Mail-Versanddienste (nah an der Grenze): Sie bewegen sich wahrscheinlich am Limit von 10 Lookups – das ist der typische Bereich für viele Unternehmen im Mid-Markt. Prüfen Sie Ihre Domain mit dem SPF Checker von Red Sift, um den genauen Wert zu sehen, und evaluieren Sie dann Dynamic SPF (Red Sift OnDMARC), EasySPF (EasyDMARC) oder Instant SPF (Valimail), um weiter unter dem Limit zu bleiben.
• 8+ E-Mail-Versanddienste (über dem Limit): Jetzt brauchen Sie eine aktive Managementlösung. Red Sifts Dynamic SPF, EasySPFs EasyDMARC, Valimails Instant SPF oder Sendmarcs SPF Optimization sind dann Ihre Optionen. Bevorzugen Sie Plattformen, die alle Authentifizierungsschichten abdecken (SPF + DKIM + DMARC), um nicht drei separate Tools kaufen zu müssen.

Kleines IT-Team (1–3 Personen für alles): Die geführte Implementierung bei Red Sift OnDMARC oder das begleitete Onboarding von EasyDMARC reduzieren die Lernkurve. Beide Plattformen zeigen Ihnen, was Sie in welcher Reihenfolge bei welchem Service beheben müssen. EasyDMARC startet mit veröffentlichten Preisen ab $17,99/Monat und spricht damit kleinere Budgets an; bei Red Sift können Sie zunächst die komplette Plattform im 14-Tage-Test evaluieren.

Dedizierte IT-Sicherheits-Person: Red Sift OnDMARC bietet das umfassendste Toolset (SPF, DKIM, DMARC, BIMI, MTA-STS) auf einer Plattform. Valimail Enforce ist eine Alternative für Teams, die stark auf Microsoft 365 setzen.

Outgesourctes IT-Team oder MSP: Die Multi-Domain-Unterstützung und das MSP-Programm von Red Sift OnDMARC machen die Plattform für externe Teams, die Kundendomains betreuen, praktikabel. Auch EasyDMARC und Sendmarc positionieren sich als MSP-freundlich.

SPF ist nur ein Teil des Puzzles. Google, Yahoo und Microsoft verlangen inzwischen für Massenversender SPF, DKIM und DMARC [5]. Microsoft setzt diese Anforderungen ab Mai 2025 durch, während Google und Yahoo dies seit 2024 tun [6]. Wer SPF isoliert betrachtet, macht nur die halbe Arbeit.

Red Sift OnDMARC deckt den vollständigen Stack ab. EasyDMARC unterstützt SPF, DKIM, DMARC und BIMI. Die anderen Tools auf dieser Liste kümmern sich speziell um SPF oder bieten einen eingeschränkten Authentifizierungsumfang. Überlegen Sie, ob Sie eine Plattform möchten, die mit Ihnen wächst, oder ob Sie einzelne Tools kombinieren möchten.

Warum passiert das? In Mid-Market-Unternehmen werden SaaS-Tools schnell eingeführt. Das Marketing meldet sich bei einer neuen E-Mail-Plattform an. Der Vertrieb nutzt ein neues Prospektierungstool. Der Kundenerfolg führt einen Umfragedienst ein. Jeder muss E-Mails von Ihrer Domain versenden – jeder benötigt einen SPF-Include. Aber niemand informiert die IT. Ein einziges include:_spf.google.com verbraucht wegen geschachtelter Includes 3–4 Lookups. Nach Microsoft 365, Salesforce und HubSpot sind Sie schon über 10, bevor Sie die Hälfte Ihrer Versanddienste abgedeckt haben.

Der Effekt: Empfangsserver liefern einen PermError, legitime E-Mails scheitern an der SPF-Authentifizierung. DMARC behandelt PermError immer als Fehler, egal welches Policy-Level [1]. Die E-Mails des CEOs landen in Quarantäne, während Sie fieberhaft nach der Fehlerquelle suchen.

