Defaults.Exposed › Behebungen › SPF (Sender Policy Framework)

So beheben Sie SPF (Sender Policy Framework)

SPF ist die Zeile in den Einstellungen Ihrer Domain, die auflistet, welche Maildienste E-Mails im Namen Ihres Unternehmens versenden dürfen. Ohne sie kann jeder auf der Welt E-Mails versenden, die so aussehen, als kämen sie von Ihnen — und Ihre eigenen echten E-Mails landen eher im Spam Ihrer Kunden.

Das Wichtigste für Ihr Unternehmen: Jeder kann E-Mails versenden und dabei vorgeben, Ihr Unternehmen zu sein — an Ihre Kunden, Mitarbeiter und Lieferanten: Rechnungen, Aufforderungen zur Änderung von Bankdaten, alles. Gleichzeitig landen Ihre echten Angebote und Rechnungen eher im Müll, sodass Geschäfte still und leise versanden.

Was Sie das kosten kann

Ein Betrüger schickt Ihrem Kunden eine Rechnung 'von Ihnen' mit seinen eigenen Bankdaten und wird bezahlt. Sie erfahren es Wochen später, wenn der Kunde fragt, wo seine Ware bleibt — und nun geht es um Ihren Ruf und womöglich Ihre Haftung.
Ihre Angebote, Rechnungen und Antworten landen unbemerkt im Spam-Ordner Ihrer Kunden, weil große Anbieter nicht überprüfen können, ob sie wirklich von Ihnen stammen. Geschäfte kühlen ab, und Sie erfahren nie, warum.
Ein Betrüger gibt sich als Ihr Chef oder als Ihre Buchhaltung aus und schreibt Mitarbeitern eine E-Mail mit der Bitte um eine dringende Zahlung oder Geschenkkarten — die Nachricht scheint tatsächlich von Ihrer Domain zu kommen, also zahlt jemand.
Die IT- oder Sicherheitsprüfung eines größeren Interessenten kontrolliert Ihre Domain, sieht keinen Absenderschutz und springt entweder ab oder verlangt eine Korrektur, bevor unterschrieben wird — das kostet Sie den Auftrag oder Wochen Verzögerung.
Sie glauben, geschützt zu sein, weil ein SPF-Eintrag existiert — aber er steht auf 'Soft Fail', ohne dass etwas ihn durchsetzt, oder er ist unbemerkt defekt, sodass gefälschte E-Mails trotzdem durchkommen.

Warum es wichtig ist. Die 'Von'-Adresse einer E-Mail zu fälschen ist kinderleicht und kostet einen Angreifer nichts. SPF ist der günstigste, schnellste Weg, Ihre Domain schwerer fälschbar zu machen und Ihre echten E-Mails aus dem Spam herauszuhalten. Google und Yahoo verschieben oder lehnen E-Mails von nicht authentifizierten Domains inzwischen aktiv ab — das ist also nicht mehr optional, sondern die Grundvoraussetzung dafür, dass Ihre E-Mails überhaupt zugestellt werden.

Die Kurzfassung

Solange Sie SPF nicht korrekt eingerichtet haben, kann derzeit jeder auf der Welt E-Mails versenden, die so aussehen, als kämen sie von Ihrem Unternehmen. Sie können Ihren Kunden gefälschte Rechnungen schicken, Ihren Mitarbeitern gefälschte Zahlungsaufforderungen und Ihren Lieferanten E-Mails, als wären sie Sie — und die Nachrichten wirken echt, weil nichts an Ihrer Domain das Gegenteil aussagt.

SPF (Sender Policy Framework) ist die Lösung. Es ist eine einzige Textzeile in den Einstellungen Ihrer Domain, die auflistet, welche Maildienste tatsächlich in Ihrem Namen versenden dürfen. Empfangende Mailanbieter — Gmail, Outlook, alle — prüfen diese Liste, bevor sie entscheiden, ob eine Nachricht echt ist. Keine Liste oder eine schwache, und sie haben nichts, woran sie sich halten können.

