Defaults.Exposed › Behebungen › Guides
Weitergeleitete E-Mail scheitert an SPF — warum Sie es nicht reparieren können, und was wirklich funktioniert (2026)
Veröffentlicht 2026-07-08
Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains. Siehe wie wir bewerten.
Sie können SPF für weitergeleitete E-Mail nicht zum Bestehen bringen — Weiterleitung bricht SPF konstruktionsbedingt, und die ehrliche Lösung ist aligned DKIM, das Weiterleitung übersteht. Das Ausmaß ist zensusweit: 7.355.985 von 138.927.207 SPF-veröffentlichenden Domains autorisieren allein Namecheaps Weiterleitungs-Include, mit einem strikten-SPF-Anteil von <0.1%, laut dem Defaults.Exposed-Zensus über 261 Millionen Domains.
Im Folgenden: warum kein SPF-Eintrag, den Sie schreiben könnten, Weiterleitung übersteht, warum SRS und ARC keine Werkzeuge sind, die Sie kontrollieren, und die Lösung, die hält — DKIM-Signierung mit Ihrer eigenen Domain als Ihr DMARC-Bestehen — plus der eine Fall, der auch DKIM bricht (Mailinglisten, die Nachrichten umschreiben) und was gegen diesen Rest zu tun ist.
Warum bricht Weiterleitung SPF?
Empfänger bewerten SPF gegen die Return-Path-Domain (RFC5321.MailFrom), nicht den From-Header. Wenn Sie direkt senden, steht die IP Ihres Servers in Ihrem SPF-Eintrag, und die Prüfung besteht. Wenn Ihr Empfänger die Nachricht automatisch weiterleitet — an ein privates Gmail-Konto, über einen Uni-Alias, über ein Weiterleitungsprodukt eines Registrars — überträgt der Weiterleitungs-Server sie erneut, wobei meist Ihre Domain im Return-Path bleibt. Der endgültige Empfänger fragt nun: Ist dieser Weiterleitungsserver in Ihrem SPF-Eintrag autorisiert?
Ist er nicht, und wird er nie sein: Sie haben den Weiterleiter nicht gewählt, Sie wissen nicht, dass er existiert, und dieselbe Nachricht, morgen über einen anderen Dienst weitergeleitet, würde von einer anderen IP scheitern. SPF beantwortet eine Frage — „kam diese IP von einem Server, den die Return-Path-Domain autorisiert hat?” — und für weitergeleitete Mail lautet die wahre Antwort nein. Das Scheitern ist SPF, das spezifikationsgemäß funktioniert, nicht Ihr fehlerhafter Eintrag.
Der Zensus zeigt, wie verbreitet dieser Weg ist: 7.355.985 Domains autorisieren Namecheaps E-Mail-Weiterleitungs-Include (spf.efwd.registrar-servers.com) — das Weiterleitungsprodukt eines einzigen Anbieters, aus 139 Millionen SPF-Veröffentlichern — mit einem strikten-SPF-Anteil von <0.1% und nur 0,2% mit durchgesetztem DMARC. Diese weiche Vorlage ist keine Nachlässigkeit: Weiterleitung ist genau die Stelle, an der ein striktes -all fehlzündet, und der Anbieter, dessen Produkt Weiterleitung ist, liefert entsprechend aus. Die vollständige Qualifier-Geschichte steht in unserem ~all-vs-—all-Bericht, und das Bild je Anbieter in welcher E-Mail-Anbieter das stärkste SPF liefert.
Kann ich nicht einfach den Server des Weiterleiters zu meinem SPF-Eintrag hinzufügen?
Nein — und das Warum ist der ganze Artikel:
- Sie können Weiterleiter nicht aufzählen. Jeder Empfänger, überall, kann Ihre Mail über jeden beliebigen Dienst weiterleiten. Ihr SPF-Eintrag müsste Server auflisten, die Sie im Voraus nicht kennen können.
- Sie aufzulisten würde den Zweck zunichtemachen. Große Weiterleitungsdienste relayen Mail für Millionen Kunden. Setzen Sie deren Bereiche in Ihren Eintrag, und jede Nachricht, die irgendeiner ihrer Nutzer relayed — auch die eines Spoofers — besteht SPF als Sie.
Dieselbe Logik schließt es aus, Ihren Qualifier zu lockern, „damit Weiterleitung funktioniert”: Der Qualifier ist nicht der Grund, warum weitergeleitete Mail scheitert, und sobald DMARC im Spiel ist, ändert er weniger, als die meisten Ratgeber behaupten — siehe die Qualifier-Daten. Der Eintrag ist hier nicht der Hebel. Hören Sie auf, daran zu ziehen.
Was ist mit SRS und ARC — lösen die nicht das Weiterleitungsproblem?
