Avanan SPF-Eintrag: So richten Sie Ihren SPF für Check Point Harmony Email ein, beheben Fehler und optimieren ihn
von
Zuletzt aktualisiert:
9 Lesezeit: 9 Minuten
Wichtigste Erkenntnisse
- Avanan (now Check Point Email Security, formerly Harmony Email & Collaboration) requires an SPF include statement in your DNS to authenticate outbound email routed through its infrastructure. There are two valid approaches: the legacy static include:spfa.cpmails.com and the newer macro-based include:{code}.spf.checkpoint-spf.com. You use one or the other but not both.
- Das Hinzufügen des SPF-Eintrags von Avanan ist der Schritt, der Unternehmen am häufigsten dazu bringt, die in RFC 7208 festgelegte Grenze von 10 DNS-Abfragen zu überschreiten, was zu einem SPF-PermError führt und die Zustellung aller ausgehenden E-Mails unterbricht.
- Reine API-Bereitstellungen (Monitor-/Detect-Modus) haben keinen Einfluss auf den E-Mail-Fluss und erfordern keine SPF-Änderungen. Lediglich der Inline-Modus (Prevent) und MX-Gateway-Bereitstellungen erfordern die Einbindung.
- Der Inline-Bereitstellungsmodus von Avanan kann zudem die DKIM-Übereinstimmung beeinträchtigen, wenn die DKIM-Signatur nicht auf Ebene des E-Mail-Anbieters (Microsoft 365 oder Google Workspace) konfiguriert ist, sondern nicht innerhalb von Avanan.
- SPF-Abflachung mithilfe eines Tools wie PowerSPF oder den in Check Point integrierten SPF-Makro-Mechanismus löst das Lookup-Limit dauerhaft und hält Ihre DMARC-Richtlinie aufrecht.
Wenn Sie Check Point Harmony Email & Collaboration (ehemals Avanan) im Inline-Modus einsetzen, müssen Sie einen SPF-Include in Ihre DNS-Einstellungen aufnehmen, da Ihre ausgehenden E-Mails sonst die SPF-Prüfung nicht bestehen und Gefahr laufen, von Gmail, Yahoo und Microsoft Outlook zurückgewiesen zu werden.
Seit Google Ende 2025 damit begonnen hat, nicht konforme Massen-E-Mails dauerhaft zurückzuweisen und Microsoft ab Mai 2025 Fehlercodes 550; 5.7.515 zurückgibt, ist die SPF-Konfiguration eine zwingende betriebliche Anforderung.
Dieser Leitfaden behandelt die beiden gültigen SPF-Einbindungssyntaxen, die Entscheidung zwischen Inline- und API-Modus, die DKIM-Einrichtung, die DMARC-Anpassung, die Beschränkung auf 10 Lookups, die Fehlerbehebung sowie Multi-Tenant-Muster für MSPs.
Ganz gleich, ob Sie als IT-Administrator Avanan zum ersten Mal bereitstellen, als MSP die Lösung für Dutzende von Kundenmandanten verwalten oder als CISO sicherstellen möchten, dass Ihre Authentifizierungsmaßnahmen einem Audit standhalten – im Folgenden werden alle Szenarien behandelt.
Was ist Avanan (jetzt Check Point Email Security)?
Avanan wurde im August 2021 von Check Point Software Technologies übernommen und in Harmony Email & Collaboration umbenannt. Im Jahr 2025 benannte Check Point das Produkt erneut in Check Point Email Security um, um es an die übergeordnete KI-gestützte Strategie des Unternehmens anzupassen.
Trotz zweier Umbenennungen verwenden die meisten IT-Administratoren, Bewertungsplattformen und Community-Foren nach wie vor den Namen „Avanan“, und Check Point unterhält weiterhin ein Portal unter dem Namen Avanan, das einen bedarfsorientierten Migrationspfad zur neuen Benutzeroberfläche bietet.
