Inhalt des Artikels
- Eine Domain sollte pro Hostnamen nur einen SPF-Eintrag veröffentlichen. Wenn für denselben Hostnamen mehrere SPF-Einträge vorhanden sind, kann die SPF-Auswertung anstelle eines normalen „Pass“ einen „SPF PermError“ zurückgeben.
- Für einzelne Subdomains können eigene Richtlinien festgelegt werden. Beispielsweise können „example.com“ und „mail.example.com“ jeweils einen Eintrag veröffentlichen, wenn sie E-Mails unabhängig voneinander versenden.
- Mehrere SPF-Einträge treten in der Regel auf, wenn ein neuer Absender wie Google Workspace, Amazon SES oder eine andere E-Mail-Plattform hinzugefügt wird, ohne dass dieser in den bestehenden SPF-TXT-Eintrag integriert wird.
- Die richtige Lösung besteht nicht darin, getrennte SPF-Richtlinien beizubehalten. Ziel ist es, die SPF-Einträge zu einem single SPF-Eintrag zusammenzufassen, die SPF-Syntax zu überprüfen und die Zustellbarkeit nach der Aktualisierung zu überwachen.
Kann man mehrere SPF-Einträge für eine Domain haben?
Für denselben Hostnamen gilt dies nicht. Eine Domain sollte pro Hostnamen nur einen SPF-Eintrag veröffentlichen. Gemäß RFC 7208 „ “ darf ein Domänenname keine mehreren Einträge enthalten, die dazu führen würden, dass bei einer Autorisierungsprüfung mehr als ein „ “-Eintrag ausgewählt wird. In der Praxis führen mehrere SPF-Einträge zu einem „SPF multiple records“-Fehler und nicht zu einem gültigen „SPF pass “-Ergebnis.
Die Unterscheidung zwischen Subdomains spielt hier eine Rolle. „example.com“ und „mail.example.com“ können jeweils einen eigenen SPF-TXT-Eintrag haben, wenn sie E-Mails unabhängig voneinander versenden, da es sich um unterschiedliche DNS-Namen handelt. Beispiel.com sollte jedoch nicht zwei separate TXT-Einträge mit dem Format „ v=spf1“ für denselben Host veröffentlichen. Das ist der Unterschied zwischen einer Domain, die einen single Eintrag verwendet, und mehreren Subdomains unter , die jeweils eigene Einträge verwenden.
Visueller Vorschlag: Fügen Sie ein einfaches DNS-Diagramm hinzu, das example.com mit einem SPF-Eintrag und mail.example.com mit einem eigenen, separaten SPF-Eintrag für zeigt.
Häufige Probleme, die durch mehrere SPF-Einträge verursacht werden
Empfänger werten doppelte SPF-Richtlinien nicht als zusätzliche Autorisierung. In der Regel interpretieren sie diese als einen Fehler -Zustand. RFC 7208 stuft mehrere SPF-Einträge bei der Auswertung als ungültig ein, und bei praktischen Überprüfungen wird dies häufig als „SPF PermError“ angezeigt. Das bedeutet, dass der empfangende Server SPF nicht als normales „Bestanden“-Ergebnis behandeln kann.
Dieser technische Fehler hat geschäftliche Auswirkungen. Legitime E-Mails können als Spam markiert, strenger gefiltert oder abgelehnt werden. Im Laufe der Zeit können doppelte Datensätze zu einem erhöhten Verwaltungsaufwand führen, die Zustellbarkeit von E-Mails beeinträchtigen und den Ruf der Absender e schädigen, da wiederholte Authentifizierungsprobleme das Vertrauen in die Domain mindern.
Wie kommt es zu mehreren SPF-Einträgen?
Die häufigste Ursache ist eine Veränderung ohne Konsolidierung. Ein Team fügt Microsoft Exchange Online Protection, Google Workspace, Amazon SES, ein CRM, eine Support-Plattform oder einen Marketingdienst hinzu, und die Einrichtungsanleitung des Anbieters enthält ein neues Beispiel für einen SPF-Eintrag mit dem Format „ “. Anstatt den neuen Mechanismus in den bestehenden SPF-Eintrag „“ zu integrieren, veröffentlicht jemand einen separaten SPF-Eintrag.
