Prüfen und validieren Sie Ihren SPF-Record sofort. Wir testen auf Syntaxfehler, doppelte Records und „zu viele DNS-Lookups“ und zeigen Ihnen genau, wie Sie Probleme beheben. Schnell und kostenlos.
SPF erlaubt maximal 10 DNS-Lookups. Überschreiten Sie diesen Wert, geben empfangende Server einen PermError zurück, wodurch jede gesendete E-Mail fehlschlägt.
Eine Domain, die Google Workspace, Salesforce und Mailchimp HubSpot nutzt, kann dieses Limit erreichen, ohne es zu bemerken.
Sie dürfen nur einen SPF-TXT-Record pro Domain haben. Bei zwei Records geben empfangende Server einen PermError zurück.
Das passiert typischerweise nach einem Wechsel des E-Mail-Anbieters, wenn der alte Record vergessen wird. Löschen Sie das Duplikat und fassen Sie alles zusammen.
Ein falsch platzierter Abstand oder Tippfehler kann Ihren gesamten Record unbrauchbar machen.
Häufige Beispiele sind „inlcude“ anstelle von include, oder ein Record, der nicht mit v=spf1 beginnt. Der SPF Checker markiert solche Fehler rot und zeigt genau, wo das Problem liegt.
?all (neutral) weist unbefugte Absender nicht zurück – E-Mails werden dennoch zugestellt. Vermeiden Sie dessen Verwendung. Für aktive, versendende Domains verwenden Sie ~all in Kombination mit DMARC auf p=reject – so wird nicht authentifizierte Post abgelehnt, ohne legitime Zustellungen zu gefährden.
-all sollten Sie nur für inaktive Domains reservieren, die überhaupt keine E-Mails versenden.
„SubdoMailing“ oder subdomainbasiertes E-Mailen ist eine fortschrittliche Angriffsmethode, die Lücken in der Durchsetzung von DMARC ausnutzt. Durch das Versenden von Nachrichten über scheinbar legitime Subdomains, die Authentifizierungsprüfungen bestehen, können Cyberkriminelle überzeugend vertrauenswürdige Organisationen fälschen und Empfänger täuschen.
Mit diesem Leitfaden erfahren Sie:
SPF steht für Sender Policy Framework. Es ist ein E-Mail-Authentifizierungsprotokoll, das als Whitelist dient und festlegt, welche Absender E-Mails in Ihrem Namen versenden dürfen. Ziel ist es, E-Mail-Fälschungen zu verhindern.
SPF steht für Sender Policy Framework. Es ist ein E-Mail-Authentifizierungsprotokoll, das als Whitelist dient und festlegt, welche Absender E-Mails in Ihrem Namen versenden dürfen. Ziel ist es, E-Mail-Fälschungen zu verhindern.
DNS-TXT-Record, der empfangenden Mailservern mitteilt, welche IPs/Hosts berechtigt sind, E-Mails für eine Domain zu versenden.
v=spf1 include:_spf.google.com include:spf.protection.outlook.com ip4:203.0.113.5 -all
Er beginnt mit v=spf1, listet in der Mitte die berechtigten Absender auf und endet mit einem all-Qualifier. Ein Record pro Domain – ohne Ausnahmen.
Die von SPF Checker bereitgestellte SPF-Baum-Visualisierung zeigt jeden Schritt der Auflösung des SPF-Records und wie jeder Mechanismus bewertet wird – ob das Ergebnis ein Pass, Fail oder Neutral ist. Diese Visualisierung hilft Anwendern, die Hierarchie der SPF-Mechanismen zu verstehen und mögliche Probleme oder Fehlkonfigurationen im Record zu erkennen.
Am 27. Februar 2024 entdeckten Forscher bei Guardio eine massive Ad-Framing-E-Mail-Kampagne auf Basis tausender gekaperter Domains und Subdomains. Mehr zum SubdoMailing-Angriff und wie Sie sich schützen können, lesen Sie hier.
Das SPF-Record-Prüftool von Red Sift erkennt, ob Ihr SPF-Record kompromittierte Includes enthält, die Ihre Domain für Spoofing-Angriffe öffnen. Die dynamische Visualisierung des SPF-Baums zeigt genau, wo sich vergiftete Includes befinden. Werden kompromittierte Includes gefunden, sollten Sie diese umgehend aus Ihrem SPF-Record entfernen.
