Zurück zu 'Bedeutungen'Was ist SPF?
Zuletzt aktualisiert:
Neben dem DMARC-Eintrag, den wir in unserem Artikel 'Was ist DMARC?' erklären, ist auch ein SPF-Eintrag in der Welt der E-Mails bekannt. Den SPF-Eintrag kann man als Ergänzung zu DMARC sehen. Er zeigt, welche Server unter deiner Domain E-Mails versenden dürfen. Bei Lettermint nutzen wir SPF auf eine etwas andere Weise, um Transactional E-Mails zu versenden. Was SPF ist und wie wir es bei Lettermint verwenden, erklären wir in diesem Artikel.
Was ist SPF
SPF steht für Sender Policy Framework. Es ist eine E-Mail-Verifizierungsmethode, die 2006 entwickelt wurde, um E-Mail-Spoofing zu verhindern. Mit einem SPF-Eintrag legst du fest, welche Mailserver E-Mails im Namen deiner Domain versenden dürfen.
Sieh es als eine Liste genehmigter Absender. Wenn jemand eine E-Mail von deiner Domain sendet, überprüft der empfangende Mailserver diese Liste. Steht der sendende Server auf der Liste? Dann ist die E-Mail erlaubt. Wenn nicht, kann der Mailserver die E-Mail ablehnen oder als Spam markieren.
SPF arbeitet mit DMARC zusammen, um deine Domain zu schützen. Während DMARC die Richtlinie festlegt, sorgt SPF für die technische Kontrolle der sendenden Server. Diese Kombination macht es Betrügern schwer, sich als dein Unternehmen auszugeben.
Wie funktioniert SPF
SPF funktioniert über das DNS-System. Wenn ein Mailserver eine E-Mail empfängt, führt er folgende Schritte aus:
- Der Server schaut sich die Domain des Absenders an (der Teil nach @ in der E-Mail-Adresse)
- Dann fragt er den SPF-Eintrag aus dem DNS dieser Domain ab
- Der Server prüft, ob die IP-Adresse des sendenden Servers im SPF-Eintrag steht
- Basierend auf dieser Prüfung wird die E-Mail akzeptiert, abgelehnt oder als Spam markiert
Dieser Prozess läuft automatisch und innerhalb von Sekunden ab. Deshalb ist es so wichtig, dass du SPF korrekt einrichtest. Ein Fehler und deine wichtigen E-Mails kommen möglicherweise nicht mehr an - das willst du natürlich nicht.
Wie richtet man SPF ein
Ein SPF-Eintrag ist ein TXT-Eintrag in deinem DNS. Er beginnt immer mit v=spf1 und endet mit einer Aktion, die angibt, was mit Servern passieren soll, die nicht auf der Liste stehen.
Ein einfacher SPF-Eintrag sieht so aus:
v=spf1 include:_spf.google.com -all
Dieser Eintrag besagt, dass nur Google E-Mails im Namen deiner Domain versenden darf. Das -all am Ende bedeutet, dass andere Server abgelehnt werden (Hard Fail).
SPF-Mechanismen und Modifikatoren
SPF verwendet zwei Arten von Anweisungen: Mechanismen und Modifikatoren.
Mechanismen sind die Regeln, die bestimmen, welche Server E-Mails versenden dürfen. Sie werden von links nach rechts ausgeführt und stoppen, sobald eine Übereinstimmung gefunden wird. Dies sind die wichtigsten Mechanismen:
| Mechanismus | Beschreibung | Beispiel |
|---|---|---|
| include | SPF-Eintrag einer anderen Domain hinzufügen | include:_spf.lettermint.co |
| ip4 | Bestimmte IPv4-Adresse erlauben | ip4:192.168.1.1 |
| ip6 | Bestimmte IPv6-Adresse erlauben | ip6:2001:db8::1 |
| a | A-Record der Domain erlauben | a:mail.example.com |
| mx | MX-Server der Domain erlauben | mx:example.com |
| all | Alle Adressen matchen | ~all, -all, +all |
Modifikatoren sind optionale Anweisungen, die zusätzliche Informationen liefern, aber nicht direkt bestimmen, ob ein Server senden darf. Der wichtigste Modifikator ist all, der am Ende deines SPF-Eintrags steht:
- -all (Hard Fail): E-Mails von nicht autorisierten Servern ablehnen
- ~all (Soft Fail): Als verdächtig markieren, aber trotzdem zustellen
- +all (Pass): Alle E-Mails akzeptieren (nicht empfohlen)
- ?all (Neutral): Keine Bewertung
Weitere Modifikatoren sind redirect (auf SPF-Eintrag einer anderen Domain verweisen) und exp (Erklärung bei einem Fail geben), diese werden aber selten verwendet.
