SPF (Sender Policy Framework)

SPF (Sender Policy Framework) ist ein E-Mail-Authentifizierungsprotokoll, das Domainbesitzern ermöglicht zu deklarieren, welche Mailserver berechtigt sind, Nachrichten im Namen ihrer Domain zu versenden. Es funktioniert durch die Veröffentlichung eines DNS-TXT-Eintrags, der eine Liste genehmigter IP-Adressen, Server-Hostnamen und Include-Direktiven enthält. Wenn ein empfangender Mailserver eine eingehende Nachricht erhält, führt er eine SPF-Abfrage auf der Absenderdomain durch, vergleicht die IP-Adresse des sendenden Servers mit dem SPF-Eintrag und entscheidet anhand des Ergebnisses, ob die Nachricht angenommen, markiert oder abgelehnt wird. SPF ist einer der drei grundlegenden E-Mail-Authentifizierungsstandards, neben DKIM (kryptografische Nachrichtensignierung) und [DMARC](/glossary/dmarc) (Richtliniendurchsetzung).

Ohne einen SPF-Eintrag kann jeder Server im Internet behaupten, E-Mails von deiner Domain zu senden. Angreifer nutzen dies durch Domain-Spoofing aus — eine zentrale Technik bei Phishing-Kampagnen, Business-E-Mail-Kompromittierung und Spam-Verteilung. Ein fehlender oder falsch konfigurierter SPF-Eintrag beeinträchtigt auch die Zustellbarkeit legitimer E-Mails: Große Anbieter wie Gmail, Outlook und Yahoo lehnen Nachrichten von Domains ohne ordnungsgemäße Authentifizierung zunehmend ab oder stellen sie unter Quarantäne. Für Publisher, die Inhalte per E-Mail verteilen — [Flipbook](/glossary/flipbook)-Links teilen, Lead-Capture-Benachrichtigungen senden oder OTP-Codes zustellen — beeinflusst SPF direkt, ob diese Nachrichten den Posteingang erreichen oder in Spam-Ordnern verschwinden.

FlipLink versendet verschiedene Arten von E-Mails im Namen der Publisher: Lead-Capture-Benachrichtigungen, Links zum Teilen von Publikationen, OTP-Verifizierungscodes und Anfragen zur Dokumentengenehmigung. Diese E-Mails werden über die verifizierte Infrastruktur von FlipLink gesendet, die eigene SPF-Einträge pflegt, um die Zustellbarkeit sicherzustellen. Wenn du eine [eigene Domain](/features/custom-domains) für deine FlipLink-Publikationen verwendest und möchtest, dass E-Mail-Kommunikation von dieser Domain stammt oder darauf verweist, musst du die Sendeserver von FlipLink zum SPF-Eintrag deiner Domain hinzufügen. Dies teilt den Mailservern der Empfänger mit, dass FlipLink berechtigt ist, in deinem Namen zu senden, und verhindert, dass diese Nachrichten als verdächtig gekennzeichnet werden. Die Einrichtung dauert einige Minuten in deinem DNS-Verwaltungspanel und gilt global für alle Publikationen unter dieser Domain.

Ein SPF-Eintrag ist ein einzelner DNS-TXT-Eintrag, der deiner Domain zugeordnet ist. Er verwendet eine spezifische Syntax zur Definition von Autorisierungsregeln: - **`v=spf1`** — deklariert die SPF-Version (immer Version 1) - **`ip4:` / `ip6:`** — autorisiert bestimmte IP-Adressen oder CIDR-Bereiche - **`include:`** — verweist auf den SPF-Eintrag einer anderen Domain (häufig für Drittanbieter-Sender verwendet) - **`a` / `mx`** — autorisiert die IPs, die mit den A- oder MX-Einträgen deiner Domain verknüpft sind - **`~all`** (Softfail) — markiert nicht autorisierte Sender als verdächtig, stellt aber trotzdem zu - **`-all`** (Hardfail) — lehnt E-Mails von nicht autorisierten Sendern komplett ab SPF hat ein Limit von 10 Abfragen für DNS-Lookups innerhalb eines einzelnen Eintrags. Das Überschreiten dieses Limits führt zum Scheitern der gesamten SPF-Prüfung — ein häufiges Problem bei Domains, die viele E-Mail-Dienste von Drittanbietern nutzen. Jede `include:`-Direktive zählt als eine Abfrage, und verschachtelte Includes zählen zum Gesamtlimit.