So lösen Sie das Problem: Prüfen Sie Ihre Domain mit dem SPF Checker von Red Sift und sehen Sie die exakte Anzahl Ihrer Lookups. Bei über 10 sollten Sie Dynamic SPF (Red Sift OnDMARC) oder EasySPF (EasyDMARC) implementieren. Bauen Sie dann einen einfachen Meldungsprozess auf: Jedes Team, das ein SaaS-Tool mit E-Mail-Funktion einführen will, informiert vor dem Go-Live die IT. Für tiefergehende Informationen lesen Sie Red Sifts Leitfaden zur Überwindung der 10-Lookup-Grenze.

Warum passiert das? Im Mid-Market werden Tools oft gewechselt: Sie wechseln von Mailchimp zu HubSpot oder von Shared Hosting zu Google Workspace. Die alten SPF-Includes bleiben im Eintrag, weil das Entfernen nicht auf der Migrations-Checkliste stand. Schlimmer noch: Manchmal werden versehentlich zwei SPF-Einträge für eine Domain veröffentlicht, zum Beispiel wenn ein neues Tool den Hinweis „Fügen Sie diesen TXT-Record hinzu“ gibt und jemand einen zweiten statt einer Zusammenführung erstellt.

Der Effekt: RFC 7208 verlangt einen SPF-Eintrag pro Domain. Zwei Einträge verursachen einen PermError, und jede Mail Ihrer Domain scheitert an SPF [1]. Verwaiste Includes verbrauchen wertvolle Lookups aus Ihrem 10er-Budget und überautorisieren IP-Adressen, die gar keine Mails mehr für Sie versenden.

So lösen Sie das Problem: Führen Sie mindestens vierteljährlich einen Abgleich Ihres SPF-Eintrags mit Ihrer aktuellen Versand-Infrastruktur durch. Prüfen Sie alle TXT-Einträge Ihrer Domain auf mehrere Werte mit v=spf1. Vergleichen Sie jedes Include mit den tatsächlich genutzten Tools Ihres Teams. Lassen Sie den bereinigten Eintrag vor der Veröffentlichung durch den SPF Checker von Red Sift laufen.

Warum passiert das? Prüfen Mid-Market-Teams neue SaaS-Tools, schauen sie auf Features, Preise und Integrationen – an SPF denken die Wenigsten. Nach dem Go-Live trägt die IT den notwendigen SPF-Include nach, und schon überschreitet der Eintrag die 10-Lookup-Grenze. Jetzt müssen Sie Lieferprobleme bei einem Tool beheben, das seit zwei Wochen im Betrieb ist.

Der Effekt: Reaktives SPF-Management führt zu ständigen Ausfällen und hektischen Notfall-Fixes. Jedes neue Tool löst eine „Feuerwehraktion“ statt geplanter Anpassung aus.

So lösen Sie das Problem: Ergänzen Sie Ihre SaaS-Checkliste um eine Frage: „Verschickt dieses Tool E-Mails von unserer Domain, und welche SPF-Includes sind erforderlich?“ Wenn dadurch Lookups hinzukommen, überlegen Sie vor dem Onboarding, ob eine dynamische SPF-Lösung nötig ist. Red Sift OnDMARC und EasyDMARC machen diesen proaktiven Ansatz praktikabel, weil Dynamic SPF und EasySPF neue Dienste aufnehmen, ohne die Lookup-Grenze zu sprengen.

Warum passiert das? Die IT-Generalistin, die vor sechs Monaten SPF konfiguriert hat, ist längst mit anderen Prioritäten beschäftigt. Dritte Anbieter ändern regelmäßig ihre Versand-IPs, neue Dienste werden ohne SPF-Anpassung hinzugefügt und DNS-Einträge können unbeabsichtigt bei anderen Änderungen modifiziert werden.