Die Architektur des Produkts ist API-orientiert. Es stellt über eine API eine Verbindung zu Microsoft 365 oder Google Workspace her, um eingehende E-Mails nach der Zustellung zu scannen. Wenn Administratoren den Inline-Modus (auch „Prevent“ genannt) aktivieren, fängt Avanan ausgehende E-Mails in der Transportpipeline ab und scannt sie über die Cloud-Infrastruktur von Check Point, bevor sie an den Empfänger weitergeleitet werden.
Durch diese Inline-Abfangung entsteht die SPF-Anforderung: Ausgehende E-Mails werden nun von den IP-Adressen von Check Point versendet, die in Ihrem SPF-Eintrag autorisiert sein müssen.
Weitere Informationen dazu, wie E-Mail-Sicherheitsgateways mit Authentifizierungsprotokollen zusammenwirken, finden Sie unter SPF, DKIM und DMARC: Wie sie zusammenwirken.
Müssen Sie Ihren SPF-Eintrag für Avanan überhaupt ändern?
Wenn Sie Avanan im reinen API-Modus (Monitor oder Detect) betreiben, können Sie hier aufhören, da Sie Ihren SPF-Eintrag nicht ändern müssen. E-Mails werden weiterhin von den IP-Adressen von Microsoft 365 oder Google Workspace gesendet, die bereits in Ihrem DNS autorisiert sind.
| Modus | E-Mail-Verlauf | Änderung des Lichtschutzfaktors? | Auswirkungen von DKIM | DMARC-Anpassung |
|---|---|---|---|---|
| API / Überwachen / Erkennen | Absender → M365/GWS → Posteingang; Avanan scannt über die API | Keine. Die E-Mails stammen von M365/GWS-IP-Adressen, die bereits in der SPF-Eintragung enthalten sind. | Unverändert | Pässe |
| Inline / Verhindern (ausgehend) | Intern → M365/GWS → Check Point HEC → Extern (zwei Hops) | Erforderlich. Check Point-Include hinzufügen | Bleibt erhalten, wenn M365/GWS vor dem Abfangen unterschreibt | DKIM stimmt in der Regel überein; SPF kann bei „Return-Path“ einen Softfail auslösen |
| Vollständiges MX-Inline | MX-Weiterleitung zur Check Point-Cloud | Erforderlich. Check Point-IP-Adressen hinzufügen | Hängt von der Signaturkonfiguration ab | Überprüfen Sie die Übereinstimmung von SPF und DKIM |
Avanan SPF-Pakete: Welches ist das richtige für Sie? (Referenz 2026)
Für Check Point Harmony Email gibt es zwei gültige Ansätze für die Einbindung von SPF. Diese lauten wie folgt:
Altes (statisches) Include: include:spfa.cpmails.com
Dies ist der ursprüngliche, statische SPF-Eintrag, den Check Point im Juli 2023 eingeführt hat und der frühere IP-Listen für einzelne Regionen in einem einzigen Eintrag zusammenfasst. Wenn Sie „include:spfa.cpmails.com“ zu Ihrem SPF-Eintrag hinzufügen, wird dieser in etwa 21 IPv4-Einträge aufgelöst, die AWS-Regionen in Nordamerika, Europa, im asiatisch-pazifischen Raum, im Vereinigten Königreich, in Indien, Kanada und den Vereinigten Arabischen Emiraten abdecken.
Da IPv4-Mechanismen nicht auf das Limit von 10 Lookups angerechnet werden, kostet der Include-Befehl selbst genau einen DNS-Lookup aus Ihrem Kontingent.
Verwenden Sie diese Option, wenn Sie keine Lizenz für das DMARC-Management-Add-on von Check Point besitzen oder wenn Sie einen transparenten, herstellerneutralen Eintrag bevorzugen, den jeder Prüfer direkt im DNS einsehen kann.