Diese Seite behandelt zwei Dinge, die beide stimmen müssen: ob überhaupt ein SPF-Eintrag existiert und ob er streng genug eingestellt ist, um seine Aufgabe wirklich zu erfüllen.

Was Sie das kosten kann

Das sind die alltäglichen, realen Wege, auf denen ein fehlender oder schwacher SPF-Eintrag dazu führt, dass Geld und Vertrauen aus der Tür spazieren. Wir nennen niemals ein echtes Unternehmen — das sind die Muster, die wir in den Daten beobachten.

Die umgeleitete Rechnung. Ein Krimineller schickt einem Ihrer Kunden eine E-Mail, die exakt so aussieht, als käme sie von Ihnen, mit einer echt wirkenden Rechnung und seinem eigenen Bankkonto. Ihr Kunde zahlt sie. Das Erste, was Sie davon hören, ist eine Nachfrage, wo die Bestellung bleibt. Nun haben Sie einen verärgerten Kunden, eine an einen Kriminellen gegangene Zahlung und ein schwieriges Gespräch darüber, wer den Verlust trägt.
Der Chef-/Finanzbetrug. Jemand schreibt Ihrer Buchhaltung ‘vom’ Inhaber: „Kurze Bitte — kannst du diese Zahlung noch vor Feierabend durchführen?” Weil die Nachricht tatsächlich von Ihrer Domain zu kommen scheint, schlägt niemand Alarm. Geld verlässt das Unternehmen.
Die stille Zustellsteuer. Ihre Angebote und Rechnungen landen zunehmend im Spam-Ordner Ihrer Kunden, weil Gmail und Yahoo nicht überprüfen können, ob sie wirklich von Ihnen stammen. Sie erhalten keine Fehlermeldung, keine Rückläufer — Geschäfte verstummen einfach. Sie verlieren Aufträge und können nicht einmal sehen, wie es geschieht.
Der verlorene Auftrag. Das Einkaufs- oder Sicherheitsteam eines größeren Kunden führt im Rahmen des Onboardings eine einfache Prüfung Ihrer Domain durch. Es sieht keine Absender-Authentifizierung und stuft Sie als Risiko ein. Im besten Fall müssen Sie unter Zeitdruck nachbessern; im schlimmsten Fall geht der Kunde zu einem Wettbewerber, der die Prüfung bestanden hat.”
Die Rufschädigungswelle. Ihre Domain wird in einer Phishing-Kampagne gegen die Öffentlichkeit eingesetzt. Wer einmal geschädigt wurde, misstraut nun jeder E-Mail mit Ihrem Namen — sodass selbst Ihre echten Angebote und Verlängerungen ignoriert oder gemeldet werden.

Der rote Faden in all dem: Der Angreifer gibt nichts aus, und Ihr Unternehmen trägt die Kosten und die Schuld.

Was es eigentlich ist

Wenn eine E-Mail eintrifft, will der empfangende Mailserver eines wissen: Stammt sie wirklich von dem, von dem sie zu stammen behauptet? SPF beantwortet einen Teil dieser Frage.

Sie veröffentlichen eine kurze Textzeile in den DNS-Einstellungen Ihrer Domain — einen „TXT-Eintrag” —, der die Maildienste benennt, die in Ihrem Namen versenden dürfen. Etwa so:

v=spf1 include:_spf.google.com include:sendgrid.net -all

In Klartext liest sich das so: „Echte E-Mails von uns kommen von Googles Servern und SendGrids Servern — lehne alles andere ab, das vorgibt, wir zu sein.”

