Deine E-Mails landen im Spam-Ordner, obwohl du inhaltlich alles richtig gemacht hast? Der Grund liegt oft nicht am Text, sondern an einem fehlenden oder falsch konfigurierten SPF-Eintrag.
Ohne SPF können E-Mail-Anbieter wie Gmail oder Outlook nicht zweifelsfrei prüfen, ob eine Nachricht wirklich von deiner Domain stammt, was den Zustellraten und dem Absenderruf schadet. Zeit, das zu ändern: Wir zeigen dir Schritt für Schritt, was SPF genau ist, wie du einen SPF-Record erstellst und wie du ihn zuverlässig testest.
Inhaltsverzeichnis
- Was ist SPF?
- Warum du einen SPF-Eintrag für deine Zustellbarkeit brauchst
- Der Aufbau eines SPF-Records: Syntax verstehen
- SPF-Record erstellen: Schritt für Schritt
- SPF-Record testen und prüfen
- Häufige SPF-Fehler und wie du sie vermeidest
- SPF, DKIM und DMARC im Vergleich
- Fazit: Mit SPF zu besserer Zustellbarkeit
Was ist SPF?
SPF steht für Sender Policy Framework, ein E-Mail-Authentifizierungsprotokoll, das seit über 20 Jahren zum Standard-Werkzeug jeder seriösen E-Mail-Domain gehört. Dahinter steckt ein einfaches Prinzip: Du legst öffentlich fest, welche Server E-Mails im Namen deiner Domain versenden dürfen. Empfangende Mailserver gleichen diese Liste bei jeder eingehenden Nachricht ab und entscheiden anhand des Ergebnisses, ob eine E-Mail vertrauenswürdig wirkt.
Was ist die Abkürzung SPF genau?
Im Kontext von E-Mail-Sicherheit hat SPF nichts mit Sonnenschutz zu tun, auch wenn dieselbe Abkürzung dort für Sun Protection Factor steht. Technisch gesehen ist SPF ein DNS-TXT-Eintrag, den du in der DNS-Zone deiner Domain hinterlegst. Dieser SPF-Eintrag listet alle IP-Adressen und Server auf, die berechtigt sind, E-Mails im Namen deiner Domain zu versenden. Fehlt dieser Eintrag oder ist er unvollständig, kann theoretisch jeder Server E-Mails senden, die aussehen, als kämen sie von deiner Absenderadresse. Spammer nutzen das für Phishing E-Mails und andere Angriffe aus.
Wie SPF beim E-Mail-Versand funktioniert
Sobald eine E-Mail bei einem Empfänger oder einer Empfängerin ankommt, prüft dessen E-Mail-Server den Absender gegen den hinterlegten SPF-Record. Stimmt die sendende IP-Adresse mit einem autorisierten Eintrag überein, gilt die SPF-Prüfung als bestanden. Weicht sie ab, kann die Nachricht im Spam-Ordner landen oder von den E-Mail-Systemen des Empfängers oder der Empfängerin ganz abgewiesen werden. Dabei prüft SPF ausschließlich die technische Absenderadresse im Mail Header, den sogenannten Envelope-From, nicht die sichtbare E-Mail-Adresse in deinem Postfach.
Ohne SPF-Authentifizierung können Angreifer:innen mit wenig Aufwand Spam E-Mails oder Phishing-E-Mails verschicken, die vorgeben, von deiner Domain zu stammen. Der Empfänger bzw. die Empfängerin sieht dann eine vermeintlich vertraute Absenderadresse, tatsächlich stammt die Nachricht aber von einem völlig fremden Server. Ein korrekt gepflegter SPF-Eintrag macht solche Angriffe deutlich schwerer, weil nicht autorisierte Server sofort auffallen.
Warum du einen SPF-Eintrag für deine Zustellbarkeit brauchst
Zustellbarkeit entscheidet darüber, ob deine Kampagnen überhaupt eine Chance haben, gelesen zu werden. Ein sauber konfigurierter SPF-Record ist eine der Grundvoraussetzungen dafür, dass große E-Mail-Anbieter wie Gmail, Yahoo oder Outlook deiner Domain vertrauen. Ohne SPF wirkt der Versand von Massenmails aus Sicht dieser Anbieter unsicher, selbst wenn deine Inhalte einwandfrei sind.
