Red Sifts Leitfaden zur Konfiguration von E-Mail-Protokollen
SPF-Fehler: Hardfail vs. Softfail
Was ist ein SPF-Fehler?
Ein SPF-Fehler tritt auf, wenn die IP-Adresse des Absenders nicht im veröffentlichten SPF-Record gefunden wird. Fehler wirken sich erheblich auf die Zustellbarkeit Ihrer E-Mail aus, da sie dazu führen, dass die E-Mail im Spam landet oder ganz verworfen wird. Dies kann für Unternehmen, die auf E-Mail-Kommunikation mit Kunden angewiesen sind, katastrophal sein. Da große Postfachanbieter ab 2026 Authentifizierungsanforderungen durchsetzen, haben SPF-Fehler direkte Auswirkungen auf die Zustellung.
Es gibt zwei Arten von SPF-Fehlern – SPF-Softfail und SPF-Hardfail. Ein Hardfail zeigt an, dass eine E-Mail nicht autorisiert ist, während ein Softfail bedeutet, dass eine E-Mail vermutlich nicht autorisiert wurde. Für den Empfänger der E-Mail bestimmt dies die Behandlung der E-Mail: Ein Hardfail weist den Empfänger an, die E-Mail abzulehnen, während ein Softfail nahelegt, sie in den Spam-Ordner umzuleiten.
Wir werden zwei Beispiele verwenden, um den visuellen Unterschied zwischen beiden Varianten zu demonstrieren.
Beispiel für SPF-Hardfail
v=spf1 ip4:192.168.0.1 -all
Im obigen Beispiel bedeutet das Minuszeichen (vor all am Ende des Records), dass alle Absender, die nicht in diesem SPF-Record aufgeführt sind, als Hardfail behandelt werden – d.h. sie sind nicht autorisiert und deren E-Mails sollten verworfen werden. In diesem Fall ist nur die IP-Adresse 192.168.0.1 zum Senden von E-Mails autorisiert – keine anderen.
Beispiel für SPF-Softfail
v=spf1 include:spf.protection.outlook.com ~all
Im obigen Beispiel bedeutet das Tilde-Zeichen (vor all am Ende des Records), dass alle Absender, die nicht in diesem SPF-Record aufgeführt sind, als Softfail behandelt werden sollen – das heißt, E-Mails dürfen prinzipiell zugelassen, sollten aber als Spam oder verdächtig markiert werden. In diesem Fall autorisiert der Mechanismus include:spf.protection.outook.com Microsoft 365 zum Versand von E-Mails. Jegliche E-Mails von anderen Servern sollten von den Empfängern als Spam markiert werden.
Unsicher beim SPF-Setup? Nutzen Sie unseren kostenlosen Checker, um loszulegen.
Welchen SPF-Fehlermodus sollten Sie verwenden?
Da Hardfail ("-all") signalisiert, dass unautorisierte Absender, die nicht im SPF-Record enthalten sind, abgelehnt werden sollen, scheint dies zunächst die bevorzugte Methode zu sein. Doch die Entscheidung ist differenzierter.
Vor DMARC wurden SPF-Records üblicherweise mit dem "-all"-Mechanismus geführt, um Absender strikt einzuschränken – ohne die zusätzliche Authentifizierungsschicht von DKIM und DMARC.
Die aktuelle Branchenempfehlung 2026 spricht sich jedoch für "~all" aus, um Sicherheit und Zustellbarkeit in Einklang zu bringen und unnötige Ablehnungen legitimer E-Mails zu vermeiden, die bei SPF durchfallen könnten, aber DKIM und DMARC bestehen.