Die beiden Teile, die für Ihre Bewertung zählen:

Existiert der Eintrag? Das ist der entscheidende Punkt (er hat das größte Gewicht aller einzelnen E-Mail-Prüfungen). Kein Eintrag bedeutet, dass Empfänger keine Liste zum Abgleich haben, sodass Identitätsmissbrauch weit offensteht. Es gibt hier auch eine subtile Fehlerquelle: Wenn Ihre Domain zwei oder mehr SPF-Einträge hat, sind laut Regelwerk alle ungültig — Sie haben also faktisch gar kein SPF, obwohl es so aussieht.
Ist die Richtlinie streng genug? Ein Eintrag kann existieren und trotzdem zahnlos sein. Das Ende — der „all”-Mechanismus — ist die Anweisung an Empfänger:
- -all (Hard Fail) — alles ablehnen, was nicht auf der Liste steht. Am stärksten. Volle Punktzahl.
- ~all (Soft Fail) + DMARC auf reject — die moderne empfohlene Einrichtung. Gleichwertiger Schutz wie Hard Fail, ohne das Risiko, dass legitime weitergeleitete E-Mails abprallen. Volle Punktzahl.
- ~all + DMARC auf quarantine — akzeptabel, etwas schwächer; stellen Sie DMARC auf reject für vollen Schutz.
- ~all allein (ohne DMARC-Durchsetzung) — schwach. Das sagt „wahrscheinlich gefälscht, stell es trotzdem zu.” Gefälschte E-Mails kommen weiterhin durch. Das ist die Falle, in die viele Unternehmen tappen und glauben, geschützt zu sein.
- ?all (neutral) — bietet keinen Schutz.
- +all — aktiv gefährlich: Es sagt der ganzen Welt, dass jeder in Ihrem Namen senden darf. Verwenden Sie das niemals.

Es gibt noch einen unsichtbaren Fehler: SPF darf bei der Auswertung nur bis zu 10 DNS-Lookups auslösen. Stapeln Sie zu viele include:-Einträge, überschreitet der Eintrag dieses Limit, woraufhin Empfänger das Ganze als defekt behandeln — und Sie sind wieder ohne Schutz. Das ist ein häufiges, unbemerktes Problem für Unternehmen, die viele Marketing- und SaaS-Tools nutzen.

Wie „gut” aussieht: genau ein SPF-Eintrag, der jeden Dienst auflistet, der legitim in Ihrem Namen versendet, der auf -all endet (oder ~all gepaart mit DMARC auf p=reject) und der komfortabel unter dem 10-Lookup-Limit bleibt.

So beheben Sie es (kostenlos, ~10 Minuten)

Geben Sie diesen Abschnitt an die Person weiter, die Ihre Domain oder Website betreut — und beachten Sie, dass die Behebung kostenlos ist. Es ist eine Änderung an einer DNS-Einstellung, kein Produkt, das man kauft. Wir berechnen nur die Überwachung, dass es über die Zeit korrekt bleibt, nicht die Änderung selbst.

Schritt 1 — Listen Sie jeden Dienst auf, der in Ihrem Namen E-Mails versendet. Das ist der Teil, den die Leute falsch machen. Schreiben Sie alle auf: Ihren Mailbox-Anbieter (Google Workspace, Microsoft 365 usw.), dazu jedes Newsletter-Tool, CRM, Helpdesk, jede E-Commerce-Plattform, Rechnungs-/Buchhaltungs-App und jedes Buchungssystem. Wenn ein Dienst mit Ihrem Namen versendet und Sie ihn vergessen, blockiert Ihr SPF dessen E-Mails, sobald Sie die Richtlinie verschärfen.