Managed SPF Macro Include: include:{code}.spf.checkpoint-spf.com
Dies ist die neuere SPF-Verwaltungsfunktion von Check Point, die im Harmony Email-Administratorhandbuch beschrieben ist und im Portal unter „DMARC → SPF-Verwaltung“ aktiviert werden kann. Sie nutzt die SPF-Makroexpansion (gemäß RFC 7208 §5.7) über einen mandantenbezogenen Code. Die Syntax lautet:
v=spf1 include:{your-org-code}.spf.checkpoint-spf.com include:spf.protection.outlook.com -all
Dabei ist {your-org-code} eine eindeutige Kennung, die im Check Point Email Security Administrator Portal zu finden ist. Der Mechanismus erfordert eine einzige Abfrage, leitet den Datenverkehr jedoch über eine dynamische, mandantenspezifische DNS-Zone weiter, die von Check Point verwaltet wird. Er wurde entwickelt, um den Umfang der SPF-Einträge zu reduzieren, wenn Sie mehrere ausgehende Dienste von Check Point nutzen.
Welche sollten Sie verwenden?
| Szenario | Empfohlener Ansatz | Warum |
|---|---|---|
| In Ihrem aktuellen SPF-Eintrag sind weniger als 7 DNS-Abfragen enthalten | Statischer Einbau (spfa.cpmails.com) | Einfach, transparent, leicht zu überprüfen |
| Du hast bereits 8–10 DNS-Abfragen durchgeführt | Verwaltetes SPF-Makro oder SPF-Flattening | Sie sollten Lookups vermeiden. Makros sind integriert; die Abflachung ist herstellerunabhängig |
| Als MSP verwalten Sie mehr als 10 Kundendomänen | SPF-Abgleich mit einem zentralen Tool wie PowerSPF | Wiederholbar, herstellerunabhängig, für alle Kunden überprüfbar |
| Prüfer müssen autorisierte IP-Adressen direkt überprüfen | Statisches Einbinden oder SPF-Flattening | Makros bleiben bis zu ihrer Auflösung undurchsichtig; Prüfer können autorisierte IP-Adressen nicht ohne Weiteres erkennen |
Wichtig: Verwenden Sie nicht beide Einbindungen gleichzeitig. Das Hinzufügen beider führt zu doppelten Autorisierungen, verschwendet DNS-Lookups und erschwert Audits. Wählen Sie einen Ansatz und wenden Sie diesen konsequent an.
Bildvorschlag: Eine Vergleichskarte, auf der die beiden nebeneinander aufgeführt sind, einschließlich der Vor- und Nachteile.
Alt-Text: „Vergleich zwischen dem bisherigen SPF-Include von Avanan (spfa.cpmails.com) und dem makrobasierten Include (checkpoint-spf.com) unter Hervorhebung der Unterschiede hinsichtlich Transparenz, Abfragekosten und Überprüfbarkeit.“
So fügen Sie den Avanan-SPF-Eintrag zu Ihrer Domain hinzu (Schritt für Schritt)
Bevor Sie DNS-Einträge bearbeiten, sollten Sie zunächst Ihren aktuellen SPF-Eintrag und die Anzahl der Abfragen überprüfen. Nutzen Sie dazu einen kostenlosen SPF-Checker , um zu sehen, wie viele DNS-Lookups Ihre Domain derzeit verbraucht. Wenn Sie bei 8 oder mehr liegen, lesen Sie den Abschnitt zur Fehlerbehebung unten, bevor Sie neue Include-Anweisungen hinzufügen.
Schritt 1: Bestätigen Sie Ihren Bereitstellungsmodus
Melden Sie sich beim Check Point Email Security Administrator Portal an. Navigieren Sie zu Ihrer Richtlinie für ausgehenden Datenverkehr. Wenn Sie ausschließlich im API-/Monitor-Modus arbeiten, sind keine SPF-Änderungen erforderlich. Ist der „Prevent“-Modus (Inline) oder die DLP-Prüfung für ausgehenden Datenverkehr aktiviert, fahren Sie mit Schritt 2 fort.
Schritt 2: Rufen Sie die Seite Ihres DNS-Anbieters auf
Melden Sie sich bei der DNS-Verwaltungskonsole Ihrer Domain an (GoDaddy, Cloudflare, AWS Route 53, Azure DNS, Namecheap oder der Anbieter, bei dem Ihre Domain gehostet wird). Suchen Sie den vorhandenen SPF-TXT-Eintrag für Ihre Domain. Er beginnt mit „v=spf1“. Falls kein SPF-Eintrag vorhanden ist, können Sie einen erstellen.
