Probleme bei SPF beheben

Führen Sie die Schritte in diesem Artikel aus, wenn Sie Sender Policy Framework (SPF) einrichten, bei von Ihren Domains gesendeten Nachrichten aber noch Folgendes auftritt:

  • SPF-Authentifizierung fehlgeschlagen
  • Vom Empfängerserver abgelehnt
  • An die Spamordner der Empfänger gesendet

Hinweis:Nach dem Hinzufügen eines SPF-Eintrags kann es bis zu 48 Stunden dauern, bis die SPF-Authentifizierung funktioniert.

Themen auf dieser Seite

Häufigste Lösungen

Prüfen, ob Sie einen SPF-Eintrag haben (und nur einen)

Sie benötigen einen SPF-Eintrag, um eine E-Mail zu senden. Andernfalls werden E‑Mails möglicherweise blockiert oder direkt in den Spamordner verschoben.

Jede Domain kann nur einen SPF-Eintrag haben, in dem alle Hosts oder E-Mail-Dienste angegeben sind. Wenn Sie mehrere SPF-Einträge haben, landet Ihre E‑Mail möglicherweise im Spamordner des Empfängers. Ob Sie einen SPF-Eintrag haben, können Sie mit einem der vielen kostenlosen Tools im Web prüfen. Wenn Sie mehrere SPF-Einträge haben, fassen Sie alle in einem einzigen Eintrag zusammen.

  1. Prüfen, ob SPF bereits eingerichtet ist
  2. SPF-Eintrag vorbereiten
  3. SPF-Eintrag hinzufügen oder aktualisieren

SPF-Syntax überprüfen

Wenn Sie E‑Mails nur über Google Workspace senden, sollte die SPF-Syntax so aussehen:

v=spf1 include:_spf.google.com ~all

Eine Liste der gängigen SPF-Syntax finden Sie unter SPF einrichten.

  • Achten Sie darauf, dass Sie den richtigen Qualifikator „~all“ verwenden. Das Symbol sollte eine Tilde (~) und kein Bindestrich (-) oder Fragezeichen sein. Ein Bindestrich kann zu restriktiv sein und Zustellungsprobleme bei legitimen E‑Mails verursachen. Ein Fragezeichen authentifiziert ausgehende Nachrichten nicht.
  • Seien Sie vorsichtig, wenn Sie einen SPF-Eintrag eingeben. Rechtschreibfehler, zusätzliche Leerzeichen oder die falsche Verwendung von Anführungszeichen können den SPF-Eintrag ungültig machen.
  • Wenn Sie bei Ihrem Domainhost einen SPF-Eintrag hinzufügen, geben Sie das @-Symbol ein, wenn der Host dieselbe Domain (nicht Subdomain) ist, der Sie den SPF-Eintrag hinzufügen. Geben Sie andernfalls Ihren Domainnamen ein, z. B. meinedomain.de.

Drittanbieter-Absender zum SPF-Eintrag hinzufügen

Wenn Sie andere Dienste als Google Workspace verwenden, um E-Mails im Namen Ihrer Domain zu senden, müssen Sie diese Dienste in einem SPF-Eintrag angeben. Wenn Sie beispielsweise Workspace und Salesforce zum Senden von E-Mails verwenden, muss Ihr SPF-Eintrag sowohl Google Workspace als auch Salesforce autorisieren. In diesem Beispiel lautet die SPF-Syntax:

v=spf1 include:_spf.google.com include:[salesforce_domain] ~all

Wenn Ihr SPF-Eintrag nicht auf alle Dienste verweist, die E-Mails für Ihre Domain senden, bestehen Nachrichten von diesen Absendern die SPF-Prüfung möglicherweise nicht und werden abgelehnt oder in den Spamordner verschoben.

DNS-Verwaltung

F:Was ist ein Domainhost?

A:Ein Domainhost ist ein Dienst, der die Domainnamen Ihrer Website hostet.

F:Was ist ein SPF-Eintrag?

A:Ein SPF-Eintrag ist eine Textzeile, in der IP-Adressen und Mailserver aufgeführt sind, die berechtigt sind, E-Mails im Namen Ihrer Domain zu senden.

F:Was ist ein DNS-TXT-Eintrag?

A:Ein DNS-TXT-Eintrag ist ein leerer Eintrag, der beliebige Nur-Text-Informationen zu Ihrer Domain enthalten kann. In diesem Fall fügen Sie einen SPF-Eintrag hinzu. Ihr DNS-TXT-Eintrag kann auch einen TXT-Eintrag zur Domainbestätigung enthalten, mit dem bestätigt wird, dass Sie der Inhaber der Domain sind.

F:Wie greife ich auf die DNS-Einstellungen meines Domainhosts zu?

A:Melden Sie sich bei Ihrem Domainhost an und rufen Sie die Seite auf, auf der Sie die DNS-TXT-Einträge Ihrer Domain aktualisieren. Informationen dazu, wo Sie diese Seite finden, erhalten Sie in der Dokumentation zu Ihrer Domain. Weitere Informationen finden Sie unter SPF einrichten.

