---
title: "Was ist SPF?"
description: "SPF schützt deine Domain vor E-Mail-Missbrauch. Erfahre, wie du SPF einrichtest, welche Limits es gibt und wie Lettermint SPF clever über Return-Path handhabt."
url: "https://lettermint.co/de/wissensbasis/definitions/was-ist-spf"
published: "2025-09-11"
last_updated: "2025-10-21"
---

# Was ist SPF?

> SPF schützt deine Domain vor E-Mail-Missbrauch. Erfahre, wie du SPF einrichtest, welche Limits es gibt und wie Lettermint SPF clever über Return-Path handhabt.

Neben dem DMARC-Eintrag, den wir in unserem Artikel '[Was ist DMARC?](https://lettermint.co/de/wissensbasis/definitions/was-ist-dmarc)'
erklären, ist auch ein SPF-Eintrag in der Welt der E-Mails bekannt. Den
SPF-Eintrag kann man als Ergänzung zu DMARC sehen. Er zeigt, welche Server
unter deiner Domain E-Mails versenden dürfen. Bei Lettermint nutzen wir SPF auf eine
etwas andere Weise, um [Transactional E-Mails](https://lettermint.co/de/funktionen/transactional-emails) zu
versenden. Was SPF ist und wie wir es bei Lettermint verwenden, erklären wir
in diesem Artikel.

## Was ist SPF

SPF steht für **Sender Policy Framework**. Es ist eine
E-Mail-Verifizierungsmethode, die 2006 entwickelt wurde, um E-Mail-Spoofing zu
verhindern. Mit einem SPF-Eintrag legst du fest, welche Mailserver E-Mails
im Namen deiner Domain versenden dürfen.

Sieh es als eine Liste genehmigter Absender. Wenn jemand eine E-Mail
von deiner Domain sendet, überprüft der empfangende Mailserver diese Liste.
Steht der sendende Server auf der Liste? Dann ist die E-Mail erlaubt. Wenn
nicht, kann der Mailserver die E-Mail ablehnen oder als Spam markieren.

SPF arbeitet mit DMARC zusammen, um deine Domain zu schützen. Während DMARC die Richtlinie
festlegt, sorgt SPF für die technische Kontrolle der sendenden Server.
Diese Kombination macht es Betrügern schwer, sich als dein
Unternehmen auszugeben.

### Wie funktioniert SPF

SPF funktioniert über das DNS-System. Wenn ein Mailserver eine E-Mail empfängt,
führt er folgende Schritte aus:

1. Der Server schaut sich die Domain des Absenders an (der Teil nach @ in der
E-Mail-Adresse)
2. Dann fragt er den SPF-Eintrag aus dem DNS dieser Domain ab
3. Der Server prüft, ob die IP-Adresse des sendenden Servers im
SPF-Eintrag steht
4. Basierend auf dieser Prüfung wird die E-Mail akzeptiert, abgelehnt oder als
Spam markiert

Dieser Prozess läuft automatisch und innerhalb von Sekunden ab. Deshalb ist es
so wichtig, dass du SPF korrekt einrichtest. Ein Fehler und deine wichtigen
E-Mails kommen möglicherweise nicht mehr an - das willst du natürlich nicht.

## Wie richtet man SPF ein

Ein SPF-Eintrag ist ein TXT-Eintrag in deinem DNS. **Er beginnt immer mit v=spf1**
und endet mit einer Aktion, die angibt, was mit Servern passieren soll, die
nicht auf der Liste stehen.

Ein einfacher SPF-Eintrag sieht so aus:

```dns-zone
v=spf1 include:_spf.google.com -all
```

Dieser Eintrag besagt, dass nur Google E-Mails im Namen deiner
Domain versenden darf. Das `-all` am Ende bedeutet, dass andere Server
abgelehnt werden (Hard Fail).

### SPF-Mechanismen und Modifikatoren

SPF verwendet zwei Arten von Anweisungen: **Mechanismen** und **Modifikatoren**.

