2check.click

2 Min. Lesezeit Aktualisiert: Juni 2026

SPF erklärt – Sender Policy Framework

SPF steht für Sender Policy Framework. Es ist eine technische Maßnahme, mit der Unternehmen festlegen können, welche Server berechtigt sind, E-Mails in ihrem Namen zu versenden. Das hilft, E-Mail-Spoofing zu reduzieren — also die Fälschung von Absenderadressen.

Wie funktioniert SPF?

Ein Unternehmen veröffentlicht eine Liste autorisierter Mailserver als DNS-Eintrag (SPF Record). Wenn Ihr E-Mail-Anbieter eine E-Mail empfängt, die behauptet, von sparkasse.de zu kommen, prüft er automatisch, ob der sendende Server in dieser Liste steht. Steht er nicht dort, ist die E-Mail verdächtig.

Was SPF schützt — und was nicht

  • SPF schützt vor: E-Mails, die die Domain im technischen „Return-Path"-Feld fälschen.
  • SPF schützt nicht vor: Gefälschten Display-Namen (der sichtbaren Absenderadresse, die Ihr E-Mail-Programm anzeigt). Dafür ist DMARC zuständig.

SPF ist am effektivsten in Kombination mit DKIM und DMARC.

Was bedeutet SPF für Sie als Nutzer?

Als normaler Nutzer müssen Sie SPF nicht selbst konfigurieren. Ihr E-Mail-Anbieter (Gmail, Outlook, GMX, Web.de) prüft SPF automatisch und markiert E-Mails, die die Prüfung nicht bestehen, als Spam oder warnt Sie davor.

Wenn eine E-Mail Ihren Spam-Ordner umgeht, bedeutet das jedoch nicht automatisch, dass sie legitim ist. SPF ist nur eine Schutzschicht.

SPF für Website-Betreiber und Unternehmen

Wenn Sie eine eigene Domain betreiben, sollten Sie einen SPF-Record in Ihrem DNS konfigurieren. Das verhindert, dass Betrüger E-Mails in Ihrem Namen versenden. Ohne SPF können andere beliebig viele E-Mails von „@ihredomain.de" versenden.

Links aus verdächtigen E-Mails prüfen

Fügen Sie Links aus verdächtigen E-Mails in 2check.click ein für eine sofortige Risikoanalyse.

Zum 2check.click Analysator

Häufig gestellte Fragen

Bedeutet ein SPF-Pass, dass die E-Mail sicher ist?

Nicht unbedingt. SPF prüft nur, ob der sendende Server autorisiert ist. Ein Angreifer könnte eine eigene Domain mit SPF einrichten und trotzdem Phishing betreiben.

Wie sehe ich, ob eine E-Mail SPF bestanden hat?

In den E-Mail-Headern finden Sie „Received-SPF: pass" (bestanden) oder „fail" (nicht bestanden). Die meisten E-Mail-Programme zeigen diese Information in den erweiterten Einstellungen.

Was passiert, wenn SPF scheitert?

Das hängt von der DMARC-Policy des Unternehmens ab. E-Mails können als Spam markiert oder abgelehnt werden — oder trotzdem zugestellt werden, wenn keine DMARC-Policy vorhanden ist.

Beliebte Ratgeber

Einen verdächtigen Link erhalten?

Jetzt prüfen →

Ähnliche Ratgeber