SPF-Records konfigurieren: Anleitung zur E-Mail-Authentifizierung
Schlage deinen SPF-Record nach und validiere ihn. Schritt-für-Schritt-Anleitung zu SPF-Syntax, DNS-Lookup-Limits, häufigen Fehlern und kostenlosen Test-Tools.
Warum SPF gerade jetzt wichtig ist#
Im Februar 2026 hat die strikte Durchsetzung der E-Mail-Authentifizierung durch Gmail und Yahoo begonnen. E-Mails ohne korrekte SPF-Records werden in nie dagewesenen Mengen abgelehnt.
Die Realität: Wenn dein SPF-Record nicht sauber konfiguriert ist, werden deine transaktionalen E-Mails (Passwort-Resets, Bestätigungen, Rechnungen) lautlos blockiert. Kunden denken, dein Service ist kaputt. Du erfährst erst von dem Problem, wenn sich jemand beschwert.
Diese Anleitung führt dich in 15 Minuten durch das SPF-Setup.
Was ist SPF und wie funktioniert es?#
SPF (Sender Policy Framework) ist ein DNS-Record, der aussagt: "Diese Server sind autorisiert, E-Mails im Namen meiner Domain zu versenden."
Das Problem, das SPF löst#
Ohne SPF kann jeder E-Mails versenden, die scheinbar von deiner Domain stammen:
From: you@yourcompany.com
Reply-To: attacker@attacker.com
Die E-Mail sieht aus, als käme sie von deinem Unternehmen (perfekt für Phishing). SPF verhindert das, indem es prüft, ob der sendende Server tatsächlich autorisiert ist.
So läuft die SPF-Validierung ab#
- Eine E-Mail trifft bei Gmail ein
- Gmail prüft: "Wie lautet der SPF-Record für yourcompany.com?"
- Der SPF-Record sagt: "Nur mail.yourcompany.com und SendGrid sind autorisiert"
- E-Mail kam von: SendGrid (autorisiert)
- Ergebnis: SPF besteht ✅
Wenn nun attacker.com versucht, eine E-Mail zu senden und behauptet, sie käme von yourcompany.com:
- Die E-Mail trifft bei Gmail vom Server des Angreifers ein
- Gmail prüft: "Steht der Server des Angreifers im SPF-Record von yourcompany.com?"
- Antwort: Nein
- Ergebnis: SPF schlägt fehl ❌
Format und Syntax eines SPF-Records#
Ein SPF-Record ist ein DNS TXT record. Er hat eine feste Syntax:
v=spf1 [mechanisms] [qualifier]
Schauen wir uns das genauer an:
v=spf1: Version (immer damit beginnen)[mechanisms]: Definiert die autorisierten Server[qualifier]: Wie mit nicht autorisierten Servern umgegangen wird
Mechanismen (die gängigsten)#
| Mechanismus | Bedeutung | Beispiel |
|---|---|---|
include: | SPF einer anderen Domain einbinden | include:_spf.google.com |
ip4: | Bestimmte IPv4 autorisieren | ip4:203.0.113.50 |
ip6: | Bestimmte IPv6 autorisieren | ip6:2001:db8::1 |
mx | MX-Server autorisieren | mx |
ptr | Reverse DNS autorisieren | ptr (selten genutzt, vermeiden) |
a | A-Record autorisieren | a |
Qualifier (wie Fehlschläge behandelt werden)#
| Qualifier | Bedeutung | Wann verwenden |
|---|---|---|
+ | Pass (erlauben) | Explizit autorisiert |
- | Fail (ablehnen) | Explizit nicht autorisiert |
~ | Soft fail (annehmen, aber markieren) | Standard für nicht autorisierte Absender |
? | Neutral (keine Policy) | Selten genutzt |
Beispiel aus der Praxis#
v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 ~all
Das bedeutet:
- Googles SPF-Record einbinden (Gmail)
- SendGrids SPF-Record einbinden (SendGrid)
- Außerdem die IP 203.0.113.50 autorisieren (dein Office-Mailserver)
- Soft fail (~all) für alle anderen (als verdächtig markieren, aber nicht ablehnen)
Schritt 1: Alle E-Mail-Versanddienste identifizieren#
Bevor du deinen SPF-Record schreibst, liste jeden Dienst auf, der in deinem Namen E-Mails verschickt:
Diese Fragen solltest du beantworten:
- Nutzt du Google Workspace?
