Stand: Juli 2026
Zusammenfassung: Die Präfixe (
+,-,~,?) vor den Mechanismen eines SPF-Records heißen Qualifiers. Am Ende eines Eintrags entscheiden sie zusammen mit demall-Mechanismus darüber, was mit E-Mails geschieht, die von unautorisierten Servern stammen.
Ein SPF-Record (Sender Policy Framework) listet von links nach rechts alle autorisierten Server und Mechanismen auf. Passt kein einziger der spezifischen Mechanismen wie ip4 oder include, greift ganz am Ende der all-Mechanismus, der auf jede beliebige IP-Adresse zutrifft. Der Qualifier (das Vorzeichen) vor diesem all steuert, welches Urteil (check_host()) der empfangende Mailserver aussprechen soll.
Die vier Qualifiers im Überblick
Laut RFC 7208 gibt es genau vier mögliche Qualifiers und zugehörige Auswertungsergebnisse:
+pass (Zustimmung)-fail (Ablehnung)~softfail (weiche Ablehnung)?neutral (neutrale Haltung)
Das Vorzeichen ist grundsätzlich optional und greift standardmäßig auf + zurück (ein a ohne Präfix bedeutet also +a).
1. Hardfail (-all)
Ein Eintrag mit -all am Ende:
v=spf1 -all
liefert ein hartes fail. Laut RFC 7208 ist ein fail-Ergebnis eine explizite Aussage darüber, dass der Client nicht autorisiert ist, die Domain mit der vorgegebenen Identität zu nutzen. Der empfangende Mailserver weist Nachrichten, die zu einem fail führen, in der Regel noch während der SMTP-Transaktion ab.
2. Softfail (~all)
Ein Eintrag mit ~all:
v=spf1 ~all
führt zu einem softfail. Laut RFC 7208 ist ein softfail-Ergebnis eine schwache Aussage der veröffentlichenden Organisation, dass der Host wahrscheinlich nicht autorisiert ist, aber (noch) keine strengere, definitive Richtlinie (fail) veröffentlicht wurde. E-Mails werden meist noch angenommen, jedoch im Spam-Ordner platziert oder gesondert markiert. Dies ist die empfohlene Einstellung während der Testphase oder bei komplexen Weiterleitungen.
3. Neutral (?all)
Ein Eintrag mit ?all:
v=spf1 ?all
liefert ein neutral-Ergebnis. Laut RFC 7208 bedeutet ein neutral-Ergebnis, dass die Domain ausdrücklich erklärt, keine Aussage darüber zu treffen, ob die IP-Adresse autorisiert ist oder nicht. Die E-Mail wird so behandelt, als gäbe es gar keinen SPF-Record für die betroffene IP.
4. Pass (+all)
Ein Eintrag mit +all:
v=spf1 +all
liefert ein pass für jeden beliebigen Absender weltweit. Laut RFC 7208 ist ein pass-Ergebnis eine explizite Aussage, dass der Client autorisiert ist. Ein +all am Ende deines Records erlaubt somit jedem Server im Internet, E-Mails im Namen deiner Domain zu versenden – der SPF-Schutz wird dadurch komplett ausgehebelt.
Keine DNS-Lookups für all
Ein wichtiger technischer Aspekt: Der all-Mechanismus verursacht selbst keinerlei DNS-Lookups. Laut RFC 7208 lösen die Mechanismen all, ip4 und ip6 sowie der Modifier exp zum Zeitpunkt der Auswertung keine DNS-Abfragen aus. Sie belasten das strikte 10-Lookup-Limit also nicht.
Dennoch musst du darauf achten, dass deine Domain niemals mehrere separate SPF-Records veröffentlicht. Zwei oder mehr TXT-Einträge mit v=spf1 führen bei der Auswertung sofort zu einem permanenten Fehler (permerror), wodurch auch der korrekteste Qualifier wirkungslos wird.
Konfiguration prüfen
Prüfe deinen SPF-Eintrag am besten mit dem kostenlosen MXAudit-Scanner. Er zeigt dir genau an, welcher Qualifier am Ende deines Eintrags aktiv ist und ob dein Record sicher konfiguriert ist.
Wenn du mehr über das Zusammenspiel von SPF und anderen Sicherheitsstandards lernen oder eine genaue Anleitung für deinen Hoster suchst, besuche den SPF-Hub und Schritt-für-Schritt-Leitfäden wie SPF bei IONOS einrichten.
Weiterführende Links
- RFC 7208 — Sender Policy Framework (SPF) (abgerufen: 16. Juli 2026)