Dies kommt insbesondere in größeren Organisationen häufig vor, in denen DNS-Einstellungen von verschiedenen Teams geändert werden und niemand die durchgängige Verantwortung für die E-Mail-Authentifizierung unter trägt. Dies tritt auch bei Fusionen, Migrationen und Anbieterwechseln auf, wenn alte und neue „ “-Dienste gleichzeitig von derselben Domain aus Nachrichten versenden. In solchen Fällen sind mehrere Datensätze häufig eher Ausdruck einer fragmentierten Eigentums als auf böse Absicht zurückzuführen.
Wie sieht ein Fehler mit mehreren SPF-Einträgen aus?
Das deutlichste Anzeichen ist ein „SPF PermError“-Ergebnis bei einer SPF-Prüfung, in einem SPF-Checker, im Nachrichten-Header oder in einem Tool zur Analyse von Authentifizierungs en. Ein weiteres eindeutiges Anzeichen ist eine DNS-Abfrage, bei der für denselben Hostnamen „ “ mehr als ein TXT-Eintrag angezeigt wird, der mit „v=spf1“ beginnt.
In der Praxis äußert sich das Problem häufig in Form eines plötzlichen SPF-Fehlers, nachdem ein neuer Absender hinzugefügt wurde. Möglicherweise treten auch unerklärliche Probleme bei der Zustellung in den Posteingang auf, die mit „ “ in Verbindung stehen, selbst wenn es sich bei den Absendern um seriöse Absender handelt. Sollte sich sonst nichts ändern, die Zustellbarkeit von jedoch unmittelbar nach der Inbetriebnahme einer neuen Plattform nachlassen, sollten Sie zunächst prüfen, ob doppelte SPF-Einträge vorliegen.
Visueller Vorschlag: Fügen Sie einen Screenshot eines SPF-Checkers hinzu, der zwei „v=spf1“-Einträge und das Ergebnis „SPF PermError“ zeigt.
Wie können Sie überprüfen, ob eine Domain über mehrere SPF-Einträge verfügt?
Beginnen Sie auf der DNS-Ebene. Überprüfen Sie die TXT-Einträge der Domain und achten Sie darauf, ob für den genauen Hostnamen „ “, der zum Versenden verwendet wird, mehr als ein Eintrag mit „v=spf1“ vorhanden ist. Gehen Sie nicht davon aus, dass die Root-Domain der einzige Ort ist, an dem Sie nachsehen müssen. Wenn E-Mails von einer Subdomain versendet werden, führen Sie die SPF-Abfrage unter auch dort durch.
Diese Überprüfung ist insbesondere nach folgenden Ereignissen wichtig:
- Hinzufügen von Google Workspace, Microsoft 365, Amazon SES oder einer anderen externen E-Mail-Plattform
- DNS-Migrationen oder Wechsel des Registrars
- Einführung von Sicherheitsplattformen oder andere Aktualisierungen der E-Mail-Infrastruktur
Dies sind die Momente, in denen es am häufigsten zu doppelten SPF-Einträgen kommt.
Wie korrigiert man mehrere SPF-Einträge?
Die Lösung besteht nicht darin, die Fehlersuche im Zusammenhang mit doppelten Einträgen fortzusetzen. Es geht darum, alle Angaben in einer gültigen SPF-Richtlinie ( ) für diesen Hostnamen zusammenzufassen und anschließend zu überprüfen, ob diese wie beabsichtigt funktioniert.
- Stellen Sie alle vorhandenen SPF-Einträge zusammen. Stellen Sie alle SPF-TXT-Einträge zusammen, die mit der Domain und allen relevanten Subdomains verknüpft sind. Überprüfen Sie Ihre DNS-Zone sorgfältig und listen Sie jeden Hostnamen auf, für den SPF veröffentlicht ist, damit Sie auf der Grundlage einer vollständigen Bestandsliste arbeiten können: .
- Überprüfen Sie alle Mechanismen und Einbindungen. Sehen Sie sich jeden SPF-Eintrag an und ermitteln Sie die Absenderquellen, die nach wie vor legitim und weiterhin erforderlich sind. Vergleichen Sie jeden IP4-, IP6-, „include“-, „a“- und „mx“-Eintrag mit Ihren aktuellen E-Mail-Systemen und und überprüfen Sie, ob diese Quelle weiterhin E-Mails für die Domain versendet.
- Entfernen Sie veraltete Einträge. Sobald Sie wissen, welche Quellen gültig sind, entfernen Sie alles, wofür keine Autorisierung mehr erforderlich ist. Löschen Sie nicht mehr genutzte Plattformen, doppelte Mechanismen, Testsysteme und alte Dienste von Drittanbietern, die nicht mehr Teil Ihres E-Mail-Flusses sind.