F:Was ist ein DNS-Lookup?

A:Wenn ein Mailserver eingehende Nachrichten, die von Ihrer Domain gesendet wurden, anhand Ihres SPF-Eintrags prüft, führt der Server möglicherweise einen Lookup aus. Damit wird der Prozess beschrieben, durch den die IP-Adressen einer Domain gesucht werden. In den folgenden Beispielen führt jeder SPF-Eintrag zu einem Lookup:

  • SPF-Mechanismen: a, exists, include, mx, ptr
  • SPF-Modifikatoren: redirect

Weitere Informationen zu Mechanismen für SPF-Einträge und Modifikatoren für SPF-Einträge

Probleme mit zu vielen DNS-Lookups beheben

Die SPF-Spezifikation erlaubt maximal 10 DNS-Lookups (z. B. für die Mechanismen include, a und mx). Komplexe SPF-Einträge, die mehrere Drittanbieterdienste enthalten, können dieses Limit überschreiten. In diesem Fall schlägt die Validierung Ihres SPF-Eintrags fehl. Fehlermeldungen können je nach Anbieter variieren, enthalten aber möglicherweise Warnungen, dass Sie keinen SPF-Eintrag haben (auch wenn Sie einen haben).

  • Prüfen Sie die Anzahl der Lookups für den SPF-Eintrag mit dem Tool MX-Check in der Google Admin Toolbox.
  • Entfernen Sie doppelte Mechanismen und solche, die sich auf dieselbe Domain beziehen.
  • Achten Sie besonders auf verschachtelte Lookups, denn die werden auf das Limit von zehn DNS-Lookups angerechnet. Wenn Ihr SPF-Eintrag eine Domain enthält und diese wiederum in ihrem SPF-Eintrag weitere Domains enthält, werden diese weiteren Domains auf Ihr DNS-Lookup-Limit angerechnet.
  • Wenn Sie den Mechanismus include verwenden, könnten verschachtelte Lookups eventuell dazu führen, dass Ihr SPF-Eintrag mehr als zehn DNS-Lookups umfasst.
  • Bedenken Sie bei den Mechanismen ip4 und ip6, dass für SPF-Einträge ein Limit von 255 Zeichen gilt.
  • Schließen Sie nur Domains ein, die aktiv E-Mails für Sie senden.
  • Entfernen Sie alle include-Mechanismen für Dritte, die keine E‑Mails mehr für Ihre Domain senden.

24–48 Stunden warten, bis die Korrekturen wirksam werden

Nachdem Sie die Probleme mit Ihrem SPF-Eintrag behoben haben, kann es 24 bis 48 Stunden dauern, bis die Änderungen weltweit wirksam werden.

Andere Lösungen

Wenn Ihr Problem nicht in der Liste oben aufgeführt ist, versuchen Sie es mit einem oder mehreren der folgenden Schritte:

Verifizieren, dass ausgehende Nachrichten die SPF-Authentifizierung bestehen

E-Mail-Header enthalten die Ergebnisse der SPF-Authentifizierungsprüfungen. Weitere Informationen finden Sie unter Prüfen, ob eine Gmail-Nachricht authentifiziert ist und Vollständigen E-Mail-Header lesen.

IP-Bereiche aus dem SPF-Eintrag entfernen

Vermeiden Sie die Verwendung von breiten, gemeinsam genutzten IP-Adressbereichen (die häufig für Cloud-Hosting/-Computing verwendet werden) in Ihrem SPF-Eintrag. Aktualisieren Sie Ihren SPF-Eintrag, damit er feste, zugewiesene IP-Adressen für die Cloud-Computing-Instanz Ihrer Domain verwendet.

Nachrichtenweiterleitung prüfen

Auch wenn SPF in Ihrer Domain richtig eingerichtet wurde, bestehen weitergeleitete Nachrichten die SPF-Authentifizierung möglicherweise nicht. Meistens liegt das an der Art und Weise, wie der Weiterleitungsserver Nachrichten weiterleitet.

  • Prüfen Sie mit der E‑Mail-Protokollsuche, ob die Nachricht weitergeleitet wurde, und rufen Sie die ursprüngliche Empfängeradresse ab. Ist die Person, die eine Nachricht als Spam meldet, nicht der ursprüngliche Empfänger, wurde die Nachricht wahrscheinlich weitergeleitet.
  • Fragen Sie bei der Person nach, die die Nachricht weitergeleitet hat, ob dort die Methode für die Weiterleitung geändert werden kann.
  • Mit den Tools in Erweiterte Fehlerbehebung (weiter unten auf dieser Seite) können Sie Prüfungen auf verdächtige E‑Mail-Aktivitäten durchführen. Manchmal leiten Spammer Nachrichten weiter, um sich als eine bestimmte Domain oder Organisation auszugeben.