Schritt 2 — Veröffentlichen Sie einen TXT-Eintrag auf Ihrer Root-Domain. Kombinieren Sie die „include”-Zeilen all Ihrer Absender in einem einzigen Eintrag. Je nach gängiger Plattform:

Google Workspace: include:_spf.google.com
Microsoft 365: include:spf.protection.outlook.com
SendGrid: include:sendgrid.net
Mailchimp: include:servers.mcsv.net
Zoho: include:zoho.eu (oder die regionsgerechte Domain)

Ein kombinierter Eintrag sieht so aus:

v=spf1 include:_spf.google.com include:spf.protection.outlook.com include:sendgrid.net -all

Wo Sie ihn hinzufügen, je nach Anbieter:

Cloudflare: DNS → Records → Add record → Typ TXT, Name @, Inhalt = der obige Wert.
Microsoft 365 / Google Admin: sie geben die exakte include-Zeichenkette in ihrem Einrichtungsassistenten vor; kopieren Sie sie in den TXT-Eintrag bei Ihrem DNS-Host.
GoDaddy / die meisten Hoster: DNS-Verwaltung → Hinzufügen → TXT, Host/Name @, Wert = der Eintrag.

Schritt 3 — Sicher starten, dann durchsetzen. Während Sie prüfen, ob Ihre Absenderliste vollständig ist, veröffentlichen Sie mit ~all (Soft Fail), damit nichts Legitimes versehentlich blockiert wird. Sobald Sie bestätigt haben, dass alle echten E-Mails weiterhin fließen, verschärfen Sie auf -all (Hard Fail) — oder besser: behalten Sie ~all und ergänzen Sie eine DMARC-Richtlinie p=reject, die empfohlene moderne Kombination.

Schritt 4 — Stellen Sie sicher, dass Sie genau EINEN Eintrag haben. Wenn bereits ein alter SPF-Eintrag existiert, bearbeiten Sie diesen, statt einen zweiten hinzuzufügen. Zwei v=spf1-Einträge heben sich gegenseitig auf und lassen Sie ungeschützt.

Schritt 5 — Behalten Sie die Lookup-Zahl im Auge. Wenn Sie viele Absender haben, können Sie das 10-Lookup-Limit überschreiten. Falls das passiert, konsolidieren Sie — manche Anbieter bieten „SPF-Flattening” an, oder entfernen Sie Absender, die Sie nicht mehr nutzen.

Schritt 6 — Prüfen Sie Ihre Domain erneut, um zu bestätigen, dass sie nun besteht, mit vorhandenem Eintrag und strenger Richtlinie.

Häufige Fehler

Zwei SPF-Einträge. Der häufigste stille Fehler. Einen neuen Eintrag hinzuzufügen, statt den bestehenden zu bearbeiten, macht beide ungültig. Es darf genau einen geben.
Bei ~all aufhören und annehmen, man sei fertig. Soft Fail ohne DMARC dahinter ist der schwache Mittelweg — es sieht konfiguriert aus, schützt aber kaum. Gehen Sie entweder auf -all oder kombinieren Sie ~all mit DMARC p=reject.
Einen Absender vergessen. Auf -all zu verschärfen, bevor Sie Ihre Rechnungs-App, Ihr CRM oder Ihr Newsletter-Tool aufgelistet haben, blockiert Ihre eigenen legitimen E-Mails. Listen Sie zuerst alles auf.
Das 10-Lookup-Limit sprengen. Jedes include: kann zu weiteren Lookups verketten. Zu viele, und der Eintrag gilt als defekt. Halten Sie ihn schlank.
+all verwenden. Das autorisiert ausdrücklich das gesamte Internet, in Ihrem Namen zu senden. Das ist schlimmer, als gar keinen Eintrag zu haben. Veröffentlichen Sie es niemals.

Wo das hineinpasst

SPF ist das Fundament, aber es ist eine von drei Schichten. DKIM fügt eine kryptografische Signatur hinzu, die beweist, dass eine Nachricht nicht manipuliert wurde, und DMARC ist die Anweisung, die SPF und DKIM zusammenbindet und Empfängern sagt, was sie mit fehlgeschlagenen E-Mails tatsächlich tun sollen — einschließlich der Blockierung von Identitätsmissbrauch des sichtbaren „Von”-Namens, den Ihre Kunden sehen. Bringen Sie zuerst SPF in Ordnung (es ist der schnellste Gewinn und hat das größte Gewicht), ergänzen Sie dann DKIM und DMARC, um die Tür vollständig zu schließen. Alle drei Behebungen sind kostenlos.

