SPF-Eintrag definieren – erweiterte Einrichtung

Schutz vor Phishing und verhindern, dass Nachrichten als Spam markiert werden

An wen sich dieser Artikel richtet

Dieser Artikel richtet sich an IT-Experten und Personen, die Erfahrung mit dem Einrichten von E-Mail-Servern haben. Er enthält technische Informationen zu SPF, einschließlich der Anforderungen an SPF-Einträge, der Syntax von SPF-Einträgen und der Auswirkungen von SPF auf die E-Mail-Zustellung. Für einen einfachen SPF-Eintrag zum Senden von E-Mails ausschließlich mit Google Workspace oder für Google Workspace und Ihre anderen E-Mail-Absender folgen Sie der Anleitung in SPF-Eintrag definieren – grundlegende Einrichtung.

Durch einen SPF-Eintrag werden Mailserver und Domains definiert, die E-Mails für Ihre Domain senden dürfen. Außerdem wird hiermit für Eingangsserver festgelegt, was nach der Prüfung mit Nachrichten geschehen soll. In Eingangsservern wird Ihr SPF-Eintrag daraufhin geprüft, ob eingehende Nachrichten, die aus Ihrer Organisation zu kommen scheinen, auch wirklich von Servern gesendet wurden, die Sie autorisiert haben. Domains können nur einen SPF-Eintrag haben. Mit dem SPF-Eintrag für eine Domain können jedoch mehrere Server und Drittanbieter festgelegt werden, die E-Mails für die Domain senden dürfen.

 

Set up SPF

Richten Sie SPF durch Hinzufügen eines DNS-TXT-Eintrags bei Ihrem Domainanbieter ein.

Format des SPF-Eintrags

Ein SPF-Eintrag ist eine Textzeile, die eine Liste von Tags und Werten enthält. Die Tags werden Mechanismen genannt. Die Werte sind normalerweise IP-Adressen und Domainnamen.

Ein SPF-Eintrag wird Ihrem Domainanbieter in Form eines DNS-TXT-Eintrags hinzugefügt. Weitere Informationen zu TXT-Einträgen

SPF-Einträge können aus bis zu 255 Zeichen bestehen. Die Größe der TXT-Datei sollte maximal 512 Byte betragen.

Mechanismen für SPF-Einträge

Erstellen Sie Ihren SPF-Eintrag mithilfe der Mechanismen in dieser Tabelle. Maileingangsserver prüfen Nachrichten anhand der Mechanismen in der im SPF-Eintrag aufgeführten Reihenfolge.

Wichtige Hinweise:

Mechanismus Beschreibung und zulässige Werte
v

SPF-Version. Dieses Tag ist erforderlich und muss das erste Tag im Eintrag sein. Der Mechanismus muss so aussehen:

v=spf1

ip4

Autorisierung von Mailservern anhand der IPv4-Adresse oder des IPv4-Adressbereichs. Der Wert muss eine IPv4-Adresse im Standardformat sein, z. B.:

ip4:192.168.0.1

oder

ip4:192.0.2.0/24

ip6

Autorisiert Mailserver anhand der IPv6-Adresse oder des IPv6-Adressbereichs. Der Wert muss eine IPv6-Adresse im Standardformat sein, z. B.:

ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF

oder

ip6:2001:db8:1234::/48

a

Autorisiert Mailserver nach Domainname, z. B.:

a:solarmora.com

mx

Autorisiert einen oder mehrere Mailserver nach MX-Eintrag der Domain, z. B.:

mx:mail.solarmora.com

Wenn sich dieser Mechanismus nicht in Ihrem SPF-Eintrag befindet, werden als Standardwert die MX-Einträge der Domain verwendet, in der der SPF-Eintrag genutzt wird.

include

Autorisiert Absender von Drittanbieter-E-Mails nach Domain, z. B.:

include:servers.mail.net

all

Gibt an, dass alle eingehenden Nachrichten übereinstimmen. Wir empfehlen, diesen Mechanismus immer in Ihrem SPF-Eintrag zu verwenden.

Es muss der letzte Mechanismus im SPF-Eintrag sein. Mechanismen, die nach dem Mechanismus all in einem SPF-Eintrag kommen, werden ignoriert.

