DMARCPulse
Kostenlos starten
Alle Beiträge Der SPF-Fail-Effekt: Warum dein DMARC-Report rot ist, obwohl alles funktioniert

Der SPF-Fail-Effekt: Warum dein DMARC-Report rot ist, obwohl alles funktioniert

DMARCPulse Team

Roter Report, grüne Zustellung – wie passt das zusammen?

Du öffnest deinen DMARC-Aggregate-Report und siehst: 46 % SPF-Fail. Erster Reflex: Irgendwas ist kaputt, oder jemand spooft deine Domain. Zweiter Blick: Die Mails kommen trotzdem an, Bounce-Rate normal, keine Beschwerden.

Was ist hier los?

In den meisten Fällen, die wir sehen, ist die Antwort schlicht: Du nutzt einen ESP wie Brevo, Mailgun, SendGrid oder Mailchimp – und zwar den kostenlosen Tier.

Warum Shared-ESP-Free-Tiers SPF-Fails produzieren

Jeder E-Mail-Versand hat zwei Absenderadressen: die sichtbare From-Adresse (z. B. [email protected]) und den technischen Envelope-Sender, auch Return-Path oder MAIL FROM genannt. Letzterer steuert, wohin Bounces gehen – und er ist entscheidend für SPF-Alignment.

Auf kostenlosen Tiers nutzen alle Kunden eines ESPs dieselbe Bounce-Infrastruktur. Bei Brevo sieht das zum Beispiel so aus:

SPF prüft die Domain im Return-Path – also sender-sib.com. Diese Domain ist im SPF-Record von Brevo eingetragen, nicht in deinem. Für DMARC-Alignment muss die SPF-Domain aber mit deiner From-Domain übereinstimmen. Das tut sie nicht. Ergebnis: SPF-Fail, obwohl die Mail legitim ist.

Das ist kein Bug. Das ist das Design von Shared-Bounce-Infrastruktur.

Custom Return-Path – also eine Subdomain wie bounce.deinefirma.de, die du selbst kontrollierst – ist bei allen großen Anbietern an kostenpflichtige Pläne gekoppelt. Erst dann kann SPF-Alignment greifen.

Warum das (meistens) kein Zustellungsproblem ist

DMARC verlangt, dass entweder SPF oder DKIM aligned ist – nicht beides. Wenn dein ESP DKIM mit deiner eigenen Domain signiert (was alle genannten Anbieter auch im Free-Tier tun, sobald du den DKIM-Record gesetzt hast), dann trägt DKIM das Alignment alleine.

Die Mails bestehen DMARC-Prüfung trotz SPF-Fail, weil DKIM-Alignment erfüllt ist. Empfangende Mailserver sehen das genauso. Zustellung: grün.

Der rote Balken im Report ist also kein Alarm – er ist ein Informationsproblem. Wer nicht weiß, was er sieht, zieht falsche Schlüsse.

Typischer Fehler: IT-Dienstleister oder Marketing-Manager sehen 46 % Fail, interpretieren das als Angriff oder Fehlkonfiguration und setzen die DMARC-Policy voreilig von p=quarantine zurück auf p=none. Damit wird echter Schutz aufgegeben – wegen eines Phantomproblems.

Warum das vor p=reject trotzdem relevant ist

Solange DKIM sauber ist, ist SPF-Fail kein Zustellungsproblem. Aber SPF ist ein zweites Sicherheitsnetz – und das hat einen Wert.

Stell dir vor, dein DKIM-Key wird kompromittiert, oder ein Angreifer findet einen Weg, DKIM zu umgehen. In diesem Szenario wäre SPF-Alignment die letzte Verteidigungslinie. Wenn du auf p=reject gehst und SPF für deinen ESP-Traffic dauerhaft nicht aligned ist, hast du dieses Netz nie gespannt.

Außerdem: Manche Empfänger-Systeme (vor allem ältere oder stark gehärtete Mail-Gateways) werten SPF-Fail stärker als DMARC-Alignment. Das ist nicht RFC-konform, aber es passiert.

Kurz: SPF-Fail bei ESP-Traffic ist tolerierbar, aber nicht ideal.

Entscheidungsbaum: Was tun?

Schritt 1 – DKIM-Alignment prüfen. Schau im DMARC-Report, ob die betroffenen Mails DKIM-Pass mit deiner Domain zeigen. Wenn ja: kein akutes Problem. Wenn nein: DKIM-Setup beim ESP sofort korrigieren.

Schritt 2 – Volumen und Risiko einschätzen. Wie viel Prozent deines Gesamtvolumens kommt vom Free-Tier-ESP? Wenn es ein kleiner Anteil ist und DKIM aligned ist, kannst du das vorerst dokumentieren und beobachten.

Schritt 3 – Custom Return-Path nachrüsten. Wenn du auf p=reject willst oder das zweite Sicherheitsnetz schließen möchtest: Upgrade auf einen bezahlten Plan, richte eine Subdomain wie bounce.deinefirma.de ein, und trag diese in deinen SPF-Record ein. Damit ist SPF-Alignment hergestellt.

Schritt 4 – Monitoring nicht abschalten. Der häufigste Fehler nach diesem Erkenntnismoment: Man denkt, alles ist erklärt, und hört auf hinzuschauen. Echter Spoofing-Traffic sieht im Report anders aus – andere Quell-IPs, kein DKIM-Pass, andere Länder. Genau das muss weiter überwacht werden.

Den Unterschied sehen, bevor er teuer wird

Der SPF-Fail-Effekt bei Shared-ESP-Free-Tiers ist eines der häufigsten Missverständnisse in DMARC-Reports. Er führt zu falschen Alarmen, falschen Entscheidungen und – schlimmer – dazu, dass echter Spoofing-Traffic im Rauschen untergeht.

Wer seinen Report lesen kann, trifft bessere Entscheidungen: kein voreiliges Policy-Downgrade, kein unnötiger Tier-Upgrade, und echter Schutz bleibt erhalten.

Prüf jetzt, wie dein DMARC-Report aussieht und ob dein ESP-Traffic korrekt klassifiziert ist: Kostenloser Domain-Check auf DMARCPulse