Der Effekt: SPF-Einträge weichen immer mehr von der realen Versandinfrastruktur ab. Legitimer Mail-Versand scheitert gelegentlich, die Ursache ist ohne Monitoring schwer zu finden und wenn sie auffällt, besteht das Problem schon seit Wochen.

So lösen Sie das Problem: Nutzen Sie kontinuierliches Monitoring über eine Plattform wie Red Sift OnDMARC oder EasyDMARC, die Sie bei Änderungen am SPF-Eintrag oder zunehmenden Authentifizierungsfehlern aktiv benachrichtigt. Mindestens sollten Sie monatlich einen SPF-Audit mit dem Investigate-Tool von Red Sift durchführen.

Warum passiert das? Bei Erreichen der 10-Lookup-Grenze ersetzen viele Teams Includes manuell mit den aufgelösten IPs, um DNS-Lookups zu eliminieren. Am ersten Tag sieht das schlau aus.

Der Effekt: Manuelles Flattening erzeugt eine Momentaufnahme, die sofort veraltet. Wenn Google, Microsoft oder ein SaaS-Anbieter ihre Versand-IPs ändern (was regelmäßig geschieht), verweist Ihr geflatteter Eintrag noch auf alte Adressen. Legitimer E-Mail-Versand von neuen IPs scheitert bei der SPF-Prüfung. Sie haben das Problem nur getauscht und merken nicht, wann es bricht.

So lösen Sie das Problem: Setzen Sie automatisierte Lösungen ein, die geflattete Einträge synchron halten. Red Sifts Dynamic SPF, EasyDMARCs EasySPF, Valimails Instant SPF und Sendmarcs SPF Optimization automatisieren das auf Dauer. Für Mid-Market-Unternehmen sind automatisierte dynamische Ansätze die einzig praktikable Langfristlösung.

Besuchen Sie Red Sifts SPF Checker und geben Sie Ihre Hauptdomain ein. Kein Anmelden nötig. Sie sehen Ihren SPF-Eintrag als Baum visualisiert, den exakten DNS-Lookup-Wert, eventuelle Syntaxfehler und ob der Eintrag kompromittierte Includes von Angriffen wie SubdoMailing enthält.

Lassen Sie Ihre Domain außerdem durch Red Sift Investigate laufen, um eine Gesamtübersicht zu SPF, DKIM, DMARC, BIMI und MTA-STS als Einzelauswertung zu erhalten.

Liegt Ihre Lookup-Zahl über 10? Gibt es Syntaxfehler oder veraltete Mechanismen? Enthält der Eintrag unbekannte Includes? Wie viele E-Mail-Dienste nutzt Ihr Unternehmen und sind diese alle korrekt autorisiert? Die Antworten bestimmen Ihre nächsten Schritte.

Weg A: Komplettplattform (empfohlen für die meisten Mid-Market-Unternehmen)

1. Melden Sie sich für eine 14-tägige Testphase bei Red Sift OnDMARC an.
2. Aktivieren Sie Dynamic SPF zur dauerhaften Lösung der 10-Lookup-Grenze.
3. Folgen Sie der geführten Implementierung für SPF, DKIM und DMARC.
4. Erreichen Sie den vollständigen DMARC-Schutz in 6–8 Wochen mit dedizierter Unterstützung.

Weg B: Geführte Einrichtung mit veröffentlichten Preisen

1. Starten Sie mit dem kostenlosen Plan von EasyDMARC, um Ihre Domain zu prüfen.
2. Upgraden Sie auf einen kostenpflichtigen Plan ab $17,99/Monat für EasySPF-Flattening.
3. Nutzen Sie die geführte Oberfläche und DMARC-Engineer-Support für die Umsetzung.
4. Planen Sie, BIMI- und MTA-STS-Management separat zu ergänzen, wenn Ihre Organisation wächst.