Seit ihren verschärften Absenderanforderungen verlangen Gmail und Yahoo sogar explizit eine korrekte SPF-Konfiguration von jedem, der größere Mengen an E-Mails versendet. Wer das ignoriert, riskiert, dass ganze Kampagnen im Spam-Ordner landen, unabhängig davon, wie gut der Inhalt ist.
Falls du noch keinen SPF-Eintrag eingerichtet hast: Die Einrichtung dauert nur wenige Minuten. Wichtig ist, dass du sie sauber und vollständig umsetzt, denn Halbwissen führt bei der Authentifizierung schneller zu Problemen als gar kein Eintrag.
Wer seine Authentifizierung sauber im Griff hat, kann darüber hinaus eine CSA-Zertifizierung anstreben, um seine E-Mail-Qualität sichtbar zu machen.
Der Aufbau eines SPF-Records: Syntax verstehen
Ein SPF-Eintrag folgt einer festen Syntax und wird als TXT Record im Domain Name System deiner Domain hinterlegt. So sieht ein typischer SPF-TXT-Eintrag aus:
v=spf1 include:spf.brevo.com include:_spf.google.com ip4:203.0.113.25 ~all
- v=spf1 kennzeichnet die SPF-Version und muss am Anfang jedes Eintrags stehen.
- include: verweist auf die SPF-Records anderer Anbieter, deren Server du nutzt.
- ip4: erlaubt eine konkrete IP-Adresse als autorisierten Absender, etwa für einen eigenen Mailserver.
- Am Ende steht ein Qualifier, der festlegt, wie streng die Prüfung ausfällt.
Diese Qualifier solltest du kennen:
Tipp: Verwende niemals +all. Diese Einstellung hebt den gesamten Zweck von SPF auf, da damit auch nicht autorisierte Server als gültig gelten.
Wie streng ein ~all in der Praxis behandelt wird, hängt vom jeweiligen E-Mail-Anbieter ab. Manche Anbieter stufen einen Soft Fail nur als Warnsignal ein und stellen die Nachricht trotzdem zu, andere setzen sie direkt in den Spam-Ordner. Teste deshalb nach der Einrichtung, wie dein SPF-Eintrag bei den für dich wichtigsten E-Mail-Anbietern tatsächlich ankommt, statt dich allein auf die Theorie zu verlassen.
SPF ist übrigens nicht mit dem MX-Record zu verwechseln. Dieser legt fest, welcher Server E-Mails für deine Domain empfängt, während SPF regelt, welche Server in deinem Namen versenden dürfen. Bei einem SPF-Fail trifft der empfangende Mailserver die Entscheidung, ob die Nachricht trotzdem zugestellt, im Spam-Ordner einsortiert oder ganz abgelehnt wird, abhängig vom gewählten Qualifier.
SPF-Record erstellen: Schritt für Schritt
Bevor du loslegst, brauchst du Zugriff auf die DNS-Einstellungen deiner Domain, meist über deinen Domain-Registrar oder Hosting-Anbieter.
Schritt 1: Alle autorisierten Versender sammeln
Liste zunächst jeden Dienst auf, der E-Mails im Namen deiner Domain verschickt: dein E-Mail Marketing Tool, dein CRM, dein Ticketsystem, dein Transaktionsmail-Dienst und gegebenenfalls dein eigener E-Mail Server. Notiere zu jedem Dienst, ob er einen eigenen include:-Wert oder eine feste IP-Adresse benötigt. Vergisst du einen Dienst, schlägt dessen SPF-Prüfung künftig fehl und seine Nachrichten wirken für Empfänger:innen unglaubwürdig.
Schritt 2: SPF-Syntax korrekt aufbauen
Kombiniere die gesammelten Absender in einer einzigen Zeile, wie im Beispiel weiter oben. Achte darauf, dass jeder Dienst korrekt referenziert wird, denn ein einziger Tippfehler in der Syntax reicht, damit der gesamte SPF-Eintrag ungültig wird.
