Probleme bei SPF beheben

Führen Sie die Schritte in diesem Artikel aus, wenn Sie Sender Policy Framework (SPF) einrichten, bei von Ihren Domains gesendeten Nachrichten aber noch Folgendes auftritt:

  • SPF-Authentifizierung fehlgeschlagen
  • Vom Empfangsserver abgelehnt
  • An die Spamordner der Empfänger gesendet

Hinweis:Nach dem Hinzufügen eines SPF-Eintrags kann es bis zu 48 Stunden dauern, bis die SPF-Authentifizierung funktioniert.

Themen in diesem Hilfeartikel

Häufigste Lösungen

Prüfen, ob Sie einen SPF-Eintrag haben (und nur einen)

Sie benötigen einen SPF-Eintrag, um eine E-Mail zu senden. Andernfalls werden E-Mails möglicherweise blockiert oder direkt an den Spamordner gesendet.

Jede Domain kann nur einen SPF-Eintrag haben, in dem alle Hosts oder E-Mail-Dienste angegeben sind. Wenn Sie mehrere SPF-Einträge haben, landet Ihre E-Mail möglicherweise im Spamordner des Empfängers. Mit einem der vielen kostenlosen Tools im Web können Sie prüfen, ob Sie einen SPF-Eintrag haben. Wenn Sie mehrere SPF-Einträge haben, müssen Sie sie in einem einzigen Eintrag zusammenfassen.

  1. Prüfen, ob SPF bereits eingerichtet ist.
  2. SPF -Eintrag definieren.
  3. SPF -Eintrag hinzufügen oder aktualisieren.

SPF-Syntax prüfen

Wenn Sie E-Mails nur über Google Workspace senden, sollte Ihre SPF-Syntax so aussehen:

v=spf1 include:_spf.google.com ~all

Eine Liste der gängigen SPF-Syntax finden Sie unter SPF einrichten.

  • Achten Sie darauf, dass Sie den richtigen Kennzeichner „~all“ verwenden. Das Symbol sollte eine Tilde (~) sein, kein Bindestrich (-) oder Fragezeichen. Ein Bindestrich kann zu restriktiv sein und Zustellungsprobleme für legitime E-Mails verursachen. Ein Fragezeichen authentifiziert ausgehende Nachrichten nicht.
  • Seien Sie vorsichtig, wenn Sie einen SPF-Eintrag eingeben. Tippfehler, zusätzliche Leerzeichen oder die falsche Verwendung von Anführungszeichen können den SPF-Eintrag ungültig machen.
  • Wenn Sie bei Ihrem Domainhost einen SPF-Eintrag hinzufügen, geben Sie das @-Symbol ein, wenn der Host dieselbe Domain (nicht Subdomain) ist, der Sie den SPF-Eintrag hinzufügen. Geben Sie andernfalls Ihren Domainnamen ein (z. B. ihredomain.de).

Drittanbieter-Absender zum SPF-Eintrag hinzufügen

Wenn Sie andere Dienste als Google Workspace verwenden, um E-Mails im Namen Ihrer Domain zu senden, müssen Sie diese Dienste in einem SPF-Eintrag angeben. Wenn Sie beispielsweise Workspace und Salesforce zum Senden von E-Mails verwenden, muss Ihr SPF-Eintrag sowohl Google Workspace als auch Salesforce autorisieren. In diesem Beispiel lautet die SPF-Syntax:

v=spf1 include:_spf.google.com include:[salesforce_domain] ~all

Wenn Ihr SPF-Eintrag nicht alle Dienste enthält, die E-Mails für Ihre Domain senden, bestehen Nachrichten von diesen Absendern die SPF-Prüfung möglicherweise nicht und werden abgelehnt oder an den Spamordner gesendet.

DNS-Verwaltung

F:Was ist ein Domainhost?

A:Ein Domainhost ist ein Dienst, der die Domainnamen Ihrer Website hostet.

F:Was ist ein SPF-Eintrag?

A:Ein SPF-Eintrag ist eine Textzeile, in der IP-Adressen und Mailserver aufgeführt sind, die berechtigt sind, E-Mails im Namen Ihrer Domain zu senden.

F:Was ist ein DNS-TXT-Eintrag?

A:Ein DNS-TXT-Eintrag ist ein leerer Eintrag, der beliebige Nur-Text-Informationen zu Ihrer Domain enthalten kann. In diesem Fall fügen Sie einen SPF-Eintrag hinzu. Ihr DNS-TXT-Eintrag kann auch einen TXT-Eintrag zur Domainbestätigung enthalten, der bestätigt, dass Sie Inhaber der Domain sind.

F:Wie greife ich auf die DNS-Einstellungen meines Domainhosts zu?

A:Melden Sie sich bei Ihrem Domainhost an und rufen Sie die Seite auf, auf der Sie die DNS-TXT-Einträge Ihrer Domain aktualisieren. Informationen dazu finden Sie in der Dokumentation Ihrer Domain. Weitere Informationen finden Sie unter SPF einrichten.

