SPF-Einträge

Durch einen SPF-Eintrag werden Mailserver und Domains definiert, die E-Mails für Ihre Domain senden dürfen. Jede Domain kann einen SPF-Eintrag haben. Im Eintrag können jedoch zusätzliche Server und Drittanbieter angegeben werden, die E-Mails von Ihrer Domain senden dürfen.

In Eingangsservern wird Ihr SPF-Eintrag daraufhin geprüft, ob Nachrichten, die von Ihrer Domain gesendet wurden, auch wirklich von Servern gesendet wurden, die Sie autorisiert haben.
Außerdem wird hiermit für Eingangsserver festgelegt, was nach der Prüfung mit Nachrichten geschehen soll.

Format des SPF-Eintrags

Ein SPF-Eintrag ist eine Textzeile, die eine Liste von Tags und Werten enthält. Die Tags werden Mechanismen genannt. Die Werte sind normalerweise IP-Adressen und Domainnamen.

Ein SPF-Eintrag wird Ihrem Domainanbieter in Form eines DNS-TXT-Eintrags hinzugefügt. Weitere Informationen zu TXT-Einträgen

SPF-Einträge können aus bis zu 255 Zeichen bestehen. Die Größe der TXT-Datei sollte maximal 512 Byte betragen.

Informationen zu IP-Adressen

Eine IP-Adresse wird verwendet, um Geräte zu identifizieren und eine Verbindung mit dem Internet herzustellen. Über IP-Adressen können Geräte wie Computer, Mobilgeräte und Server miteinander kommunizieren. Server, die E-Mails senden und empfangen, werden durch ihre eindeutige IP-Adresse identifiziert. Für den SPF-Eintrag Ihrer Domain werden möglicherweise die IP-Adressen der Server benötigt, von denen E-Mails für Ihre Domain gesendet werden.

IP-Version-4-Adressen (IPv4) sehen so aus: 203.0.113.42
IP-Version-6-Adressen (IPv6) sehen so aus: 2001:db8:14:5:1:2:bf35:2610

IP-Adressen werden Netzwerken normalerweise in Blöcken zugewiesen. Eine IP-Adresse mit einem Schrägstrich (/) kennzeichnet einen Block von IP-Adressen:

IPv4: 192.0.2.0/24
IPv6: 2001:db8:1234::/48

Wenn Sie eine IP-Blockadresse in Ihrem SPF-Eintrag verwenden, wird der SPF-Eintrag auf alle IP-Adressen im Block angewendet.

Mechanismen für SPF-Einträge

Erstellen Sie Ihren SPF-Eintrag mithilfe der Mechanismen in dieser Tabelle. Maileingangsserver prüfen Nachrichten anhand der Mechanismen in der im SPF-Eintrag aufgeführten Reihenfolge.

Hinweise:

Sie können optionale Kennzeichner für SPF-Einträge (weiter unten auf dieser Seite) mit den Mechanismen verwenden.
Ihr TXT-Eintrag für SPF darf nicht mehr als zehn Verweise auf andere Domains oder Server enthalten. Diese Verweise werden als Lookups bezeichnet. Weitere Informationen in Check the DNS lookups in your SPF record.