Weg C: Schnelle Validierung mit kostenlosen Tools

1. Nutzen Sie Red Sift SPF Checker für visuelle Analysen.
2. Nutzen Sie den kostenfreien Domain-Checker von EasyDMARC für einen Zweitmeinungs-Report.
3. Nutzen Sie MXToolbox oder Google Admin Toolbox für schnelle Einzelprüfungen.
4. Planen Sie eine Managementplattform, sobald die Zahl Ihrer E-Mail-Tools wächst.

1. Die kostenlosen Tools sind Benchmark. Der SPF Checker bietet visuelle Baum-Analyse und SubdoMailing-Erkennung, wie kein anderes kostenfreies Tool. Investigate prüft Ihre gesamte E-Mail-Authentifizierung in einem Rutsch. Kein Anmelden, keine Kreditkarte.

2. Dynamic SPF löst das Mid-Market-Skalierungsproblem. Die meisten wachsenden Mid-Market-Unternehmen stoßen an die 10-Lookup-Grenze. Red Sifts Dynamic SPF löst das dauerhaft und vollautomatisch – kein manuelles Flattening, keine veralteten Einträge, keine durch Anbieterwechsel bedingten Ausfälle.

3. Eine Plattform, alles abgedeckt. OnDMARC steuert SPF, DKIM, DMARC, BIMI und MTA-STS. Red Sift Radar nutzt KI zur Analyse und Handlungsempfehlung. Brand Trust überwacht nachahmende Domains. Weniger Anbieter, weniger Rechnungen, weniger Integrationsaufwand.

4. DMARC-Komplettschutz in 6–8 Wochen. Red Sift bringt Organisationen in 6–8 Wochen zum DMARC-Status p=reject. Andere Methoden benötigen 3–6 Monate. Der Unterschied: Geführte Implementierung und ein erfahrenes Customer Success Engineering Team, das das mit über 1.200 Organisationen realisiert hat.

5. 4,8/5 auf G2 belegt. Red Sift OnDMARC hält 4,8/5 Bewertung auf G2 und ist die Nr. 1 in EMEA für DMARC. Mid-Market-Käufer können auf Drittanbieter-Bewertungen vertrauen, nicht nur Anbieteraussagen.

[1] RFC 7208 – Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1

[2] 60+ beeindruckende SaaS-Statistiken (2025)

[3] 50 Phishing-Statistiken, die Sie 2025 kennen sollten

[4] 33 Phishing-Statistiken in 2025, die jeder MSP kennen sollte

[5] Google und Yahoo's Anforderungen an Bulk-Sender

[6 ]400.000 DMARC-Zuwachs nach Microsofts Update für Massenversender

[7] Kostenloser SPF Checker und SPF Record Lookup

[8] SPF breakage 101: How to beat the 10 lookup limit

[9] SPF-Probleme beheben – Google Workspace Admin Hilfe

Die SPF-Spezifikation (RFC 7208) schreibt vor, dass die SPF-Auswertung maximal 10 DNS-abfragende Mechanismen und Modifikatoren pro Prüfung enthalten darf [1]. Zu den Mechanismen, die zählen, gehören include, a, mx, ptr, exists und redirect. Die Mechanismen all, ip4 und ip6 verbrauchen keine Lookups. Mid-Market-Unternehmen stoßen regelmäßig an diese Grenze, weil sie 5–10 SaaS-Tools nutzen, die jeweils SPF-Includes erfordern. Bei Überschreitung gibt der Empfangsserver einen PermError zurück und E-Mails scheitern an der Authentifizierung.

Red Sift OnDMARC und EasyDMARC bieten beide eine geführte Einrichtung, die sich an Teams ohne spezielle E-Mail-Sicherheitskompetenz richtet. Red Sift ist die umfassendste Plattform (SPF, DKIM, DMARC, BIMI, MTA-STS) mit 14 Tagen kostenlosem Test. EasyDMARC bietet veröffentlichte Preise ab $17,99/Monat und stellt für das Onboarding dedizierte DMARC-Engineers bereit. Beide sind starke Optionen; die richtige Wahl hängt davon ab, ob Sie Plattform-Vollständigkeit (Red Sift) oder Offenheit bei den Preisen (EasyDMARC) bevorzugen.

