Gründe für die Vermeidung von SPF-Flattening

Sender Policy Framework (SPF) ist ein weithin anerkanntes E-Mail-Authentifizierungsprotokoll, das Ihre Nachrichten validiert, indem es sie anhand aller autorisierten IP-Adressen authentifiziert, die für Ihre Domain in Ihrem SPF-Eintrag registriert sind. Um E-Mails zu validieren, gibt SPF dem empfangenden Mailserver vor, DNS-Abfragen durchzuführen, um nach autorisierten IPs zu suchen, was zu DNS-Lookups führt.

Ihr SPF-Eintrag existiert als DNS-TXT-Eintrag, der aus einer Ansammlung verschiedener Mechanismen gebildet wird. Die meisten dieser Mechanismen (z. B. include, a, mx, redirect, exists, ptr) erzeugen DNS-Lookups. Die maximale Anzahl der DNS-Lookups für die SPF-Authentifizierung ist jedoch auf 10 begrenzt. Wenn Sie verschiedene Drittanbieter verwenden, um E-Mails über Ihre Domain zu versenden, können Sie das SPF-Hardlimit leicht überschreiten.

Sie fragen sich vielleicht, was passiert, wenn Sie dieses Limit überschreiten? Das Überschreiten des Limits von 10 DNS-Lookups führt zu einem SPF-Fehler und macht sogar legitime Nachrichten ungültig, die von Ihrer Domain gesendet werden. In solchen Fällen sendet der empfangende Mailserver einen SPF-PermError-Bericht an Ihre Domain zurück, wenn Sie die DMARC-Überwachung aktiviert haben.Damit kommen wir zum Hauptthema dieses Blogs: SPF-Flattening.

Was ist die SPF-Abflachung?

SPF-Record-Flattening ist eine der beliebten Methoden, die von Branchenexperten verwendet werden, um Ihren SPF-Record zu optimieren und die Überschreitung des SPF-Hard-Limits zu vermeiden. Die Vorgehensweise beim SPF-Flattening ist recht einfach. Beim Flattening Ihres SPF-Eintrags werden alle Include-Mechanismen durch ihre jeweiligen IP-Adressen ersetzt, um die Notwendigkeit der Durchführung von DNS-Lookups zu eliminieren.

Wenn Ihr SPF-Eintrag zum Beispiel ursprünglich so aussah:

v=spf1 include:spf.domain.com -all

Ein abgeflachter SPF-Eintrag sieht etwa so aus:

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Dieser abgeflachte Datensatz erzeugt nur einen DNS-Lookup, anstatt mehrere Lookups durchzuführen. Die Verringerung der Anzahl der DNS-Abfragen, die vom empfangenden Server während der E-Mail-Authentifizierung durchgeführt werden, hilft zwar, unter dem Limit von 10 DNS-Lookups zu bleiben, hat aber auch seine eigenen Probleme.

Das Problem mit der SPF-Abflachung

Abgesehen davon, dass Ihr manuell abgeflachter SPF-Eintrag zu lang werden kann, um im DNS Ihrer Domain veröffentlicht zu werden (Überschreitung der 255-Zeichen-Grenze), müssen Sie berücksichtigen, dass Ihr E-Mail-Dienstanbieter seine IP-Adressen ändern oder ergänzen kann, ohne Sie als Benutzer zu benachrichtigen. Wenn Ihr Provider hin und wieder Änderungen an seiner Infrastruktur vornimmt, werden diese Änderungen nicht in Ihrem SPF-Eintrag berücksichtigt. Wenn also diese geänderten oder neuen IP-Adressen von Ihrem Mailserver verwendet werden, schlägt die E-Mail auf der Empfängerseite mit SPF fehl.

PowerSPF: Ihr dynamischer SPF-Datensatz-Generator

Das ultimative Ziel von PowerDMARC war es, eine Lösung zu entwickeln, die Domain-Besitzer davor bewahrt, an das Limit von 10 DNS-Lookups zu stoßen, sowie Ihren SPF-Datensatz so zu optimieren, dass er immer auf den neuesten IP-Adressen bleibt, die Ihre E-Mail-Dienstanbieter verwenden. PowerSPF ist Ihre automatisierte SPF-Flattening-Lösung, die Ihren SPF-Eintrag durchzieht, um eine einzige Include-Anweisung zu erzeugen. PowerSPF hilft Ihnen:

  • Einfaches Hinzufügen oder Entfernen von IPs und Mechanismen
  • Automatische Aktualisierung von Netzsperren, um sicherzustellen, dass Ihre autorisierten IPs immer auf dem neuesten Stand sind
  • Bleiben Sie mit Leichtigkeit unter dem Limit von 10 DNS-Lookups
  • Erhalten Sie einen optimierten SPF-Eintrag mit einem einzigen Klick
  • Permerror" dauerhaft besiegen
  • Fehlerfreies SPF implementieren

Melden Sie sich noch heute bei PowerDMARC an, um eine verbesserte E-Mail-Zustellbarkeit und Authentifizierung zu gewährleisten und gleichzeitig unter dem Limit von 10 DNS SPF-Lookups zu bleiben .

