SPF-Record

Nach RFC 7208

Sender-Policy-Framework mit Lookup-Counter-Warnung (Limit 10 nach RFC 7208 § 4.6.4).

Was ist das, und wann brauche ich es?

Was ist das?

SPF (Sender Policy Framework, RFC 7208) ist eine Liste der IP-Adressen und Mail-Provider, die berechtigt sind, im Namen Ihrer Domain Mails zu versenden. Der Empfangs-Mailserver schaut beim Eintreffen einer Mail nach: ist die sendende IP in Ihrem SPF-Record? Wenn nein, gilt SPF als gescheitert - und das fließt in die DMARC-Bewertung ein.

SPF allein blockiert keine Mails (es signalisiert nur). Erst zusammen mit DMARC wird daraus eine Schutzwirkung.

Wann brauche ich das?

Sobald Sie Mails versenden - eigener Mailserver, Newsletter-Provider, CRM-Tool, Ticket-System. Jede dieser Quellen muss in SPF eintauchen, sonst landen ihre Mails bei strengen DMARC-Policies im Spam-Ordner oder werden abgewiesen.

Wichtig: SPF kostet pro Eintrag wie include: oder a: einen DNS-Lookup. Limit ist 10 (RFC 7208 §4.6.4). Wenn Sie viele Provider haben, liegt es nahe, alte Tools auszumisten oder direkte ip4:-Blöcke statt Includes zu nutzen.

Jeder Term beschreibt eine Quelle, die Mails für die Domain verschicken darf. Qualifier legt fest, wie der Empfänger reagiert (Pass/Fail/SoftFail/Neutral). Mechanismus bestimmt, wie die Quelle identifiziert wird (IP-Block, A/MX-Record, andere SPF-Domain via include, ...). Jede Quelle außer ip4/ip6 kostet einen DNS-Lookup (Limit 10).

Lookup-Zähler: 1 / 10 nach RFC 7208 § 4.6.4

TXT-Record auf der Domain selbst nach RFC 7208
v=spf1 include:_spf.google.com ip4:192.0.2.0/24 -all

Kostenlos, ohne Gewähr (Best-Effort). Erzeugte wie geprüfte Angaben sind unverbindlich; für fehlerhafte oder unvollständige Ergebnisse und Konfigurationen übernehmen wir keine Haftung. Anwendung und Prüfung erfolgen in eigener Verantwortung, vor dem Produktiveinsatz bitte testen.

Free, no warranty (best effort). Generated and inspected values are non-binding; we accept no liability for erroneous or incomplete results or configurations. Use and verification are your own responsibility; please test before production use.

Den Record als TXT auf der Domain selbst veröffentlichen (Hostname=@, Inhalt=der Wert oben). Subdomains erben SPF nicht - jede sendende Subdomain braucht einen eigenen Record (oder einen Wildcard-TXT, der ebenfalls nicht erbt).

Wenn der Lookup-Zähler > 10 erreicht, antworten Mailbox-Provider mit PermError und nehmen den Record als nicht vorhanden wahr. Lösung: flattenen (include in ip4/ip6 auflösen) oder include-Quellen zusammenfassen.

So tragen Sie diesen Record beim DNS-Provider ein

Der oben generierte Eintrag besteht aus drei Teilen: dem Record-Typ (typisch TXT, manchmal CAA), dem Host (Subdomain wie _dmarc, _smtp._tls oder leer für die Stamm-Domain) und dem Wert (der eigentliche Inhalt in Anführungszeichen). Diese drei Felder werden bei jedem DNS-Provider genauso abgefragt - nur das Menü-Wording unterscheidet sich.

INWX (Dernium-Standard für Neukunden)
  1. Login bei www.inwx.de.
  2. Reiter Nameserver → Domain auswählen → Nameserver-Sets verwaltenDNS-Einträge.
  3. Knopf Neuen Eintrag anlegen.
  4. Typ wählen (z. B. TXT), Hostname eintragen (für die Stamm-Domain das Feld leer lassen, sonst _dmarc o. Ä.), Wert einfügen, TTL bei 3600 belassen.
  5. Speichern. Propagation üblich innerhalb von 5-15 Minuten.
Strato
  1. Login im Strato-Kundenservicebereich.
  2. Menü Domains → Domain auswählen → Verwalten.
  3. Abschnitt DNS-VerwaltungNameserver/DNS-Einstellungen anpassen.
  4. Bei Eigene DNS-Verwaltung den passenden Record-Typ wählen (TXT-Records sind ein eigener Block), Hostname und Wert einfügen.
  5. Speichern. Strato propagiert typisch innerhalb 30-60 Minuten.
Hetzner DNS-Console
  1. Login bei dns.hetzner.com.
  2. Zone der Domain anklicken.
  3. Knopf Record hinzufügen → Typ wählen, Name eintragen (für Stamm-Domain @), Wert in das Value-Feld.
  4. Speichern. Propagation typisch unter 5 Minuten.
IONOS (1&1)
  1. Login im IONOS-Kundencenter.
  2. Menü Domains & SSL → Domain anklicken → DNS.
  3. Knopf Eintrag hinzufügen → Typ wählen, Hostname eintragen, Wert in das Inhalt-Feld.
  4. Speichern. Propagation typisch 15-60 Minuten.
Cloudflare
  1. Login bei Cloudflare, Domain auswählen.
  2. Reiter DNSRecords.
  3. Knopf Add record → Typ wählen, Name eintragen (für Stamm-Domain @), Wert einfügen, Proxy-Status für TXT/CAA auf DNS only belassen.
  4. Speichern. Propagation üblich unter 2 Minuten.

Hinweis: Wenn Ihr DNS-Anbieter hier nicht aufgeführt ist, finden Sie die richtige Stelle typisch unter Begriffen wie „DNS-Verwaltung", „Zone-Editor" oder „Records". Bei Fragen hilft der Support Ihres Providers; die hier gezeigten Pfade sind plattform-spezifisch und können sich bei Redesigns leicht verschieben.

Bestehenden SPF-Record prüfen

Liest den TXT-Record der Domain und prüft SPF gegen RFC 7208 (Lookups, Mechanismen, all-Aktion).

Probieren mit:

Server-Pfad: Diese Inspektion läuft NICHT browser-lokal. Wir holen den DNS-Record bzw. die HTTPS-Antwort über unseren Server. Wir loggen weder die abgefragte Domain noch das Ergebnis. 12 Anfragen pro Minute pro IPv4-Adresse bzw. IPv6-/64-Subnet.