Mechanismus	Beschreibung und Werte
v	(Erforderlich) Dies ist die SPF-Version. Dieses Tag muss das erste Tag im Eintrag sein. Der Mechanismus muss so aussehen: v=spf1.
ip4	Autorisiert Mailserver anhand der IPv4-Adresse oder des IPv4-Adressbereichs. Dieser Wert muss eine IPv4-Adresse im Standardformat sein, z. B.: ip4:192.168.0.1 oder ip4:192.0.2.0/24.
ip6	Autorisiert Mailserver anhand der IPv6-Adresse oder des IPv6-Adressbereichs. Dieser Wert muss eine IPv6-Adresse oder ein IPv6-Bereich im Standardformat sein, z. B.: ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF oder ip6:2001:db8:1234::/48.
a	Autorisiert Mailserver nach Domainname, z. B.: a:example.com
mx	Autorisiert einen oder mehrere Mailserver nach MX-Eintrag der Domain, z. B.: mx:mail.example.com. Wenn sich dieser Mechanismus nicht in Ihrem SPF-Eintrag befindet, werden als Standardwert die MX-Einträge der Domain verwendet, in der der SPF-Eintrag genutzt wird.
include	Autorisiert Absender von Drittanbieter-E-Mails nach Domain, z. B.: include:servers.mail.net.
alle	Gibt an, dass alle Nachrichten übereinstimmen. Wir empfehlen, diesen Mechanismus immer in Ihrem SPF-Eintrag zu verwenden. Es muss der letzte Mechanismus im SPF-Eintrag sein. Mechanismen, die nach dem Mechanismus all in einem SPF-Eintrag kommen, werden ignoriert. Soll ich ~all oder -all verwenden? Wenn in einem SPF-Eintrag ~all (Soft fail) als Kennzeichner enthalten ist, akzeptieren Eingangsserver normalerweise Nachrichten von Absendern, die nicht in Ihrem SPF-Eintrag aufgeführt sind. Sie markieren sie jedoch als verdächtig. Wenn in einem SPF-Eintrag -all (Kennzeichner „Fail“ (nicht bestanden)) enthalten ist, lehnen Eingangsserver Nachrichten von Absendern, die nicht in Ihrem SPF-Eintrag aufgeführt sind, unter Umständen ab. Ist Ihr SPF-Eintrag nicht richtig eingerichtet, kann das dazu führen, dass mehr Nachrichten aus Ihrer Domain durch den Kennzeichner „Fail“ an den Spamordner gesendet werden. Tipp:Sie verhindern Spoofing von Domains, die keine E-Mails senden, wenn Sie den folgenden SPF-Eintrag für die Domain verwenden: vspf1 ~all.
exists	Führt eine A-Abfrage für die Domain aus, die mit dem Mechanismus exists im SPF-Eintrag angegeben wurde. Wenn ein Ergebnis gefunden wird, wird die Domain aufgelöst und die Authentifizierung ist erfolgreich. Wenn die Domain nicht aufgelöst wird, schlägt die Authentifizierung fehl.

Kennzeichner für SPF-Einträge

Ein Kennzeichner ist ein optionales Präfix, das Sie einem beliebigen Mechanismus in Ihrem SPF-Eintrag hinzufügen können. Durch Kennzeichner wird den Eingangsmailservern mitgeteilt, ob eine Nachricht als authentifiziert betrachtet werden soll, wenn es eine Übereinstimmung mit dem Wert eines Mechanismus gibt, z. B.:

v=spf1 include:_spf.google.com ~all

In diesem Beispiel wird durch den SPF-Eintrag autorisiert, dass nur Google Workspace E-Mails für Ihre Domain versenden darf. Der Mechanismus all hat den Kennzeichner „Soft fail“ ( ~ ). Dadurch bestehen Nachrichten von Absendern, die nicht in Ihrem SPF-Eintrag aufgeführt sind, die SPF-Prüfung nicht und werden möglicherweise vom Eingangsserver an den Spamordner gesendet. Wenn Nachrichten von bestimmten Absendern immer wieder an den Spamordner gesendet werden, prüfen Sie, ob diese Absender in Ihrem SPF-Eintrag aufgeführt sind.

Wenn Sie vor all in Ihrem SPF-Eintrag den Kennzeicher „Hard Fail“ ( - ) verwenden, werden Nachrichten, die die SPF-Prüfung nicht bestehen, mit höherer Wahrscheinlichkeit vom empfangenden Server abgelehnt. Sie können diese Nachrichten dann nicht zur Fehlerbehebung für Ihren SPF-Eintrag verwenden. In diesem Fall empfiehlt Google, DMARC-Berichte zu verwenden, um alle Absender für Ihre Domain zu identifizieren.

Die Mechanismen werden im SPF-Eintrag in der Reihenfolge geprüft, in der sie auftreten. Hat ein Mechanismus keinen Kennzeichner und es gibt eine Übereinstimmung, ist die Standardaktion das Bestehen der Authentifizierung. Gibt es keine Übereinstimmung mit einem Mechanismus, ist die Standardaktion neutral: Die Authentifizierung der Nachricht ist weder bestanden noch nicht bestanden.