Schritt 3: DNS-TXT-Eintrag anlegen
Öffne die DNS-Verwaltung deiner Domain und erstelle einen neuen TXT Record. Als Host trägst du @ oder deinen Domainnamen ein, als Wert den vollständigen SPF-String. Speichere die Änderung in deiner DNS-Zone. Die Verbreitung über alle DNS-Server weltweit dauert zwischen wenigen Minuten und 48 Stunden.
Schritt 4: Nur einen SPF-Record je Domain
Eine Domain darf laut Definition nur einen einzigen SPF-Resource-Record besitzen. Legst du versehentlich einen zweiten TXT-Eintrag mit v=spf1 an, werten Mailserver das Ergebnis als ungültig, selbst wenn beide Einträge für sich genommen korrekt wären. Nutzt du mehrere Versanddienste, gehören alle include:-Anweisungen in ein und denselben SPF-Eintrag.
Schritt 5: Subdomains nicht vergessen
Subdomains benötigen eigene SPF-Einträge im DNS. Versendest du zum Beispiel sowohl über newsletter.deinefirma.de als auch über deinefirma.de, brauchst du für jede dieser Domains einen separaten, vollständigen SPF-Eintrag mit allen relevanten Diensten.
Sonderfall E-Mail-Weiterleitungen
Ein Stolperstein, der selbst bei einem korrekten SPF-Eintrag auftreten kann: E-Mail-Weiterleitungen. Leitet ein Empfänger oder eine Empfängerin deine Nachricht an ein anderes Postfach weiter, taucht der weiterleitende Server als Absender auf, nicht deiner. Da dieser Server meist nicht in deinem SPF-Eintrag steht, schlägt die Prüfung fehl, obwohl die E-Mail ursprünglich korrekt versendet wurde.
Große Mailserver setzen dafür oft das Sender Rewriting Scheme (SRS) ein, das die Absenderadresse bei der Weiterleitung technisch anpasst. Als Versender:in kannst du das selbst nicht beeinflussen; umso wichtiger ist es, zusätzlich auf DKIM zu setzen, da eine DKIM-Signatur auch bei Weiterleitungen gültig bleibt.
SPF-Record testen und prüfen
Ein SPF-Record, der nie getestet wurde, ist ein Risiko. Prüfe deshalb nach jeder Änderung, ob dein Eintrag korrekt hinterlegt ist und tatsächlich greift, vor allem nach einem Wechsel des E-Mail-Marketing-Tools oder der Einführung eines neuen Versanddienstes.
SPF-Record online prüfen
Mit kostenlosen Online Tools zur SPF-Prüfung gibst du einfach deine Domain ein und erhältst sofort eine Auswertung: Existiert ein SPF-Record? Ist die Syntax gültig? Gibt es doppelte Einträge? Diese Tools zeigen dir außerdem, ob du das Limit von 10 erlaubten DNS-Lookups pro SPF-Eintrag überschreitest, ein häufiger Stolperstein bei vielen include:-Verweisen.
Wenn du lieber direkt in der Kommandozeile arbeitest, prüfst du deinen SPF-Eintrag auch mit dem Befehl dig txt deinedomain.de oder nslookup -type=txt deinedomain.de. Beide zeigen dir alle TXT-Einträge deiner Domain an, sodass du auf einen Blick siehst, ob dein SPF-Record korrekt hinterlegt ist und ob versehentlich mehrere Einträge mit v=spf1 existieren.
Testmail versenden und Mail Header auswerten
Sende zusätzlich eine Testmail an ein Postfach, bei dem du den vollständigen Mail Header einsehen kannst, etwa bei Gmail über die Option „Original anzeigen“. Dort findest du den Vermerk SPF: PASS oder SPF: FAIL. Bei einem Fail lohnt sich der Blick in die Details: Meist fehlt ein include: für einen Versanddienst oder der DNS-Eintrag ist noch nicht vollständig verbreitet. Fehlt das grüne „PASS“ im Header, musst du noch einmal an den DNS-Einstellungen nachjustieren.
Häufige SPF-Fehler und wie du sie vermeidest
- Mehrere SPF-Records: Wie erwähnt akzeptieren Mailserver nur einen gültigen SPF-Eintrag pro Domain.