Sie adressieren es — aber keines von beiden ist Ihres, um es einzusetzen:
| Mechanismus | Was bei weitergeleiteter Mail passiert | Wer kontrolliert es | Repariert Ihr DMARC? |
|---|---|---|---|
| SPF | Scheitert: Die IP des Weiterleiters steht nicht in Ihrem Eintrag | Sie veröffentlichen ihn; Weiterleitung macht ihn zunichte | Nein |
| SRS (Sender Rewriting Scheme) | Der Weiterleiter schreibt den Return-Path auf seine eigene Domain um, sodass seine erneute Übertragung SPF besteht | Der Weiterleiter | Nein — das SPF-Bestehen gehört jetzt der Domain des Weiterleiters, die nicht mit Ihrem From aligned ist |
| ARC (RFC 8617) | Der Weiterleiter versiegelt die ursprünglichen Authentifizierungsergebnisse; der endgültige Empfänger kann der versiegelten Kette vertrauen | Der Weiterleiter und der Empfänger | Manchmal — nach Ermessen des Empfängers, nicht Ihrem |
| Aligned DKIM | Die Signatur reist innerhalb der Nachricht und verifiziert weiterhin nach der Weiterleitung, mit Ihrer Domain darin | Sie | Ja |
Daten- und Mechanismus-Stand: 2026-06-29.
SRS lässt das SPF-Problem des Weiterleiters verschwinden, nicht Ihres: Das Umschreiben des Return-Path ändert, wessen SPF geprüft wird, während Ihr From-Header — die Domain, die DMARC verteidigt — unangetastet bleibt. ARC ist eine Vertrauensentscheidung zwischen Infrastrukturbetreibern. Wenn ein Ratgeber Ihnen als Domaininhaber sagt, „implementieren Sie SRS”, hat er Sie mit dem Weiterleitungsanbieter verwechselt.
Wie überlebt meine E-Mail die Weiterleitung?
Machen Sie DKIM, aligned mit Ihrer Domain, zu Ihrem DMARC-Bestehen. Eine DKIM-Signatur ist Kryptografie, die in den Nachrichten-Headern mitreist: Sie verifiziert, wo auch immer die Nachricht landet, egal wie viele Server sie relayt haben, solange der signierte Inhalt nicht verändert wurde. DMARC braucht nur ein aligned Bestehen — SPF oder DKIM — wenn Weiterleitung also das SPF-Bein tötet, hält aligned DKIM die Nachricht authentifiziert.
- Führen Sie den kostenlosen Scan bei defaults.exposed durch, bevor Sie DNS anfassen. Er zeigt, ob Sie überhaupt DKIM haben, ob es mit Ihrer Domain signiert, und wo Ihr DMARC steht — damit Sie die echte Lücke reparieren, statt gegen Ihren SPF-Eintrag zu kämpfen.
- Bestätigen Sie, dass Weiterleitung wirklich Ihr Problem ist. Im Authentication-Results-Header einer betroffenen Nachricht besteht direkte Mail SPF, während die weitergeleitete Kopie von der IP des Weiterleitungsdienstes scheitert. Bestehen SPF und DKIM, aber DMARC scheitert trotzdem, haben Sie stattdessen ein Alignment-Problem — siehe DMARC schlägt fehl, obwohl SPF und DKIM bestehen.
- Schalten Sie DKIM-Signierung mit Ihrer eigenen Domain ein bei jedem sendenden Dienst — zuerst der Mailbox-Anbieter, dann ESPs und transaktionale Absender. Anbieter-Standardwerte signieren oft mit der Domain des Anbieters, was nicht aligned — Sie wollen
d=ihredomain. Beginnen Sie bei wie man DKIM repariert, mit Klickpfaden für Google Workspace und Microsoft 365. - Prüfen Sie das Alignment, nicht nur ein Bestehen. Die
d=-Domain in der Signatur muss mit Ihrer From-Domain übereinstimmen; eindkim=passauf der Domain eines anderen nützt Ihrem DMARC nichts. - Lassen Sie Ihren SPF-Eintrag in Ruhe. Halten Sie ihn korrekt für Ihre direkte Mail — er authentifiziert weiterhin den Großteil Ihres Verkehrs und bleibt Ihr zweites DMARC-Bein. Hören Sie nur auf zu versuchen, damit Weiterleiter abzudecken.
- Erneut scannen, dann DMARC-Durchsetzung bewusst stufenweise einführen — nächster Abschnitt, und der Rollout-Ratgeber p=none zu p=reject.
Diese Kombination — SPF plus durchgesetztes DMARC, das auf aligned DKIM reitet — ist das weiterleitungssichere Muster, und es ist selten: Von den 77,5 Millionen Domains, die ~all veröffentlichen, untermauern nur 9,2% (7.116.774) das mit einer durchgesetzten DMARC-Richtlinie, und nur 3,87% der 261 Millionen bewerteten Domains (10.092.481) vervollständigen die volle Triade aus SPF + DKIM + durchgesetztem DMARC, laut dem Zensus (2026-06-29).
