Sender-Policy-Framework mit Lookup-Counter-Warnung (Limit 10 nach RFC 7208 § 4.6.4).
Was ist das, und wann brauche ich es?
Was ist das?
SPF (Sender Policy Framework, RFC 7208) ist eine Liste der IP-Adressen und Mail-Provider,
die berechtigt sind, im Namen Ihrer Domain Mails zu versenden. Der Empfangs-Mailserver
schaut beim Eintreffen einer Mail nach: ist die sendende IP in Ihrem SPF-Record? Wenn nein,
gilt SPF als gescheitert - und das fließt in die DMARC-Bewertung ein.
SPF allein blockiert keine Mails (es signalisiert nur). Erst zusammen mit DMARC wird daraus
eine Schutzwirkung.
Wann brauche ich das?
Sobald Sie Mails versenden - eigener Mailserver, Newsletter-Provider, CRM-Tool,
Ticket-System. Jede dieser Quellen muss in SPF eintauchen, sonst landen ihre Mails bei
strengen DMARC-Policies im Spam-Ordner oder werden abgewiesen.
Wichtig: SPF kostet pro Eintrag wie include: oder a: einen DNS-Lookup. Limit ist 10 (RFC 7208 §4.6.4). Wenn Sie viele Provider
haben, liegt es nahe, alte Tools auszumisten oder direkte ip4:-Blöcke statt Includes zu nutzen.
Den Record als TXT auf der Domain selbst veröffentlichen (Hostname=@, Inhalt=der Wert oben). Subdomains erben SPF nicht - jede sendende Subdomain braucht einen eigenen Record (oder einen Wildcard-TXT, der ebenfalls nicht erbt).
Wenn der Lookup-Zähler > 10 erreicht, antworten Mailbox-Provider mit PermError und nehmen den Record als nicht vorhanden wahr. Lösung: flattenen (include in ip4/ip6 auflösen) oder include-Quellen zusammenfassen.
So tragen Sie diesen Record beim DNS-Provider ein
Der oben generierte Eintrag besteht aus drei Teilen: dem Record-Typ (typisch
TXT, manchmal CAA), dem Host (Subdomain wie _dmarc, _smtp._tls oder leer für die Stamm-Domain) und dem Wert (der eigentliche
Inhalt in Anführungszeichen). Diese drei Felder werden bei jedem DNS-Provider genauso abgefragt
- nur das Menü-Wording unterscheidet sich.
Knopf Record hinzufügen → Typ wählen, Name eintragen (für Stamm-Domain @), Wert in das Value-Feld.
Speichern. Propagation typisch unter 5 Minuten.
IONOS (1&1)
Login im IONOS-Kundencenter.
Menü Domains & SSL → Domain anklicken → DNS.
Knopf Eintrag hinzufügen → Typ wählen, Hostname eintragen, Wert in das Inhalt-Feld.
Speichern. Propagation typisch 15-60 Minuten.
Cloudflare
Login bei Cloudflare, Domain auswählen.
Reiter DNS → Records.
Knopf Add record → Typ wählen, Name eintragen (für Stamm-Domain @), Wert einfügen, Proxy-Status für TXT/CAA auf DNS only belassen.
Speichern. Propagation üblich unter 2 Minuten.
Hinweis: Wenn Ihr DNS-Anbieter hier nicht aufgeführt ist, finden Sie die richtige Stelle
typisch unter Begriffen wie „DNS-Verwaltung", „Zone-Editor" oder „Records". Bei Fragen hilft
der Support Ihres Providers; die hier gezeigten Pfade sind plattform-spezifisch und können
sich bei Redesigns leicht verschieben.
Bestehenden SPF-Record prüfen
Liest den TXT-Record der Domain und prüft SPF gegen RFC 7208 (Lookups, Mechanismen, all-Aktion).
Probieren mit:
Server-Pfad: Diese Inspektion läuft NICHT browser-lokal. Wir holen den DNS-Record bzw. die HTTPS-Antwort über unseren Server. Wir loggen weder die abgefragte Domain noch das Ergebnis. 12 Anfragen pro Minute pro IPv4-Adresse bzw. IPv6-/64-Subnet.