E-Mail-Absender mit SPF autorisieren

Spoofing über Ihre Domain verhindern

Mit Sender Policy Framework (SPF) können Sie verhindern, dass Spammer nicht autorisierte E-Mails von Ihrer Domain senden. Diese Art von Spamming wird auch als Spoofing bezeichnet. SPF kann also eingesetzt werden, um für mehr Sicherheit im E-Mail-Verkehr zu sorgen. Diese Art der nicht autorisierten Verwendung von E-Mails kommt ziemlich häufig vor. Deshalb ist bei einigen E-Mail-Servern der Einsatz von SPF erforderlich. Wenn Sie SPF nicht einrichten, werden von Ihrer Domain gesendete Nachrichten in diesem Fall möglicherweise zurückgesendet oder als Spam markiert.

SPF mit DKIM und DMARC verwenden

Wir empfehlen, neben SPF auch DomainKeys Identified Mail (DKIM) und Domain-based Message Authentication, Reporting & Conformance (DMARC) einzurichten.

  • Mit SPF wird festgelegt, über welche Domains Nachrichten gesendet werden können.
  • Mithilfe von DKIM wird bestätigt, dass der Nachrichteninhalt authentisch ist und nicht geändert wurde.
  • Über die DMARC-Spezifikation wird bestimmt, welche Aktionen erfolgen sollen, wenn verdächtige E-Mails erkannt werden.

SPF für Ihre Domain aktivieren

Wenn Sie SPF für Ihre Domain aktivieren möchten, fügen Sie Ihrem Domainhost einen SPF-TXT-Eintrag hinzu. Dies wirkt sich nicht auf den E-Mail-Verkehr aus.

TXT-Einträge

Ihr Domainhost verwaltet die sogenannten DNS-Einträge. Das sind Einstellungen, mit denen der Internetzugriff an Ihre Domain weitergeleitet wird. Weitere Informationen erhalten Sie im Hilfeartikel TXT-Einträge. Wenn Sie Unterstützung beim Hinzufügen von TXT-Einträgen benötigen, wenden Sie sich einfach an Ihren Domainhost.

In einem SPF-TXT-Eintrag sind die E-Mail-Server aufgelistet, die über Ihre Domain E-Mails senden dürfen. Nachrichten von Servern, die nicht in dieser Liste stehen, werden gegebenenfalls als Spam markiert. 

SPF und mehrere E-Mail-Server

Wir raten davon ab, mehrere SPF-Einträge für mehrere E-Mail-Server zu verwenden. Ansonsten kann es zu Autorisierungsproblemen kommen. Wir empfehlen daher, für alle E-Mail-Server denselben SPF-Eintrag zu verwenden. 

Weitere Informationen zum Anwenden eines SPF-Eintrags auf mehrere Server

SPF-TXT-Eintrag hinzufügen

So aktivieren Sie SPF und aktualisieren Sie den SPF-TXT-Eintrag für Ihre Domain:

  1. Melden Sie sich im Domainkonto beim Domainhost an, nicht in der Google Admin-Konsole.

    Domainhost identifizieren

  2. Suchen Sie die Seite, auf der Sie die DNS-Einträge Ihrer Domain aktualisieren können. Die Seite kann verschiedene Bezeichnungen haben, z. B. DNS-Verwaltung, Nameserver-Verwaltung oder Erweiterte Einstellungen.
  3. Suchen Sie nach den TXT-Einträgen und überprüfen Sie, ob bereits ein SPF-Eintrag vorhanden ist. Ein solcher Eintrag beginnt mit v=spf1.
  4. Falls in der Domain bereits ein SPF-Eintrag vorhanden ist, entfernen Sie ihn. Machen Sie andernfalls mit Schritt 5 weiter.
  5. Erstellen Sie einen TXT-Eintrag mit den folgenden Werten:
    • Name/Host/Alias: Geben Sie @ ein oder lassen Sie das Feld leer. Sehen Sie sich andere DNS-Einträge für Ihre Domain an, um herauszufinden, was in Ihrem Fall zutrifft.
    • Gültigkeitsdauer (TTL): Geben Sie 3600 ein oder verwenden Sie die Standardeinstellung.
    • Wert/Antwort/Ziel: Geben Sie v=spf1 include:_spf.google.com ~all ein.