Schritt 3: Fügen Sie den Avanan-Include zu Ihrem SPF-Eintrag hinzu
Fügen Sie den Avanan-Eintrag in Ihren bestehenden Eintrag ein. Erstellen Sie keinen zweiten TXT-SPF-Eintrag. DNS lässt nur einen pro Domain zu. Hier ist ein Vorher-Nachher-Beispiel für eine Microsoft 365-Umgebung:
Zuvor:
v=spf1 include:spf.protection.outlook.com include:_spf.salesforce.com ~all
Danach:
v=spf1 include:spf.protection.outlook.com include:_spf.salesforce.com include:spfa.cpmails.com ~all
Schritt 4: Überprüfen Sie den aktualisierten Datensatz
Warten Sie nach dem Speichern der DNS-Änderung, bis diese übernommen wurde (in der Regel 15 Minuten bis 48 Stunden, abhängig von Ihrer TTL-Einstellung). Verwenden Sie anschließend den SPF-Checker von PowerDMARC , um zu überprüfen, ob die Syntax des Eintrags gültig ist, die Gesamtzahl der DNS-Lookups unter 10 bleibt und kein PermError erkannt wird.
Schritt 5: Senden Sie eine Test-E-Mail und überwachen Sie die DMARC-Berichte
Senden Sie eine Test-E-Mail von einem Benutzerkonto, das über den Inline-Modus von Avanan geleitet wird. Überprüfen Sie die E-Mail-Header mithilfe eines E-Mail-Header-Analysator. Überwachen Sie anschließend Ihre DMARC-Gesamtberichte für 48–72 Stunden, um sicherzustellen, dass keine legitimen Absenderquellen die Übereinstimmung nicht mehr erfüllen.
Die 10-Lookup-Beschränkung: Warum die Integration von Avanan Ihr E-Mail-System lahmlegt
RFC 7208 legt eine feste Obergrenze von 10 DNS-Lookups pro SPF-Auswertung fest. Zu den Mechanismen, die Lookups verbrauchen, gehören „include“, „a“, „mx“, „ptr“, „exists“ und „redirect“. Jedes „include“ löst zudem rekursive Lookups für alle darin verschachtelten „includes“ aus. Mechanismen wie „ip4“, „ip6“ und „all“ verbrauchen keine Lookups.
Werden mehr als 10 Abfragen durchgeführt, wird ein PermError ausgelöst, und der empfangende Mailserver muss SPF so behandeln, als wäre die Überprüfung vollständig fehlgeschlagen – und zwar nicht nur für von Avanan weitergeleitete E-Mails, sondern für alle ausgehenden E-Mails Ihrer Domain.
Ein typischer Unternehmens-Stack setzt sich wie folgt zusammen: Microsoft 365 verbraucht etwa 3 Lookups, Salesforce 3, HubSpot 2, Mailchimp 1, Zendesk 2 und Avanan 1. Das ergibt insgesamt 12 Lookups, wovon zwei über dem Limit liegen. Erfahren Sie mehr über SPF und das Lookup-Limit.
Praxisbeispiele für die SPF-Abfrage mit Avanan
| SPF-Datensatzstapel | Ungefähre Suchanfragen | Status | Maßnahmen erforderlich |
|---|---|---|---|
| Nur M365 + Avanan | 4–5 | Sicher | Keine |
| M365 + Avanan + Salesforce + HubSpot | 9–11 | Im Extremfall | Reduzieren oder Makros verwenden |
| M365 + Avanan + Salesforce + HubSpot + Mailchimp + Zendesk | 14–16 | PermError | Muss abgeflacht werden; SPF schlägt bei ALLEN E-Mails fehl |
| Abgeflachte Aufzeichnung (über PowerSPF) | 1–2 | Optimal | Wird automatisch verwaltet; keine manuellen DNS-Einstellungen erforderlich |
| Haben Sie das Limit von 10 Abfragen bereits überschritten? PowerDMARCs PowerSPF von PowerDMARC glättet Ihren SPF-Eintrag automatisch und hält ihn unter dem Limit, selbst wenn Sie neue Dienste wie Avanan hinzufügen. Starten Sie Ihre 15-tägige kostenlose Testphase |
Avanans SPF Macro vs. SPF Flattening: Ein Vergleich
Bei der Verwaltung von SPF in großem Maßstab geht es oft darum, die Abfragebeschränkungen einzuhalten, ohne dabei legitime Absender zu beeinträchtigen. Da die Datensätze immer komplexer werden, werden Ansätze wie SPF-Flattening und SPF-Makros eingesetzt, um diese Komplexität zu bewältigen – allerdings lösen sie das Problem auf sehr unterschiedliche Weise.