SPF-Limits
SPF hat einige technische Beschränkungen, die du beachten musst:
- Maximal 1 SPF-Eintrag pro Domain
Du kannst nur einen SPF-Eintrag in deinem DNS haben. Mehrere SPF-Einträge machen deine Konfiguration ungültig. Alle Dienste müssen daher in diesem einen Eintrag aufgenommen werden. - Maximal 10 DNS-Lookups pro SPF-Prüfung
Ein DNS-Lookup ist eine Anfrage an das DNS-System, um Informationen abzurufen. Jedes Mal, wenn du include, a, mx, exists oder redirect verwendest, zählt dies als Lookup. Der empfangende Mailserver darf maximal 10 dieser Anfragen stellen, um deinen SPF-Eintrag zu prüfen. - SPF-Eintrag darf maximal 255 Zeichen pro Zeile enthalten
Bei längeren Einträgen musst du diese in mehrere Zeilen aufteilen. - Bei mehreren Zeilen: maximal 512 Zeichen insgesamt
Dies ist das absolute Limit für die Gesamtlänge deines SPF-Eintrags. - Maximal 2 Void Lookups erlaubt
Ein Void Lookup ist eine DNS-Anfrage, die kein Ergebnis liefert. Zu viele fehlgeschlagene Lookups machen deinen SPF-Eintrag ungültig.
Diese Limits sind wichtig, wenn du mehrere Dienste nutzt. Jedes include zählt als DNS-Lookup. Bei zu vielen Lookups schlägt die SPF-Prüfung fehl.
Achtung: Zähle deine Includes sorgfältig! Überschreitest du die 10 DNS-Lookups, kann dein SPF-Eintrag ungültig werden und E-Mails kommen möglicherweise nicht an.
SPF einrichten
Platziere deinen SPF-Eintrag als TXT-Eintrag im DNS deiner Domain. Für die Domain example.com platzierst du den Eintrag direkt bei example.com, nicht bei einer Subdomain wie bei DMARC.
Nutzt du mehrere E-Mail-Dienste? Füge sie alle zu einem SPF-Eintrag hinzu. Du kannst nur einen SPF-Eintrag pro Domain haben.
Beispiel mit mehreren Diensten:
v=spf1 include:_spf.google.com include:zoho.eu -all
SPF bei Lettermint
Bei Lettermint machen wir es anders. Wir verwenden eine clevere Lösung, um die bekannten SPF-Limits zu umgehen: die Return-Path-Methode. Anstatt dass du include:_spf.lettermint.co zu deinem SPF-Eintrag hinzufügen musst, wenden wir eine andere Technik an.
Wie funktioniert Return-Path?
Wenn Lettermint eine E-Mail im Namen deiner Domain versendet, verwenden wir einen speziellen Return-Path. Dies ist die Adresse, an die Fehlermeldungen (Bounces) gesendet werden. Durch die Verwendung eines Return-Path, der auf lettermint.co endet, prüft der empfangende Mailserver den SPF-Eintrag von Lettermint anstatt den deiner Domain.
Das bedeutet:
- Du musst kein include für Lettermint zu deinem SPF-Eintrag hinzufügen
- Du bleibst unter dem Limit von 10 DNS-Lookups
- Deine bestehende SPF-Konfiguration bleibt intakt
- E-Mails werden weiterhin korrekt authentifiziert
Return-Path ist eine offizielle SPF-Technik, die von großen E-Mail-Anbietern verwendet wird. Deine E-Mails bleiben vollständig authentifiziert und sicher.
Warum dieser Ansatz?
Viele unserer Kunden nutzen mehrere E-Mail-Dienste. Durch die Return-Path- Methode verhindern wir, dass du an SPF-Limits stößt. Du kannst Lettermint neben Google Workspace, Microsoft 365 oder anderen Diensten nutzen, ohne dir Sorgen über die maximale Anzahl von DNS-Lookups machen zu müssen.
Wenn du eine Domain zu Lettermint hinzufügst, bitten wir dich, drei DNS-Einträge hinzuzufügen: DMARC, DKIM und einen Bounce-Eintrag. Diese sorgen zusammen mit unserer Return-Path-Konfiguration für eine korrekte E-Mail-Authentifizierung, ohne dass du deinen SPF-Eintrag anpassen musst.
SPF-Check
Prüfe unten, ob deine Domain ein gültiges SPF hat. Hinweis: Lettermint verwendet Return-Path für die Authentifizierung, daher erscheint es nicht in diesem Check.
Fazit
SPF ist ein wesentlicher Bestandteil der E-Mail-Sicherheit. Es arbeitet zusammen mit DMARC, um deine Domain vor Missbrauch zu schützen. Bei Lettermint sorgen wir dafür, dass deine Konfiguration durch unsere Return-Path- Implementierung optimal funktioniert, ohne an technische Limits zu stoßen.
Ein richtig eingerichtetes SPF (auch über Return-Path) sorgt dafür, dass:
- Deine E-Mails zuverlässig ankommen
- Betrüger deine Domain nicht missbrauchen können
- Mailserver deine E-Mails als legitim erkennen
Teste nach der Einrichtung immer dein SPF mit unserem SPF-Checker. So weißt du sicher, dass alles korrekt funktioniert. Denn am Ende geht es nur um eines: dass deine E-Mails sicher dort ankommen, wo sie hin sollen.