**Mechanismen** sind die Regeln, die bestimmen, welche Server E-Mails
versenden dürfen. Sie werden von links nach rechts ausgeführt und stoppen, sobald
eine Übereinstimmung gefunden wird. Dies sind die wichtigsten Mechanismen:

| Mechanismus | Beschreibung                                | Beispiel                   |
| ----------- | ------------------------------------------- | -------------------------- |
| include     | SPF-Eintrag einer anderen Domain hinzufügen | include:_spf.lettermint.co |
| ip4         | Bestimmte IPv4-Adresse erlauben             | ip4:192.168.1.1            |
| ip6         | Bestimmte IPv6-Adresse erlauben             | ip6:2001:db8::1            |
| a           | A-Record der Domain erlauben                | a:mail.example.com         |
| mx          | MX-Server der Domain erlauben               | mx:example.com             |
| all         | Alle Adressen matchen                       | ~all , -all , +all         |

**Modifikatoren** sind optionale Anweisungen, die zusätzliche Informationen liefern, aber
nicht direkt bestimmen, ob ein Server senden darf. Der wichtigste Modifikator
ist `all`, der am Ende deines SPF-Eintrags steht:

- `-all` (Hard Fail): E-Mails von nicht autorisierten Servern ablehnen
- `~all` (Soft Fail): Als verdächtig markieren, aber trotzdem zustellen
- `+all` (Pass): Alle E-Mails akzeptieren (nicht empfohlen)
- `?all` (Neutral): Keine Bewertung

Weitere Modifikatoren sind `redirect` (auf SPF-Eintrag einer anderen Domain verweisen)
und `exp` (Erklärung bei einem Fail geben), diese werden aber selten verwendet.

### SPF-Limits

SPF hat einige technische Beschränkungen, die du beachten musst:

- **Maximal 1 SPF-Eintrag pro Domain**<br />


Du kannst nur einen SPF-Eintrag in deinem DNS haben. Mehrere SPF-Einträge machen
deine Konfiguration ungültig. Alle Dienste müssen daher in diesem einen Eintrag
aufgenommen werden.
- **Maximal 10 DNS-Lookups pro SPF-Prüfung**<br />


Ein DNS-Lookup ist eine Anfrage an das DNS-System, um Informationen abzurufen.
Jedes Mal, wenn du `include`, `a`, `mx`, `exists` oder `redirect` verwendest,
zählt dies als Lookup. Der empfangende Mailserver darf maximal 10
dieser Anfragen stellen, um deinen SPF-Eintrag zu prüfen.
- **SPF-Eintrag darf maximal 255 Zeichen pro Zeile enthalten**<br />


Bei längeren Einträgen musst du diese in mehrere Zeilen aufteilen.
- **Bei mehreren Zeilen: maximal 512 Zeichen insgesamt**<br />


Dies ist das absolute Limit für die Gesamtlänge deines SPF-Eintrags.
- **Maximal 2 Void Lookups erlaubt**<br />


Ein Void Lookup ist eine DNS-Anfrage, die kein Ergebnis liefert. Zu viele
fehlgeschlagene Lookups machen deinen SPF-Eintrag ungültig.

Diese Limits sind wichtig, wenn du mehrere Dienste nutzt. Jedes
`include` zählt als DNS-Lookup. Bei zu vielen Lookups schlägt die SPF-Prüfung fehl.

> **Note:** Achtung: Zähle deine Includes sorgfältig! Überschreitest du die 10 DNS-Lookups, kann dein
> SPF-Eintrag ungültig werden und E-Mails kommen möglicherweise nicht an.

### SPF einrichten

Platziere deinen SPF-Eintrag als TXT-Eintrag im DNS deiner Domain. Für die Domain
`example.com` platzierst du den Eintrag direkt bei `example.com`, nicht bei einer
Subdomain wie bei DMARC.

Nutzt du mehrere E-Mail-Dienste? Füge sie alle zu einem SPF-Eintrag hinzu.
Du kannst nur einen SPF-Eintrag pro Domain haben.