- Nutzt du Microsoft 365?
- Nutzt du SendGrid, Mailgun oder einen anderen E-Mail-Dienst?
- Hast du eigene Mailserver im Haus?
- Verwendest du Drittanbieter-Apps, die E-Mails versenden (Zapier, Automatisierungs-Tools)?
Schreib sie alle auf. Das ist der häufigste Fehler – einen Versanddienst zu vergessen, woraufhin dessen E-Mails am SPF scheitern.
Gängige Dienste und ihre SPF-Includes:
# Google Workspace
include:_spf.google.com
# Microsoft 365
include:spf.protection.outlook.com
# SendGrid
include:sendgrid.net
# Mailgun
include:mailgun.org
# Klaviyo
include:klavan.net
# HubSpot
include:hstsrv.net
Schritt 2: SPF-Include-Statements zusammensuchen#
Suche für jeden Dienst das offizielle SPF-Include-Statement (aus der jeweiligen Dokumentation, nicht von zufälligen Webseiten).
Offizielle Quellen:
- Google Workspace: support.google.com
- Microsoft 365: learn.microsoft.com
- SendGrid: sendgrid.com/docs
- Mailgun: mailgun.com/docs
Verlasse dich NICHT auf Blogposts oder beliebige Webseiten. Hol die Information immer direkt von der offiziellen Quelle.
Schritt 3: SPF-Record bauen#
Starte mit:
v=spf1 [mechanisms] ~all
Füge jeden Include hinzu:
v=spf1 include:_spf.google.com include:sendgrid.net ~all
Ergänze IP-Adressen:
v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 ~all
Schritt 4: Im DNS veröffentlichen#
Geh in die Verwaltung deines DNS-Anbieters (Cloudflare, GoDaddy, Route 53 etc.) und:
-
Öffne DNS Records oder TXT Records
-
Lege einen neuen TXT record an mit:
- Name: @ (oder dein Domainname, je nach Anbieter)
- Value: Dein SPF-Record
- TTL: 3600 (1 Stunde, fürs Testen vollkommen ok)
-
Speichern und 5–15 Minuten auf die Propagation warten
Schritt 5: SPF-Record testen#
Nutze eines dieser Tools, um zu prüfen, ob dein Record korrekt ist:
Kostenlose Optionen:
Worauf du achten solltest:
- ✅ SPF-Record gefunden
- ✅ Keine Syntaxfehler
- ✅ Lookup-Anzahl ≤ 10 (mehr und der Check schlägt fehl)
Schritt 6: Im Auge behalten#
Veröffentliche zu Beginn mit ~all (Soft fail):
- Woche 1: Beobachte die E-Mail-Zustellung
- Prüfe, ob deine Mails ankommen
- Wirf einen Blick in den Spam-Ordner
Wenn nach einer Woche alles sauber läuft, kannst du auf -all (Hard fail) umstellen:
v=spf1 include:_spf.google.com include:sendgrid.net -all
Häufige SPF-Fehler und wie du sie vermeidest#
Fehler 1: Mehr als 10 DNS-Lookups#
Die SPF-Spezifikation begrenzt DNS-Lookups auf 10. Überschreitest du das, liefert SPF einen PermError (dauerhafter Fehler) – und E-Mails werden abgelehnt.
So behebst du das:
- Ersetze
include:durchip4:, wo möglich - Nutze SPF-Flattening-Tools
- Konsolidiere E-Mail-Dienste (weniger Dienste = weniger Includes)
Fehler 2: +all statt -all oder ~all verwenden
+all bedeutet "akzeptiere jeden, der behauptet, von dieser Domain zu kommen" – damit hebelt man SPF komplett aus.
Richtige Nutzung:
~all: Soft fail (als verdächtig markieren, aber zustellen)-all: Hard fail (ablehnen)
Nutze anfangs ~all und wechsle nach erfolgreicher Validierung zu -all.
Fehler 3: Mehrere SPF-Records#
Die DNS-Spezifikation erlaubt nur EINEN TXT record pro Name. Legst du mehrere SPF TXT records an, liest DNS nur den ersten – die anderen werden ignoriert.
Richtige Vorgehensweise:
- Genau EINEN SPF-Record anlegen
- Alle Mechanismen darin kombinieren:
v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 ~all
NICHT drei separate Records.