  6. Speichern Sie den Eintrag.

Der neue SPF-Eintrag wird in spätestens 48 Stunden wirksam.

SPF-Eintrag prüfen

Überprüfen Sie Ihren SPF-Eintrag mithilfe der App MX-Check, die Teil von G Suite Toolbox ist:

  1. Gehen Sie zu https://toolbox.googleapps.com/apps/checkmx/.
  2. Geben Sie den Domainnamen ein.
  3. Klicken Sie auf Prüfung ausführen.
  4. Wenn der Test abgeschlossen ist, klicken Sie auf Aktuelle SPF-Adressbereiche.
  5. Überprüfen Sie die SPF-Ergebnisse. Folgendes sollte enthalten sein:
    • _spf.google.com
    • _netblocks.google.com gefolgt von mehreren IP-Adressen
    • _netblocks2.google.com gefolgt von mehreren IP-Adressen
    • _netblocks3.google.com gefolgt von mehreren IP-Adressen

SPF-Eintrag auf mehrere Server anwenden

Eine Domain kann nur einen SPF-Eintrag haben. Erstellen Sie daher nicht für jeden E-Mail-Server einen eigenen SPF-Eintrag. Aktualisieren Sie stattdessen den einen vorhandenen SPF-Eintrag, um alle E-Mail-Server einzuschließen.

Wenn Sie beispielsweise ein Ausgangsgateway für E-Mails einrichten, enthält der SPF-Eintrag die Adresse des Gmail-Servers und die Adresse des SMTP-Servers für das Ausgangsgateway.

Möchten Sie einen E-Mail-Server in einen SPF-Eintrag aufnehmen, geben Sie vor dem Argument ~all die IP-Adresse des Servers ein. Verwenden Sie dabei das Format ip4:Adresse oder ip6:Adresse wie im folgenden Beispiel:

v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all

Soll die Domain eines E-Mail-Servers hinzugefügt werden, verwenden Sie für jede Domain eine Anweisung des Typs include. Beispiel:

v=spf1 include:serverdomain.com include:_spf.google.com ~all

Maximale DNS-Lookups und SPF-Prüfungen

SPF unterstützt bis zu zehn DNS-Lookups. Geschachtelte Lookups werden auf den Maximalwert angerechnet. Wenn es für einen SPF-Eintrag mehr als zehn Suchvorgänge gibt, werden die Mechanismen ab dem elften als ungültig behandelt und die SPF-Prüfung wird nicht bestanden. 

Weitere Informationen

Diese Mechanismen und Modifikatoren im SPF-Eintrag werden auf den Maximalwert für den Lookup angerechnet:

  • a
  • exists
  • include
  • mx
  • ptr
  • require

Diese Mechanismen und Modifikatoren werden nicht auf den Maximalwert angerechnet:

  • exp
  • ip4
  • ip6

So können Sie die Anzahl der Suchvorgänge in Ihrem SPF-Eintrag reduzieren:

  • Vermeiden Sie unnötige include-Anweisungen.
  • Verwenden Sie statt include nach Möglichkeit die Mechanismen ip4 oder ip6.
  • Nutzen Sie nicht den Mechanismus ptr, da er viele DNS-Lookups generiert.
  • Entfernen Sie doppelte Mechanismen und solche, die zu derselben Domain aufgelöst werden.
  • Verweisen Sie nur auf Domains, die aktiv senden.
  • Entfernen Sie alle include-Anweisungen in SPF-Einträgen von Partnern, die keine E-Mails mehr von Ihrer Domain senden.

Sie können die Anzahl der Lookups für Ihren SPF-Eintrag mithilfe der App MX-Check überprüfen, die Teil von G Suite Toolbox ist.

Weitere Informationen

Informationen dazu, was in SPF-Einträgen enthalten sein muss, finden Sie im Hilfeartikel IP-Adressbereiche von Google.

War das hilfreich?
Wie können wir die Seite verbessern?