SPF‑Record Lookup

Prüfen Sie SPF‑Records, um Fehlkonfigurationen zu finden, die Spam mit Ihrer Domain ermöglichen könnten.

Unser SPF‑Lookup analysiert Ihre DNS‑Einträge, hebt typische Stolpersteine hervor und hilft bei der korrekten Konfiguration.

Nur die Root‑Domain eingeben (kein https://, keine Pfade).
Bitte eine gültige Domain eingeben, z. B. example.com.
Bitte zustimmen, bevor der Scan startet.
Illustration: SPF‑Record einer Domain scannen

E‑Mail‑Sicherheit mit einer SPF‑Prüfung verifizieren

Mit dem SPF‑Prüfer von DMARCFlow stellen Sie sicher, dass ausgehende E‑Mails korrekt authentifiziert sind. Ein SPF‑Record belegt, dass Nachrichten von Ihrer Domain legitim sind und nicht gefälscht wurden.

Prüfen Sie zuerst, ob für Ihre Domain ein SPF‑Record existiert. Stellen Sie anschließend die korrekte Konfiguration sicher. Schon kleine Fehler – etwa Syntaxprobleme oder zu viele include – können SPF brechen. DMARCFlow zeigt die Struktur und alle autorisierten Absender klar an.

Sie möchten es in Aktion sehen? Schauen Sie sich unseren kurzen Leitfaden zur Nutzung des SPF‑Tests an.

Vorschau: Diagramm zur SPF‑Validierung
DMARCFlow Anwendung auf einem Laptop

Was ist SPF?

SPF (Sender Policy Framework) legt fest, welche Server E‑Mails für Ihre Domain versenden dürfen. Empfangende Server prüfen den veröffentlichten SPF‑Record; nicht autorisierte Absender können markiert oder abgelehnt werden.

Korrektes SPF erschwert Phishing und verbessert die Zustellbarkeit, damit legitime Mails im Posteingang landen.

SPF richtig umsetzen, verwalten
und regelmäßig validieren

Schritt für Schritt: Domain schützen und Zustellbarkeit sichern.

Mit einem klaren SPF starten

Nur vertrauenswürdige Absender zulassen. Mechanismen minimal halten – für Klarheit und Geschwindigkeit.

„include“ mit Bedacht nutzen

Nur Services einbinden, die Sie wirklich verwenden (z. B. Mailchimp, Google Workspace). Syntax je Anbieter prüfen.

10‑Lookup‑Limit einhalten

SPF erlaubt max. 10 DNS‑Lookups. Flatten/optimieren, um permerror zu vermeiden.

Regelmäßig testen

Nach jeder Änderung an Mailservern oder Providern validieren – Regressionen früh erkennen.

Absender regelmäßig prüfen

Wer darf für Ihre Domain senden? Stale oder riskante Quellen entfernen und SPF aktuell halten.

SPF-Prüfergebnis richtig lesen

Was jeder SPF-Status bedeutet – und was als nächstes zu tun ist.

Pass

Die sendende IP ist im SPF-Record autorisiert. Die E-Mail besteht die SPF-Authentifizierung. Kein Handlungsbedarf – ergänzen Sie jedoch DKIM und DMARC für vollständigen Schutz.

Fail

Die sendende IP ist ausdrücklich nicht autorisiert. Ihr SPF-Record endet mit -all und dieser Server ist nicht aufgeführt. Empfänger lehnen die Nachricht in der Regel ab. Ergänzen Sie den fehlenden Server oder klären Sie, warum E-Mails von einer nicht autorisierten Quelle gesendet werden.

SoftFail

Der Absender ist nicht autorisiert, aber die Policy ist lenient (~all). E-Mails werden meist zugestellt, aber als Spam markiert. Wechseln Sie zu -all, sobald Ihr SPF-Record vollständig und stabil ist.

PermError

Permanenter Fehler – Ihr SPF-Record hat einen Syntaxfehler oder überschreitet das 10-Lookup-Limit. Empfänger können den Record nicht auswerten. Dies ist die häufigste Ursache für SPF-Fehler in DMARC-Berichten. Sofort beheben.

TempError

Vorübergehender DNS-Fehler. Löst sich meist von selbst – kann aber auf ein DNS-Infrastrukturproblem hinweisen. Falls der Fehler anhält, prüfen Sie den Status Ihres DNS-Providers.

None / Neutral

None: Kein SPF-Record gefunden – Ihre Domain ist ungeschützt. Veröffentlichen Sie sofort einen SPF-Record. Neutral: Der Record macht keine Aussage (?all). Effektiv das Gleiche wie kein Record.

Häufige SPF-Fehler und wie man sie behebt

Die häufigsten Ursachen für SPF-Fehler in DMARC-Berichten – und ihre Lösungen.

10-DNS-Lookup-Limit überschritten

Jedes include:, a, mx und exists zählt als DNS-Lookup. Mehr als 10 führen zu einem PermError – der Record wird von Empfängern komplett ignoriert.

Lösung: SPF-Flattening nutzen: IP-Adressen direkt eintragen, verschachtelte include-Ketten auflösen, nicht mehr genutzte Dienste entfernen.

Mehrere SPF-Records auf derselben Domain

Zwei oder mehr TXT-Records mit v=spf1 auf derselben Domain verstoßen gegen den RFC und verursachen einen PermError.

Lösung: Alle Absender in einen einzigen SPF-Record zusammenführen. Den Duplikat-Record löschen.

Mail-Provider fehlt im SPF-Record

Wer einen neuen E-Mail-Dienst (CRM, Marketing-Tool, Helpdesk) hinzufügt, ohne den SPF-Record zu aktualisieren, erzeugt SPF-Fehler – die dann in DMARC-Reports auftauchen.

Lösung: Alle Dienste, die E-Mails in Ihrem Namen versenden, ermitteln und deren include:-Einträge oder IP-Bereiche im SPF-Record ergänzen.

SPF bestanden, DMARC schlägt trotzdem fehl

SPF-Pass allein reicht für DMARC nicht aus. Die SPF-authentifizierte Domain muss mit der From:-Header-Domain übereinstimmen (Alignment). Bei weitergeleiteten E-Mails schlägt SPF-Alignment häufig fehl.

Lösung: DKIM konfigurieren und Alignment sicherstellen. DKIM überlebt E-Mail-Weiterleitungen; SPF nicht.

Häufige Fragen

Rund um SPF‑Records

SPF ist ein Authentifizierungsverfahren, mit dem Domain‑Inhaber festlegen, welche Mailserver in ihrem Namen senden dürfen – das reduziert Spoofing.

Es verhindert, dass Ihre Domain für Phishing/Spam missbraucht wird, indem der Absender gegen Ihre veröffentlichte Policy geprüft wird.

Fügen Sie einen DNS‑TXT‑Record hinzu, der die IPs/Hosts auflistet, die für Sie senden dürfen (z. B. v=spf1 include:example.net -all).

Legitime Mails können im Spam landen oder abgelehnt werden; Angreifer könnten Lücken zum Spoofen nutzen.

SPF ist wichtig, sollte aber mit DKIM und DMARC kombiniert werden – für Defense‑in‑Depth.