Bevor man sich für eine der beiden Optionen entscheidet, ist es wichtig zu verstehen, wie die einzelnen Ansätze funktionieren, welche Vor- und Nachteile sie mit sich bringen und wo sie in realen E-Mail-Umgebungen zum Einsatz kommen.
So funktioniert das SPF-Makro von Check Point:
Wenn Sie die SPF-Verwaltung im Admin-Portal aktivieren, werden Ihre Standard-Includes durch ein einziges makrobasiertes Include ersetzt, das autorisierte IP-Adressen zum Zeitpunkt der Abfrage dynamisch auflöst. Check Point verwaltet die DNS-Zone. Sie müssen sich für den Avanan-Teil nie wieder um das DNS kümmern.
So funktioniert die SPF-Glättung:
Durch das „Flattening“ werden alle Include-Mechanismen in fest codierte IPv4-/IPv6-Adressen umgewandelt, wodurch die Anzahl der Lookups auf nahezu null reduziert wird. Das manuelle „Flattening“ funktioniert nicht mehr, wenn Anbieter ihre IP-Adressen ändern. Automatisierte Dienste wie PowerSPF bearbeiten laufende IP-Änderungen automatisch, sodass Ihr Eintrag gültig bleibt.
| Faktor | Check Point SPF-Makro | SPF-Abflachung (z. B. PowerSPF) |
|---|---|---|
| Anzahl der DNS-Abfragen | Reduziert den Aufwand für Avanan auf etwa einen Suchvorgang | Reduziert ALLE „INCLUDE“-Anweisungen auf ca. 1 Nachschlag |
| Transparenz / Nachvollziehbarkeit | Unklar, bis das Problem behoben ist. Die Prüfer können die autorisierten IP-Adressen im DNS nicht sehen | Vollständig transparent. Alle IP-Adressen sind direkt im DNS einsehbar |
| Anbieterabhängigkeit | SPF hängt von der Verfügbarkeit des DNS-Servers checkpoint-spf.com ab | SPF hängt von der Vereinheitlichung der Anbieterinfrastruktur ab |
| Umfang | Löst nur den Avanan-Teil Ihres SPF | Löst den gesamten SPF-Eintrag auf. Alle Anbieter |
| Skalierbarkeit von MSP | Muss pro Organisation über das Check Point-Portal konfiguriert werden | Kann über ein einziges Dashboard für alle Kundendomänen zentral verwaltet werden |
| Portabilität | Das Verlassen von Avanan erfordert eine vollständige Neukonfiguration des SPF | Wenn Sie den Flattening-Anbieter verlassen, können Sie den flachen Datensatz exportieren |
Wie sich der Inline-Modus von Avanan auf die DKIM- und DMARC-Konformität auswirkt
Check Point bietet Managed DKIM über die Delegierung von NS-Einträgen an, wobei Administratoren bestimmte DKIM-Selektor-Subdomains an Check Point delegieren, um eine automatisierte Schlüsselverwaltung und -rotation zu ermöglichen.
Die native DKIM-Signierung in Microsoft 365 oder Google Workspace bleibt im Inline-Modus ebenfalls erhalten, sofern die Signierung erfolgt, bevor Avanan die Nachricht abfängt.
Das eigentliche Risiko liegt im Verborgenen. Der Inline-Modus von Avanan fängt E-Mails im Datenfluss ab und kann Header ändern, was dazu führen kann, dass DKIM-Signaturen ungültig werden, die auf bestimmte Werte in Header und Textkörper angewiesen sind.
