IT Security Blog

SPF-Datensatz und E-Mail-Authentifizierung und -Sicherheit verstehen

Geschrieben von Fawaz Al Ahmad | 27.03.2026 10:30:23

In einer Zeit, in der E-Mail-Sicherheit ein Muss ist, ist das Verständnis von SPF (Sender Policy Framework) entscheidend für den Schutz Ihrer Domain vor Spoofing- und Phishing-Angriffen.

Was bedeutet SPF?

SPF steht für Sender Policy Framework. Es handelt sich dabei um ein E-Mail-Authentifizierungsprotokoll, mit dessen Hilfe überprüft werden kann, welche Versandinfrastruktur E-Mails im Namen Ihrer Domäne weiterleiten darf, um so E-Mail-Spoofing zu verhindern und Ihre Marke zu schützen.

Wie funktioniert es?

SPF ermöglicht es Domänenbesitzern, eine Liste von Mailservern zu definieren, die E-Mails in ihrem Namen versenden dürfen.

Diese Liste wird als "SPF-Eintrag" bezeichnet. Sie enthält:

  • die autorisierten Parteien, die im Namen Ihrer Domäne senden dürfen.
  • die Anweisungen, die der empfangende E-Mail-Server zu befolgen hat.

Schauen wir uns an, wie das geschieht. Wenn eine E-Mail empfangen wird, überprüft der Mailserver des Empfängers den SPF-Eintrag der Domäne des Absenders, um festzustellen, ob der sendende Server autorisiert ist. Diese Überprüfung erfolgt mithilfe von SPF-Mechanismen. Diese Mechanismen sind wie eine spezielle gesprochene Sprache zwischen Servern, und wir wollen diese Syntax in diesem Blogbeitrag entschlüsseln!

SPF-Datensatz-Grundlagen

SPF-Einträge werden im Domain Name System (DNS) als TXT-Einträge veröffentlicht. Ein SPF-Datensatz folgt einem strukturierten Format und verwendet eine bestimmte Syntax, die aus Tags und Qualifiern besteht.

Ein grundlegender SPF-Eintrag sieht wie folgt aus:

v=spf1 ip4:192.168.1.1 include:example.com -all

Tags:

  • Ein Tag ist ein spezifisches Schlüsselwort, das zur Definition einer Komponente der SPF-Richtlinie verwendet wird. Die gebräuchlichsten Tags in einem SPF-Eintrag sind:

    1. v= (Version Tag) à Dies gibt die Version von SPF an, die verwendet wird. Bei SPF-Datensätzen muss es immer v=spf1 sein.
      • Beispiel: v=spf1
    2. Mechanismus-Tags à Diese definieren, wie die E-Mail-Validierung durchgeführt wird. Jeder Mechanismus ist ein Tag innerhalb des SPF-Datensatzes:
      • ip4: und ip6: Erlaubt bestimmte IPv4- oder IPv6-Adressen.
      • a: Verwendet den A-Eintrag der Domäne, um den Absender zu überprüfen.
      • mx: Verwendet die MX-Einträge der Domäne zur Überprüfung.
      • include: Verweist auf den SPF-Eintrag einer anderen Domäne.
      • all: Legt das Standardverhalten für nicht übereinstimmende Quellen fest.

Bezeichner:

  • Qualifier (+, -, ~, ?) - Ändern die Art und Weise, wie das Ergebnis eines Mechanismus interpretiert wird:
    • + (Pass) → E-Mail ist erlaubt.
    • -(Fail) → E-Mail sollte abgelehnt werden.
    • ~ (SoftFail) → E-Mail kann akzeptiert werden, wird aber gekennzeichnet.
    • ?(Neutral) → Es wird keine Grundsatzentscheidung getroffen.

Wenn Tags auf Qualifier treffen: Wie Sie Ihren SPF-Eintrag einrichten

In SPF verwenden wir Tags und fügen je nach Bedarf spezielle Qualifier hinzu, um die Liste der rechtmäßigen Absender in unserem Namen zu erstellen und festzulegen, was im Falle eines unrechtmäßigen Absenders zu tun ist. Im Folgenden werden die gängigsten SPF-Mechanismen erläutert.

  1. ip4 und ip6

Diese Mechanismen legen fest, welche IP-Adressen E-Mails senden dürfen.

  • ip4:192.168.1.1 → Erlaubt eine bestimmte IPv4-Adresse.
  • ip4:192.168.1.0/24 → Erlaubt einen Bereich von IPv4-Adressen.
  • ip6:2001:db8::1 → Erlaubt eine bestimmte IPv6-Adresse.
  1. a

Der a-Mechanismus ermöglicht den Versand von E-Mails von der IP-Adresse, die mit dem A- oder AAAA-DNS-Eintrag der Domäne verbunden ist.

  • a → gleicht die IP des sendenden Servers mit dem A-Eintrag der Domäne ab.
  • a:mail.example.com → Prüft den A-Eintrag von mail.example.com.

  1. mx

Der mx-Mechanismus autorisiert die Mailserver, die in den MX-Einträgen der Domäne aufgeführt sind.

  • mx → Erlaubt den Versand von E-Mails von den Mailservern der Domäne.
  • mx:example.com → Erlaubt Mailserver, die in den MX-Einträgen von example.com aufgeführt sind.

  1. existiert

Der exists-Mechanismus ermöglicht es einem Domänenbesitzer, einen DNS-Lookup anzugeben, um zu prüfen, ob eine Domäne existiert.

  • exists:check.example.com → Wenn check.example.com zu einer IP aufgelöst werden kann, ist die Prüfung erfolgreich.

  1. include

Mit dem Include-Mechanismus kann auf den SPF-Eintrag einer anderen Domäne verwiesen werden. Er ist nützlich, wenn ein Drittanbieterdienst (z. B. Microsoft 365, Google Workspace) E-Mails im Namen Ihrer Domain sendet.

  • include:_spf.google.com → Erlaubt den SPF-Eintrag von Google.
  • Wenn der SPF-Eintrag der referenzierten Domain fehlschlägt, wird dies als Fehlschlag betrachtet.

  1. alle

Der all-Mechanismus dient als Ausweichlösung, wenn keine anderen Mechanismen passen. Er wird in der Regel am Ende eines SPF-Datensatzes platziert und ist mit Qualifizierern gekoppelt.

  • all → Hard fail (unautorisierte E-Mails zurückweisen)
  • ~all → Soft fail (unautorisierte E-Mails als verdächtig markieren, aber dennoch akzeptieren)
  • +all → Alle Server zulassen (nicht empfohlen)
  • ?all → Neutral (keine Durchsetzung der Richtlinie)

Erhöhte E-Mail-Sicherheit: Über SPF hinaus

Reputation und Marke sind mehr wert als je zuvor, und obwohl die Implementierung von SPF allein nicht ausreicht, um in diesem von Cyberbedrohungen geprägten Zeitalter eine ausreichende E-Mail-Sicherheit zu gewährleisten, ist sie ein wichtiger erster Schritt für eine effektive E-Mail-Authentifizierung und Spoofing-Prävention.

Und schließlich sollten Sie SPF mit DKIM- und DMARC-Technologien kombinieren, um Ihre E-Mail-Sicherheitsinfrastruktur zu festigen und Ihre E-Mail-Reputation so weit wie möglich zu konsolidieren.

Um mehr über DMARC zu erfahren und seine Bedeutung zu verstehen, lesen Sie diesen Artikel https://rheintec.io/en/it-security-blog/the-importance-of-implementing-a-proper-dmarc-policy

Vollständigen Beitrag anzeigen