Autor: on | Featured

SPF einfach erklärt: Sender Policy Framework prüfen und richtig nutzen

  • Aktualisiert am 11. Mai 2026

SPF steht für Sender Policy Framework und hilft empfangenden Mailservern zu prüfen, ob ein Server E-Mails für deine Domain versenden darf. Dafür wird ein SPF-Record als TXT-Eintrag im DNS hinterlegt. Klingt trocken, ist aber wichtig: Ein falscher, veralteter oder zu komplexer SPF-Record kann zu Authentifizierungsfehlern führen und deine E-Mail-Zustellbarkeit belasten.

In diesem Artikel erfährst du, wie SPF funktioniert, wie ein SPF-Record aufgebaut ist, welche Fehler besonders häufig auftreten und worauf du beim Prüfen deines SPF-Setups achten solltest.

TL;DR

SPF ist ein DNS-Eintrag, der festlegt, welche Mailserver E-Mails für deine Domain senden dürfen. Wichtig ist: SPF prüft vor allem die Envelope-From- beziehungsweise Return-Path-Domain, nicht automatisch die sichtbare From-Adresse im Posteingang.

  • Nutze nur einen SPF-Record pro Domain.
  • Vermeide mehr als 10 DNS-Lookups.
  • Entferne veraltete Includes früherer Versandtools.
  • Kombiniere SPF immer mit DKIM und DMARC.

Was ist das Sender Policy Framework (SPF)?

Die E-Mail hat einen Geburtsfehler: Die Absenderadresse ist frei wählbar. Wo @paypal.com draufsteht, muss nicht PayPal drin sein. Aus diesem Dilemma hilft das Sender Policy Framework (SPF). SPF erlaubt dem Inhaber einer Domain festzulegen, welche Mailserver E-Mails für diese Domain versenden dürfen.

Wichtig: Geprüft wird dabei vor allem die Domain im Return-Path beziehungsweise Envelope-From, nicht zwingend die sichtbare From-Adresse im Posteingang.

Warum SPF für dein E-Mail-Marketing unverzichtbar ist

Schutz vor Spoofing

Email Spoofing ist eine beliebte Methode von Spammern und Phishern. Dabei wird deine Domain gefälscht, um vertrauenswürdig zu wirken. Das kann nicht nur deinen Ruf ruinieren, sondern auch Zustellprobleme verursachen. Mit einem korrekt eingerichteten SPF-Record schließt du diese Tür weitgehend. Du gibst eindeutig vor, wer für dich E-Mails senden darf – und alle anderen werden aussortiert.

Für dich als Marketing Manager bedeutet das: weniger Risiko, dass deine Domain auf schwarzen Listen landet und aufgrund von Betrugsfällen die Reputation deiner Brand in Mitleidenschaft gezogen wird.

Mach den Deliverability-Quickcheck und sieh, wo deine größten Hebel liegen: Setup, Listenhygiene, Versandverhalten und Monitoring.

Bessere E-Mail-Zustellbarkeit

Zustellbarkeit ist das A und O im E-Mail Marketing. Eine durchdachte inhaltliche Strategie bringt nichts, wenn deine Mails im Spamfilter verschwinden. SPF hilft dabei, das Vertrauen der Empfangsserver zu gewinnen. Große E-Mail-Anbieter wie Gmail, Outlook oder Yahoo bewerten Authentifizierungssignale sehr genau. SPF allein garantiert keine Inbox-Platzierung, aber ein fehlender oder fehlerhafter SPF-Record kann ein deutliches Negativsignal sein.

Auch in Kombination mit weiteren Techniken wie DKIM und DMARC verbessert SPF die Glaubwürdigkeit deiner Absenderadresse – ein echter Booster für deine Open Rates und die Conversion deiner Kampagnen.

Wie funktioniert SPF technisch?