Im Gegensatz zu reinen API-Lösungen, die E-Mails nach der Zustellung scannen, ohne in die Authentifizierungskette einzugreifen, leitet der Inline-Modus die Nachricht aktiv durch die Infrastruktur von Check Point um.
Die DMARC-Abgleich-Falle:
DMARC erfordert entweder SPF oder DKIM, um mit der Absenderdomäne übereinzustimmen. Wenn der Inline-Modus DKIM unterbricht, stützt sich DMARC ausschließlich auf die SPF-Übereinstimmung. Wenn auch SPF falsch konfiguriert ist (das oben beschriebene Include-Problem), schlägt DMARC vollständig fehl.
Das Worst-Case-Szenario: Administratoren schwächen DMARC von „p=reject“ auf „p=none“ ab, um zu verhindern, dass legitime E-Mails blockiert werden – genau das Gegenteil dessen, was mit dem Einsatz eines Sicherheitstools eigentlich erreicht werden sollte.
So beugen Sie dem vor:
Konfigurieren Sie SPF korrekt, bevor Sie den Inline-Modus aktivieren. Stellen Sie sicher, dass die DKIM-Signierung auf Ebene des E-Mail-Anbieters (Microsoft 365 oder Google Workspace) erfolgt und nicht innerhalb von Avanan. Überprüfen Sie die DMARC-Übereinstimmung mit einem DMARC-Checker vor und nach der Bereitstellung. Aktivieren Sie erst dann das Inline-Scannen.
Für die Echtzeitüberwachung aller Absenderquellen erkennt PowerDMARCs Hosted DMARC erfasst Authentifizierungsfehler sofort, sobald sie auftreten.
Reihenfolge der Implementierung: DMARC + Avanan ohne Beeinträchtigung der Sicherheit
Der häufigste Fehler besteht darin, den Inline-Modus von Avanan zu aktivieren, bevor die Authentifizierungsinfrastruktur bereit ist. Gehen Sie stattdessen wie folgt vor:
- Überprüfen Sie Ihre aktuelle Authentifizierungssicherheit. Überprüfen Sie den SPF-, DKIM- und DMARC-Status mithilfe eines kostenlosen Tools zur Domain-Analyse.
- Beheben Sie alle bestehenden SPF-/DKIM-Probleme. Stellen Sie sicher, dass die Anzahl der SPF-Lookups unter 10 liegt und DKIM auf Ebene des E-Mail-Anbieters ordnungsgemäß signiert ist.
- Fügen Sie das Avanan-SPF-Include hinzu (oder aktivieren Sie das verwaltete SPF-Makro). Befolgen Sie die Schritte im obigen Abschnitt.
- Überprüfen Sie, ob der SPF-Eintrag gültig ist. Testen Sie dies mit dem SPF-Checker und einer E-Mail-Header-Analyse.
- Aktivieren Sie den Avanan-Inline-Modus. Erst nachdem SPF und DKIM validiert wurden.
- Überwachen Sie die DMARC-Berichte 72 Stunden lang. Achten Sie auf neue SPF- oder DKIM-Übereinstimmungsfehler.
- Verschärfen Sie die DMARC-Richtlinie erst nach erfolgreicher Überwachung (bei einer Umstellung von „p=none“ auf „p=quarantine“ oder „p=reject“).
Fehlerbehebung bei SPF- und Authentifizierungsfehlern in Avanan
Dies sind die fünf häufigsten Probleme nach der Bereitstellung, die aus der CheckMates-Community von Check Point, den dmarcian-Foren, Nutzerbewertungen auf G2 und Capterra sowie Diskussionen unter IT-Administratoren zusammengetragen wurden. Für jedes Problem gibt es eine konkrete Lösung.