Soll ich ~all oder -all verwenden?

Wenn in einem SPF-Eintrag ~all als Kennzeichner „Soft fail“ (vorläufig nicht bestanden) enthalten ist, akzeptieren Eingangsserver normalerweise Nachrichten von Absendern, die nicht in Ihrem SPF-Eintrag aufgeführt sind. Sie markieren sie jedoch als verdächtig.

Wenn in einem SPF-Eintrag -all als Kennzeichner „Fail“ (nicht bestanden) enthalten ist, lehnen Eingangsserver Nachrichten von Absendern, die nicht in Ihrem SPF-Eintrag aufgeführt sind, unter Umständen ab. Ist Ihr SPF-Eintrag nicht richtig eingerichtet, kann das dazu führen, dass mehr Nachrichten aus Ihrer Domain durch den Kennzeichner „Fail“ an den Spamordner gesendet werden.

Tipp: Sie verhindern Spoofing von Domains, die keine E-Mails senden, wenn Sie den folgenden SPF-Eintrag für die Domain verwenden: vspf1 ~all

Kennzeichner für SPF-Einträge

Ein Kennzeichner ist ein optionales Präfix, das Sie einem beliebigen Mechanismus in Ihrem SPF-Eintrag hinzufügen können. Durch Kennzeichner wird den Eingangsmailservern mitgeteilt, ob eine Nachricht als authentifiziert betrachtet werden soll, wenn es eine Übereinstimmung mit dem Wert eines Mechanismus gibt, z. B.:

v=spf1 include:_spf.google.com -all

In diesem Beispiel wird durch den SPF-Eintrag autorisiert, dass nur Google Workspace E-Mails für Ihre Domain versenden darf. Der Mechanismus all hat den Kennzeichner „Fail“ (-). Dadurch bestehen Nachrichten von anderen Absendern die SPF-Prüfung nicht und können vom Eingangsserver abgelehnt werden.

Die Mechanismen werden im SPF-Eintrag in der Reihenfolge geprüft, in der sie auftreten. Hat ein Mechanismus keinen Kennzeichner und es gibt eine Übereinstimmung, ist die Standardaktion das Bestehen der Authentifizierung. Gibt es keine Übereinstimmung mit einem Mechanismus, ist die Standardaktion neutral: Die Authentifizierung der Nachricht ist weder bestanden noch nicht bestanden.

Mit den folgenden optionalen Kennzeichnern teilen Sie Eingangsmailservern mit, wie Nachrichten behandelt werden sollen, die mit Mechanismen im SPF-Eintrag übereinstimmen.

Kennzeichner Aktion, die der Eingangsserver mit einer Übereinstimmung ausführt
+ Authentifizierung bestanden. Der Server mit übereinstimmender IP-Adresse ist zum Senden für Ihre Domain autorisiert. Nachrichten sind authentifiziert. Das ist die Standardaktion, wenn der Mechanismus keine Kennzeichner nutzt.
- Authentifizierung nicht bestanden. Der Server mit übereinstimmender IP-Adresse ist nicht als Absender für die Domain autorisiert. Der SPF-Eintrag enthält nicht die IP-Adresse oder Domain des sendenden Servers, also bestehen Nachrichten die Authentifizierung nicht.
~ Authentifizierung vorläufig nicht bestanden. Es ist unwahrscheinlich, dass der Server mit übereinstimmender IP-Adresse als Absender für die Domain autorisiert ist. Der empfangende Server nimmt Nachrichten normalerweise an, markiert sie aber als verdächtig.
? Neutral. Authentifizierung weder bestanden noch nicht bestanden. Im SPF-Eintrag ist nicht explizit angegeben, dass die IP-Adresse als Absender für die Domain autorisiert ist. SPF-Einträge mit neutralen Ergebnissen nutzen häufig ?all.

Weitere Informationen

Nachdem Sie den SPF-Eintrag für Ihre Domain erstellt haben, fügen Sie den SPF-Eintrag bei Ihrem Domainanbieter hinzu.

War das hilfreich?
Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Anmelden, um weitere Supportoptionen zu erhalten und das Problem schnell zu beheben

Suche
Suche löschen
Suche schließen
Google-Apps
Hauptmenü
Suchen in der Hilfe
true
73010
false