Um als Emp­fän­ge­rin oder Empfänger einer E-Mail fest­zu­stel­len, ob be­tref­fen­de Mail tat­säch­lich vom de­kla­rier­ten Ab­sen­den­den stammt, kann das Sender Policy Framework (SPF) genutzt werden. Hiermit prüfen Mail­ser­ver die Echtheit von Ab­sen­der­adres­sen. Anhand des SPF-Records können Sie dies nach­voll­zie­hen.

Das Problem: Ist der Absender „echt“?

Theo­re­tisch ist die Prüfung ein­ge­hen­der E-Mails einfach: Der emp­fan­gen­de Mail­ser­ver kennt ja die Domain des Absenders. Beispiel: Wenn eine E-Mail von hans.muster@gmx.com eingeht, dann kann der Emp­fan­gen­de die IP-Adresse von gmx.com prüfen. Diese lautet 213.165.64.8 – zu finden im Mail-Header, ebenso wie die IP-Adresse des Ab­sen­den­den.

Jedoch verwendet kein größeres Un­ter­neh­men nur einen einzigen Mail­ser­ver. Der Mail­pro­vi­der gmx.com bei­spiels­wei­se nutzt mehr als ein halbes Dutzend ver­schie­de­ner Server. Hinzu kommt, dass viele größere Provider auf spe­zia­li­sier­te Mail-Filter-Server (z. B. mailch­an­nels.com) zu­rück­grei­fen, um zu ver­hin­dern, dass über ihr System Spam-Mails versendet werden. Beim Emp­fan­gen­den erscheint in diesem Fall die IP-Adresse des Mail-Filter-Servers und nicht diejenige des ei­gent­li­chen Ab­sen­den­den.

Die Lösung: SPF (Sender Policy Framework)

SPF ist die Abkürzung von „Sender Policy Framework“. Mit der Methode können Mail­ser­ver über­prü­fen, ob eine Mail, die sie empfangen, tat­säch­lich vom de­kla­rier­ten Host-Server stammt. Dieser SPF-Record-Check wird voll­au­to­ma­tisch im Hin­ter­grund durch­ge­führt; als End­an­wen­de­rin oder End­an­wen­der bemerken Sie davon nichts.

Ver­ein­facht aus­ge­drückt legt das SPF fest, welche Mail­ser­ver für die Domain Mails versenden dürfen. Die Mail­ser­ver werden dabei über ihren Namen oder ihre IP-Adresse iden­ti­fi­ziert.

Beispiel: Eine Mail vom Absender hans.muster@gmx.com darf nur über eine der folgenden IP-Adressen gesendet werden:213.165.64.0, 74.208.5.64, 74.208.122.0, 212.227.126.128, 212.227.15.0, 212.227.17.0, 74.208.4.192, 82.165.159.0, 217.72.207.0. Im SPF-Eintrag der Domain gmx.com sind also diese IP-Adressen auf­ge­lis­tet. Der emp­fan­gen­de Mail­ser­ver kann nun prüfen, ob die IP-Adresse, die er im Header der Mail liest, auf dieser Liste steht oder nicht.

Die Liste der au­to­ri­sier­ten Mail­ser­ver wird auf dem Name­ser­ver (DNS) der sendenden Domain – in unserem Beispiel gmx.com – hin­ter­legt und kann dort von jedem emp­fan­gen­den Mail­ser­ver abgerufen werden.

Eigene E-Mail-Adresse erstellen
E-Mail-Kom­plett­pa­ke­te vom deutschen Markt­füh­rer
  • Mit KI schneller zur perfekten E-Mail: schreiben, über­set­zen, um­for­mu­lie­ren
  • Aus Deutsch­land – DSGVO-konform & sicher
  • Nur bei IONOS: Eigene Domain inklusive

Was ist der SPF-Eintrag?

Der SPF-Record wird als DNS-Record in der Do­mä­nen­zo­ne des zu­stän­di­gen DNS (Na­men­s­er­vers) der Domain ein­ge­tra­gen, und zwar als TXT-Record. Der Eintrag enthält eine Liste der IP-Adressen, von denen Mails dieser Domain versendet werden dürfen. Hinzu kommen weitere Einträge, z. B. für die oben erwähnten Mail-Filter-Server, die eine Mail durch­lau­fen muss, bevor sie den Weg zum Empfänger findet. Solche „Zwi­schen­sta­tio­nen“ werden oft mit der include-Anweisung ein­ge­tra­gen. Nach­ste­hend finden Sie eine Er­läu­te­rung der ge­bräuch­lichs­ten Parameter des SPF-Records:

Code Bedeutung
v Version des Records; v=SPF1 kenn­zeich­net die aktuell gültige Version.
ip4 IP-Adresse; „IP4“ ist die Be­zeich­nung für die wohl­be­kann­te Form der IP-Adresse. Daneben gibt es die neuen IP6-Adressen, die jedoch noch weniger ver­brei­tet sind.
-all Alle anderen hier nicht auf­ge­führ­ten Sendenden sind nicht au­to­ri­siert und sollen ab­ge­wie­sen werden.
include Gibt weitere Domains an, deren SPF-Eintrag ebenfalls abgerufen werden soll.