- Erstellen Sie einen konsolidierten SPF-Eintrag. Fassen Sie alle erforderlichen Absenderquellen in einer single v=spf1-Richtlinie für den Hostnamen zusammen. Fügen Sie nur die Mechanismen hinzu, die Sie noch benötigen, ordnen Sie diese in einer klaren, logischen Reihenfolge an und schließen Sie den Eintrag mit einem Qualifizierer wie ~all oder -all ab.
- Überprüfen Sie den neuen SPF-Eintrag. Führen Sie vor der Live-Veröffentlichung eine Überprüfung des SPF-Eintrags unter durch, um sicherzustellen, dass die Syntax korrekt ist, die Anzahl der Abfragen innerhalb der Grenzwerte bleibt und der Eintrag weiterhin alle legitimen Absender abdeckt. Beheben Sie etwaige Syntax- oder Nachschlageprobleme, bevor Sie den Live-Datensatz ersetzen.
- Veröffentlichen Sie den unified SPF-Eintrag und löschen Sie überflüssige Einträge. Passen Sie die DNS-Einstellungen so an, dass für diesen Hostnamen nur noch die neue, konsolidierte SPF-Richtlinie gilt. Entfernen Sie die überflüssigen SPF-TXT-Einträge gleichzeitig, anstatt sie neben dem neuen Eintrag bestehen zu lassen.
- Bitte stellen Sie sicher, dass nur ein SPF-Eintrag vorhanden ist. Überprüfen Sie nach der Veröffentlichung erneut die DNS-TXT-Einträge und vergewissern Sie sich, dass für diesen Hostnamen nur ein SPF-Eintrag für veröffentlicht ist. Falls Ihr DNS-Anbieter mehrere TXT-Einträge anzeigt, überprüfen Sie diese sorgfältig unter , um sicherzustellen, dass ältere SPF-Einträge vollständig entfernt wurden.
- Überwachen Sie die Zustellbarkeit. Nachdem der unified Eintrag aktiv ist, beobachten Sie den E-Mail-Verkehr genau auf SPF-Fehler, blockierte E-Mails, oder andere Authentifizierungsprobleme. Überprüfen Sie Rückmeldungsnachrichten, E-Mail-Protokolle oder Authentifizierungsergebnisse, um fehlende -Absender zu ermitteln und den Datensatz gegebenenfalls anzupassen.
Das Ziel besteht nicht nur darin, den Fehler zu beheben. Das Ziel ist es, einen einzigen SPF-Eintrag zu erhalten, der gültig und pflegbar ist und mit allen legitimen Absendediensten abgeglichen ist.
Wie führt man mehrere SPF-Einträge korrekt zusammen?
Beim Zusammenführen von SPF-Einträgen geht es nicht nur darum, den Text in einer Zeile zusammenzufassen. Das Ziel besteht darin, eine klare und gültige SPF-Richtlinie zu erstellen, die alle legitimen Absender abdeckt, ohne unnötige Komplexität zu verursachen.
Erstellen Sie eine klare SPF-Richtlinie
Ein übersichtlicher, zusammengeführter SPF-Eintrag vereint Mechanismen wie ip4, ip6, a, mx und include zu einer logischen Abfolge, wobei mit einer eindeutigen Richtlinie wie ~all oder -all endet. So sollte die Zusammenführung von SPF-Einträgen aussehen. Das Ziel ist ein single SPF-Eintrag unter , der alle legitimen Absender abdeckt.
Vermeiden Sie Komplexität beim Zusammenführen
Die größten Fehler beim Zusammenführen sind Doppelungen und übermäßige Komplexität. Vermeiden Sie doppelte oder miteinander in Konflikt stehende Mechanismen, , und achten Sie besonders auf mehrere Einbindungen, da jede DNS-Abfrage auf das SPF-DNS-Abfrage-Limit angerechnet wird. Manchmal wird die SPF-Flattening-Methode eingesetzt, um diese Anzahl zu reduzieren; doch selbst ein technisch korrekter, zusammengeführter SPF-Eintrag kann schwer zu verwalten sein, wenn die Zuständigkeiten für zersplittert sind.
Wie wirken sich mehrere SPF-Einträge auf DMARC und die Zustellbarkeit aus?