F:Was ist ein DNS-Lookup?

A:Wenn ein Mailserver eingehende Nachrichten, die von Ihrer Domain gesendet wurden, anhand Ihres SPF-Eintrags prüft, führt der Server möglicherweise einen Lookup aus. Ein Lookup ist der Vorgang, bei dem die IP-Adressen einer Domain gesucht werden. In den folgenden Beispielen führt jeder SPF-Eintrag zu einem Lookup:

  • SPF-Mechanismen: a, exists, include, mx, ptr
  • SPF-Modifikatoren: redirect

Weitere Informationen zu SPF-Eintrags mechanismen und SPF-Eintrags modifikatoren.

Probleme mit zu vielen DNS-Lookups beheben

Die SPF-Spezifikation erlaubt maximal zehn DNS-Lookups (z. B. die Mechanismen include, a, mx). Bei komplexen SPF-Einträgen, die mehrere Drittanbieterdienste enthalten, kann dieses Limit überschritten werden, sodass die Validierung Ihres SPF-Eintrags fehlschlägt. Fehlermeldungen können je nach Anbieter variieren, enthalten aber möglicherweise Warnungen, dass Sie keinen SPF-Eintrag haben (auch wenn Sie einen haben).

  • Prüfen Sie die Anzahl der Lookups für den SPF-Eintrag mit dem Tool MX-Check in der Google Admin Toolbox.
  • Entfernen Sie doppelte Mechanismen und Mechanismen, die auf dieselbe Domain verweisen.
  • Achten Sie besonders auf verschachtelte Lookups, denn die werden auf das Limit von zehn DNS Lookups angerechnet. Wenn Ihr SPF-Eintrag eine Domain enthält und diese wiederum in ihrem SPF-Eintrag weitere Domains enthält, werden diese weiteren Domains auf Ihr Limit für DNS-Lookups angerechnet.
  • Wenn Sie den Mechanismus include verwenden, könnten verschachtelte Lookups eventuell dazu führen, dass Ihr SPF-Eintrag mehr als zehn DNS-Lookups umfasst.
  • Bedenken Sie bei den Mechanismen ip4 und ip6, dass für SPF-Einträge ein Limit von 255 Zeichen gilt.
  • Schließen Sie nur Domains ein, die aktiv E-Mails für Sie senden.
  • Entfernen Sie alle include -Mechanismen für Drittanbieter, die keine E-Mails mehr für Ihre Domain senden.

24 bis 48 Stunden warten, bis die Korrekturen wirksam werden

Nachdem Sie die Probleme mit Ihrem SPF-Eintrag behoben haben, kann es 24 bis 48 Stunden dauern, bis diese Änderungen weltweit wirksam werden.

Andere Lösungen

Wenn Ihr Problem nicht in der Liste oben aufgeführt ist, versuchen Sie es mit einem oder mehreren der folgenden Schritte:

Verifizieren, dass ausgehende Nachrichten die SPF-Authentifizierung bestehen

E-Mail-Nachrichten-Header enthalten die Ergebnisse der SPF-Authentifizierungsprüfungen. Weitere Informationen finden Sie unter Prüfen, ob Ihre Gmail-Nachricht authentifiziert und E-Mail mit vollständigem Header nachverfolgen.

IP-Bereiche aus Ihrem SPF-Eintrag entfernen

Vermeiden Sie die Verwendung von breiten, gemeinsam genutzten IP-Adressbereichen (die häufig für Cloud-Hosting/-Computing verwendet werden) in Ihrem SPF-Eintrag. Aktualisieren Sie Ihren SPF-Eintrag, um feste, zugewiesene IP-Adressen für die Cloud-Computing-Instanz Ihrer Domain zu verwenden.

Nachrichtenweiterleitung prüfen

Auch wenn SPF für Ihre Domain korrekt eingerichtet ist, können weitergeleitete Nachrichten die SPF-Prüfung nicht bestehen. Das liegt in der Regel daran, wie der Weiterleitungsserver Nachrichten weiterleitet.

  • Prüfen Sie mit der E‑Mail-Logsuche, ob die Nachricht weitergeleitet wurde, und rufen Sie die ursprüngliche Empfängeradresse ab mit E‑Mail-Logsuche. Wenn die Person, die eine Nachricht als Spam meldet, nicht der ursprüngliche Empfänger ist, wurde die Nachricht wahrscheinlich weitergeleitet.
  • Wenden Sie sich an den Drittanbieter, der die Nachricht weitergeleitet hat, und fragen Sie, ob er die Weiterleitung von Nachrichten ändern kann.
  • Verwenden Sie die Tools unter Erweiterte Fehlerbehebung (weiter unten auf dieser Seite), um nach verdächtigen E-Mail-Aktivitäten zu suchen. Manchmal leiten Spammer Nachrichten weiter, um Domains oder Organisationen zu imitieren.

