SPF-Record erstellen und prüfen
Erstellt: 28.03.2022 Bearbeitet: 05.12.2025
SPF (Sender Policy Framework) ist ein recht einfaches Verfahren, um Missbrauch der eigenen E-Mails ein wenig zu verhindern. Mit dem SPF-Domain-Record gibt man an, aus welchen Netzen E-Mails der eigenen Domain versendet werden dürfen.
SPF-Record abfragen
Der einfachste Weg ist wohl, mit host oder dig eine einfache DNS-Abfrage zu machen. Das geht z. B. mit
host -t TXT gmx.de | grep -i spf
dig heise.de TXT | grep -i spf
dig gmx.de TXT | grep -i spf
dig gmx.net TXT | grep -i spf
nslookup -q=TXT gmx.net | grep -i spf
Bedeutung der Felder
| Feld | Bedeutung |
|---|---|
| v | Version des Records, z. B. v=spf1 |
| ip4 | IPv4-Adresse oder Adressbereich, z. B. ip4:1.2.3.0/24 |
| ip6 | IPv6-Adresse oder Adressbereich, z. B. ip6:2a02:2e0:3fe:1001::/64 |
| a | Ein A- oder AAAA-Record der befragten (oder explizit angegebenen) Domäne, der die IP-Adresse des Senders enthält |
| mx | Ein MX-Record der befragten (oder explizit angegebenen) Domäne, der die IP-Adresse des Senders enthält |
| -all | Alle anderen hier nicht aufgeführten Sender sind nicht autorisiert und sollen abgewiesen werden. |
| ~all | Softfail, nicht autorisierte Sender; der Empfänger soll diesen Fehlschlag aber großzügig behandeln. |
| ?all | Neutral, die Direktive definiert Sender, über deren Legitimität nichts ausgesagt werden soll; der Sender muss so behandelt werden, als wäre kein Qualifikator angegeben. |
| include | Eine zusätzliche SPF-Anfrage zur im Include-Statement angegebenen Domain, die die IP-Adresse des Senders enthält, z. B. include:_spfdiv.heise.de |
| redirect | Der SPF-Record einer anderen Domain soll eingeholt und ausgewertet werden, z. B. redirect=gmx.net |
Beispiel
Aus den Testabfragen sollte sich der restliche Aufbau von selbst erklären.
Im Grunde ist es immer „Version, Regelwerk der eigenen Infrastruktur, Rest mit all“.
Beispiel: v=spf1 mx:mx.domain.com a:domain.com ip4:1.2.3.0/24 ~all