Prüfen und validieren Sie sofort Ihren SPF-Record. Wir testen auf Syntaxfehler, doppelte Records und „zu viele DNS-Lookups“ und zeigen Ihnen dann genau, wie Sie Probleme beheben können. Schnell und kostenlos.
SPF erlaubt maximal 10 DNS-Lookups. Überschreiten Sie die 10, liefert der empfangende Server einen PermerError zurück, was dazu führt, dass jede E-Mail, die Sie senden, fehlschlägt.
Ein Domain, die Google Workspace, Salesforce und Mailchimp HubSpot nutzt, kann diesen Wert schnell und unbemerkt erreichen.
Sie können nur einen SPF-TXT-Record pro Domain haben. Bei zwei Records liefert der empfangende Server einen PermerError.
Dies passiert oft nach dem Wechsel des E-Mail-Anbieters, wenn der alte Record nicht entfernt wurde. Löschen Sie das Duplikat und führen Sie alles zusammen.
Ein fehlplatziertes Leerzeichen oder Tippfehler kann den gesamten Record unbrauchbar machen.
Häufige Beispiele sind inlcude statt include oder ein Record, der nicht mit v=spf1 beginnt. Der SPF-Checker markiert diese Probleme rot und zeigt genau an, wo sie sich befinden.
~all (softfail) und ?all (neutral) lehnen nicht-autorisierte Absender nicht strikt ab — E-Mails werden trotzdem zugestellt.
Ist Ihre Absenderliste stabil, nutzen Sie -all.
„SubdoMailing“, also subdomainbasiertes E-Mail-Versenden, ist eine fortschrittliche Angriffsform, die Schwachstellen bei der DMARC-Durchsetzung ausnutzt. Durch das Senden von Nachrichten aus scheinbar legitimen Subdomains, die die Authentifizierung bestehen, können Cyberkriminelle vertrauenswürdige Organisationen täuschend echt nachahmen und Empfänger in die Irre führen.
Mit diesem Leitfaden erfahren Sie:
SPF steht für Sender Policy Framework. Es ist ein E-Mail-Authentifizierungsprotokoll, das wie eine Positivliste funktioniert und definiert, welche Absender berechtigt sind, im Namen Ihrer Domain E-Mails zu versenden. Ziel ist es, E-Mail-Fälschungen zu verhindern.
SPF steht für Sender Policy Framework. Es ist ein E-Mail-Authentifizierungsprotokoll, das wie eine Positivliste funktioniert und definiert, welche Absender berechtigt sind, im Namen Ihrer Domain E-Mails zu versenden. Ziel ist es, E-Mail-Fälschungen zu verhindern.
DNS-TXT-Record, der empfangenden Mailservern anzeigt, welche IPs/Hosts berechtigt sind, E-Mails für eine Domain zu versenden.
v=spf1 include:_spf.google.com include:spf.protection.outlook.com ip4:203.0.113.5 -all
Er beginnt mit v=spf1, listet in der Mitte die berechtigten Absender auf und endet mit einem all-Qualifier. Pro Domain nur ein Record — keine Ausnahmen.
Die von SPF-Checker bereitgestellte SPF-Baumvisualisierung zeigt jeden Schritt der Auswertung des SPF-Records, wie jeder Mechanismus beurteilt wird, und ob das Ergebnis ein Pass, Fail oder Neutral ergibt. So können Nutzer die Hierarchie der SPF-Mechanismen nachvollziehen und mögliche Fehler oder Fehlkonfigurationen in ihrem Record leichter erkennen.
Am 27. Februar 2024 entdeckten Forschende bei Guardio eine groß angelegte E-Mail-Anzeigenbetrugs-Kampagne mit tausenden kompromittierten Domains und Subdomains. Mehr zum SubdoMailing-Angriff und wie Sie sich schützen finden Sie hier.