Ein SPF-Check Ihrer Domain stellt sicher, dass sie korrekt konfiguriert ist, um E-Mails zu authentifizieren, die von Ihrer Domain versendet werden. So minimieren Sie das Risiko, dass Ihre E-Mails als Spam markiert oder von Empfängerservern abgelehnt werden.
Je nach SPF-Konfiguration der angegebenen Domain werden Informationsmeldungen angezeigt mit der Option „im SPF-Baum hervorheben“.
Ja, der SPF Checker kann Fehler in verschachtelten Includes von Drittanbieter-Records erkennen, indem er jeden eingebundenen SPF-Record in der Hierarchie analysiert. So können Anwender Probleme in SPF-Konfigurationen von Drittanbietern erkennen und beheben, die die eigene E-Mail-Authentifizierung beeinträchtigen könnten.
Sie können den SPF-Record Ihrer Domain abrufen, indem Sie die DNS-Records Ihrer Domain mit Tools wie nslookup oder dig abfragen. Alternativ können Sie Online-SPF-Lookup-Tools oder das DNS-Verwaltungsinterface Ihres Domain-Registrars oder Hosting-Providers nutzen.
Ein Void Lookup entsteht, wenn ein Mechanismus im SPF-Record eine DNS-Abfrage erzeugt, die kein Ergebnis liefert – ein Zeichen für eine Fehlkonfiguration oder einen ungültigen Eintrag. Void Lookups können zu Authentifizierungsfehlern führen und sollten behoben werden, um die Integrität der SPF-Konfiguration zu sichern.
Syntaxfehler im SPF-Record können behoben werden, indem Sie die SPF-Syntaxrichtlinien überprüfen und sicherstellen, dass der Record korrekt formatiert ist. Häufige Syntaxfehler sind fehlende oder falsch platzierte Mechanismen, ungültige Zeichen und fehlerhafte Leerzeichen. Sobald identifiziert, können Sie Syntaxfehler über die DNS-Verwaltung Ihres Domain-Registrars oder Hosting-Providers korrigieren.
SPF-Mechanismen sind Bestandteile eines SPF-Records, die angeben, welche Mailserver berechtigt sind, E-Mails im Namen einer Domain zu versenden. Mechanismen können IP-Adressen, Domainnamen und Qualifier sein, die festlegen, wie der Mechanismus interpretiert wird. Durch geeignete Mechanismen im SPF-Record steuern Domaininhaber, welche Mailserver E-Mails mit ihrem Domainnamen versenden dürfen – und stärken so E-Mail-Authentifizierung und Sicherheit.
Führen Sie einen Lookup durch und stellen Sie sicher: ein Record, gültige Syntax, ≤10 DNS-Lookups.
Typischerweise durch mehrere Records, Syntaxprobleme oder zu viele „include“-Lookups.
RFC 7208 begrenzt SPF auf 10 DNS-abfragende Mechanismen, um Empfangsserver vor Überlast zu schützen. Jeder include, a, mx, ptr und redirect zählt auf dieses Limit. Überschreiten Sie den Wert, schlägt SPF für jede Mail fehl – auch für legitime E-Mails. Der SPF Checker zeigt Ihre aktuelle Lookup-Anzahl und deren Quellen an.
?all (neutral) weist unbefugte Absender nicht zurück – E-Mails werden dennoch zugestellt. Vermeiden Sie dessen Verwendung. Für aktive, versendende Domains verwenden Sie ~all in Kombination mit DMARC auf p=reject – so wird nicht authentifizierte Post abgelehnt, ohne legitime Zustellungen zu gefährden.
-all sollten Sie nur für inaktive Domains reservieren, die überhaupt keine E-Mails versenden.
Ja, und Sie sollten dies tun. SPF auf yourdomain.com deckt nicht mail.yourdomain.com oder newsletter.yourdomain.com ab. Jede versendende Subdomain benötigt ihren eigenen Record. Subdomains ohne SPF können gefälscht werden.
