E-Mail-Spoofing durch SPF-Einträge verhindern

Schutz vor gefälschten E-Mails, die scheinbar aus Ihrer Domain stammen

Spammer sind in der Lage, E-Mails zu versenden, die aussehen, als ob sie aus Ihrer Domain stammen. Das nennt man Spoofing. Sie können Ihrem Domainhost aber einen SPF-Eintrag (Sender Policy Framework) hinzufügen. Damit haben Empfänger die Möglichkeit zu erkennen, ob E-Mails wirklich aus Ihrer Domain kommen oder gespooft wurden.

Wenn Sie Ihre Domain bei der Registrierung für die G Suite bei einem der folgenden Google-Partner erworben haben, müssen möglicherweise keine SPF-Einträge hinzugefügt werden: GoDaddy.com, eNom.com oder DomainDiscount24.com. Weitere Informationen finden Sie unter Vom Domainhost verwaltete Einstellungen.

Dem Domainhost einen SPF-TXT-Eintrag hinzufügen

Ihr Domainhost verwaltet die sogenannten DNS-Einträge. Das sind Einstellungen, mit denen der Internetzugriff an Ihre Domain weitergeleitet wird. Ein SPF-TXT-Eintrag listet die E-Mail-Server auf, die E-Mails aus dieser Domain senden können. Wenn eine Nachricht von einem Server gesendet wird, der nicht im Eintrag enthalten ist, wird sie vom Server des Empfängers möglicherweise als Spam eingestuft.

Hinweis: Eine Domain kann nur einen SPF-Eintrag haben. Sie können im Eintrag aber mehrere Server auflisten. Weitere Informationen finden Sie unter Einem SPF-Eintrag mehrere Server hinzufügen.

  1. Melden Sie sich im Domainkonto beim Domainhost an, nicht in der Google Admin-Konsole.
  2. Gehen Sie zu der Seite, auf der die DNS-Einträge Ihrer Domain aktualisiert werden.
    Sie kann verschiedene Bezeichnungen haben, z. B. "DNS-Verwaltung", "Nameserver-Verwaltung" oder "Erweiterte Einstellungen".
  3. Suchen Sie nach den TXT-Einträgen und überprüfen Sie, ob bereits ein SPF-Eintrag vorhanden ist.
    Er beginnt mit "v=spf1".
  4. Falls ja, entfernen Sie den bestehenden SPF-Eintrag. Machen Sie andernfalls bei Schritt 5 weiter.
  5. Erstellen Sie einen TXT-Eintrag mit den folgenden Werten:
    • Name/Host/Alias: Geben Sie @ ein oder lassen Sie das Feld leer.
      Sehen Sie sich andere DNS-Einträge für Ihre Domain an, um herauszufinden, was in Ihrem Fall zutrifft.
    • TTL (Time to Live): Geben Sie 3600 ein oder verwenden Sie die Standardeinstellung.
    • Wert/Antwort/Ziel: Geben Sie v=spf1 include:_spf.google.com ~all ein.
  6. Speichern Sie den Eintrag.

Der neue SPF-Eintrag wird in spätestens 48 Stunden wirksam.

SPF-Eintrag verwalten

Alle öffnen  |  Alle schließen

SPF-Eintrag verifizieren
Verifizieren Sie den SPF-Eintrag mithilfe der App "MX-Check", die Teil der G Suite Toolbox ist:
  1. Rufen Sie die G Suite Toolbox auf.
  2. Geben Sie den Domainnamen ein.
  3. Klicken Sie auf Prüfung ausführen.
  4. Wenn der Test abgeschlossen ist, klicken Sie auf Aktuelle SPF-Adressbereiche.
  5. Überprüfen Sie die SPF-Ergebnisse.
    Sie sollten Folgendes enthalten:
    • _spf.google.com
    • _netblocks.google.com gefolgt von mehreren IP-Adressen
    • _netblocks2.google.com gefolgt von mehreren IP-Adressen
    • _netblocks3.google.com gefolgt von mehreren IP-Adressen
Einem SPF-Eintrag mehrere Server hinzufügen
Ihre Domain kann nur einen SPF-Eintrag haben. Sie können diesen jedoch so aktualisieren, dass alle Ihre Mailserver einbezogen werden. Wenn Sie beispielsweise ein Ausgangsgateway für E-Mails einrichten, enthält der SPF-Eintrag die Adresse des Gmail-Servers und die Adresse des SMTP-Servers für das Ausgangsgateway.
Möchten Sie einen E-Mail-Server in einen SPF-Eintrag aufnehmen, geben Sie vor dem Argument ~all die IP-Adresse des Servers ein. Verwenden Sie das Format ip4:Adresse oder ip6:Adresse, wie in diesem Beispiel:
v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all
Soll die Domain eines E-Mail-Servers hinzugefügt werden, verwenden Sie für jede Domain eine "include"-Anweisung. Beispiel:
v=spf1 include:serverdomain.com include:_spf.google.com ~all