Richten Sie es bei Ihrem Anbieter ein

Schritt für Schritt für gängige Anbieter:

FAQ

Ich bin nicht technisch versiert — kann ich das selbst erledigen?

Sie müssen die Details nicht verstehen. Die Änderung besteht aus einer oder zwei Zeilen, die den Einstellungen Ihrer Domain hinzugefügt werden — erledigt von der Person, die Ihre Website betreut, oder Ihrem IT-Dienstleister. Geben Sie ihnen den Abschnitt 'So beheben Sie es' weiter; es dauert meist wenige Minuten und ist kostenlos. Wir berechnen nur die laufende Überwachung, damit alles korrekt bleibt.

Wir haben bereits einen SPF-Eintrag — sind wir damit nicht abgesichert?

Nicht unbedingt. Einen Eintrag zu haben ist die erste Hälfte; ihn streng einzustellen die zweite. Ein Eintrag, der auf '~all' (Soft Fail) endet, ohne DMARC dahinter, sagt empfangenden Servern: 'Das könnte gefälscht sein, stell es trotzdem zu' — das bietet kaum Schutz. Zwei SPF-Einträge, oder einer mit zu vielen Lookups, gelten als defekt und geben Ihnen überhaupt keinen Schutz, obwohl es so aussieht, als ob einer existiert. Beide Hälften müssen stimmen.

Wird die Behebung versehentlich meine eigene E-Mail lahmlegen?

Das kann passieren, wenn der Eintrag einen legitimen Absender übersieht — zum Beispiel Ihre Rechnungs-App oder Ihr Newsletter-Tool, das in Ihrem Namen versendet. Genau deshalb ist der sichere Weg: zuerst jeden Dienst auflisten, der in Ihrem Namen versendet, mit einem sanften '~all' veröffentlichen, während Sie prüfen, dass nichts fehlt, und dann auf Hard Fail verschärfen. In dieser Reihenfolge bricht nichts.

Was ist der Unterschied zwischen '~all' und '-all', und welches sollten wir verwenden?

'-all' (Hard Fail) weist Empfänger an, alles abzulehnen, was nicht auf Ihrer Liste steht — die strengste Einstellung. '~all' (Soft Fail) sagt: 'wahrscheinlich nicht legitim, aber nimm es trotzdem an.' Die moderne Best-Practice-Empfehlung ist '~all' kombiniert mit einer DMARC-Richtlinie 'reject' — dieses Paar gibt Ihnen denselben Schutz wie '-all', ohne das Risiko, dass weitergeleitete E-Mails abprallen. '~all' allein, ohne durchsetzendes DMARC, ist die schwache Konfiguration, die Sie vermeiden sollten.

Stoppt SPF allein jegliches E-Mail-Spoofing?

Nein — es ist die unverzichtbare erste Schicht, nicht die ganze Antwort. SPF sagt, welche Server für Sie senden dürfen, aber es teilt Empfängern nicht mit, was bei einem fehlgeschlagenen Test zu tun ist, und es deckt nicht den sichtbaren 'Von'-Namen ab, den ein Nutzer sieht. Um Identitätsmissbrauch vollständig zu unterbinden, brauchen Sie zusätzlich DKIM und DMARC. SPF ist der schnellste, wirkungsvollste erste Schritt, also beginnen Sie hier und ergänzen Sie dann die anderen beiden.

Wie lange dauert es, bis es wirkt, und könnte es etwas kosten?

DNS-Änderungen wirken meist innerhalb von Minuten bis wenigen Stunden. Die Behebung selbst ist immer kostenlos — es ist lediglich die Bearbeitung einer Einstellung bei Ihrem DNS-Anbieter. Wer Ihnen erzählt, dass ein kostenpflichtiges Produkt nötig sei, um einen SPF-Eintrag hinzuzufügen, liegt falsch.