Stand: Juli 2026

Zusammenfassung: Der exists-Mechanismus in einem SPF-Record konstruiert dynamisch einen Domainnamen (oft mit Makros wie der Client-IP) und führt eine DNS-A-Abfrage durch. Er ermöglicht hochkomplexe, maßgeschneiderte Autorisierungsschemas.

Für einfache Webseiten reicht es meist, IP-Adressen direkt (ip4) oder externe Dienstleister per include zu benennen. Große E-Mail-Dienstleister oder Anti-Spam-Gateway-Betreiber benötigen jedoch oft dynamische Regeln, die je nach Absender-IP oder Envelope-Daten variieren. Dafür stellt das Sender Policy Framework (SPF) den exists-Mechanismus bereit.

Wie der exists-Mechanismus funktioniert

Laut RFC 7208 wird der exists-Mechanismus verwendet, um einen beliebigen Domainnamen zu konstruieren, der anschließend für eine DNS-A-Record-Abfrage genutzt wird. Der Mechanismus stimmt dann überein (pass), wenn die DNS-Abfrage für den konstruierten Namen mindestens eine beliebige A-Adresse (z. B. 127.0.0.2) zurückliefert. Liefert das DNS keinen A-Record (also NXDOMAIN), gilt der Mechanismus als nicht zutreffend.

Der wahre Nutzen von exists entfaltet sich durch den Einsatz von SPF-Makros. Ein typisches Beispiel nutzt das Makro %{i}, welches bei der Auswertung durch die IP-Adresse des einliefernden Servers ersetzt wird:

v=spf1 exists:%{i}._spf.example.com -all

Liefert ein Server mit der IP 192.0.2.10 eine E-Mail ein, fragt der empfangende Mailserver im DNS nach 192.0.2.10._spf.example.com. Existiert dort ein A-Record, verläuft die Prüfung erfolgreich. So können Anbieter Millionen von IP-Adressen dynamisch über eigene DNS-Server steuern, ohne den TXT-Record der Domain ändern zu müssen.

Komplexe Schemas über Envelope-Daten

Laut RFC 7208 erlaubt der exists-Mechanismus hochkomplexe Schemas, die beliebige Teile des E-Mail-Envelopes einbeziehen, um zu bestimmen, wer zum Versand berechtigt ist.

Neben der IP-Adresse (%{i}) können auch der Envelope-Absender (%{s}), die lokale Mailbox (%{l}) oder die Absender-Domain (%{o}) in den abgefragten Hostnamen eingebaut werden. Ein spezialisierter DNS-Server kann so präzise prüfen, ob genau diese Client-IP für genau dieses Absenderfach autorisiert ist.

Das 10-Lookup-Limit und permerror

Weil der exists-Mechanismus bei jeder E-Mail-Zustellung eine DNS-Abfrage auslöst, verbraucht er wertvolle Lookups. Laut RFC 7208 verursachen die Mechanismen include, a, mx, ptr und exists sowie der Modifier redirect bei der Auswertung DNS-Abfragen.

SPF-Implementierungen müssen die Gesamtzahl dieser Abfragen pro Prüfung strikt auf maximal 10 Lookups begrenzen, um das DNS vor Überlastung zu schützen. Wird dieses Limit überschritten, bricht der Server mit einem permanenten Fehler (permerror) ab – was meist dazu führt, dass die E-Mail abgewiesen oder als Spam eingestuft wird. Zudem gilt: Eine Domain darf niemals mehrere separate SPF-Records veröffentlichen, da auch dies unverzüglich einen permerror erzeugt.

Konfiguration prüfen

Um sicherzustellen, dass deine dynamischen exists-Konstrukte korrekt auflösen und das 10-Lookup-Limit nicht überschreiten, solltest du deinen Eintrag mit dem kostenlosen MXAudit-Scanner testen. Das Tool simuliert die Makro-Auflösung und deckt Syntax- oder Lookup-Probleme auf.

Wenn du mehr über die Architektur von E-Mail-Authentifizierung oder die korrekte Einrichtung bei deinem Hoster erfahren willst, besuche den SPF-Hub und Praxis-Guides wie SPF bei IONOS einrichten.