Befolge diese Schritte, um SPF für deine Domain bei Nutzung von FlipLink zu konfigurieren: 1. **Identifiziere deinen aktuellen SPF-Eintrag** — Verwende ein DNS-Lookup-Tool oder das DNS-Panel deines Registrars, um zu prüfen, ob bereits ein TXT-Eintrag existiert, der mit `v=spf1` beginnt 2. **Liste alle autorisierten Sender auf** — Sammle die SPF-Include-Werte für jeden Dienst, der E-Mails von deiner Domain sendet (dein E-Mail-Provider, Marketing-Tools und FlipLink) 3. **Füge die Server von FlipLink hinzu** — Ergänze die autorisierte Sendeserver-Direktive von FlipLink in deinem bestehenden SPF-Eintrag 4. **Lege dein Durchsetzungsniveau fest** — Verwende zunächst `~all` (Softfail) zur Überwachung ohne Blockierung, dann wechsle zu `-all` (Hardfail), sobald du bestätigt hast, dass alle legitimen Sender enthalten sind 5. **Prüfe die Abfrageanzahl** — Stelle sicher, dass dein Eintrag innerhalb des 10-Abfragen-Limits bleibt, indem du ein SPF-Validierungstool verwendest 6. **Teste die Zustellung** — Sende eine Test-E-Mail über FlipLink (löse ein Lead-Capture aus oder teile eine Publikation) und prüfe die E-Mail-Header auf `spf=pass` 7. **Überwache regelmäßig** — Überprüfe deinen SPF-Eintrag jedes Mal, wenn du einen E-Mail-Sendedienst zu deiner Domain hinzufügst oder entfernst

**„SPF allein reicht aus, um meine Domain zu schützen."** SPF überprüft nur die IP-Adresse des sendenden Servers — es verifiziert nicht die sichtbare „Von"-Adresse, die Empfänger sehen. Vollständiger Schutz erfordert SPF in Kombination mit DKIM (das den Nachrichteninhalt signiert) und DMARC (das SPF- und DKIM-Ergebnisse mit der sichtbaren Absenderadresse verknüpft und eine Richtlinie für Fehlschläge definiert). **„SPF gilt für die in der Inbox angezeigte Adresse."** SPF prüft tatsächlich die „Envelope-From"-Adresse (auch Return-Path genannt), die dem Empfänger verborgen ist. Der „Von"-Header, den Benutzer in ihrem E-Mail-Client sehen, wird durch die DMARC-Ausrichtung gesteuert, nicht durch SPF allein. **„Mehr Include-Direktiven machen meinen SPF-Eintrag stärker."** Jedes `include:` zählt zum 10-Abfragen-Limit. Zu viele Includes können deinen SPF-Eintrag tatsächlich komplett ungültig machen und einen permanenten Fehler bei allen Prüfungen verursachen. Nimm nur Dienste auf, die aktiv E-Mails von deiner Domain senden. **„Ich habe SPF einmal eingerichtet und muss es nie wieder anfassen."** SPF-Einträge erfordern Wartung. Das Hinzufügen eines neuen E-Mail-Marketing-Tools, der Wechsel des CRM-Anbieters oder die Integration eines Dienstes wie FlipLink erfordern alle eine Aktualisierung des Eintrags. Veraltete Einträge für stillgelegte Dienste verschwenden Abfrage-Slots und können Sicherheitslücken schaffen.