SPF-Flattener

Was ist SPF (Sender Policy Framework)?

SPF ist ein DNS-basiertes Authentifizierungsverfahren, das festlegt, welche Mailserver berechtigt sind, E-Mails im Namen einer Domain zu versenden. Der Domaininhaber veröffentlicht einen TXT-Record im DNS, der alle autorisierten Server auflistet. Empfangende Mailserver prüfen bei jeder eingehenden E-Mail, ob der sendende Server in dieser Liste enthalten ist. Ohne SPF kann jeder beliebige Server E-Mails mit einer gefälschten Absenderadresse verschicken — eine Grundlage für Phishing und Spoofing.

Zusammen mit DKIM und DMARC bildet SPF die drei Säulen der E-Mail-Authentifizierung. Alle drei Verfahren sollten korrekt konfiguriert sein, um die eigene Domain vor Missbrauch zu schützen. Ob das der Fall ist, zeigt der E-Mail Security Check in wenigen Sekunden.

Das 10-Lookup-Limit und warum es zum Problem wird

SPF hat ein hartes Limit von maximal zehn DNS-Lookups pro Prüfung. Jeder include-, a-, mx- und redirect-Mechanismus zählt als ein Lookup — und verschachtelte include-Einträge addieren sich. Wird das Limit überschritten, liefert die SPF-Prüfung ein PermError und die gesamte Authentifizierung schlägt fehl.

In der Praxis wird dieses Limit schneller erreicht, als viele Administratoren erwarten. Ein typisches mittelständisches Unternehmen nutzt Microsoft 365 für die interne Kommunikation, einen Newsletter-Dienst, ein CRM-System wie Zoho, ein Helpdesk-Tool und vielleicht noch eine Plattform für Transaktionsmails. Jeder dieser Dienste benötigt ein include im SPF-Record, und jedes include löst seinerseits weitere DNS-Abfragen aus. Fünf Drittanbieter können leicht zwölf oder mehr Lookups verursachen — und schon ist das Limit überschritten. Die Folge: Empfangende Server werten den SPF-Record als fehlerhaft, und selbst legitime E-Mails können im Spam-Ordner landen oder abgewiesen werden.

SPF-Flattening als Lösung

SPF-Flattening löst das Lookup-Problem, indem es die verschachtelten include-Ketten in die tatsächlichen IP-Adressen und CIDR-Blöcke auflöst. Statt include:_spf.google.com (das selbst mehrere verschachtelte Lookups enthält) stehen dann die konkreten IP-Bereiche direkt im SPF-Record. Da ip4- und ip6-Mechanismen keine DNS-Lookups benötigen, umgeht man das 10-Lookup-Limit.

Unser SPF-Flattener analysiert Ihren bestehenden SPF-Record, zählt die aktuellen DNS-Lookups und löst alle include-Einträge rekursiv auf. Das Ergebnis ist ein optimierter Record, der dieselben Server autorisiert, aber deutlich weniger Lookups benötigt. So bleibt Ihre E-Mail-Zustellung zuverlässig, auch wenn Sie viele Drittanbieter einsetzen.

Best Practices für SPF-Records

Ein robuster SPF-Record folgt einigen bewährten Grundregeln. Verwenden Sie -all (Hard Fail) statt ~all (Soft Fail) im Produktivbetrieb — in Kombination mit einer strikten DMARC-Policy bietet dies den besten Schutz. Veröffentlichen Sie nur einen einzigen SPF-Record pro Domain, da mehrere Records zu einem PermError führen. Vermeiden Sie den veralteten ptr-Mechanismus, der langsam und unzuverlässig ist.

Wenn das Flattening allein nicht ausreicht, kann die Aufteilung auf dedizierte Subdomains eine Alternative sein: Marketing-Mails über newsletter.example.de, Transaktionsmails über system.example.de — jede Subdomain mit einem eigenen, schlanken SPF-Record. Wichtig ist dabei, dass auch für diese Subdomains DKIM und DMARC korrekt konfiguriert werden.

Überwachen Sie Ihre SPF-Konfiguration regelmäßig. Drittanbieter ändern ihre IP-Bereiche ohne Vorwarnung, und ein geflatteter Record muss dann aktualisiert werden. Automatisierte Monitoring-Lösungen oder regelmäßige Checks mit dem E-Mail Security Check helfen, Probleme frühzeitig zu erkennen.