Das Red Sift SPF-Record-Prüfungstool erkennt, ob Ihr SPF-Record kompromittierte Includes enthält, durch die Ihre Domain anfällig für Spoofing wird. Die dynamische Baumvisualisierung ermöglicht, exakt anzufassen, wo sich verseuchte Includes befinden. Werden solche gefunden, empfehlen wir, diese Einträge aus Ihrem SPF-Record umgehend zu entfernen.
Eine SPF-Überprüfung Ihrer Domain stellt sicher, dass Sie korrekt für die Authentifizierung der von Ihrer Domain gesendeten E-Mails konfiguriert ist. So sinkt das Risiko, dass Ihre E-Mails im Spam landen oder von Empfänger-Servern abgelehnt werden.
Je nach SPF-Konfiguration der angegebenen Domain werden Informationshinweise angezeigt mit der Option „im SPF-Baum hervorheben“.
Ja, der SPF-Checker kann Fehler in verschachtelten Includes von Drittanbieterdaten erkennen, indem jeder einbezogene SPF-Record in der Hierarchie analysiert wird. Dadurch können Nutzer Fehler in SPF-Konfigurationen von Drittanbietern identifizieren und beheben, die die E-Mail-Authentifizierung ihrer eigenen Domain beeinträchtigen könnten.
Sie können auf den SPF-Record Ihrer Domain zugreifen, indem Sie die DNS-Records Ihrer Domain z. B. mit nslookup oder dig abfragen. Alternativ können Sie Online-SPF-Abfragetools nutzen oder die DNS-Verwaltung Ihres Domain-Registrars oder Hosting-Anbieters verwenden.
Ein Void Lookup liegt vor, wenn ein Mechanismus im SPF-Record zu einer DNS-Abfrage führt, die kein Ergebnis liefert – ein Zeichen für eine Fehlkonfiguration oder ungültigen Eintrag. Void Lookups können zu SPF-Fehlern führen und sollten behoben werden, um die Integrität der Konfiguration zu sichern.
Syntaxfehler können Sie beheben, indem Sie die SPF-Syntaxrichtlinien prüfen und den Record korrekt formatieren. Häufige Fehler sind z. B. fehlende oder falsch platzierte Mechanismen, ungültige Zeichen oder falsche Abstände. Nach Identifikation können Sie den Record direkt in der DNS-Verwaltung Ihres Domain-Registrars oder Hosting-Anbieters korrigieren.
SPF-Mechanismen sind Komponenten eines SPF-Records, mit denen festgelegt wird, welche Mailserver zum Versand im Namen einer Domain berechtigt sind. Dazu zählen IP-Adressen, Domainnamen und Qualifier, die beschreiben, wie der jeweilige Mechanismus auszulegen ist. Durch passende Mechanismen kann festgelegt werden, welche Mailserver berechtigt sind, E-Mails mit Ihrer Domain zu versenden – das erhöht Authentifizierung und Sicherheit.
Machen Sie eine Abfrage und stellen Sie sicher: ein Record, gültige Syntax, ≤10 DNS-Lookups.
Oft sind mehrere Records, Syntaxfehler oder zu viele „include“-Lookups der Grund.
RFC 7208 limitiert SPF auf 10 DNS-abfragende Mechanismen, um empfangende Server vor Überlastung zu schützen. Jede include-, a-, mx-, ptr- und redirect-Anweisung zählt mit. Überschreiten Sie das Limit, schlägt SPF für jede E-Mail fehl, inklusive legitimer. Der SPF-Checker zeigt Ihre aktuelle Lookup-Anzahl und die Quellen hierfür an.
-all (hard fail) lehnt E-Mails nicht-autorisierter Absender vollständig ab. ~all (softfail) akzeptiert diese, schickt sie aber meist in den Spam. ?all (neutral) macht keine Aussage und bietet keinen Schutz. Für Produktiv-Domains ist -all die richtige Einstellung. ~all nur verwenden, solange Sie noch alle legitimen Absender ermitteln.
Ja, unbedingt. SPF auf yourdomain.com schützt weder mail.yourdomain.com noch newsletter.yourdomain.com. Jede sendende Subdomain braucht einen eigenen Record. Subdomains ohne SPF sind anfällig für Spoofing.