Die Branche ist sich einig, dass bei SPF-Modi Sorgfalt geboten ist; die DMARC-Spezifikation (RFC 7489) gibt an:
„Manche Empfängerarchitekturen implementieren SPF bereits vor allen DMARC-Operationen. Das bedeutet, dass ein "-"-Präfix im SPF-Mechanismus des Absenders, wie etwa "-all", eine Ablehnung bereits früh im Mailflow auslösen kann – noch bevor DMARC verarbeitet wird. Betreiber, die "-all" einsetzen, sollten sich dessen bewusst sein.“
Aus diesen Gründen empfehlen wir Folgendes:
- Nutzen Sie "-all" für inaktive Domains ohne E-Mail-Versand: Wenden Sie "-all" nur an, wenn die Domain keinerlei E-Mails versendet. Damit blockieren Sie streng jegliche unautorisierten E-Mails, riskieren aber die Ablehnung legitimer Mails, falls der SPF-Record nicht aktuell ist.
- Nutzen Sie "~all" für aktive, E-Mail-verschickende Domains: Greifen Sie zu "~all", wenn Sie SPF gemeinsam mit DKIM und DMARC zur Abwehr von Phishing und Spoofing einsetzen. Denn "~all" – in Kombination mit DMARC (bei p=reject) – sorgt trotzdem dafür, dass unautorisierte Mails abgelehnt werden, falls SPF und DKIM fehlschlagen. Dieser Modus blockiert keine legitimen E-Mails und verbessert somit die Zustellbarkeit insgesamt.
Zusammengefasst: Softfail bildet einen Mittelweg zwischen strenger Sicherheit (die legitime E-Mails blockieren könnte) und Flexibilität in der E-Mail-Zustellung, sodass E-Mails auch bei gelegentlichen Fehlern im SPF-Record zustellbar bleiben.
Wie wird SPF-Softfail von Cybersecurity-Rating-Unternehmen bewertet?
Es ist möglich, dass einige Bewertungsunternehmen Abzüge vergeben, wenn Ihre Domains mit SPF-Softfail konfiguriert sind. Wir sind jedoch der Meinung, dass das Herabsetzen des Sicherheitsscores einer Domain basierend auf Softfail das tatsächliche Risikoprofil verzerren und Organisationen benachteiligen kann, die branchenüblichen Empfehlungen für verantwortungsvolles E-Mail-Management und Sicherheit folgen. Im Jahr 2026 liefert eine korrekte DMARC-Implementierung mit p=reject die nötige Durchsetzung zur Absicherung bei SPF-Softfail.
Andererseits erkennen Bewertungsdienste wie Security Scorecard an, dass DMARC (bei einer Quarantäne- oder Reject-Policy) ein „kompensierendes“ Kontrollinstrument für SPF-Softfail ist.
Werden Sie bei einer Cybersecurity-Prüfung für SPF-Softfail abgestraft, suchen Sie das Gespräch mit dem Bewertungsteam und erläutern Sie Ihre E-Mail-Authentifizierungsstrategie sowie die Ausrichtung an Best Practices der Branche. Plädieren Sie für einen differenzierten Ansatz bei der Beurteilung der Sicherheitslage, der alle E-Mail-Sicherheitsmaßnahmen im Kontext betrachtet und nicht einzelne Konfigurationen isoliert abwertet.
Warum SPF allein nicht ausreicht und DMARC trotzdem erforderlich ist
Unabhängig davon, welchen Fehlermodus Sie im SPF-Record wählen, beachten empfangende Server die gewünschte Policy meist nicht. Deshalb ist DMARC ab 2026 bei großen Postfachanbietern Pflicht. Denn SPF ist in folgenden Punkten limitiert:
- Es ist keine Übereinstimmung zwischen der Domain im
From-Feld und der geprüftenReturn-Path-Adresse gefordert. Aus SPF-Sicht müssen diese nicht übereinstimmen. - SPF bietet keine Reporting-Funktionalität – der Empfänger sendet dem Absender keine Berichte zu den Ergebnissen der E-Mail-Authentifizierung zurück.
- SPF übersteht weder automatisches Weiterleiten noch indirekte Mailflows, was zu Authentifizierungsproblemen führen kann.
