spf-missing
SPF-Eintrag fehlt
Ohne SPF-Eintrag kann jeder im Netz E-Mails versenden, die so aussehen, als kämen sie von Ihrer Domain. Was dahintersteckt und wie Sie es beheben.
Worum es geht
Auf Ihrer Domain fehlt eine öffentliche Liste der Systeme, die in ihrem Namen E-Mails verschicken dürfen. Diese Liste heißt SPF-Eintrag und wird in den DNS-Einstellungen Ihrer Domain hinterlegt, also dort, wo zum Beispiel auch festgelegt ist, dass “www.beispiel.de” auf einen bestimmten Server zeigt.
Fehlt der Eintrag, hat kein Mailserver der Welt eine verlässliche
Möglichkeit zu prüfen, ob eine Nachricht, die scheinbar von
sie@ihre-domain.de kommt, tatsächlich von Ihrem Anbieter stammt
oder von einem beliebigen Server im Internet.
Warum das wichtig ist
Drei konkrete Folgen:
- Andere können sich als Sie ausgeben. Ein Betrüger schickt einer Ihrer Kund:innen eine vermeintliche Rechnung Ihrer Buchhaltung. Sie überweist auf das Konto des Betrügers und meldet sich Wochen später bei Ihnen, warum die Ware nicht angekommen ist.
- Ihre echten Mails landen häufiger im Spam. Anbieter wie Gmail, Outlook oder GMX nutzen SPF als Vertrauenssignal. Domains ohne SPF starten mit einer schlechteren Reputation. Newsletter, Bestellbestätigungen und Antworten landen entsprechend öfter im Junk-Ordner.
- Manche großen Anbieter lehnen Ihre Mail komplett ab. Seit 2024 verlangen Google und Yahoo einen SPF-Eintrag von jedem Versender, der nennenswerte Mengen an ihre Nutzer:innen schickt.
Wie ein Betrüger das ausnutzt
Von einem beliebigen gemieteten Server aus verbindet sich der
Angreifer mit dem Mailserver einer Ihrer Kund:innen, gibt “diese
Nachricht ist von buchhaltung@ihr-unternehmen.de” an, und die
Mail wird zugestellt. Ohne Ihren SPF-Eintrag fehlt dem empfangenden
Server die Grundlage für eine Ablehnung.
Typische Ziele:
- Kundinnen und Kunden mit gefälschten Rechnungen oder “Ihr Passwort läuft heute ab”-Mails.
- Lieferanten mit Anfragen wie “Bitte aktualisieren Sie unsere Bankverbindung”, was zukünftige Zahlungen umleitet.
- Eigene Mitarbeitende mit Nachrichten “von der Geschäftsführung”, die zur Software-Installation, zur Weitergabe von Zugangsdaten oder zum Kauf von Gutscheinen drängen.
So beheben Sie das
Den SPF-Eintrag zu setzen, dauert für jemanden, der Ihre Domain verwaltet (Hosting-Anbieter, IT-Dienstleister, Web-Agentur), keine fünf Minuten. Vorgehen:
- Alle Systeme sammeln, die in Ihrem Namen Mail verschicken. Häufig dabei: Mailprovider (Google Workspace, Microsoft 365, mailbox.org), CRM (HubSpot, Pipedrive), Mail-API-Anbieter (SendGrid, Mailgun, Postmark), Support-Tool (Zendesk, Freshdesk), Newsletter-Plattform (Mailchimp, Brevo).
- Jeder Anbieter veröffentlicht den Textbaustein, den Sie
übernehmen, etwa
include:_spf.google.comoderinclude:spf.protection.outlook.com. - Diese Bausteine in einer einzelnen Zeile zusammenfassen und
im DNS als TXT-Eintrag auf der Hauptdomain hinterlegen. Ein
typischer Eintrag:
v=spf1 include:_spf.google.com include:sendgrid.net -all - Prüfen, ob alles passt, entweder mit einem kostenfreien Online-Checker (siehe unten) oder per erneutem Scan bei uns.
Das -all am Ende ist der strenge Teil. Es weist empfangende Server
an, jede Mail abzulehnen, die nicht von einem der gelisteten Systeme
kommt. Während der Einführung beginnen viele mit ~all (einer
weicheren Variante) und stellen auf -all um, sobald nichts
Legitimes mehr ausfällt.
Zu beachten: SPF erlaubt höchstens zehn Lookups pro Prüfung. Werden mehrere Mailanbieter inkludiert, kann das unbemerkt das Limit überschreiten, der Eintrag funktioniert dann nicht mehr. Der unten verlinkte Checker zeigt die aktuelle Zahl.
Mehr dazu
Wenn Sie Referenzen für die umsetzende Person brauchen oder selbst tiefer einsteigen möchten:
- MXToolbox SPF-Check: kostenfreie Sofortprüfung Ihres Eintrags.
- Google-Workspace-SPF-Anleitung
- Microsoft-365-SPF-Hinweise
- RFC 7208 — Sender Policy Framework (formelle Spezifikation)