SAllgemein

SPF (Sender Policy Framework)

Legt fest, welche Server E-Mails für eine Domain senden dürfen.

SPF (Sender Policy Framework) ist ein E-Mail-Sicherheitsverfahren, das per DNS-Eintrag festlegt, welche Mailserver berechtigt sind, E-Mails im Namen einer Domain zu versenden. Empfangende Mailserver können so prüfen, ob eine eingehende Nachricht von einer erlaubten Quelle kommt – das reduziert Spoofing, Phishing und den Missbrauch Ihrer Domain.

Was bedeutet SPF genau?

SPF ist ein Standard, bei dem der Domaininhaber im DNS (meist als TXT-Record) veröffentlicht, welche Systeme „autorisiert“ sind, E-Mails mit Absenderadressen dieser Domain zu senden. Typisch sind: der eigene Mailserver, ein Hosting-Provider oder Drittanbieter wie Newsletter-Tools, Ticket-Systeme oder Cloud-Dienste (z. B. Microsoft 365/Google Workspace).

Wie funktioniert SPF (technisch) – in der Praxis für KMU

  • 1) SPF-Record im DNS definieren: Sie hinterlegen einen TXT-Eintrag wie z. B. v=spf1 ... -all. Darin stehen erlaubte IPs/Hosts oder Verweise (include:) auf Provider-Regeln.
  • 2) E-Mail wird zugestellt: Ein empfangender Mailserver nimmt die Verbindung an und sieht die sendende IP-Adresse.
  • 3) SPF-Check: Der Empfänger fragt den SPF-Record Ihrer Domain im DNS ab und prüft, ob die sendende IP dort erlaubt ist.
  • 4) Ergebnis/Policy: Je nach Eintrag ergibt sich „Pass“ (erlaubt), „Fail“ (nicht erlaubt) oder „Softfail/Neutral“. Viele Empfänger nutzen das Ergebnis in ihrer Spam-Bewertung oder lehnen bei strenger Policy ab.

Warum ist SPF wichtig für IT-Sicherheit und Zustellbarkeit?

Für kleine Unternehmen ist SPF ein schneller, sehr wirksamer Basisschutz: Angreifer können Ihre Domain sonst leicht für gefälschte Absender nutzen (z. B. „rechnung@ihre-domain.de“). Das schadet nicht nur Kunden und Mitarbeitenden (Phishing), sondern auch Ihrer Reputation: Wenn viele gefälschte Mails im Umlauf sind, landen selbst echte Mails häufiger im Spam. SPF ist außerdem ein Baustein für moderne E-Mail-Authentifizierung (typisch zusammen mit DKIM und DMARC), die viele Provider heute faktisch erwarten.

Rechtliche Einordnung (DSGVO) für KMU

SPF ist keine direkte DSGVO-Pflicht „als eigener Artikel“, aber es unterstützt die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO: Sie reduzieren das Risiko von Identitätsmissbrauch, Social Engineering und Datenabfluss über gefälschte E-Mails. Kommt es durch Spoofing zu einem Sicherheitsvorfall (z. B. abgegriffene Zugangsdaten oder fehlgeleitete Zahlungen), kann das je nach Umfang auch meldepflichtig werden. SPF ist daher ein naheliegender, verhältnismäßiger Standard, den viele Prüfer/Versicherer bei E-Mail-Sicherheit voraussetzen.

Typische SPF-Fehler und Beispiele

  • Newsletter-Tool vergessen: Marketing versendet über einen Dienst, der nicht im SPF steht → SPF-Fail, schlechte Zustellung.
  • Zu viele DNS-Lookups: SPF erlaubt max. 10 DNS-Abfragen (durch viele include) → „PermError“ und Zustellprobleme.
  • Falsches „all“: ~all (Softfail) ist weniger strikt, -all (Fail) ist strenger. Für produktive Domains ist -all oft sinnvoll, wenn alles sauber erfasst ist.
  • SPF schützt nicht den sichtbaren From-Header: SPF prüft primär die Envelope-Domain (Return-Path). Für umfassenden Schutz braucht es meist zusätzlich DMARC.

Was kostet SPF?

SPF selbst ist kostenlos (DNS-Konfiguration). Aufwand entsteht durch Einrichtung/Testing und das fortlaufende Pflegen, wenn neue Dienste hinzukommen. Für KMU ist das oft in 30–120 Minuten umsetzbar, bei komplexen Setups (viele Tools/Standorte) entsprechend mehr.