Aufgrund dieser Einschränkungen wurde DMARC (Domain-based Message Authentication, Reporting, and Conformance) als zusätzlicher Standard zur E-Mail-Authentifizierung eingeführt. DMARC behebt die Schwächen von SPF und bietet folgende Verbesserungen:
- DMARC konzentriert sich auf den sichtbaren
From-Header, der für Endnutzer sichtbar ist. - DMARC fordert eine Übereinstimmung zwischen der SPF-Domain und der im sichtbaren
From-Header verwendeten Domain. - DMARC ignoriert die Unterscheidung zwischen Softfail und Hardfail bei der SPF-Konfiguration und behandelt sie allgemein als SPF-Fehler.
- DMARC bietet Reporting-Funktionalität, sodass Authentifizierungsergebnisse an den Besitzer der
From-Domain gesendet werden. Dies hilft, Domainmissbrauch zu erkennen und Fehlkonfigurationen mit legitimen Versendern zu beheben. - DMARC enthält eine Policy, die Empfängern vorgibt, wie mit E-Mails umzugehen ist, die die Authentifizierung nicht bestehen – und diese Policy wird durchgesetzt. Im Gegensatz dazu fehlen SPF Enforcement-Mechanismen.
DMARC hat sich als Authentifizierungsstandard weitgehend durchgesetzt, da damit die Schwächen von SPF und DKIM beseitigt, exakte E-Mail-Imitationen gestoppt und die Zustellbarkeit verbessert werden können. Ab 2026 ist DMARC für Massenversender bei Google, Yahoo und Microsoft verpflichtend und gilt damit als neuer Goldstandard der E-Mail-Authentifizierung.
Prüfen Sie Ihren SPF-Record kostenlos – keine Anmeldung erforderlich.
Häufig gestellte Fragen: Leitfaden zur Konfiguration von E-Mail-Protokollen
In einer Zeit vor DMARC verwendeten SPF-Records häufig den Mechanismus „-all“, um Absender-Richtlinien streng durchzusetzen. Die aktuellen Branchenempfehlungen im Jahr 2026 bevorzugen jedoch „~all“, um Sicherheit und Zustellbarkeit auszubalancieren und unnötige Ablehnungen gültiger E-Mails zu vermeiden, die möglicherweise bei SPF fehlschlagen, aber DKIM und DMARC bestehen.
Das liegt daran, dass „~all“ in Kombination mit DMARC (bei p=reject) weiterhin nicht authentifizierte E-Mails ablehnt, falls SPF und DKIM fehlschlagen, aber keine legitimen E-Mails blockiert. Dadurch wird die allgemeine E-Mail-Zustellbarkeit erhöht.
Die DMARC-Spezifikation (RFC 7489) besagt, dass ein „-“-Präfix wie bei „-all“ bei einem SPF-Mechanismus des Absenders dazu führen kann, dass Ablehnungen bereits frühzeitig während der Verarbeitung wirken und somit Nachrichten zurückgewiesen werden, bevor eine DMARC-Prüfung stattfindet. Verwenden Sie „-all“ ausschließlich für inaktive, nicht versendende Domains (Domains, die keinerlei E-Mails senden). DMARC ignoriert die Unterschiede zwischen Soft Fail und Hard Fail in der SPF-Konfiguration und behandelt beide als SPF-Fehler.
DMARC verlangt nicht nur, dass SPF oder DKIM bestanden werden, sondern es erfordert auch, dass mindestens eine der von SPF oder DKIM verwendeten Domains mit der im From-Header gefundenen Domain übereinstimmt (Alignment). Eine korrekte Ausrichtung ist im Jahr 2026 entscheidend für die E-Mail-Zustellbarkeit, da große Postfachanbieter diese Anforderungen durchsetzen.
Bei SPF bedeutet Identifier Alignment, dass die Überprüfung von MAIL FROM/Return-PATH bestanden werden muss und außerdem der Domain-Anteil des MAIL FROM/Return-PATH mit der Domain in der From-Adresse übereinstimmen muss. Bei Strict Alignment müssen die Domains exakt übereinstimmen, während im Relaxed Alignment auch Subdomains zulässig sind, solange sie zur selben Organisationsdomain gehören.
