Stand: Juli 2026
Zusammenfassung: Der
redirect-Modifier leitet die komplette SPF-Auswertung einer Domain auf einen gemeinsamen Ziel-Record weiter. Er dient vor allem dazu, die Autorisierungen und Richtlinien vieler Domains innerhalb derselben Organisation zentral zu konsolidieren.
Wenn du in deinem Unternehmen zahlreiche Domains betreibst – zum Beispiel verschiedene Länder-Domains, Markenauftritte oder geparkte Domains –, wäre es fehleranfällig und aufwendig, in jeder einzelnen Zone eine separate, identische SPF-Liste zu pflegen. Genau hier setzt der redirect-Modifier (Sender Policy Framework) an.
Wie der redirect-Modifier funktioniert
Ein SPF-Record mit redirect verweist die Auswertung vollständig auf eine andere Domain:
v=spf1 redirect=_spf.example.com
Wird eine E-Mail von deiner Domain geprüft und stößt der Server auf den redirect-Modifier, bricht er die Prüfung der aktuellen Domain ab und wertet stattdessen den SPF-Record von _spf.example.com aus. Das Endergebnis dieser Ziel-Domain – egal ob pass, fail, softfail oder neutral – wird direkt als Ergebnis für deine ursprüngliche Domain übernommen.
Wann du redirect einsetzen solltest
Der redirect-Modifier ist laut RFC 7208 gezielt dafür konzipiert, sowohl Autorisierungen als auch Richtlinien in einem gemeinsamen Satz zu konsolidieren, der innerhalb einer einzigen administrativen Zone (ADMD) geteilt wird. So ist es möglich, autorisierte Hosts und die verbindliche Policy für eine beliebige Anzahl von Domains aus einem einzigen, zentralen Record heraus zu steuern.
Typische Anwendungsfälle sind:
- Zentrale Unternehmens-Domains: Alle Tochtergesellschaften oder Länder-Domains (
.de,.fr,.at) verweisen perredirectauf einen zentralen SPF-Eintrag der Hauptdomain (_spf.example.com). - Geparkte Domains: Domains, über die niemals E-Mails versendet werden dürfen, können per
redirectgemeinsam auf einen zentralen Null-Record (v=spf1 -all) verweisen.
Der Unterschied zwischen redirect und include
Obwohl redirect und include auf den ersten Blick ähnlich wirken, unterscheiden sie sich in der Funktionsweise und im Einsatzzweck grundlegend:
| Eigenschaft | include | redirect |
|---|---|---|
| Einsatzzweck | Externe Dienste anbinden (administrative Grenzen überschreiten) | Eigene Domains zentral konsolidieren (innerhalb derselben Organisation) |
| Ergebnisübernahme | Übernimmt nur pass; bei Misserfolg wird im eigenen Record weitergeprüft | Übernimmt das komplette Endergebnis inklusive fail oder softfail |
| Kombination | Kann mit weiteren Mechanismen und all kombiniert werden | Steht meist allein am Ende (ersetzt einen eigenen all-Mechanismus) |
Während ein include also nur fragt: „Gibt dieser externe Record grünes Licht?”, gibt ein redirect die Verantwortung komplett ab: „Meine Policy ist exakt die Policy dieser Ziel-Domain.”
Das 10-Lookup-Limit und permerror
Auch bei der Nutzung des redirect-Modifiers musst du das DNS-Lookup-Limit im Auge behalten. Laut RFC 7208 verbraucht der redirect-Modifier bei der Auswertung genau wie die Mechanismen include, a, mx, ptr und exists eine DNS-Abfrage.
Da SPF-Implementierungen die Gesamtzahl dieser Abfragen pro Prüfung strikt auf maximal 10 begrenzen müssen, zählt jeder redirect-Schritt zum Budget dazu. Wird das Limit durch verschachtelte Weiterleitungen oder zusätzliche Abfragen in der Ziel-Domain überschritten, resultiert dies in einem permanenten Fehler (permerror). Zudem darf eine Domain niemals mehrere separate SPF-Records besitzen, da auch dies unverzüglich zu einem permerror führt.
Die Konfiguration überprüfen
Um sicherzustellen, dass deine Weiterleitungen korrekt auflösen und das Lookup-Limit nicht reißen, solltest du deine Domain mit dem kostenlosen MXAudit-Scanner testen. Er zeigt dir den exakten Auswertungspfad und warnt bei syntaktischen Fehlern oder Schleifen.
Weitere technische Hintergründe und Anleitungen für verschiedene Hosting-Anbieter findest du im SPF-Hub sowie in Praxis-Guides wie SPF bei IONOS einrichten.
Weiterführende Links
- RFC 7208 — Sender Policy Framework (SPF) (abgerufen: 16. Juli 2026)