Manuelles SPF-Flattening ist riskant, da dabei dynamische Includes durch statische IP-Adressen ersetzt werden, die schnell veralten, wenn Anbieter ihre IPs ändern. Automatisierte Tools wie Red Sifts Dynamic SPF, EasyDMARCs EasySPF, Valimails Instant SPF und Sendmarcs SPF Optimization mindern dieses Risiko, indem sie Anbieter-IPs laufend überwachen und Einträge automatisch aktualisieren. Für Mid-Market-Unternehmen sind automatisierte, dynamische Ansätze die einzige langfristige Option.

Die meisten DMARC-Plattformen bieten eine gewisse SPF-Validierung, die Tiefe unterscheidet sich jedoch. Red Sift OnDMARC beinhaltet vollständiges SPF-Management inklusive Dynamic SPF. EasyDMARC bringt EasySPF zum Flattening mit. Andere DMARC-Plattformen zeigen unter Umständen nur SPF pass/fail in Berichten, bieten aber keine spezifischen Diagnosen oder Grenzen-Management. Prüfen Sie, ob Ihre Plattform visuelle SPF-Baum-Analyse, Lookup-Zählung und Flattening ermöglicht, bevor Sie sicher sind, dass Sie abgedeckt sind.

Mindestens monatlich. Ideal ist kontinuierliches Monitoring, das Sie bei Änderungen sofort benachrichtigt. Es werden laufend neue E-Mail-Tools hinzugefügt, Anbieter-IPs gewechselt und DNS-Einträge angepasst, ohne dass jemand an SPF denkt. Red Sift OnDMARC und EasyDMARC bieten beide kontinuierliches Monitoring. Wenn Sie noch keine kostenpflichtige Plattform wollen, planen Sie zumindest einen monatlichen Check mit Red Sifts kostenlosem SPF Checker.

Ja, und das tun viele Teams im Mid-Market. Empfehlenswert: Red Sifts SPF Checker für die visuelle Baum-Analyse und SubdoMailing-Erkennung, EasyDMARCs kostenlosen Checker für eine Zweitmeinung und MXToolbox für schnelle Einzelprüfungen. Für das dauerhafte Management kombinieren Sie einen kostenlosen Checker mit einer Plattform wie Red Sift OnDMARC oder den kostenpflichtigen EasyDMARC-Plänen.

SPF schlägt beim Weiterleiten oft fehl, weil die IP des weiterleitenden Servers im SPF-Eintrag des Absenders nicht autorisiert ist. Dafür gibt es DKIM: DKIM-Signaturen bleiben beim Weiterleiten erhalten, da sie an den Nachrichteninhalt und nicht an die sendende IP gebunden sind. Für Mid-Market-Organisationen bedeutet das: SPF allein reicht nicht. Sie benötigen SPF, DKIM und DMARC zusammen. Prüfen Sie alle drei Protokolle mit Red Sift Investigate auf einmal.

Seit 2024 verlangen Google und Yahoo von Massenversendern (5.000+ Mails täglich an deren Nutzer) gültige SPF-, DKIM- und DMARC-Einträge. Microsoft setzt das ab Mai 2025 durch [5, 6]. Bei Nichteinhaltung werden E-Mails limitiert, landen im Spam oder werden dauerhaft abgelehnt. Die meisten Unternehmen im Mid-Market, die Marketing-, Transaktions- oder Supportmails versenden, erreichen die 5.000-Nachrichten-Schwelle. SPF ist der erste Schritt – nur wenn alle drei Protokolle korrekt konfiguriert sind, erfüllen Sie die Anforderungen vollständig.