Red Sifts Leitfaden zur Konfiguration von E-Mail-Protokollen
Mehr über SPF erfahren
Ich habe SPF, brauche ich DMARC, um meine Domain zu schützen? Was macht DMARC, das SPF nicht macht?
Ja. Ab 2026 ist DMARC für große Posteingangsanbieter bei Massenversendern Pflicht und unerlässlich für den vollständigen Schutz Ihrer Domain.
Was SPF macht
- SPF autorisiert die versendenden IPv4/IPv6-Adressen.
- SPF schützt den Header der E-Mail, der für den Endnutzer nicht sichtbar ist (bekannt als
Return-Path,MAIL FROM, "Envelope From" oder Bounce-Adresse). Ist dieser Header nicht vorhanden, erfolgt die SPF-Prüfung auf derEHLO/HELO-Adresse.
Was SPF nicht macht
- SPF erfordert keine Übereinstimmung zwischen der
From-Domain und der oben genanntenReturn-Path-Adresse, die überprüft wird. Das bedeutet, dass die beiden aus SPF-Sicht nicht übereinstimmen müssen. - SPF bietet keinerlei Reporting-Funktionalität. Der Empfänger der E-Mail sendet also keine Berichte mit den Ergebnissen der E-Mail-Authentifizierung an den Absender zurück.
- SPF funktioniert nicht bei automatischer Weiterleitung und indirekten E-Mail-Flows.
Diese Schwächen führten zur Einführung von DMARC, um Empfängern explizite Anweisungen zu geben und Authentifizierungsberichte bereitzustellen. Dadurch ist es für Absender möglich, erforderliche Maßnahmen zur Korrektur legitimer Mail-Flows einzuleiten. Bis 2026 ist DMARC zum Standard für E-Mail-Authentifizierung geworden und bei Google, Yahoo und Microsoft für Massenversender verpflichtend.
DMARC nutzt SPF als eine seiner Grundlagen, fügt aber auch weitere Funktionen hinzu:
- Konzentriert sich auf den
From-Header, der für den Nutzer sichtbar ist ("Header From"). - Erfordert, dass die von SPF genutzte Domain mit der im sichtbaren
From-Absender der E-Mail übereinstimmt (exakte Übereinstimmung oder Subdomain). - Ignoriert die Unterschiede zwischen Soft-Fail und Hard-Fail in Ihrer SPF-Konfiguration, d. h.
~allund-allwerden gleichermaßen als SPF-Fail behandelt. - Bietet die Reporting-Funktionalität, um Ergebnisse der E-Mail-Authentifizierung an den Inhaber des
Fromzurückzusenden, sodass Sie herausfinden können, ob Ihre Domain missbraucht wird. Dies unterstützt auch die Fehlersuche bei der Zustellbarkeit Ihrer legitimen Absender. - Stellt eine Policy bereit, die den Empfängern vorgibt, wie mit einer E-Mail zu verfahren ist, die die Authentifizierung nicht besteht. Diese Policy wird von den Empfängern durchgesetzt. Nutzt man SPF ohne DMARC, gibt es keine solche Durchsetzung.
Große Mailbox-Anbieter nutzen mittlerweile visuelle Hinweise in ihren E-Mail-Clients, um zu zeigen, ob eine E-Mail authentifiziert ist. Beispielsweise zeigt Gmail ein Fragezeichen (?) für nicht authentifizierte E-Mails an – siehe unten. Dieser visuelle Indikator ist 2026 branchenweit Standard im Posteingang.
Führen Sie einen kostenlosen SPF-Check mit Red Sift durch – keine Anmeldung erforderlich.
Was ist eine SPF-Include-Anweisung?
Ein include ist ein SPF-Mechanismus, der auf eine Domain verweist, die beim Überprüfen der Absender-IP abgefragt werden soll. Gehört die versendende IP zu dem include, ergibt sich eine Übereinstimmung und die SPF-Prüfung ist bestanden.
Beispielsweise, wenn Sie include:_spf.google.com als Teil Ihres SPF-Records haben und die Ursprungs-IP einer E-Mail eine Google-IP ist, kommt es zu einer Übereinstimmung, da Sie Google für den Versand in Ihrem Auftrag autorisiert haben, und die Absender-IP innerhalb des include-Mechanismus zu finden ist.
Was sind SPF-Makros?