- Zu viele DNS-Lookups: Jeder include: zählt. SPF-Einträge dürfen maximal 10 DNS-Lookups auslösen. Ab mehr als 10 wird der gesamte Eintrag ungültig. Reduziere die Zahl der eingebundenen Dienste oder fasse Einträge zusammen.
- Verwendung von +all: Diese Einstellung macht SPF wirkungslos, weil sie jeden Server als autorisiert einstuft, unabhängig von der Liste.
- Fehlende Subdomain-Einträge: Jede Subdomain, die eigenständig E-Mails versendet, benötigt einen eigenen SPF-Eintrag.
- E-Mail-Weiterleitungen: Wie im Abschnitt zu Weiterleitungen erklärt, können sie SPF-Checks fehlschlagen lassen, obwohl der Versand ursprünglich korrekt war.
- Tippfehler in der Syntax: Ein fehlendes Leerzeichen oder ein falsches Präfix reicht, damit der gesamte SPF-Eintrag ungültig wird.
SPF, DKIM und DMARC im Vergleich
SPF allein reicht nicht aus für vollständige E-Mail-Sicherheit. SPF, DKIM und DMARC verfolgen zwar dasselbe Ziel, nämlich Vertrauen in deine Absenderdomain, arbeiten aber unterschiedlich und ergänzen sich gegenseitig.
Während SPF festlegt, welche Server senden dürfen, signiert DKIM, ausgeschrieben DomainKeys Identified Mail, jede Nachricht kryptografisch, um Manipulationen auf dem Übertragungsweg auszuschließen.
DMARC wiederum legt fest, was passieren soll, wenn SPF oder DKIM fehlschlagen, und verhindert damit gezielt Spoofing-Angriffe, die SPF allein nicht abdeckt. So hilft SPF vor allem dabei, gefälschte Absenderadressen zu identifizieren, während DMARC die konkrete Entscheidung über Zustellung oder Ablehnung trifft. Ein einfacher DMARC-Eintrag sieht so aus:
v=DMARC1; p=quarantine; rua=mailto:[email protected]
Die Richtlinie p=quarantine weist Mailserver an, verdächtige Nachrichten in den Spam-Ordner zu verschieben statt sie komplett abzulehnen ein guter Startpunkt, bevor du auf die strengere Einstellung p=reject wechselst. Der rua-Wert bestimmt, an welche Adresse Berichte über fehlgeschlagene Prüfungen gesendet werden. Beobachte diese Berichte einige Wochen lang, bevor du auf p=reject umstellst. So vermeidest du, dass legitime E-Mails aus Versehen blockiert werden und Zustellprobleme entstehen.
Die Kombination von SPF, DKIM und DMARC verbessert die Zustellbarkeit spürbar, gerade seit den verschärften Absenderanforderungen von Gmail und Yahoo. Massenversender:innen sollten deshalb alle drei Mechanismen gemeinsam einrichten, um dauerhaft im Posteingang statt im Spam-Ordner zu landen.
Mit einer E-Mail Marketing Software wie Brevo, die Zustellbarkeit von Grund auf mitdenkt, sparst du dir dabei einiges an manueller Konfigurationsarbeit, da viele Anbieter fertige SPF- und DKIM-Einträge zur Verfügung stellen. Bei der Wahl deines Tools lohnt sich ein Blick darauf, ob diese Einträge vorkonfiguriert mitgeliefert werden oder ob du sie komplett selbst pflegen musst.
Was Zustellbarkeit im Detail bedeutet und welche weiteren Faktoren hineinspielen, erfährst du in unserem Glossar.
Fazit: Mit SPF zu besserer Zustellbarkeit
Sammle alle autorisierten Versanddienste, trage sie sauber in einem einzigen SPF-Eintrag ein und teste das Ergebnis sowohl mit einem Online Tool als auch anhand einer echten Testmail. Wiederhole diesen Test nach jeder Änderung an deinem Versand-Stack und denke an DKIM und DMARC als Ergänzung, nicht als Ersatz, insbesondere wenn E-Mail-Weiterleitungen im Spiel sind.
Teste Brevo kostenlos und sende bis zu 300 E-Mails pro Tag, inklusive integrierter Tools zur Einrichtung deiner Domain-Authentifizierung (DKIM, DMARC).