Was ist mit Mailinglisten, die Nachrichten umschreiben?
Der eine Weiterleitungsweg, den aligned DKIM nicht übersteht: Mailinglisten, die die Nachricht verändern — ein [Listenname]-Betreff-Tag, eine Abmelde-Fußzeile, ein entfernter Anhang. Ändern Sie den signierten Inhalt, stimmt der Body-Hash nicht mehr überein, also scheitert auch DKIM (dkim=fail: body hash did not verify ist der eigene Ratgeber zu diesem Scheitern). Jetzt sind beide DMARC-Beine tot, und nur die Liste kann das mildern (From-Umschreibung, ARC-Versiegelung).
Genau für diesen Rest ist stufenweise DMARC-Durchsetzung da. Der Weg über p=quarantine mit einer pct-Rampe, während Sie Aggregatberichte beobachten, zeigt, wie viel Ihrer echten Mail durch umschreibende Listen fließt, bevor eine p=reject-Richtlinie anfängt, sie abzuweisen. Springen Sie nicht zu reject bei einer Domain, deren Nutzer auf Mailinglisten leben; verharren Sie aber auch nicht für immer bei p=none. Der stufenweise Rollout-Ratgeber geht die Rampe durch.
Häufig gestellte Fragen
Bricht Weiterleitung auch DKIM? Reine Weiterleitung: nein — die Signatur reist mit der Nachricht und verifiziert beim endgültigen Empfänger. DKIM bricht nur, wenn der signierte Inhalt unterwegs verändert wird — Mailinglisten-Betreff-Tags und Fußzeilen sind der klassische Fall —, weshalb der Listen-Rest durch DMARC-Richtlinien-Staging behandelt wird, nicht durch irgendetwas in DNS.
Sollte ich von -all zu ~all wechseln, damit Weiterleitung nicht mehr scheitert? Den Qualifier zu ändern lässt Weiterleiter nicht bestehen — das ist nicht, warum sie scheitern. Es ist bezeichnend, dass Namecheaps Weiterleitungs-Include, 7.355.985 Domains und die größte dedizierte Weiterleitungspopulation des Zensus (2026-06-29), mit einem strikten-SPF-Anteil von <0.1% ausgeliefert wird: Weiches SPF ist für ein Weiterleitungsprodukt womöglich die richtige Vorlage. Siehe den ~all-vs—all-Bericht dafür, was der Qualifier tatsächlich ändert.
Warum besteht meine Mail SPF, wenn direkt gesendet, scheitert aber, wenn jemand sie weiterleitet? Der Empfänger prüft, ob die IP des zuletzt übertragenden Servers von der SPF-Eintrag Ihrer Return-Path-Domain autorisiert ist. Direkt: Ihr Server, in Ihrem Eintrag, bestanden. Weitergeleitet: der Server des Weiterleiters, nicht in Ihrem Eintrag, gescheitert. Ihr Eintrag hat sich nicht geändert — die übertragende IP schon.
Kann ich SRS einrichten, um das zu beheben? Nur, wenn Sie der Weiterleiter sind. SRS läuft auf dem Server, der die Weiterleitung durchführt, und selbst dort, wo es läuft, gehört das resultierende SPF-Bestehen der Domain des Weiterleiters und ist nicht mit Ihrem From aligned — Ihr DMARC braucht weiterhin das DKIM-Bein.
Ist SPF sinnlos, wenn Weiterleitung es ohnehin bricht? Nein. Die meiste Mail wird direkt zugestellt, wo SPF genau wie vorgesehen funktioniert, und es bleibt eines Ihrer zwei DMARC-Beine. Von den 261.086.232 Domains im Zensus (2026-06-29) veröffentlichen 138.927.207 SPF — halten Sie Ihres über die SPF-Reparaturseite korrekt und lassen Sie DKIM den weitergeleiteten Rest tragen.
Senden Sie dem Inhaber den Bericht
Wenn Sie das für einen Kunden oder Ihren Arbeitgeber reparieren, schließen Sie die Schleife mit Beweisen. Sobald Custom-Domain-DKIM live ist und DMARC stufenweise eingeführt wird, führen Sie den kostenlosen Scan erneut durch und leiten Sie den bewerteten Bericht an den Domaininhaber weiter: datiert, in klarer Sprache, zeigt, dass die Domain authentifiziert bleibt, selbst wenn ihre Mail weitergeleitet wird. Das ist das Artefakt für die Cyberversicherungs-Verlängerung und den nächsten Lieferantenfragebogen — ein dokumentiertes Vorher-Nachher, nicht „ich habe etwas eingeschaltet”.
Prüfen Sie Ihre Domain → · DMARC schlägt fehl, obwohl SPF und DKIM bestehen → · DKIM reparieren → · Wie wir bewerten → · Nur aggregierte Daten. Daten werden in der EU gespeichert und verarbeitet.