SPF

SPF (Sender Policy Framework) ist ein DNS-basierter E-Mail-Authentifizierungs-Standard, definiert in RFC 7208. Der Eigentümer einer Absenderdomain veröffentlicht einen einzelnen TXT-Record, der auflistet, welche IP-Adressen oder Drittanbieter-Dienste autorisiert sind, E-Mails „von" dieser Domain zu versenden. Erhält ein empfangender Mailserver eine Nachricht, die vorgibt, von @ihreunternehmen.de zu stammen, fragt er den SPF-Record bei ihreunternehmen.de ab und prüft, ob die Nachricht von einer der gelisteten IPs ausging. Wenn ja, besteht SPF; wenn nicht, fällt SPF durch.

Der TXT-Record beginnt mit v=spf1 und endet mit einem „all"-Qualifier:

v=spf1 include:amazonses.com -all

Gängige Mechanismen:

• include:domain — bindet rekursiv den SPF einer anderen Domain ein (für ESPs verwendet).
• ip4:1.2.3.4 / ip6:::1 — explizite IP-Autorisierung.
• a, mx — autorisiert die IPs aus dem A- oder MX-Record der Domain.
• -all Hard-Fail (zurückweisen), ~all Soft-Fail (als verdächtig markieren), ?all neutral.

SPF deckelt die Gesamtzahl rekursiver DNS-Lookups auf 10 pro Auswertung (RFC 7208 §4.6.4). Jedes include:, a, mx, exists: und redirect= verbraucht ein Lookup; verschachtelte Includes zählen kumulativ. Werden zu viele Drittanbieter gestapelt, entsteht ein permerror, den die meisten Empfänger als Fehlschlag werten. Die Mechanismen ip4: und ip6: kosten null Lookups — kollabieren Sie veraltete Includes in explizite IP-Ranges, sobald die Zählung über 7-8 kriecht.

AcelleMail generiert oder signiert SPF nicht selbst — das ist Aufgabe der DNS-Zone auf Betreiberseite. Das Setup-Muster lautet: Sendevendor auswählen (Amazon SES ist die empfohlene Paarung gemäß /pricing), einen SPF-Record veröffentlichen, der die Sendedomain des Vendors einbindet (include:amazonses.com für SES), den Sending-Server von AcelleMail auf dieselben Vendor-Credentials zeigen — und die SPF-Kette ist geschlossen. Die tiefere Begleitung samt Troubleshooting steht im Zustellbarkeits-Pillar-Guide.