Weitere Informationen finden Sie unter Weitergeleitete Nachrichten authentifizieren.

E-Mail-Versandverfahren überprüfen

Wenn Ihre Domain einen gültigen SPF-Eintrag hat und Nachrichten trotzdem an den Spamordner gesendet werden, liegt das Problem möglicherweise nicht bei SPF. Folgen Sie den Richtlinien für E-Mail-Absender, insbesondere, wenn Sie viele E-Mails senden.

Erweiterte Fehlerbehebung

Wenn nach der Anwendung der oben genannten Korrekturen weiterhin Probleme auftreten, versuchen Sie es mit diesen erweiterten Schritten zur Fehlerbehebung:

Authentifizierungsergebnisse in Nachrichtenheadern ansehen

Die Header von Nachrichten, die aus Ihrer Domain gesendet wurden, enthalten Informationen zur SPF-Authentifizierung. Informationen dazu finden Sie im Hilfeartikel Vollständige E-Mail-Header lesen.

Suchen Sie den Teil des Nachrichtenheaders, der mit Authentication-Results (Authentifizierungsergebnisse) anfängt, und notieren Sie sich den Text neben dem Eintrag spf. Suchen Sie anhand des Inhalts dieses Nachrichtenkopfs die entsprechende Zeile in der folgenden Tabelle und führen Sie die empfohlenen Schritte aus.

Inhalt des Nachrichtenheaders Mögliche Ursachen Empfohlene Vorgehensweise
Kein Eintrag spf in Authentication-Results Die Nachricht wurde nicht durch SPF geprüft. Eventuell ist Ihr SPF-Eintrag nicht richtig eingerichtet. Gehen Sie zu Prüfen, ob Sie einen SPF-Eintrag haben (und nur einen) und SPF-Syntax prüfen (beide weiter oben auf dieser Seite).
Der Eintrag spf enthält best guess record
  • SPF wurde für Ihre Domain nicht eingerichtet.
  • SPF ist für Ihre Domain nicht richtig eingerichtet.
  • Bei Ihrem Domainanbieter gibt es ein Problem mit dem DNS.
Das SPF-Ergebnis (der Text nach spf=) lautet neutral, softfail oder fail.
  • Die Nachricht stammt von einem seriösen Absender, aber die IP-Adresse des Absenders ist nicht in Ihrem SPF-Eintrag enthalten.
  • Die Nachricht wurde absichtlich von einer nicht verifizierten IP-Adresse gesendet.
  • Die Nachricht stammt von einem nicht autorisierten Absender. In diesem Fall ist das SPF-Ergebnis korrekt.
Das SPF-Ergebnis (der Text nach spf=) lautet temperror oder permerror
  • Die Nachricht stammt von einem seriösen Absender, aber die IP-Adresse des Absenders ist nicht in Ihrem SPF-Eintrag enthalten.
  • Die Nachricht wurde absichtlich von einer nicht verifizierten IP-Adresse gesendet.
  • Die Nachricht stammt von einem nicht autorisierten Absender. In diesem Fall sind die SPF-Ergebnisse zutreffend.

Detaillierte Einblicke mit Berichtstools

Für genauere Informationen über die E‑Mail-Zustellung und die Authentifizierung für Ihre Domain eignen sich die folgenden Workspace-Berichtstools.

Berichtstools Empfohlene Vorgehensweise

E‑Mail-Logsuche

Für die Fehlerbehebung bei der Weiterleitung können Sie die ursprünglichen Zieladressen ein- und ausgehender Nachrichten mit der E-Mail-Logsuche abrufen. Darin enthalten sind die Quell-IP-Adressen eingehender Nachrichten, sodass Sie Probleme mit der SPF-Authentifizierung beheben können. Außerdem sehen Sie in der Protokollsuche, ob Nachrichten an Nutzer in Ihrer Domain als Spam markiert wurden.

Bericht „Authentifizierung“

 Welche Nachrichten aus Ihrer Domain die Authentifizierungsprüfungen für SPF, DKIM und DMARC bestehen, erfahren Sie im Bericht Authentifizierung.

Postmaster-Tools

Wenn Sie regelmäßig viele E‑Mails senden, können Sie mit Postmaster Tools Einzelheiten zu den aus Ihrer Domain versendeten Nachrichten abrufen.  Diese Funktion enthält Informationen über Zustellungsfehler, Spam-Berichte und Feedback Loops.

Sicherheitsprüftool

 Den Authentifizierungsstatus eingehender Nachrichten und eingehende nicht authentifizierte Nachrichten erhalten Sie mit dem Sicherheitsprüftool.

Gmail-Berichte und BigQuery

 Den Authentifizierungsstatus eingehender Nachrichten, detaillierte Informationen zu einzelnen Nachrichten und Zustellstatistiken über bestimmte Zeiträume erhalten Sie mit Gmail-Berichten und BigQuery.


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.