| Fehler / Symptom | Wahrscheinlichste Ursache | Fix |
|---|---|---|
| spf=permerror | Mehr als 10 DNS-Abfragen nach dem Hinzufügen von Avanan zusätzlich zu M365, Salesforce und anderen Diensten | Reduzieren Sie die Anzahl der Suchvorgänge, indem Sie SPF mit PowerSPF flach zu ordnen oder das makrobasierte Include von Check Point zu aktivieren |
| spf=softfail oder spf=fail | Avanan: Fehlende oder falsche Include-Anweisung oder doppelter SPF-TXT-Eintrag im DNS | Überprüfen Sie, ob die Include-Anweisung mit Abschnitt 2 übereinstimmt; stellen Sie sicher, dass pro Domain nur ein SPF-TXT-Eintrag vorhanden ist |
| dkim=fail nach Aktivierung von „inline“ | Die Änderungen an den Inline-Headern durch Avanan haben die DKIM-Signatur ungültig gemacht | Konfigurieren Sie die DKIM-Signatur auf M365-/Google Workspace-Ebene (nicht in Avanan); überprüfen Sie die delegierte DKIM-NS-Einstellung |
| dmarc=fail (sowohl SPF als auch DKIM) | SPF-PermError + DKIM-Fehler im Inline-Modus führen zu einem doppelten Ausrichtungsfehler | Korrigieren Sie SPF und DKIM unabhängig voneinander und überprüfen Sie anschließend erneut die Übereinstimmung, bevor Sie die Durchsetzung wieder aktivieren. |
| cpmails.com oder cloud-sec-av.com tauchen unerwartet in DMARC-Berichten auf | Der Inline-Ausgang ist aktiviert (wie erwartet) oder ein früherer Administrator hat spfa.cpmails.com hinzugefügt, und diese Einstellung bleibt bestehen | SPF-Eintrag auf verwaiste Einträge prüfen; wenn „inline“ beabsichtigt ist, handelt es sich um ein normales Verhalten |
Für eine detailliertere Diagnose auf Header-Ebene fügen Sie den Header einer fehlgeschlagenen Nachricht in den E-Mail-Header-Analysator von PowerDMARC ein, um genau nachzuverfolgen, an welcher Stelle in der Zustellkette SPF oder DKIM versagt hat.
Avanan SPF für MSPs: Verwaltung der mandantenfähigen Authentifizierung in großem Maßstab
Hier ist die operative Lücke am größten. 30 oder mehr Kundendomänen, die jeweils bei einem anderen DNS-Anbieter gehostet werden, jeweils mit einem anderen SaaS-Stack und jeweils mit einer unterschiedlichen Anzahl von SPF-Abfragen. Die Bereitstellung von Avanan für alle diese Domänen bedeutet, dass jeder SPF-Eintrag bearbeitet, jede Abfrageanzahl überprüft und jeder DMARC-Bericht überwacht werden muss – und zwar pro Kunde und pro Domäne.
Die drei MSP-spezifischen Strategien, die Chaos bei der Bereitstellung verhindern:
- Überprüfen Sie vor der Aufnahme jedes Kunden dessen SPF: Verwenden Sie ein automatisiertes Lookup-Tool (kein manuelles nslookup), um den aktuellen SPF-Eintrag jeder Domain zu überprüfen, die Lookups zu zählen und alle Domains zu kennzeichnen, die bereits das Limit von 10 Lookups erreicht haben oder kurz davor stehen. Die API von PowerDMARC unterstützt Massenprüfungen von Domains für Ihren gesamten Kundenstamm.
- Standardisieren Sie die Flattening-Lösung für alle Mandanten auf einen einzigen Anbieter: Das SPF-Makro von Check Point muss im Check Point-Portal für jeden Mandanten separat konfiguriert werden. Mit einer zentralisierten SPF-Flattening-Lösung wie PowerSPF können Sie die Einträge aller Kunden über ein einziges Dashboard verwalten, unabhängig davon, welches Sicherheitsgateway sie nutzen.
- Erstellen Sie White-Label-DMARC-Berichte für QBRs: Kunden interessieren sich für Ergebnisse, nicht für rohes XML. Das MSP/MSSP-Partnerprogramm von PowerDMARC bietet mandantenfähige Dashboards, White-Label-Portale und API-gesteuertes SPF-Management für alle von Check Point geschützten Mandanten und macht so die DMARC-Überwachung zu einer wiederkehrenden Einnahmequelle für Ihr Unternehmen.
