SPF-Records: Das unsichtbare Problem, das E-Mails verschwinden lässt

SPF, DKIM und DMARC einrichten und dann vergessen – das funktioniert meistens. Bis es plötzlich nicht mehr funktioniert. Viele Domain-Besitzer merken erst, wenn Transaktionsmails wegbleiben oder Marketing-Kampagnen spurlos verschwinden, dass in ihren DNS-Einträgen ein Limit lauert. Das Problem betrifft fast jede zwanzigste Domain mit SPF-Record.

Wenn Authentifizierung stillschweigend scheitert

Mails kommen nicht mehr an. Es gibt keine Fehlermeldungen, keine Bounces. Nur leere Postfächer und wachsende Support-Anfragen. Viele Admins wundern sich, bis sie in den DMARC-Reports auf PermErrors stoßen. Dann wird klar: Das SPF-Record hat das Limit überschritten.

Die Ursache ist einfach. SPF darf nur zehn DNS-Lookups pro Prüfung ausführen. Das ist kein Bug, sondern eine bewusste Einschränkung im RFC. Sobald diese Grenze fällt, scheitert die Authentifizierung komplett. Aktuell sind über 148.000 Domains davon betroffen.

Warum das Limit existiert

SPF arbeitet mit include-Anweisungen. Jede include:-Zeile löst einen weiteren DNS-Lookup aus. Das Limit verhindert, dass DNS-Server durch übermäßige Anfragen überlastet werden. Wer mehrere E-Mail-Dienste nutzt – Google Workspace, Mailchimp, Stripe oder SendGrid – sammelt schnell mehr als zehn Includes an. Dann reicht ein einziger Check nicht mehr aus.

Flattening ist keine Dauerlösung

Viele greifen zur SPF-Flattening-Methode. Dabei werden dynamische Includes durch feste IP-Adressen ersetzt. Das reduziert die Lookup-Zahl. Allerdings muss man diese IPs regelmäßig aktualisieren. Ändert ein Provider seine Adressen, funktioniert die Authentifizierung plötzlich wieder nicht. Flattening ist nur bedingt tauglich.

Fünf bessere Wege

1. Dienste auditieren

Prüfen Sie, welche Anbieter wirklich noch E-Mails für Ihre Domain versenden. Oft finden sich alte Tools oder ehemalige Marketing-Plattformen, die noch in der SPF-Record stehen. Einfach streichen und die Lookup-Zahl sinkt deutlich.

2. Anbieter zusammenlegen

Statt fünf verschiedenen Plattformen für Marketing, Transaktionen und Benachrichtigungen zu verwenden, kann man oft einen einzigen Provider nutzbar machen. AWS SES, Postmark oder Google Workspace decken viele Anwendungsfälle ab.

3. Einheitliche Includes nutzen

Einige E-Mail-Anbieter bieten zusammengefasste Records an. Statt fünf einzelne Includes eines Vendors zu verwenden, setzt man nur noch ein Unified-Endpoint ein。 Das spart Lookups.

4. Mechanismen überprüfen

Nicht jede Mechanismus kostet gleich viele Lookups. a:-Mechanismen auf eigene Domains können redundanzfrei sein. ptr:-Records sind ohnehin zu vermeiden. Durch genaue Prüfung der vorhandenen Mechanismen lassen sich weitere Einspareffekte erreichen.

5. Modernere Standards nutzen

ARC und Authentication-Results sind neue Protokolle mit weniger Einschränkungen. ARC ist nicht ein Ersatz für SPF, but a better way for future security protocols.

NameOcean-Empfehlung

Bei NameOcean beraten wir Start-ups und Unternehmen zur DNS-Optimierung. Die meisten Probleme lassen sich vermeiden, indem man zuerst aufräumt und dann consolidates. Flattening mit Monitoring-Systemen ist dann nur noch für die Fälle übrig, die nicht consolidates werden kann.

New-Domains sollten schon beim Setup auf minimalen SPF-Footprint geachtet werden.

Fazit

SPF-Limits sind nicht neu. Die meisten Domains können sie unter control halten, wenn man konsequent aufräumt und Provider auf minimalen Footprint setzt.