{"id":21403,"date":"2022-01-12T13:27:43","date_gmt":"2022-01-12T13:27:43","guid":{"rendered":"https:\/\/easydmarc.com\/blog\/?p=21403"},"modified":"2025-08-06T16:05:19","modified_gmt":"2025-08-06T16:05:19","slug":"wie-esps-spf-falsch-verstehen","status":"publish","type":"post","link":"https:\/\/easydmarc.com\/blog\/de\/wie-esps-spf-falsch-verstehen\/","title":{"rendered":"Wie ESPs SPF falsch verstehen"},"content":{"rendered":"

Sender Policy Framework oder SPF ist einer der Sicherheitsstandards f\u00fcr die E-Mail-Authentifizierung, auf die sich DMARC (neben DKIM) st\u00fctzt.<\/span><\/p>\n

Es ist ein wesentlicher Mechanismus, der f\u00fcr eine ausgehende E-Mail-Quelle erforderlich ist, um DMARC-Konformit\u00e4t zu erreichen. Eine Domain kann nur einen einzigen SPF-Eintrag in ihrer DNS-Zone haben. Er enth\u00e4lt eine Liste aller IP-Adressen, die E-Mails im Namen Ihrer Domain versenden d\u00fcrfen.<\/span><\/p>\n

Bevor wir ins Detail gehen, m\u00fcssen Sie wissen, dass es in jeder E-Mail zwei Absenderadressen gibt.<\/span><\/p>\n

    \n
  1. R\u00fccksendepfad-Adresse:<\/b> Sie wird auch als \u201eBounce-Adresse\u201c, \u201eUmschlagabsender\u201c oder \u201eUmschlag von\u201c bezeichnet und wird f\u00fcr Bounce-Zwecke verwendet. Wenn eine E-Mail nicht an das vorgesehene Ziel gelangt, gibt der R\u00fccksendepfad an, wohin Nichtzustellungsbest\u00e4tigungen (oder Bounce-Nachrichten) gesendet werden sollen.<\/span><\/li>\n
  2. Absenderadresse:<\/b> Von wem eine E-Mail stammt und woher sie kommt. Dies wird in den meisten E-Mail-Programmen als \u201eVon\u201c angezeigt.<\/span><\/li>\n<\/ol>\n

    Beim SPF-Abgleich geht es darum, dass die Domain der Absenderadresse mit der Domain des R\u00fccksendepfads \u00fcbereinstimmt. Wenn beispielsweise die Absenderadresse someone@company.com und der R\u00fccksendepfad support@company.com lautet, ist der SPF-Abgleich erreicht. Wenn die IP-Adresse auf der Whitelist steht, wird die E-Mail DMARC-konform.<\/span><\/p>\n

    Im Beispiel unten sehen wir, dass die Absenderdomain \u201e<\/span>easydmarc.com<\/i><\/b>\u201c und der R\u00fccksendepfad-Domain (oder <\/span>mailed-by<\/b> im Screenshot) \u201e<\/span>notifications.easydmarc.com<\/i><\/b>\u201c ist. Der SPF-Abgleich wird standardm\u00e4\u00dfig erreicht, da der <\/span>aspf <\/i><\/b>auf \u201e<\/span>relaxed<\/i><\/b>\u201c eingestellt ist. Sie k\u00f6nnen <\/span>hier<\/span><\/a> mehr \u00fcber Abgleich-Tags lesen.<\/span><\/p>\n

    \"\"<\/p>\n

    Wir k\u00f6nnen auch die E-Mail-Kopfzeilen analysieren, um die R\u00fccksendepfad- und Absenderadresse zu \u00fcberpr\u00fcfen. Im Screenshot unten stimmen beide \u00fcberein, wie in den gr\u00fcnen K\u00e4stchen zu sehen ist. Wir k\u00f6nnen auch sehen, dass die IP-Adresse auf der Whitelist steht, wodurch diese E-Mail mit SPF \u00fcbereinstimmt und somit eine DMARC-konforme E-Mail ist.<\/span><\/p>\n

    \"\"<\/p>\n

    Fall 1: Fehlgeschlagener Abgleich<\/b><\/h2>\n

    In einigen F\u00e4llen konfigurieren E-Mail-Dienstleister oder ESPs SPF falsch, indem sie ihre Benutzer anweisen, ihren SPF-Eintrag mit ihren Quell-IPs auf der Whitelist anzuh\u00e4ngen\/zu aktualisieren, ohne einen Abgleich mit ihrer Domain\/ihren Subdomains zu erreichen.<\/span><\/p>\n

    Denken Sie daran, dass Sie durch das Hinzuf\u00fcgen eines Quell-Servers in Ihrem SPF-Eintrag lediglich IP-Quellen auf die Whitelist setzen, ohne einen Abgleich zu erreichen.<\/span><\/p>\n

    Ein Beispiel: Constant Contact ist eine weithin bekannte E-Mail-Marketingl\u00f6sung.<\/span><\/p>\n

    Eine einfache Google-Suche nach \u201eConstant Contact SPF\u201c leitet Sie auf deren Website weiter. Siehe den Screenshot unten:<\/span><\/p>\n

    \"\"<\/p>\n

    Die Aktualisierung Ihres SPF-Eintrags mit dem angegebenen \u201einclude\u201c erm\u00f6glicht es Constant Contact, die SPF-Authentifizierung zu bestehen, ohne mit Ihrer Domain \u00fcbereinzustimmen.<\/span><\/p>\n

    Schauen wir uns diese Fehlanpassung anhand der aggregierten DMARC-Berichte genauer an:<\/span><\/p>\n