Mit den folgenden optionalen Kennzeichnern teilen Sie Eingangsmailservern mit, wie Nachrichten behandelt werden sollen, die mit Mechanismen im SPF-Eintrag übereinstimmen.

Kennzeichner	Aktion, die der Eingangsserver mit einer Übereinstimmung ausführt
+	Authentifizierung bestanden. Der Server mit übereinstimmender IP-Adresse ist zum Senden für Ihre Domain autorisiert. Nachrichten sind authentifiziert. Das ist die Standardaktion, wenn der Mechanismus keine Kennzeichner nutzt.
–	Authentifizierung nicht bestanden. Der Server mit übereinstimmender IP-Adresse ist nicht als Absender für die Domain autorisiert. Der SPF-Eintrag enthält nicht die IP-Adresse oder Domain des sendenden Servers, also bestehen Nachrichten die Authentifizierung nicht.
~	Authentifizierung vorläufig nicht bestanden. Es ist unwahrscheinlich, dass der Server mit übereinstimmender IP-Adresse als Absender für die Domain autorisiert ist. Der empfangende Server nimmt Nachrichten normalerweise an, markiert sie aber als verdächtig.
?	Neutral. Authentifizierung weder bestanden noch nicht bestanden. Im SPF-Eintrag ist nicht explizit angegeben, dass die IP-Adresse als Absender für die Domain autorisiert ist. SPF-Einträge mit neutralen Ergebnissen nutzen häufig ?all.

Modifikatoren für SPF-Einträge (erweitert)

SPF-Modifikatoren sind Name/Wert-Paare, die durch = getrennt werden und am Ende eines SPF-Eintrags als Textstring stehen. Modifikatoren geben zusätzliche Informationen, Ausnahmen von Regeln und Abweichungen von Standardeinstellungen an. In diesem SPF-Eintrag wird beispielsweise der Mechanismus include verwendet, um die SPF-Einträge von Google zu prüfen, und der Modifikator redirect , um auf den SPF-Eintrag einer anderen Domain zu verweisen.

v=spf1 include:_spf.google.com redirect=example.com

Modifizierer	Beschreibung
-Weiterleitung	Leitet zur Authentifizierung zum SPF-Eintrag einer anderen Domain weiter. Verwenden Sie den Modifikator redirect , wenn mehr als eine Domain denselben SPF-Eintrag verwenden soll. Verwenden Sie den Modifikator redirect nur, wenn Sie alle betroffenen Domains verwalten. Verwenden Sie für Domains, die Sie nicht verwalten, den Mechanismus include. Wenn in Ihrem SPF-Eintrag der all Mechanismus verwendet wird, wird der redirect Modifikator ignoriert.
exp	Gibt einen benutzerdefinierten Grund an, warum eine Nachricht die SPF-Prüfung nicht bestanden hat. Nur verfügbar, wenn der SPF-Eintrag einen Kennzeichner für „Fail“ oder „Soft fail“ enthält. Dieser Modifikator aktiviert ein DNS-Lookup für einen TXT-Eintrag, der die Erklärung für das Nichtbestehen der Prüfung enthält. Verwenden Sie SPF-Makros, um diese Erklärung anzupassen.

Modifizierer

Beschreibung

-Weiterleitung

Leitet zur Authentifizierung zum SPF-Eintrag einer anderen Domain weiter. Verwenden Sie den Modifikator redirect , wenn mehr als eine Domain denselben SPF-Eintrag verwenden soll.

Verwenden Sie den Modifikator redirect nur, wenn Sie alle betroffenen Domains verwalten. Verwenden Sie für Domains, die Sie nicht verwalten, den Mechanismus include. Wenn in Ihrem SPF-Eintrag der all Mechanismus verwendet wird, wird der redirect Modifikator ignoriert.

exp

Gibt einen benutzerdefinierten Grund an, warum eine Nachricht die SPF-Prüfung nicht bestanden hat. Nur verfügbar, wenn der SPF-Eintrag einen Kennzeichner für „Fail“ oder „Soft fail“ enthält. Dieser Modifikator aktiviert ein DNS-Lookup für einen TXT-Eintrag, der die Erklärung für das Nichtbestehen der Prüfung enthält. Verwenden Sie SPF-Makros, um diese Erklärung anzupassen.

SPF-Einträge Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.