SPF: Ihr unsichtbarer Bodyguard für E-Mail-Sicherheit
In modernen Unternehmen bleibt E-Mail der wichtigste – und gleichzeitig anfälligste – Kommunikationskanal. Von Geschäftsfreigaben bis zur Lieferantenkoordination läuft alles über das Postfach. Doch was passiert, wenn plötzlich jemand anderes E-Mails versendet, die scheinbar von Ihnen stammen? Hier kommt SPF – das Sender Policy Framework – ins Spiel.
SPF ist ein E-Mail-Sicherheitsmechanismus, der Ihr Unternehmen vor einer der häufigsten Bedrohungen schützt: E-Mail-Spoofing. Dabei geben sich Angreifer als CEO, Personalabteilung oder Buchhaltung aus, um Empfänger zu täuschen – mit dem Ziel, Geld zu überweisen, sensible Informationen zu erlangen oder auf Schadlinks zu klicken.
SPF funktioniert wie eine Gästeliste für Ihre Domain: Sie definieren öffentlich, welche Mailserver E-Mails in Ihrem Namen versenden dürfen. Diese Liste wird in Ihren DNS-Einträgen veröffentlicht. Beim Empfang prüft der empfangende Server, ob der Absender auf der SPF-Liste steht. Ist er nicht drauf: Alarm.
Doch SPF funktioniert nur, wenn es korrekt eingerichtet ist.
Viele Unternehmen konfigurieren SPF gar nicht oder falsch. Häufig fehlen legitime Absender wie Marketingtools, CRM oder Support-Plattformen – E-Mails werden blockiert oder landen im Spam. Noch schlimmer: Zu offene Einstellungen erlauben jedem den Versand in Ihrem Namen – und machen SPF wirkungslos.
Was passiert bei falsch konfiguriertem SPF:
-
Kunden erhalten Ihre Angebote nicht.
-
Mitarbeiter fallen auf Phishing herein.
-
Partner zweifeln Ihre Marke an, wenn sie gefälschte E-Mails “von Ihnen” erhalten.
SPF ist kein Extra – es ist ein Fundament für Vertrauen im E-Mail-Verkehr. Aber nur, wenn es stabil aufgebaut ist.
In Teil 2 zeigen wir Ihnen die technischen Details: wie SPF funktioniert, wo es scheitert – und wie man es richtig konfiguriert.
SPF Deep Dive – Das technische Rückgrat der E-Mail-Authentifizierung
In Teil 1 haben wir die Bedeutung von SPF erklärt. Jetzt geht’s an die Technik.
Wie SPF funktioniert
SPF ist ein TXT-Eintrag im DNS
Beim Veröffentlichen fügen Sie Ihrer DNS-Zone z. B. folgendes hinzu:v=spf1 include:_spf.google.com ip4:192.0.2.0/24 -all
Was passiert beim Senden?
-
Ihr Mailserver (z. B. Gmail, Outlook, Mailchimp) versendet die Mail.
-
Der empfangende Server prüft den SPF-Eintrag Ihrer Domain.
-
Er vergleicht die IP des Absenders mit der zugelassenen Liste.
-
Ergebnis: pass, fail, softfail, neutral oder none.
Fehlerquellen
-
Zu viele DNS-Lookups: Maximal 10. Jeder
include:,mx:odera:zählt. Bei Überschreitung schlägt SPF fehl. -
Fehlende Absender: Wenn CRM oder Supportsystem vergessen werden, landen Mails im Spam.
-
Zu offene Richtlinien:
+alloder?alldeaktivieren SPF effektiv. Richtig:~allzum Testen,-allfür Produktion. -
Weiterleitung bricht SPF: SPF prüft die ursprüngliche Absender-IP, nicht die Weiterleitung. SRS ist notwendig – aber selten implementiert.
-
Kein Alignment mit DMARC: SPF schützt nicht die sichtbare From-Adresse. Erst mit DMARC wird sichergestellt, dass Domain und Absender übereinstimmen.
Best Practices
-
SPF flach halten – unter 10 Lookups bleiben. Tools nutzen, um Includes in IPs umzuwandeln.
-
SPF regelmäßig prüfen. Veraltete Dienste entfernen.
-
SPF mit DMARC und DKIM kombinieren für volle Absicherung.
-
Testmodus:
~all, Live:-all. -
Mit DMARC-Berichten überwachen, anpassen bei SPF-Fehlern.
Sender Policy Framework ist kein «Einmal einrichten und vergessen»-Feature. Es muss gepflegt und an Ihre Infrastruktur angepasst werden. In einer Welt, in der Vertrauen alles ist und E-Mail der beliebteste Angriffsvektor bleibt, ist ein korrekt eingerichtetes SPF Ihre erste Verteidigungslinie.
ZENDATA Cybersecurity weiß, dass SPF, DKIM und DMARC nur der Anfang sind. Wir bieten fortlaufendes Monitoring, fortgeschrittene Validierungen, Missbrauchserkennung und Integration in Ihre gesamte Sicherheitsarchitektur – egal ob globales Unternehmen oder wachsendes KMU in der Cloud.
Verwandeln Sie SPF von einem Pflicht-Häkchen in ein Schutzschild. Kontaktieren Sie uns.
