Anleitung
Dieser kostenlose SPF-Checker fragt den SPF-Record einer Domain ab, expandiert jede include:-Referenz, zählt die DNS-Abfragen gegen das Limit von 10 und weist auf Konfigurationsprobleme hin.
So prüfen Sie einen SPF-Record
- Geben Sie eine Domain ein (z. B.
example.com— das Einfügen einer vollständigen URL oder einer E-Mail-Adresse funktioniert ebenfalls). - Klicken Sie auf „SPF prüfen". Das Tool ruft die TXT-Records der Domain ab und findet den, der mit
v=spf1beginnt. - Lesen Sie das Ergebnis: den Record selbst, jeden referenzierten Record expandiert, die Anzahl der DNS-Abfragen sowie eine Liste von Fehlern und Warnungen.
Was der Checker prüft
| Prüfung | Warum sie wichtig ist |
|---|---|
| Record existiert und es gibt genau einen | Kein Record bedeutet keinen Schutz; zwei oder mehr verursachen einen permanenten Fehler (permerror) |
| Syntax jedes Mechanismus | Unbekannte Terme führen dazu, dass Empfänger permerror zurückgeben |
| DNS-Abfragen ≤ 10 | include, a, mx, exists, ptr und redirect verbrauchen jeweils eine Abfrage, über alle Includes hinweg gezählt; über 10 ist permerror |
all-Qualifikator | +all und ?all bieten keinen Schutz; empfohlen wird ~all (softfail) oder -all (fail) |
Veraltetes ptr | Langsam, unzuverlässig und von RFC 7208 als veraltet eingestuft |
| Referenzierte Records lösen sich auf | Ein include:, das auf eine Domain ohne SPF-Record zeigt, ist ein verstecktes Versagen |
Beispiel
Beim Prüfen von example.com könnte v=spf1 include:_spf.google.com ~all zurückkommen. Das Tool ruft dann _spf.google.com ab, das drei weitere Google-Netzblock-Records einbindet, und meldet 4 von 10 verwendeten DNS-Abfragen — ein gesunder Record, der mit ~all endet.
Wenn SPF allein nicht ausreicht
SPF validiert nur den Envelope-Absender und bricht bei Weiterleitung. Kombinieren Sie es mit DKIM-Signierung und einer DMARC-Policy, damit Empfänger die sichtbare From-Adresse authentifizieren können — prüfen können Sie diese mit dem DKIM-Checker und dem DMARC-Checker.
Einschränkungen
- Makros (
%{i}und ähnliche) können nicht statisch expandiert werden, sodass Records hinter Makros zwar gezählt, aber nicht abgerufen werden. - Das Tool prüft den veröffentlichten DNS-Record, nicht den tatsächlichen Mail-Fluss; ein bestehender Record garantiert keine Zustellung im Posteingang.