Ein SPF-Makro bezieht sich auf einen Mechanismus in SPF-Records, mit dem wiederverwendbare IP-Adresssets definiert werden. Mit SPF-Makros lässt sich die Flexibilität und Wartbarkeit von SPF-Einträgen erhöhen, indem Sie komplexe Adress-Sets in einem einzigen Mechanismus zusammenfassen und so in mehreren SPF-Einträgen referenzieren können. Das erleichtert die Verwaltung großer Mengen autorisierter Server, ohne dieselben Informationen mehrfach angeben zu müssen.
Statt jede einzelne IP-Adresse für autorisierte Server aufzuführen, können Sie z. B. ein Makro so definieren:
@spf.salesforce.com IN TXT "v=spf1 exists:%{i}.spf.mta.salesforce.com -all"
In diesem Beispiel stellt das Makro den Mechanismus %{i} dar, der die Absender-IP der E-Mail abruft. Die Domain wird so zu etwas wie 233.124.65.65._spf.mta.salesforce.com.
Mit dieser Art von SPF-Management können Sie eine große IP-Liste kontrollieren, ohne das Lookup-Limit zu überschreiten, und zugleich bleibt verborgen, welche IPs Sie öffentlich autorisieren.
Das Problem mit SPF-Makros
Das Risiko bei SPF-Makros besteht darin, dass die meisten alten E-Mail-Infrastrukturen diese nicht unterstützen und es dadurch zu gravierenden Zustellbarkeitsproblemen kommen kann. Laut technischen Studien und unseren eigenen Erfahrungen funktioniert dies nur bei etwa 75 % der SMTP-Server zuverlässig. Deshalb setzen Unternehmen 2026 zunehmend auf dynamisches SPF-Management, statt auf Makros oder manuelles Flattening.
Unterstützt ein Mailserver SPF-Makros nicht, kann das wie folgt aussehen:
Keine Expansion
Unterstützt der empfangende Mailserver keine SPF-Makros, werden diese nicht aufgelöst oder verarbeitet, sondern bleiben ein unverarbeiteter String. Dadurch entfällt die eigentliche Funktionalität des SPF-Records, wodurch SPF-Prüfungen ggf. unvollständig oder falsch ausfallen. Zwar werden Makros nicht in produktiven SPF-Records eingesetzt, das No-Expansion-Verhalten kommt dennoch bei Mailservern wie iCloud vor.
Mögliche SPF-Fehlschläge
Je nach Aufbau des SPF-Records mit Makros kann das Fehlen der Expansion zu SPF-Fehlschlägen oder 'Neutral'-Ergebnissen führen (angezeigt durch den Mechanismus ?all). In beiden Fällen hat der Eintrag nicht die gewünschte Wirkung der ordnungsgemäßen Autorisierung legitimer Absender.
Zustellbarkeitsauswirkungen
Wenn SPF-Makros eine wesentliche Rolle bei der Autorisierung legitimer Absender spielen, sind E-Mails anfälliger dafür, SPF-Prüfungen nicht zu bestehen oder von Empfängern, die auf SPF setzen, als verdächtig markiert zu werden.
Häufig gestellte Fragen: Leitfaden zur Konfiguration von E-Mail-Protokollen
In einer Zeit vor DMARC verwendeten SPF-Records häufig den Mechanismus „-all“, um Absender-Richtlinien streng durchzusetzen. Die aktuellen Branchenempfehlungen im Jahr 2026 bevorzugen jedoch „~all“, um Sicherheit und Zustellbarkeit auszubalancieren und unnötige Ablehnungen gültiger E-Mails zu vermeiden, die möglicherweise bei SPF fehlschlagen, aber DKIM und DMARC bestehen.
Das liegt daran, dass „~all“ in Kombination mit DMARC (bei p=reject) weiterhin nicht authentifizierte E-Mails ablehnt, falls SPF und DKIM fehlschlagen, aber keine legitimen E-Mails blockiert. Dadurch wird die allgemeine E-Mail-Zustellbarkeit erhöht.
Die DMARC-Spezifikation (RFC 7489) besagt, dass ein „-“-Präfix wie bei „-all“ bei einem SPF-Mechanismus des Absenders dazu führen kann, dass Ablehnungen bereits frühzeitig während der Verarbeitung wirken und somit Nachrichten zurückgewiesen werden, bevor eine DMARC-Prüfung stattfindet. Verwenden Sie „-all“ ausschließlich für inaktive, nicht versendende Domains (Domains, die keinerlei E-Mails senden). DMARC ignoriert die Unterschiede zwischen Soft Fail und Hard Fail in der SPF-Konfiguration und behandelt beide als SPF-Fehler.
