Defaults.Exposed › Berichte
Was ist SPF – und wie repariere ich meinen SPF-Eintrag? (2026)
Veröffentlicht 2026-07-01
Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains. SPF (Sender Policy Framework) ist ein DNS-Eintrag, der auflistet, welche Server E-Mails für Ihre Domain versenden dürfen. Siehe Wie wir bewerten.
SPF ist eine einzige Zeile in Ihrem DNS, die besagt: „Diese Server dürfen E-Mails in meinem Namen versenden – alles andere ist als verdächtig zu behandeln.“ Über 261 Millionen Domains hinweg veröffentlichen 53,21 % einen SPF-Eintrag. Das klingt gesund, doch ein Eintrag allein schützt Sie nicht: Der abschließende Qualifikator entscheidet, ob nicht gelistete Absender abgewiesen oder durchgewunken werden, und ein großer Teil der Einträge ist so weich eingestellt, dass sie nichts bewirken. Hier erfahren Sie, was SPF tatsächlich leistet, welche Fehler wir am häufigsten sehen und wie Sie Ihren beheben.
Was ist ein SPF-Eintrag?
Wenn ein Mailserver eine Nachricht empfängt, die angeblich von Ihrer Domain stammt, ruft er Ihren SPF-Eintrag ab und prüft, ob der sendende Server auf Ihrer freigegebenen Liste steht. Der Eintrag endet mit einer Anweisung für alles, was nicht auf der Liste steht:
-all(Hardfail) – nicht gelistete Absender abweisen. Das ist die Einstellung, die es ernst meint.~all(Softfail) – annehmen, aber als verdächtig markieren. Die meisten Mails werden dennoch zugestellt.?all(neutral) – nichts tun; entspricht dem Fehlen einer Meinung.+all– alles von jedem annehmen. Das ist aktiv gefährlich und sollte niemals veröffentlicht werden.
Von den 139 Millionen Domains, die SPF veröffentlichen, verwenden nur 39,3 % ein striktes -all, während 55,8 % das weichere ~all nutzen. Und 36.014 Domains veröffentlichen +all – eine offene Einladung, die der Welt mitteilt, dass jeder in ihrem Namen senden darf.
Die Fehler, die SPF still und leise außer Kraft setzen
- Zu viele DNS-Abfragen. SPF ist auf 10 Abfragen begrenzt (RFC 7208); wird dies überschritten, schlägt der gesamte Eintrag mit „permerror“ fehl und wird ignoriert. 7.958 Domains (0,01 % derjenigen mit SPF) sprengen dieses Limit – meist durch die Verkettung zu vieler
include:-Anweisungen für Drittanbieter-Absender. +allveröffentlichen. Selten, aber katastrophal – es deaktiviert SPF vollständig und segnet Fälscher ab.- Annehmen, SPF stoppe Identitätsmissbrauch. Das tut es allein nicht. SPF prüft den technischen Sendeweg, nicht die „Von“-Adresse, die eine Person sieht. 32,4 % aller Domains veröffentlichen SPF, haben aber kein DMARC – so lässt sich der sichtbare Absender weiterhin fälschen. SPF ist die Verrohrung; DMARC-Durchsetzung ist das Schloss. Siehe SPF ohne DMARC.
Wie repariere ich meinen SPF-Eintrag?
- Veröffentlichen Sie einen SPF-Eintrag – einen einzigen TXT-Eintrag, der mit
v=spf1beginnt. Veröffentlichen Sie niemals zwei; das ist ein automatischer Fehlschlag. - Listen Sie jeden legitimen Absender auf – Ihren Postfachanbieter, Ihre Marketingplattform, Ihr CRM, Ihr Helpdesk – anhand ihrer dokumentierten
include:-Werte. - Enden Sie mit
-all, sobald Sie sicher sind, dass die Liste vollständig ist. Beginnen Sie mit~all, falls Sie einen Sicherheitspuffer benötigen, und ziehen Sie es dann an. Siehe SPF beheben. - Bleiben Sie unter 10 Abfragen – flachen Sie Includes ab oder fassen Sie sie zusammen, wenn Sie nahe am Limit sind.
- Fügen Sie anschließend DMARC hinzu – SPF und DKIM speisen DMARC, die Kontrolle, die tatsächlich verhindert, dass jemand E-Mails im Namen Ihrer Domain versendet.
Häufig gestellte Fragen
Wie sieht ein SPF-Eintrag aus?
Ein einzelner DNS-TXT-Eintrag wie v=spf1 include:_spf.google.com -all. Die include:-Einträge sind Ihre freigegebenen Absender; das -all am Ende weist alle anderen ab.
Ist ~all oder -all besser?
-all (Hardfail) ist stärker – es weist Empfänger an, nicht gelistete Absender abzuweisen. ~all (Softfail) stellt die Mail in der Regel dennoch zu. Mit Stand 2026-06-29 verwenden 39,3 % der SPF-Einträge -all und 55,8 % ~all.
Verhindert SPF, dass Leute meine Domain fälschen? Nicht von selbst. SPF regelt nicht die sichtbare „Von“-Adresse. Sie benötigen DMARC im Durchsetzungsmodus. 32,4 % der Domains haben SPF, aber kein DMARC und bleiben fälschbar.
Warum „schlägt“ mein SPF-Eintrag fehl, obwohl er richtig aussieht?
Meistens überschreitet er das 10-Abfragen-Limit und liefert permerror zurück. 0,01 % der Domains mit SPF sind davon betroffen. Reduzieren Sie die Anzahl der include:-Abfragen.
Ist die Behebung von SPF teuer? Nein – es ist eine kostenlose DNS-Änderung. Der Aufwand liegt darin, die Absenderliste vollständig und korrekt zu bekommen, nicht im Geld.
Prüfen Sie den SPF Ihrer Domain kostenlos
Sehen Sie Ihren SPF-Eintrag, seinen abschließenden Qualifikator und ob er vollständig ist – privat und nur für Eigentümer.
Domain prüfen → · SPF beheben → · DMARC beheben → · Wie wir bewerten → · Nur aggregierte Daten. Daten werden in der EU gespeichert und verarbeitet.