Wie viele DNS-Lookups erlaubt SPF maximal?

RFC 7208 erlaubt maximal 10 DNS-Lookups bei der SPF-Auswertung. Wird das überschritten, gilt SPF als PermError — viele Provider behandeln das wie -all und weisen Mails ab.

Wie löse ich das 10-Lookup-Problem?

SPF-Flattening: alle include-Verkettungen zu einer IP-Liste auflösen und in einem statischen Record halten. Selector7 bietet das als Hosted-SPF-Feature.

SPF-Check

SPF prüfen — bevor das 10-Lookup-Limit Ihren Mailflow killt.

Q: Was bedeutet +all am Ende eines SPF-Records?

+all bedeutet, jeder Server der Welt darf in Ihrem Namen mailen. Sollte nie produktiv stehen — Ziel ist -all (hard fail) oder ~all (soft fail).

Q: Darf eine Domain zwei SPF-Records haben?

Nein. Pro Domain darf es nur EINEN TXT-Record mit v=spf1 geben. Zwei Records sind ein PermError — auch wenn sie inhaltlich identisch sind.

Wir holen Ihren SPF-Record und zählen die DNS-Lookups. Bei mehr als 10 antwortet jeder Empfänger mit PermError — auch wenn die Mail eigentlich legitim ist.

Live SPF-Check

Wir holen den v=spf1-TXT-Record und zählen alle DNS-Lookups, die Empfänger-Server beim Auswerten auslösen würden.

Was ist SPF?

SPF (Sender Policy Framework, RFC 7208) ist die älteste der drei Auth-Mechanismen. Sie definieren in einem TXT-Record, welche IP-Adressen in Ihrem Namen mailen dürfen — alle anderen gelten als Spoofing.

SPF allein reicht nicht: bei jeder Weiterleitung bricht es, weil sich die Envelope-From-Domain ändert. Daher braucht es DMARC mit DKIM-Alignment. Aber SPF ist die Basis: ein schlechter SPF-Record reisst Ihr DMARC mit.

Die SPF-Mechanismen

Ein typischer Record:

v=spf1 ip4:203.0.113.0/24 include:_spf.google.com include:spf.protection.outlook.com -all

a: Erlaubt jeden A-/AAAA-Record der Domain. Zählt als 1 DNS-Lookup.
mx: Erlaubt alle Mailserver, die im MX-Record stehen. Zählt als 1 Lookup + 1 pro MX-Host.
ip4 / ip6: Konkrete IP oder CIDR-Range. Kein Lookup, daher für kritische Sender empfohlen.
include:: Inkludiert SPF eines anderen Senders (z.B. _spf.google.com). Zählt als Lookup.
a:domain: A-/AAAA-Record einer anderen Domain. 1 Lookup.
exists:: Macht einen Lookup auf einen Hostnamen — wenn er existiert, ist die IP erlaubt. Selten benutzt.
redirect=: Verweist auf einen anderen Record. Statt all wird der Verweis ausgewertet.
all: Der letzte Mechanismus. -all (Reject), ~all (Soft-Fail), ?all (Neutral), +all (alles erlaubt = unsicher).

Vier Fehler, die wir ständig sehen

Mehr als 10 DNS-Lookups

RFC 7208 erlaubt maximal 10 DNS-Lookups bei SPF-Auswertung. Jedes include, a, mx, exists oder redirect zählt. Wird das überschritten, gilt SPF als PermError — viele Provider behandeln das wie -all.

+all hinten dran

Hatten wir mehrfach gesehen. +all bedeutet: jeder Server der Welt darf in Ihrem Namen mailen. Sollte nie produktiv stehen.

Doppelte SPF-Records

Pro Domain darf es nur EINEN TXT-Record mit v=spf1 geben. Zwei Records sind ein PermError — auch wenn sie inhaltlich identisch sind.

Veraltete Provider noch drin

Wir sehen oft Mailchimp- oder Sendgrid-Includes, die seit Jahren niemand mehr nutzt. Jeder kostet einen Lookup vom 10er-Budget.

Weitere Tools

Eine Domain hat sieben Auth-Layer — prüfen Sie auch die anderen.

DMARC-Check

DKIM-Check

BIMI-Check

MTA-STS-Check

Bereit für sichere E-Mail-Kommunikation?

14 Tage kostenlos testen. Keine Kreditkarte. Volle Funktionalität. Daten bleiben in Frankfurt, AVV nach deutschem Recht inklusive.

14 Tage kostenlos testen Demo buchen