Die DNS-Einträge verstehen

SPF wird als ein TXT-Record in deinem DNS eingetragen. Dieser Eintrag enthält Informationen darüber, welche Server autorisiert sind, E-Mails für deine Domain zu senden. Ein Beispiel für einen einfachen SPF-Eintrag sieht so aus:

				
					v=spf1 include:mailprovider.de ip4:123.123.123.123 -all

Bedeutung im Detail:

  • v=spf1: Version des SPF-Protokolls
  • include: Erlaubt einem externen Provider (z. B. Mailchimp), Mails in deinem Namen zu senden
  • ip4: Autorisierte IP-Adresse eines Servers
  • -all: Alle anderen werden abgelehnt

Das DNS liefert diesen Eintrag, sobald ein Empfangsserver danach fragt. Auf dieser Basis wird dann entschieden, ob die Mail angenommen wird oder nicht.

Was passiert beim SPF-Check?

Wenn du eine E-Mail verschickst, prüft der Empfangsserver die Absenderdomain. Er schaut im DNS nach dem SPF-Record und vergleicht die IP-Adresse des sendenden Servers mit den dort gelisteten. Passt alles? Super – die Mail wird angenommen. Passt etwas nicht? Je nach Konfiguration des Empfangsservers wird sie abgelehnt, als Spam markiert oder genauer geprüft.

SPF Funktionsweise für E-Mail-Authentifizierung

Dieser Check läuft in Sekundenschnelle ab und ist für den Nutzer unsichtbar. Für dich als Absender ist er aber entscheidend, ob deine E-Mails erfolgreich zugestellt werden.

Aufbau eines SPF-Records

Jeder SPF-Record beginnt mit einer Versionsnummer für die aktuelle SPF-Version: 

v=spf1

Es folgen, stets getrennt durch ein Leerzeichen, Regeln zur Überprüfung der Legitimation. Diese Ausdrücke werden die in der Reihenfolge von vorne nach hinten ausgewertet und bestehend jeweils aus

  • einem Qualifikator und
  • einem Mechanismus

Qualifikatoren im Überblick

+ : Autorisierte Sender; ist kein Qualifikator angegeben, so wird + angenommen.

: Nicht autorisierte Sender

~ : Nicht autorisierte Sender, der Empfänger soll diesen Fehlschlag aber großzügig behandeln.

? : Über die Legitimität des Senders soll nichts ausgesagt werden; der Sender muss so behandelt werden, als wenn kein Qualifikator angegeben wäre.

Mechanismen im Überblick

  • ip4 / ip6: Erlaubt bestimmte IP-Adressen
  • include: Zieht SPF-Records von anderen Domains hinzu
  • a / mx: Erlaubt Server, die mit deinen A- oder MX-Einträgen verknüpft sind
  • all: Gibt an, wie mit allen nicht definierten Servern umgegangen werden soll (-all, ~all, ?all, +all)

Erläuterung am Beispiel

				
					v=spf1 include:mailprovider.de ip4:123.123.123.123 -all

Dieser SPF-Record besteht aus drei Regeln, auch Direktiven genannt. Die ersten beiden beschreiben autorisierte Mailserver. Folglich könnte der Record auch so aussehen:

				
					v=spf1 +include:mailprovider.de +ip4:123.123.123.123 -all

Trifft nun gleich die erste Direktive zu, gilt SPF als bestanden. Doch je mehr DNS Lookups für die Überprüfung notwendig sind, desto größer ist die Gefahr, dass SPF irgendwo „hängen bleibt“ und fehlschlägt.

Kurzum: Ein SPF-Record sollte  gut strukturiert sein, sodass das Maximum von notwendigen 10 DNS Lookups nie überschritten wird. Deshalb sind Mechanismen mit Bezug auf konkrete IP-Nummern stets vorzuziehen.

Häufige Fehler beim SPF-Setup und wie du sie vermeidest

Zu viele DNS-Lookups

Ein häufiger Fehler ist, dass zu viele „include“-Einträge verwendet werden, was schnell das Limit von 10 DNS-Lookups überschreitet. Wenn dieses Limit erreicht wird, gilt der SPF-Check als „permerror“ (= permanent error) und deine E-Mail wird möglicherweise blockiert.