Fehler 4: Tippfehler in Include-Statements#
include:sendgrid.com vs. include:sendgrid.net – ein falsches Zeichen, und nichts funktioniert mehr.
So vermeidest du das:
- Aus der offiziellen Dokumentation kopieren, nicht abtippen
- Nach dem Veröffentlichen mit einem DNS-Tool gegenprüfen
Fehler 5: Einen Versanddienst vergessen#
Du fügst SendGrid zum SPF hinzu, vergisst aber Klaviyo. Klaviyo-Mails scheitern dann am SPF.
So vermeidest du das:
- Audite ALLE Dienste, die E-Mails versenden
- Trag jeden einzelnen ein
SPF vs. DKIM vs. DMARC#
SPF ist nur ein Baustein der E-Mail-Authentifizierung. Für vollständigen Schutz brauchst du alle drei:
- SPF: "Ist der sendende Server autorisiert?"
- DKIM: "Ist der Inhalt der Nachricht authentisch (nicht gefälscht)?"
- DMARC: "Bestehen beide Checks UND ist die Domain konsistent?"
Nova Uptime überwacht alle drei automatisch. Prüfe deine E-Mail-Gesundheit mit dem Email Health Checker von Nova Uptime.
SPF im Praxistest#
Nach dem Veröffentlichen von SPF:
- Verschicke Test-Mails von deiner Domain
- Prüfe die Header: Such nach
SPF: PASSoderSPF: FAIL - Beobachte den Spam-Ordner: Landen Mails immer noch im Spam? Dann DKIM/DMARC checken
- Nutze E-Mail-Verifizierungs-Tools: Leite Mails an temporäre E-Mail-Dienste weiter, die die Header anzeigen
Zusammenfassung#
- Alle E-Mail-Versanddienste auflisten
- Offizielle SPF-Includes von jedem Dienst holen
- In einem einzigen SPF-Record beginnend mit
~allzusammenführen - Als DNS TXT record veröffentlichen
- Mit E-Mail-Verifizierungs-Tools testen
- Eine Woche lang beobachten
- Auf
-allumstellen, wenn alles funktioniert - DKIM und DMARC für die vollständige Authentifizierung ergänzen
Deine E-Mail-Reputation wird über Monate aufgebaut und in Tagen zerstört. Eine saubere SPF-Konfiguration ist das Fundament.
Überwache deine E-Mail-Gesundheit automatisch mit dem Email Health Checker von Nova Uptime – er prüft SPF, DKIM, DMARC, MX-Records und Blacklist-Status. 🚀
Weiterführende Artikel#
- SPF Record Setup & Check Anleitung — Schritt-für-Schritt SPF-Setup für Einsteiger
- SPF, DKIM & DMARC – die komplette Anleitung — Wie SPF in den gesamten Authentifizierungs-Stack passt
- E-Mail-Blacklist prüfen & entfernen — Blacklisting durch fehlendes SPF
- DMARC einrichten: Von None zu Reject — DMARC nach SPF konfigurieren
- Email Health Checker – Anleitung — Umfassendes E-Mail-Authentifizierungs-Audit
- Kostenloser SPF-Checker — Validiere deinen SPF-Record sofort
Monitor Your Website Before It Goes Down
Get uptime monitoring, SSL tracking, domain expiry alerts, and email health checks. Free plan — no credit card required.
Start Monitoring FreeVerwandte Artikel
SPF, DKIM und DMARC: Der komplette Guide zur E-Mail-Authentifizierung
Guide zu den drei Säulen der E-Mail-Authentifizierung. Wie SPF, DKIM und DMARC zusammenarbeiten, um deine Domain und Inbox-Platzierung zu schützen.
DMARC-Policy-Konfiguration: E-Mail-Spoofing verhindern
Free DMARC-Test + Konfigurations-Walkthrough. Setze p=none, p=quarantine, p=reject. SPF/DKIM ausrichten. Gmail- & Yahoo-Pflicht seit Feb 2026.
DKIM-Setup-Anleitung: Komplette Schritt-für-Schritt-Konfiguration
DKIM in 20 Minuten einrichten: Selector finden, Schlüssel erzeugen, DNS-Records setzen. Free DKIM-Validator. Gmail- & Yahoo-Pflicht seit Feb 2026.