DMARC verlangt nicht nur, dass SPF oder DKIM bestanden werden, sondern es erfordert auch, dass mindestens eine der von SPF oder DKIM verwendeten Domains mit der im From-Header gefundenen Domain übereinstimmt (Alignment). Eine korrekte Ausrichtung ist im Jahr 2026 entscheidend für die E-Mail-Zustellbarkeit, da große Postfachanbieter diese Anforderungen durchsetzen.
Bei SPF bedeutet Identifier Alignment, dass die Überprüfung von MAIL FROM/Return-PATH bestanden werden muss und außerdem der Domain-Anteil des MAIL FROM/Return-PATH mit der Domain in der From-Adresse übereinstimmen muss. Bei Strict Alignment müssen die Domains exakt übereinstimmen, während im Relaxed Alignment auch Subdomains zulässig sind, solange sie zur selben Organisationsdomain gehören.
Beispiel: Ist MAIL-FROM/RETURN-PATH @ondmarc.com und der From-Header @knowledge.ondmarc.com, so gilt dies bei Strict Alignment als nicht ausgerichtet. Im Relaxed Alignment-Modus würde DMARC allerdings als bestanden gelten.
Ein DMARC-Aggregatbericht enthält Informationen über den Authentifizierungsstatus von im Namen einer Domain versandten Nachrichten. Es handelt sich um einen XML-Feedbackbericht, der einen umfassenden Überblick über E-Mails gibt, die SPF und DKIM bestanden oder nicht bestanden haben. Der Bericht bietet Domain-Inhabern genaue Einblicke darüber, welche Quellen im Namen Ihrer Domain E-Mails senden und welches Ergebnis (welche empfangsseitige Richtlinie) angewendet wurde.
Empfänger sehen sich das „rua“-Tag Ihres DMARC-Records an und senden Berichte an diese Adresse. Das Intervall für Aggregatberichte kann im DMARC-Record über das „ri“-Tag festgelegt werden (Standard: 86400 Sekunden = 24 Stunden). Forensikberichte enthalten detailliertere Informationen zu einzelnen Authentifizierungsfehlern. Jegliche personenbezogenen Daten (PII) werden entfernt, aber Informationen zur Fehlersuche wie SPF- und DKIM-Header-Fehlinformationen, die gesamte From-Adresse und der Betreff der E-Mail werden mit aufgenommen.
Die Adresse für den Empfang von Forensic-Berichten wird über das „ruf“-Tag im DMARC-Record angegeben. Nicht alle empfangenden Systeme unterstützen den Versand von Forensikberichten. Red Sift OnDMARC ist eine der wenigen DMARC-Lösungen am Markt, die Forensikberichte dank der Partnerschaft mit Yahoo empfangen kann.
Ein SPF-Makro bezeichnet einen Mechanismus in SPF-Records, mit dem wiederverwendbare IP-Adressenlisten definiert werden. SPF-Makros bieten mehr Flexibilität und Wartungsfreundlichkeit, da komplexe IP-Adressmengen in einem einzigen Mechanismus definiert und in mehreren SPF-Records referenziert werden können. Anstatt einzelne IP-Adressen für jeden berechtigten E-Mail-Server zu listen, kann beispielsweise ein Makro wie „%{i}“ verwendet werden, das auf die Absender-IP der E-Mail verweist. So kann man eine große Liste autorisierter IPs verwalten, ohne die SPF-Query-Grenze zu erreichen, und gleichzeitig unkenntlich machen, welche IPs öffentlich abgefragt werden dürfen.
Abhängig davon, wie der SPF-Record mit Makros aufgebaut ist, kann fehlende Makro-Erweiterung jedoch zu SPF-Fehlern oder „Neutral“-Ergebnissen führen (gekennzeichnet durch den ?all-Mechanismus). Spielen SPF-Makros eine entscheidende Rolle bei der Autorisierung legitimer Versandserver, können E-Mails möglicherweise eher bei der SPF-Prüfung durchfallen oder von empfangenden Systemen, die auf SPF-Verifizierung setzen, als verdächtig markiert werden.
Mail Transfer Agent Strict Transport Security (MTA-STS) ist ein Standard zur Verschlüsselung von Nachrichtenübertragungen zwischen zwei Mailservern. Er legt fest, dass E-Mails nur über eine TLS-verschlüsselte Verbindung übertragen werden dürfen, wodurch verhindert wird, dass E-Mails von Cyberkriminellen abgefangen werden können.