SPF steht nicht für sich allein. Wenn SPF einen „PermError“ zurückgibt, kann es vorkommen, dass kein brauchbares, abgestimmtes SPF-Ergebnis für DMARC bereitgestellt wird. Dies wird umso gravierender, wenn DKIM fehlt, fehlerhaft ist oder nicht korrekt konfiguriert ist, da dem Empfänger dann weniger gültige Authentifizierungssignale zur Verfügung stehen, auf die er sich verlassen kann.
In der Praxis können doppelte SPF-Einträge zu Spam-Filterung, dem Risiko der Ablehnung und einer schlechteren Zustellung in den Posteingang führen. Wiederholte Authentifizierungsfehler untergraben zudem im Laufe der Zeit das Vertrauen in die sendende Domain, weshalb strengere DMARC-Berichterstattungsrichtlinien von großer Bedeutung sind. Aus diesem Grund handelt es sich hierbei sowohl um ein Problem der E-Mail-Sicherheit als auch um ein Problem der Zustellbarkeit. Ein DMARC-Record-Checker von kann zwar dabei helfen, sich einen Überblick über die Gesamtsituation zu verschaffen, ist jedoch nach wie vor auf korrekte SPF-Authentifizierungsdaten angewiesen.
Was passiert, wenn Sie viele Absender, aber nur einen SPF-Eintrag haben?
Die Tatsache, dass Sie viele Absender haben, bedeutet nicht, dass Sie mehrere SPF-Einträge benötigen. A single SPF-Eintrag kann zahlreiche Absender quellen über Mechanismen wie ip4, ip6, mx und include autorisieren. Dies ist die richtige Vorgehensweise, um eine Domain gleichzeitig über mehrere legitime E-Mail-Dienste unter zu betreiben.
Der wesentliche Unterschied besteht zwischen mehreren Absendern und mehreren SPF-Richtlinien. Eine SPF-Richtlinie sollte alle von genehmigten Dienste abdecken, anstatt separate Einträge für denselben Hostnamen zu veröffentlichen. Auch nach der Konsolidierung birgt die Komplexität weiterhin Risiken. Zu viele „include“-Anweisungen können dazu führen, dass der Datensatz an die Grenze von 10 DNS-Lookups stößt, und selbst ein technisch gültiger Datensatz kann schwierig zu pflegen sein, wenn die Zuständigkeit dafür auf verschiedene Teams verteilt ist.
Bewährte Verfahren für eine bessere Verwaltung von SPF-Einträgen
Bei SPF-Problemen geht es oft weniger um die Syntax als vielmehr um die Zuständigkeit und die Änderungskontrolle. Ein strafferes Tagesgeschäfts hilft dabei, doppelte Datensätze zu vermeiden, Authentifizierungsfehler zu reduzieren und die Richtlinien im Laufe der Zeit leichter zu pflegen.
- Legen Sie teamübergreifend klare Zuständigkeiten für SPF und die Autorisierung ausgehender Absender fest.
- Prüfen Sie die bestehende SPF-Richtlinie, bevor Sie eine neue E-Mail-Plattform oder einen neuen Anbieter einbinden.
- Erfassen Sie jeden autorisierten Absender, den Grund für dessen Aufnahme sowie den Verantwortlichen.
- Überprüfen Sie die DNS- und Authentifizierungseinstellungen regelmäßig nach Änderungen an der Infrastruktur oder bei einem Anbieterwechsel.
-
Verwenden Sie pro Hostnamen nur einen single Eintrag und nutzen Sie separate SPF-Einträge ausschließlich für Subdomains, die tatsächlich eigenständig E-Mails versenden .
Diese bewährten Verfahren verbessern die langfristige Transparenz, die Änderungskontrolle und die E-Mail-Authentifizierung. Außerdem erleichtern sie die Pflege der SPF-Einträge unter , wenn die Absenderbestände wachsen und sich ändern.
Erleichtern Sie die Verwaltung mehrerer SPF-Einträge
Die wichtigste Erkenntnis ist einfach: Für eine Domain oder einen Hostnamen sollte es einen SPF-Eintrag geben, nicht mehrere miteinander konkurrierende SPF-Einträge. Mehrere SPF-Einträge verbessern die Authentifizierung nicht. Sie verursachen Fehler – in der Regel „SPF PermError“ – und diese Fehler können die Zustellbarkeit von E-Mails, das Vertrauen in den Absender sowie die betriebliche Effizienz beeinträchtigen.