Lösung: Nutze Includes nur, wenn es nicht anders geht. Überprüfe regelmäßig deine SPF-Konfiguration mit Tools wie MXToolbox oder GlockApps und versuche, Einträge zusammenzufassen und Regeln auf IP-Nummern zu beziehen.

Veraltete Einträge

Aus den genannten Gründen ist es wichtig, seinen SPF Record regelmäßig aufzuräumen. Vor allem dann, wenn sich die Versandtechnologie geändert hat. (Wechsel von Mailchimp zu Brevo o.ä.). Ungültige Einträge können Fehler auslösen. Auch besteht die Gefahr, dass Dritte deinen ungültigen Eintrag missbrauchen könnten, wenn sie dieselbe Shared IP nutzen.  

Tipp: Dokumentiere alle Systeme, die für dich E-Mails versenden, und stelle sicher, dass sie korrekt im SPF-Record eingetragen sind.

SPF in Kombination mit DKIM und DMARC

Warum SPF allein nicht reicht

SPF ist ein guter Anfang, aber kein vollständiger Schutz.

  • Denn auch wenn der Return-Path einer E-Mail zum Absender passt, kann die sichtbare (FROM-)Absenderadresse immer noch abweichen.
  • SPF legt nicht fest, wie mit unautorisierten E-Mails umgegangen werden soll.
  • SPF kann bei Weiterleitungen Probleme machen, weil der ursprüngliche sendende Server aus Sicht des Empfängers nicht mehr eindeutig passt.
  • SPF schützt nicht vor Manipulation des Email Headers während des Versands.
  • SPF basiert auf DNS Lookups und ist in der Folge nicht zu 100% zuverlässig. 

Zusammenspiel von SPF, DKIM und DMARC

  • SPF prüft, ob ein autorisierter Server die Mail sendet.
  • DKIM stellt sicher, dass die Nachricht unterwegs nicht verändert wurde.
  • DMARC überprüft das Domain Alignment und definiert, was passiert, wenn SPF oder DKIM fehlschlagen (z. B. Quarantäne oder Ablehnung).

Nur wenn alle drei Technologien richtig zusammenspielen, ist deine E-Mail-Authentifizierung ausreichend.

Frank Rix
Frank Rix (Autor)

Fazit

SPF ist kein Nice-to-Have, sondern ein wichtiger Baustein für professionelle E-Mail-Authentifizierung. Ganz gleich, wie groß dein Versandvolumen ist: Ein sauberer SPF-Record schützt deine Domain, reduziert Authentifizierungsfehler und stärkt das Vertrauen in deine E-Mail-Kommunikation.

Kostenlose Beratung

Mit Email Deliverability verhält es sich wie mit dem Zahnarztbesuch: Hinauszögern kann sehr schmerzhaft sein. Lass uns sprechen, um präventiv geeignete Maßnahmen zu ergreifen.

Termin vereinbaren

FAQ: SPF, SPF-Record und Sender Policy Framework

Was ist SPF einfach erklärt?

SPF ist ein DNS-Eintrag, der festlegt, welche Mailserver E-Mails für eine Domain versenden dürfen. Empfangende Mailserver können dadurch prüfen, ob eine E-Mail von einem autorisierten System kommt.

Wie prüfe ich einen SPF-Record?

Du kannst einen SPF-Record mit DNS-Tools oder E-Mail-Zustellbarkeitstools prüfen. Wichtig sind vor allem: Existiert genau ein SPF-Record, sind alle Versanddienste enthalten und bleibt der Record unter dem Limit von 10 DNS-Lookups?

Was bedeutet -all im SPF-Record?

Der Mechanismus -all bedeutet, dass nicht ausdrücklich erlaubte Sender als nicht autorisiert gelten. Ob eine E-Mail dadurch abgelehnt, markiert oder weiter geprüft wird, entscheidet am Ende der empfangende Mailserver.

Warum reicht SPF allein nicht aus?

SPF schützt nicht vollständig vor Spoofing und kann bei Weiterleitungen Probleme machen. Deshalb sollte SPF immer zusammen mit DKIM und DMARC eingesetzt werden.

Ergänzende Artikel