Die Einführung von MTA-STS hat 2026 signifikant zugenommen, da Organisationen die Sicherheit der Transportebene beim E-Mail-Versand als unverzichtbar betrachten. Empfangende Domains müssen zur Aktivierung von MTA-STS mitteilen, dass sie MTA-STS in ihrem DNS unterstützen, und eine Policy-Konfigurationsdatei auf ihrer Website veröffentlichen.
MTA-STS sollte vorsichtig aktiviert werden, um zu verhindern, dass E-Mails fälschlicherweise blockiert werden. Zunächst sollte die Aktivierung im Testmodus erfolgen, damit TLS-Berichte Fehlerquellen aufdecken können, bevor die Richtlinie endgültig auf „enforce“ gesetzt wird. Dieses gestufte Vorgehen wird 2026 voraussichtlich zum Standard für Organisationen bei der Implementierung von Transportverschlüsselung.
SMTP TLS Reporting (oder kurz TLS-RPT) ermöglicht die Meldung von TLS-Konnektivitätsproblemen auf Seiten der sendenden MTAs, definiert in RFC8460. Ähnlich wie DMARC setzt TLS-RPT auf per E-Mail versendete Berichte, um Domain-Inhaber über Zustellprobleme infolge von TLS-Problemen zu informieren. Diese Berichte enthalten festgestellte MTA-STS-Policies, Verkehrsdaten, fehlgeschlagene Verbindungen und Fehlerursachen.
Mit Red Sift OnDMARCs MTA-STS-Funktion entfällt der komplexe Einrichtungsaufwand: Sie müssen lediglich die MTA-STS Smart Records, die OnDMARC bereitstellt, in Ihr DNS eintragen und Red Sift übernimmt den Rest, wie Hosting der Policy-Datei, Wartung des SSL-Zertifikats und das Flaggen von Policy-Verstößen über den TLS-Bericht. Moderne DMARC-Plattformen bieten 2026 zunehmend gehostetes MTA-STS als Standardfeature an, um die Einführung der Transportverschlüsselung zu erleichtern.
Veröffentlicht unter RFC 7671 führt DANE (DNS-based Authentication of Named Entities) einen Internet-Standard zur Einrichtung von TLS-Kommunikation zwischen Client und Server ein, ohne dass auf vertrauenswürdige Zertifizierungsstellen (CAs) zurückgegriffen werden muss.
Das klassische CA-Modell für TLS erlaubt jeder CA ein Zertifikat für jede beliebige Domain auszustellen. DANE geht einen anderen Weg und stützt sich auf DNSSEC (Domain Name System Security Extensions), um einen Domainnamen kryptografisch einem Zertifikat zuzuordnen. DANE nutzt das bestehende DNSSEC-Protokoll, um sicherzustellen, dass die empfangenen Daten authentisch und unverändert sind.
Außerdem führt DANE einen neuen DNS-RR-Typ namens TLSA ein, über den dem Client signalisiert wird, dass ein Server TLS unterstützt. Die Empfehlung lautet, sowohl MTA-STS als auch DANE zu implementieren. DANE ist in vielen Behörden der EU vorgeschrieben, öffentliche Einrichtungen sind zur Einführung oft verpflichtet.
Sowohl DANE als auch MTA-STS bieten Schutz nur, wenn der Absender dies unterstützt. Viele Absender unterstützen aber nur eines von beidem, daher erhöht die Implementierung beider Methoden die Gesamtsicherheit. 2026 setzen Organisationen meist zuerst auf MTA-STS für mehr Kompatibilität und ergänzen DANE für höhere Sicherheit wo vorgeschrieben.
Mit der Subdomain-Policy können Domain-Administratoren verschiedene Domains und Subdomains je nach Status auf ihrer DMARC-Reise unterschiedlich schützen. Sind beispielsweise alle Ihre E-Mail-Dienste für die Hauptdomain vollständig mit SPF und DKIM konfiguriert, können Sie die Hauptdomain mit einer DMARC-Policy p=reject schützen und die Subdomains auf p=none belassen – oder umgekehrt.
Wenn Sie einen E-Mail-Dienst haben, der nicht DMARC-konform ist (kein SPF oder DKIM unterstützt), können Sie ihm eine Subdomain zuweisen und dafür eine andere DMARC-Policy definieren, ohne den Schutz Ihrer anderen Domains zu gefährden. So können Sie den E-Mail-Verkehr über verschiedene Subdomains verteilen und jede einzeln absichern.