Neben dem oben auf­ge­führ­ten -all gibt es noch die Version mit der Tilde: ~all. Diese teilt mit, dass alle anderen Ab­sen­de­rin­nen und Absender zwar nicht au­to­ri­siert sind, aber trotzdem ak­zep­tiert werden sollen. Diese „Soft Fail“-De­kla­ra­ti­on wurde ur­sprüng­lich zu Test­zwe­cken ein­ge­führt, ist aber heute bei ver­schie­de­nen Hosting-Providern im Gebrauch.

Beispiel: Der SPF-Eintrag von gmx.com

Bild: Screenshot eines SPF-Records
Beispiel eines SPF-Records anhand der Domain gmx.com
Tipp

Sie nutzen IONOS E-Mail-Post­fä­cher und möchten einen SPF-Eintrag zu Ihrer Domain erstellen? Im IONOS Hilfe-Center erfahren Sie, wie Sie bei IONOS einen SPF-Record erstellen.

Den SPF-Check durch­füh­ren (SPF-Eintrag prüfen)

Ob Ihre E-Mail tat­säch­lich mit einem SPF-Eintrag ve­ri­fi­ziert ist, können Sie am ein­fachs­ten mit dem Tool von mxtoolbox prüfen:

  1. Senden Sie eine E-Mail an ping@tools.mxtoolbox.com.
  2. Nach kurzer Zeit erhalten Sie eine Ant­wort­mail von abuse@mxtoolbox.com.
  3. Diese Mail gibt Ihnen ein erstes Feedback sowie einen Link zu den aus­führ­li­chen Re­sul­ta­ten.

Beachten Sie, dass es bis zu 24 Stunden dauern kann, bis ein SPF-Record aktiv ist. Wenn der SPF Record-Check einen Fehler meldet, wie­der­ho­len Sie den Test am nächsten Tag.

Sie können den SPF-Eintrag auch direkt in der ge­sen­de­ten Mail prüfen:

  1. Senden Sie eine E-Mail an sich selbst.
  2. Öffnen Sie die Mail und schauen Sie sich den Mail-Header (Kopfzeile) bzw. den Quelltext an. Je nach Mail-Client erfolgt dies über das Menü „Ansicht“ oder über das Kon­text­me­nü (rechte Maustaste).
  3. Der SPF-Eintrag ist mit „Received-SPF“ ge­kenn­zeich­net.
Tipp

Wenn Sie noch keinen E-Mail-Server besitzen, können Sie bei IONOS einen eigenen E-Mail-Server hosten. Dank höchster Si­cher­heits­stan­dards sowie SSL-Zer­ti­fi­kat sind Ihre E-Mails jederzeit best­mög­lich gegen unbefugte Zugriffe geschützt.

Was bringt der SPF-Record? Vorteile und Nachteile

Der SPF-Record wird von immer mehr Internet-Ser­vice­pro­vi­dern aus Si­cher­heits­grün­den als zwingend vor­aus­ge­setzt. Dies bedeutet, dass E-Mails vom emp­fan­gen­den Mail­ser­ver ohne ent­spre­chen­de Au­to­ri­sie­rung Emp­fän­ge­rin­nen und Emp­fän­gern entweder gar nicht oder nur mit einer Warnung („unsicher“) aus­ge­lie­fert werden.

Der größte Vorteil des SPF-Records liegt in seiner einfachen Im­ple­men­tie­rung: Ein simpler TXT-Record genügt. Dieser kann in den meisten Fällen vom Ser­vice­pro­vi­der au­to­ma­tisch erzeugt werden.

So wichtig der SPF-Record auch ist: Man darf seine Schutz­wir­kung nicht über­schät­zen.

  • SPF schützt nicht vor Spoofing. Ein Be­trü­gen­der kann trotz SPF einen falschen Ab­sen­der­na­men im Mail anzeigen.
  • SPF ver­bes­sert nicht die Re­pu­ta­ti­on des Ab­sen­den­den. Auch ein Spammer kann SPF verwenden.
  • SPF schützt nicht vor einem un­au­to­ri­sier­ten Mail-Sender. Wenn jemand un­au­to­ri­siert über Ihren Mail­ser­ver sendet, greift SPF nicht.

Üb­li­cher­wei­se wird der SPF-Record in Ver­bin­dung mit weiteren Si­cher­heits­me­cha­nis­men ein­ge­setzt, ins­be­son­de­re mit DKIM und DMARC.

Zum Hauptmenü