Halten Sie Ihren SPF nach der Avanan-Bereitstellung sauber
Die Konfiguration von Avanan SPF ist nicht kompliziert, wenn man die Abfragebegrenzung berücksichtigt, den richtigen Include-Ansatz für den jeweiligen Bereitstellungsmodus wählt und vor der Inbetriebnahme die DKIM- und DMARC-Konformität überprüft. Die eigentliche Herausforderung liegt nicht bei Avanan selbst. Vielmehr haben die meisten Unternehmen bereits fast die Obergrenze für SPF-Abfragen erreicht, bevor sie überhaupt ein neues Tool hinzufügen.
Die SPF-Konfiguration ist keine einmalige Angelegenheit. Jedes neue SaaS-Tool, jede neue Marketingplattform oder jeder neue E-Mail-Dienst, den Ihr Unternehmen einführt, erfordert eine weitere Abfrage. Nur durch eine kontinuierliche SPF-Verwaltung lässt sich verhindern, dass sich dieselben Probleme bei der Einbindung des nächsten Anbieters wiederholen.
| Übernimm dauerhaft die Kontrolle über deinen Lichtschutzfaktor. Die Plattform von PowerDMARC bietet Ihnen automatisiertes SPF-Flattening, DMARC-Überwachung in Echtzeit und vollständige Transparenz über alle Domains hinweg, sodass die Einführung eines neuen Tools Ihre E-Mail-Kommunikation nie wieder beeinträchtigt. |
Häufig gestellte Fragen
Wie lautet der aktuelle SPF-Eintrag für Avanan?
There are two options: the static include:spfa.cpmails.com and the managed SPF macro include:{orgcode}.spf.checkpoint-spf.com. Use one or the other—not both. Your org code is found in the Check Point Email Security Administrator Portal under DMARC → SPF Management.
Unterstützt Avanan DKIM?
Ja. Check Point bietet nun Managed DKIM über die Delegierung von NS-Einträgen an, und die native DKIM-Signatur von M365/Google Workspace bleibt im Inline-Modus erhalten. Auf älteren Referenzseiten von Drittanbietern wird nach wie vor behauptet, Avanan unterstütze DKIM nicht – diese Information ist veraltet.
Wie viele DNS-Abfragen verursacht das Hinzufügen des Avanan-SPF?
Der statische Include (spfa.cpmails.com) verursacht genau eine DNS-Abfrage. Er wird in etwa 21 IPv4-Einträge aufgelöst, die keine zusätzlichen Abfragen erfordern. Das verwaltete SPF-Makro verursacht ebenfalls eine Abfrage.
Kann ich das statische Avanan-Include und das Makro-Include gleichzeitig verwenden?
Nein. Die gleichzeitige Verwendung beider Ansätze führt zu doppelten Autorisierungen, unnötigen Abfragen und erschwert die Nachverfolgung. Wählen Sie einen Ansatz, der zu Ihrer Umgebung und Ihren Lizenzbedingungen passt.
Muss ich meinen SPF ändern, wenn ich Avanan im reinen API-Modus betreibe?
Im API-/Monitor-/Detect-Modus werden E-Mails über die IP-Adressen von Microsoft 365 oder Google Workspace weitergeleitet, die bereits in Ihrer SPF-Einstellung autorisiert sind. Nur im Inline-Modus (Prevent) und bei vollständigen MX-Bereitstellungen ist der Eintrag erforderlich.
Was ist cpmails.com? Was ist checkpoint-spf.com?
cpmails.com ist die SPF-Domain von Check Point für den älteren statischen ausgehenden Datenfluss. checkpoint-spf.com ist die makrobasierte, mandantenspezifische Domain, die vom neueren SPF-Management-Add-on von Check Point verwendet wird. Beide gehören zur legitimen Infrastruktur von Check Point.
Sollte ich bei Avanan „~all“ oder „-all“ verwenden?
Check Point empfiehlt die Option -all (Hardfail), sobald Sie sicher sind, dass alle legitimen Absender enthalten sind. Verwenden Sie aus Sicherheitsgründen während der ersten Einführungsphase die Option ~all (Softfail). Verwenden Sie niemals die Option +all.
Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC
Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.
Neueste Beiträge von Ahona Rudra (alle anzeigen)