Beispiel: Ist MAIL-FROM/RETURN-PATH @ondmarc.com und der From-Header @knowledge.ondmarc.com, so gilt dies bei Strict Alignment als nicht ausgerichtet. Im Relaxed Alignment-Modus würde DMARC allerdings als bestanden gelten.
Ein DMARC-Aggregatbericht enthält Informationen über den Authentifizierungsstatus von im Namen einer Domain versandten Nachrichten. Es handelt sich um einen XML-Feedbackbericht, der einen umfassenden Überblick über E-Mails gibt, die SPF und DKIM bestanden oder nicht bestanden haben. Der Bericht bietet Domain-Inhabern genaue Einblicke darüber, welche Quellen im Namen Ihrer Domain E-Mails senden und welches Ergebnis (welche empfangsseitige Richtlinie) angewendet wurde.
Empfänger sehen sich das „rua“-Tag Ihres DMARC-Records an und senden Berichte an diese Adresse. Das Intervall für Aggregatberichte kann im DMARC-Record über das „ri“-Tag festgelegt werden (Standard: 86400 Sekunden = 24 Stunden). Forensikberichte enthalten detailliertere Informationen zu einzelnen Authentifizierungsfehlern. Jegliche personenbezogenen Daten (PII) werden entfernt, aber Informationen zur Fehlersuche wie SPF- und DKIM-Header-Fehlinformationen, die gesamte From-Adresse und der Betreff der E-Mail werden mit aufgenommen.
Die Adresse für den Empfang von Forensic-Berichten wird über das „ruf“-Tag im DMARC-Record angegeben. Nicht alle empfangenden Systeme unterstützen den Versand von Forensikberichten. Red Sift OnDMARC ist eine der wenigen DMARC-Lösungen am Markt, die Forensikberichte dank der Partnerschaft mit Yahoo empfangen kann.
Ein SPF-Makro bezeichnet einen Mechanismus in SPF-Records, mit dem wiederverwendbare IP-Adressenlisten definiert werden. SPF-Makros bieten mehr Flexibilität und Wartungsfreundlichkeit, da komplexe IP-Adressmengen in einem einzigen Mechanismus definiert und in mehreren SPF-Records referenziert werden können. Anstatt einzelne IP-Adressen für jeden berechtigten E-Mail-Server zu listen, kann beispielsweise ein Makro wie „%{i}“ verwendet werden, das auf die Absender-IP der E-Mail verweist. So kann man eine große Liste autorisierter IPs verwalten, ohne die SPF-Query-Grenze zu erreichen, und gleichzeitig unkenntlich machen, welche IPs öffentlich abgefragt werden dürfen.
Abhängig davon, wie der SPF-Record mit Makros aufgebaut ist, kann fehlende Makro-Erweiterung jedoch zu SPF-Fehlern oder „Neutral“-Ergebnissen führen (gekennzeichnet durch den ?all-Mechanismus). Spielen SPF-Makros eine entscheidende Rolle bei der Autorisierung legitimer Versandserver, können E-Mails möglicherweise eher bei der SPF-Prüfung durchfallen oder von empfangenden Systemen, die auf SPF-Verifizierung setzen, als verdächtig markiert werden.
Mail Transfer Agent Strict Transport Security (MTA-STS) ist ein Standard zur Verschlüsselung von Nachrichtenübertragungen zwischen zwei Mailservern. Er legt fest, dass E-Mails nur über eine TLS-verschlüsselte Verbindung übertragen werden dürfen, wodurch verhindert wird, dass E-Mails von Cyberkriminellen abgefangen werden können.
Die Einführung von MTA-STS hat 2026 signifikant zugenommen, da Organisationen die Sicherheit der Transportebene beim E-Mail-Versand als unverzichtbar betrachten. Empfangende Domains müssen zur Aktivierung von MTA-STS mitteilen, dass sie MTA-STS in ihrem DNS unterstützen, und eine Policy-Konfigurationsdatei auf ihrer Website veröffentlichen.