Beispiel mit mehreren Diensten:

```dns-zone
v=spf1 include:_spf.google.com include:zoho.eu -all
```

![Cloudflare DNS-Einstellungen](https://lettermint.co/content/knowledgebase/lettermint-spf-settings-cloudflare.webp)

## SPF bei Lettermint

Bei Lettermint machen wir es anders. Wir verwenden eine clevere Lösung,
um die bekannten SPF-Limits zu umgehen: die Return-Path-Methode.
Anstatt dass du `include:_spf.lettermint.co` zu deinem
SPF-Eintrag hinzufügen musst, wenden wir eine andere Technik an.

### Wie funktioniert Return-Path?

Wenn Lettermint eine E-Mail im Namen deiner Domain versendet, verwenden wir einen
speziellen Return-Path. Dies ist die Adresse, an die Fehlermeldungen (Bounces)
gesendet werden. Durch die Verwendung eines Return-Path, der auf
`lettermint.co` endet, prüft der empfangende Mailserver den SPF-Eintrag von
Lettermint anstatt den deiner Domain.

Das bedeutet:

- Du musst kein `include` für Lettermint zu deinem SPF-Eintrag hinzufügen
- Du bleibst unter dem Limit von 10 DNS-Lookups
- Deine bestehende SPF-Konfiguration bleibt intakt
- E-Mails werden weiterhin korrekt authentifiziert

> **Note:** Return-Path ist eine offizielle SPF-Technik, die von großen E-Mail-Anbietern
> verwendet wird. Deine E-Mails bleiben vollständig authentifiziert und sicher.

### Warum dieser Ansatz?

Viele unserer Kunden nutzen mehrere E-Mail-Dienste. Durch die Return-Path-
Methode verhindern wir, dass du an SPF-Limits stößt. Du kannst
Lettermint neben Google Workspace, Microsoft 365 oder anderen
Diensten nutzen, ohne dir Sorgen über die maximale Anzahl von DNS-Lookups machen zu müssen.

Überlegst du, verschiedene Arten von E-Mails getrennt zu halten? Lies unseren
Artikel über [E-Mail-Subdomains](https://lettermint.co/de/wissensbasis/deliverability/was-ist-eine-email-subdomain-und-wann-sollten-sie-eine-verwenden),
um herauszufinden, wann es sinnvoll ist, Subdomains für bessere Kontrolle
über deine Absender-Reputation einzusetzen.

Wenn du eine Domain zu Lettermint hinzufügst, bitten wir dich, drei
DNS-Einträge hinzuzufügen: DMARC, [DKIM](https://lettermint.co/de/wissensbasis/definitions/was-ist-dkim) und einen Bounce-Eintrag. Diese sorgen
zusammen mit unserer Return-Path-Konfiguration für eine korrekte
E-Mail-Authentifizierung, ohne dass du deinen SPF-Eintrag anpassen musst.

## SPF-Check

Prüfe unten, ob deine Domain ein gültiges SPF hat. Hinweis: Lettermint
verwendet Return-Path für die Authentifizierung, daher erscheint es nicht in diesem Check.

<spf-checker>



</spf-checker>

## Fazit

SPF ist ein wesentlicher Bestandteil der E-Mail-Sicherheit. Es arbeitet zusammen mit
[DMARC](https://lettermint.co/de/wissensbasis/definitions/was-ist-dmarc), um deine Domain vor
Missbrauch zu schützen. Bei Lettermint sorgen wir dafür,
dass deine Konfiguration durch unsere Return-Path-
Implementierung optimal funktioniert, ohne an technische Limits zu stoßen.

Ein richtig eingerichtetes SPF (auch über Return-Path) sorgt dafür, dass:

- Deine E-Mails zuverlässig ankommen
- Betrüger deine Domain nicht missbrauchen können
- Mailserver deine E-Mails als legitim erkennen

Teste nach der Einrichtung immer dein SPF mit unserem SPF-Checker. So weißt du sicher,
dass alles korrekt funktioniert. Denn am Ende geht es nur um eines:
dass deine E-Mails sicher dort ankommen, wo sie hin sollen.