SPF-Ausfälle 101: So umgehen Sie das 10-Lookup-Limit

TL;DR

Das Problem: SPF hat ein hartes Limit von 10 DNS-Lookups. Wird dieses überschritten, scheitern legitime E-Mails an der Authentifizierung.

Warum passiert das? Jeder E-Mail-Dienst (Google, Microsoft, Salesforce usw.) fügt zusätzliche Lookups hinzu. Moderne Unternehmen erreichen das Limit schnell.

Gescheiterte Lösungswege:

• Flattening (manuelle IP-Listen) – funktioniert nicht mehr, wenn Anbieter IPs ändern
• Mehrere SPF-Records – verstößt gegen Standards
• Ignorieren – verursacht Zustellbarkeitsprobleme

Die echte Lösung: Dynamic SPF überwacht automatisch Änderungen von Anbieter-IPs und hält Sie unter 10 Lookups – ganz ohne manuelle Arbeit.

Fazit: Klassische SPF-Workarounds scheitern. Dynamic SPF löst das Lookup-Limit dauerhaft.

SPF wirkt auf den ersten Blick einfach – bis es kompliziert wird. Das Protokoll begrenzt DNS-Auswertungen auf 10 Lookups pro Prüfung. Wird dieses Limit erreicht (oft durch ineinander verschachtelte include:-Ketten mehrerer SaaS-Plattformen), stoppen empfangende Server die Überprüfung und geben einen dauerhaften SPF-Fehler zurück. Es folgen sporadische Fehler, DMARC-Ausgleich schlägt fehl und die Zustellbarkeit leidet.

Prüfen Sie jetzt Ihre DNS mit Red Sift's kostenlosem SPF-Checker.Red Sift's kostenlosem SPF-Checker.

Moderne IT-Landschaften wachsen organisch: Marketing-Automation, Produktbenachrichtigungen, Support-Desks, Abrechnungssysteme sowie regionale Relays. Jedes fügt SPF-Includes hinzu. Ein paar Firmenübernahmen später und Sie sind unbemerkt über dem Limit. Das Ergebnis: E-Mails, die „manchmal“ ohne sichtbaren Grund scheitern – eine Albtraum-Situation für die Fehlersuche.

1. Tiefe reduzieren. Ersetzen Sie tief verschachtelte Vendor-includes durch veröffentlichte Netblocks oder dedizierte Sub-Includes, wo Anbieter das unterstützen.
2. Bevorzugen Sie DKIM zur Alignment. DKIM-Ausgleich erfüllt DMARC auch dann, wenn SPF durch Weiterleitungen scheitert.
3. Sender konsolidieren. Stillgelegte Dienste abschalten; Systeme mit geringem Versandvolumen hinter einen einzigen Relay bündeln.
4. Policy-Änderungen stufenweise vornehmen. DMARC zuerst mit p=none, Alignment beheben, überwachen, dann schrittweise auf quarantine und reject verschärfen.

Bonus-Tipp: Überwinden Sie das 10-Lookup-Limit mit Red Sift OnDMARC. Unser Dynamic SPF bietet eine zuverlässige Lösung für die Lookup-Grenze, indem Records konsolidiert und Makros überflüssig gemacht werden.

Hinweis: Nicht jeder Absender braucht ein SPF-Include. Stellen Sie sicher, dass der Return-Path in Ihrer Root-Domain liegt, bevor Sie den Mechanismus hinzufügen – denn SPF wird gegen den Return-Path geprüft. Wird ein Subdomain- oder anderer Domain-Absender genutzt, ist das Hinzufügen des Mechanismus zur Root-Domain überflüssig und vergeudet Bandbreite.

• DMARC-Reports zeigen an, welche IPs/Dienste fehlschlagen – so können Sie gezielt aussortieren.
• Führen Sie Live-Checks vor und nach DNS-Änderungen durch, um böse Überraschungen während der Propagationszeit zu vermeiden.

Red Sift OnDMARC enthält Dynamic SPF-Technologie, die das 10-DNS-Lookup-Limit eliminiert, ohne Zustellbarkeit oder Sicherheit zu beeinträchtigen.[1]

Statt traditioneller SPF-Records, die sich auf Drittanbieter-Domains beziehen (jede verbraucht einen kostbaren Lookup), hält Dynamic SPF einen einzelnen, „flachen“ Record bereit, den Red Sift automatisch in Echtzeit aktualisiert. Die Plattform überwacht kontinuierlich alle autorisierten E-Mail-Dienste auf IP-Adressänderungen und passt Ihr SPF-Record sofort an, sobald ein Anbieter seine Infrastruktur ändert.

1. Automatisiertes Monitoring: Red Sift verfolgt sämtliche IP-Adressen Ihrer E-Mail-Versanddienste (Google Workspace, Microsoft 365, Salesforce, HubSpot usw.) in Echtzeit.
2. Intelligentes Flattening: Die Plattform wandelt domainbasierte SPF-Includes in IP-Adressen um, senkt so die Lookup-Anzahl drastisch, bleibt aber vollständig abdeckend.
3. Proaktive Updates: Sobald ein Anbieter seine Versand-IPs ändert, erkennt Red Sift dies sofort und aktualisiert Ihr SPF-Record automatisch – in der Regel innerhalb von Minuten.
4. Keine manuelle Arbeit: Im Gegensatz zu klassischem SPF-Flattening, das ständiges Monitoring und manuelle Updates verlangt, erledigt Dynamic SPF alles automatisch im Hintergrund.

Organisationen können beliebig viele E-Mail-Dienste hinzufügen, ohne das 10-Lookup-Limit fürchten zu müssen. Dynamic SPF hält einen einzigen, optimierten SPF-Record unterhalb des Limits und stellt sicher, dass legitime E-Mails stets korrekt authentifiziert werden. Kein Abwägen mehr zwischen Diensten oder das Risiko von SPF-Ausfällen beim Hinzufügen neuer Tools, während das Unternehmen wächst.

Dieser automatisierte Ansatz entlastet IT- und Sicherheitsteams, die nicht mehr mühsam Anbieter-IPs überwachen oder komplexe SPF-Konfigurationen pflegen müssen.

• Nutzen Sie Red Sift Investigate für schnelle SPF/DMARC-Prüfungen über Ihre Domains hinweg.
• Setzen Sie auf OnDMARC, um Absender automatisch zu entdecken und die SPF-Records auch bei wachsenden Teams schlank zu halten. Das Resultat: stabile Alignment, weniger False-Positives und zuverlässige Zustellung in die Inbox.