MTA-STS sollte vorsichtig aktiviert werden, um zu verhindern, dass E-Mails fälschlicherweise blockiert werden. Zunächst sollte die Aktivierung im Testmodus erfolgen, damit TLS-Berichte Fehlerquellen aufdecken können, bevor die Richtlinie endgültig auf „enforce“ gesetzt wird. Dieses gestufte Vorgehen wird 2026 voraussichtlich zum Standard für Organisationen bei der Implementierung von Transportverschlüsselung.
SMTP TLS Reporting (oder kurz TLS-RPT) ermöglicht die Meldung von TLS-Konnektivitätsproblemen auf Seiten der sendenden MTAs, definiert in RFC8460. Ähnlich wie DMARC setzt TLS-RPT auf per E-Mail versendete Berichte, um Domain-Inhaber über Zustellprobleme infolge von TLS-Problemen zu informieren. Diese Berichte enthalten festgestellte MTA-STS-Policies, Verkehrsdaten, fehlgeschlagene Verbindungen und Fehlerursachen.
Mit Red Sift OnDMARCs MTA-STS-Funktion entfällt der komplexe Einrichtungsaufwand: Sie müssen lediglich die MTA-STS Smart Records, die OnDMARC bereitstellt, in Ihr DNS eintragen und Red Sift übernimmt den Rest, wie Hosting der Policy-Datei, Wartung des SSL-Zertifikats und das Flaggen von Policy-Verstößen über den TLS-Bericht. Moderne DMARC-Plattformen bieten 2026 zunehmend gehostetes MTA-STS als Standardfeature an, um die Einführung der Transportverschlüsselung zu erleichtern.
Veröffentlicht unter RFC 7671 führt DANE (DNS-based Authentication of Named Entities) einen Internet-Standard zur Einrichtung von TLS-Kommunikation zwischen Client und Server ein, ohne dass auf vertrauenswürdige Zertifizierungsstellen (CAs) zurückgegriffen werden muss.
Das klassische CA-Modell für TLS erlaubt jeder CA ein Zertifikat für jede beliebige Domain auszustellen. DANE geht einen anderen Weg und stützt sich auf DNSSEC (Domain Name System Security Extensions), um einen Domainnamen kryptografisch einem Zertifikat zuzuordnen. DANE nutzt das bestehende DNSSEC-Protokoll, um sicherzustellen, dass die empfangenen Daten authentisch und unverändert sind.
Außerdem führt DANE einen neuen DNS-RR-Typ namens TLSA ein, über den dem Client signalisiert wird, dass ein Server TLS unterstützt. Die Empfehlung lautet, sowohl MTA-STS als auch DANE zu implementieren. DANE ist in vielen Behörden der EU vorgeschrieben, öffentliche Einrichtungen sind zur Einführung oft verpflichtet.
Sowohl DANE als auch MTA-STS bieten Schutz nur, wenn der Absender dies unterstützt. Viele Absender unterstützen aber nur eines von beidem, daher erhöht die Implementierung beider Methoden die Gesamtsicherheit. 2026 setzen Organisationen meist zuerst auf MTA-STS für mehr Kompatibilität und ergänzen DANE für höhere Sicherheit wo vorgeschrieben.
Mit der Subdomain-Policy können Domain-Administratoren verschiedene Domains und Subdomains je nach Status auf ihrer DMARC-Reise unterschiedlich schützen. Sind beispielsweise alle Ihre E-Mail-Dienste für die Hauptdomain vollständig mit SPF und DKIM konfiguriert, können Sie die Hauptdomain mit einer DMARC-Policy p=reject schützen und die Subdomains auf p=none belassen – oder umgekehrt.
Wenn Sie einen E-Mail-Dienst haben, der nicht DMARC-konform ist (kein SPF oder DKIM unterstützt), können Sie ihm eine Subdomain zuweisen und dafür eine andere DMARC-Policy definieren, ohne den Schutz Ihrer anderen Domains zu gefährden. So können Sie den E-Mail-Verkehr über verschiedene Subdomains verteilen und jede einzeln absichern.