Weitere Informationen

Mechanismen und Kennzeichner verwalten
Mechanismen in einem SPF-Eintrag geben die Server an, die im Namen der Domain E-Mails senden dürfen. Jeder Mechanismus wird im SPF-Eintrag von links nach rechts ausgewertet.
Beispieleintrag:
v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all
Durch diese Mechanismen werden die IP-Adressen identifiziert, über die E-Mails von einer Domain gesendet werden können:
  • a
  • mx
  • ip4
  • ip6
  • include
  • all

Wenn ein Server nicht mit einem der Mechanismen im SPF-Eintrag übereinstimmt, wird durch den all-Mechanismus bestimmt, ob die E-Mail die SPF-Prüfung besteht. 

Sie können die Mechanismen im SPF-Eintrag mit Kennzeichnern versehen, um Einfluss darauf zu nehmen, wie E-Mails Ihre SPF-Prüfung bestehen.
Kennzeichner Beschreibung
Bestanden (+) E-Mails von einem Server, der mit einem Mechanismus mit dem Kennzeichner "+" oder keinem Kennzeichner übereinstimmt, bestehen die SPF-Prüfung. Der Empfänger sollte die E-Mail annehmen.
Nicht bestanden (-) E-Mails von einem Server, der mit einem Mechanismus mit dem Kennzeichner "-" übereinstimmt, bestehen die SPF-Prüfung nicht. Der Empfänger sollte die E-Mail ablehnen.
Vorläufig nicht bestanden (~) E-Mails von einem Server, der mit einem Mechanismus mit dem Kennzeichner "~" übereinstimmt, bestehen die SPF-Prüfung zwar, werden aber als "verdächtig" eingestuft.
Neutral (?) Mechanismen mit dem Kennzeichner "?" haben keinen Einfluss darauf, ob E-Mails die SPF-Prüfung bestehen.
DNS-Lookup-Limits und SPF-Prüfungen
SPF unterstützt bis zu zehn DNS-Lookups. Geschachtelte Lookups werden auf den Maximalwert angerechnet. Nachdem der SPF-Eintrag mehr als zehn Suchanfragen umfasst, sind die Mechanismen ungültig und die SPF-Prüfung wird nicht bestanden.
Sie können die Anzahl der Lookups für den SPF-Eintrag mit der App "MX-Check" überprüfen.

Mechanismen und Modifikatoren für SPF-Einträge

Durch Mechanismen und Modifikatoren, die Sie in Ihrem SPF-Eintrag verwenden, können Sie verhindern, dass die maximal zulässige Anzahl von zehn DNS-Lookups erreicht wird.
Werden auf den Lookup-Grenzwert angerechnet Werden nicht auf den Lookup-Grenzwert angerechnet
  • a
  • exists
  • include
  • mx
  • ptr
  • require
  • all
  • exp
  • ip4
  • ip6

 

So verringern Sie die Anzahl der Lookups im SPF-Eintrag:

  • Vermeiden Sie unnötige include-Anweisungen.
  • Verwenden Sie statt "include" nach Möglichkeit die Mechanismen ip4 oder ip6.
  • Vermeiden Sie die Verwendung des ptr-Mechanismus, da er zu viele DNS-Lookups generiert.
  • Entfernen Sie doppelte Mechanismen und solche, die zu derselben Domain aufgelöst werden.
  • Verweisen Sie nur auf Domains, die aktiv senden.
  • Entfernen Sie alle include-Anweisungen in SPF-Einträgen von Partnern, die keine E-Mails mehr von Ihrer Domain senden.

Weitere Informationen

SPF mit DKIM und DMARC verwenden
Wir empfehlen, neben SPF auch DomainKeys Identified Mail (DKIM) und Domain-based Message Authentication, Reporting & Conformance (DMARC) einzurichten:
  • Durch SPF werden die Server angegeben, die E-Mails für eine Domain senden können.
  • Mithilfe von DKIM wird bestätigt, dass der Nachrichteninhalt authentisch ist und nicht geändert wurde.
  • Über DMARC wird bestimmt, welche Aktionen erfolgen sollen, wenn verdächtige E-Mails erkannt werden.

Weitere Informationen

 Weitere Informationen

War das hilfreich?
Wie können wir die Seite verbessern?