Weitere Informationen finden Sie unter Weitergeleitete Nachrichten authentifizieren.

E-Mail-Versandverfahren überprüfen

Wenn Ihre Domain einen gültigen SPF-Eintrag hat und Nachrichten trotzdem an den Spamordner gesendet werden, liegt das Problem möglicherweise nicht bei SPF. Folgen Sie den Richtlinien für E-Mail-Absender, insbesondere, wenn Sie viele E-Mails an Gmail-Nutzer senden.

Erweiterte Fehlerbehebung

Wenn Sie nach Anwendung der oben genannten Korrekturen weiterhin Probleme haben, versuchen Sie es mit diesen erweiterten Schritten zur Fehlerbehebung:

Authentifizierungsergebnisse in Nachrichtenheadern ansehen

Die Header von Nachrichten, die aus Ihrer Domain gesendet wurden, enthalten Informationen zur SPF-Authentifizierung. Wenn Sie die vollständigen Header von Nachrichten abrufen möchten, die von Ihrer Domain gesendet wurden, folgen Sie der Anleitung unter E-Mail mit vollständigem Header nachverfolgen.

Suchen Sie den Teil des Nachrichtenheaders, der mit Authentication-Results anfängt, und notieren Sie sich den Text neben dem Eintrag spf. Suchen Sie anhand dieses Nachrichtenheaderinhalts die entsprechende Zeile in der folgenden Tabelle und führen Sie die empfohlenen Schritte aus.

Inhalt des Nachrichtenheaders Mögliche Ursachen Empfohlene Vorgehensweise
Kein Eintrag spf in Authentication-Results Die Nachricht wurde nicht auf SPF geprüft. Eventuell ist Ihr SPF-Eintrag nicht richtig eingerichtet. Gehen Sie zu Prüfen, ob Sie einen SPF-Eintrag haben (und nur einen) und SPF-Syntax prüfen (beide weiter oben auf dieser Seite).
Der Eintrag spf enthält best guess record
  • SPF wurde für Ihre Domain nicht eingerichtet.
  • SPF wurde für Ihre Domain nicht richtig eingerichtet.
  • Es gibt ein Problem mit dem DNS bei Ihrem Domainanbieter.
Das SPF-Ergebnis (der Text nach spf=) lautet neutral, softfail oder fail
  • Die Nachricht stammt von einem seriösen Absender, aber die IP-Adresse des Absenders ist nicht in Ihrem SPF-Eintrag enthalten.
  • Die Nachricht wurde absichtlich von einer nicht verifizierten IP-Adresse abgesendet.
  • Die Nachricht stammt von einem nicht authentifizierten Absender. In diesem Fall ist das SPF-Ergebnis korrekt.
Das SPF-Ergebnis (der Text nach spf=) lautet temperror oder permerror
  • Die Nachricht stammt von einem seriösen Absender, aber die IP-Adresse des Absenders ist nicht in Ihrem SPF-Eintrag enthalten.
  • Die Nachricht wurde absichtlich von einer nicht verifizierten IP-Adresse abgesendet.
  • Die Nachricht stammt von einem nicht authentifizierten Absender. In diesem Fall sind die SPF-Ergebnisse zutreffend.

Detaillierte Einblicke mit Berichtstools

Für genauere Informationen über die E-Mail-Zustellung und die Authentifizierung für Ihre Domain eignen sich die folgenden Workspace Berichtstools.

Berichtstools Empfohlene Vorgehensweise

E-Mail-Logsuche

Für die Fehlerbehebung bei der Weiterleitung können Sie die ursprünglichen Zieladressen ein- und ausgehender Nachrichten mit der E‑Mail-Logsuche abrufen. Darin enthalten sind die Quell-IP-Adressen eingehender Nachrichten, sodass Sie Probleme mit der SPF-Authentifizierung beheben können. Außerdem wird angezeigt, ob Nachrichten, die von Nutzern Ihrer Domain empfangen wurden, als Spam markiert sind.

Bericht „Authentifizierung“

 Welche Nachrichten aus Ihrer Domain die Authentifizierungsprüfungen für SPF, DKIM und DMARC bestehen, erfahren Sie im Bericht „Authentifizierung“.

Postmaster Tools

Wenn Sie regelmäßig viele E-Mails senden, können Sie mit Postmaster Tools Einzelheiten zu den aus Ihrer Domain versendeten Nachrichten abrufen. Diese Funktion enthält Informationen über Zustellungsfehler, Spam-Berichte und Feedback Loops.

Sicherheitsprüftool

 Den Authentifizierungsstatus eingehender Nachrichten und eingehende nicht authentifizierte Nachrichten erhalten Sie mit dem Sicherheitsprüftool.

Gmail-Berichte und BigQuery

 Den Authentifizierungsstatus eingehender Nachrichten, detaillierte Informationen zu einzelnen Nachrichten und Zustellstatistiken über bestimmte Zeiträume erhalten Sie mit Gmail-Berichten und BigQuery.


Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.