Als Domain-Besitzer müssen Sie immer auf Bedrohungsakteure achten, die Domain-Spoofing- und Phishing-Angriffe starten, um Ihre Domain oder Ihren Markennamen für bösartige Aktivitäten zu nutzen. Unabhängig davon, welche E-Mail-Austauschlösung Sie verwenden, ist der Schutz Ihrer Domain vor Spoofing und Impersonation unerlässlich, um die Glaubwürdigkeit Ihrer Marke zu gewährleisten und das Vertrauen Ihrer geschätzten Kundenbasis zu erhalten. Dieser Blog führt Sie durch den Prozess der Einrichtung Ihres DMARC-Eintrags für Office 365-Benutzer.

In jüngster Zeit ist die Mehrheit der Unternehmen dazu übergegangen, effektive und robuste Cloud-basierte Plattformen und gehostete E-Mail-Austauschlösungen wie Office 365 zu nutzen. In der Folge haben auch Cyberkriminelle ihre bösartigen Techniken zur Durchführung von E-Mail-Betrug verbessert, indem sie die in die Plattform integrierten Sicherheitslösungen ausmanövrieren. Aus diesem Grund hat Microsoft die Unterstützung für E-Mail-Authentifizierungsprotokolle wie DMARC auf alle seine E-Mail-Plattformen ausgeweitet. Sie sollten jedoch wissen, wie Sie DMARC für Office 365 richtig implementieren, um dessen Vorteile voll auszuschöpfen.

Warum DMARC?

Die erste Frage, die sich stellen könnte, ist, dass mit Anti-Spam-Lösungen und E-Mail-Sicherheits-Gateways, die bereits in die Office 365-Suite integriert sind, um gefälschte E-Mails zu blockieren, warum sollten Sie DMARC für die Authentifizierung benötigen? Denn während diese Lösungen speziell vor eingehenden Phishing-E-Mails schützen, die an Ihre Domain gesendet werden, gibt das DMARC-Authentifizierungsprotokoll den Domain-Besitzern die Möglichkeit, den empfangenden E-Mail-Servern vorzugeben, wie sie auf E-Mails reagieren sollen, die von Ihrer Domain gesendet werden und die Authentifizierungsprüfungen nicht bestehen.

DMARC nutzt zwei Standard-Authentifizierungsverfahren, nämlich SPF und DKIM, um E-Mails auf ihre Echtheit zu überprüfen. Mit einer auf Durchsetzung eingestellten Richtlinie kann DMARC ein hohes Maß an Schutz gegen Impersonationsangriffe und Direct-Domain-Spoofing bieten.

Brauchen Sie DMARC wirklich, wenn Sie Office 365 nutzen?

Es ist ein weit verbreiteter Irrglaube unter Unternehmen, dass der Einsatz einer Office 365-Lösung Sicherheit vor Spam und Phishing-Angriffen gewährleistet. Im Mai 2020 führte jedoch eine Reihe von Phishing-Angriffen auf mehrere Versicherungsunternehmen im Nahen Osten, die Office 365 nutzen, zu erheblichen Datenverlusten und einer beispiellosen Anzahl von Sicherheitsverletzungen. Aus diesem Grund kann es ein großer Fehler sein, sich einfach auf die integrierten Sicherheitslösungen von Microsoft zu verlassen und keine externen Maßnahmen zum Schutz Ihrer Domain zu implementieren!

Während die integrierten Sicherheitslösungen von Office 365 Schutz vor eingehenden Sicherheitsbedrohungen und Phishing-Versuchen bieten können, müssen Sie dennoch sicherstellen, dass ausgehende Nachrichten, die von Ihrer eigenen Domäne gesendet werden, effektiv authentifiziert werden, bevor sie in den Posteingängen Ihrer Kunden und Partner landen. An dieser Stelle kommt DMARC ins Spiel.

Absicherung von Office 365 gegen Spoofing und Impersonation mit DMARC

Sicherheitslösungen, die mit der Office 365-Suite geliefert werden, fungieren als Spam-Filter, die Ihre Domain nicht vor Impersonation schützen können, was die Notwendigkeit von DMARC unterstreicht. DMARC existiert als DNS-TXT-Eintrag im DNS Ihrer Domain. Um DMARC für Ihre Domain zu konfigurieren, müssen Sie Folgendes tun:

Schritt 1: Identifizieren Sie gültige E-Mail-Quellen für Ihre Domain
Schritt 2: SPF für Ihre Domain einrichten
Schritt 3: Richten Sie DKIM für Ihre Domain ein
Schritt 4: Veröffentlichen Sie einen DMARC-TXT-Eintrag im DNS Ihrer Domain

Sie können den kostenlosen DMARC-Datensatz-Generator von PowerDMARC verwenden, um sofort einen Datensatz mit der korrekten Syntax zu erzeugen, den Sie in Ihrem DNS veröffentlichen und DMARC für Ihre Domain konfigurieren können. Beachten Sie jedoch, dass nur eine Durchsetzungsrichtlinie von "Ablehnen" Ihnen effektiv dabei helfen kann, Impersonationsangriffe und Domain-Missbrauch einzudämmen.

Aber ist die Veröffentlichung eines DMARC-Datensatzes genug? Die Antwort ist nein. Dies führt uns zu unserem letzten und abschließenden Segment, dem DMARC-Reporting und -Überwachung.

5 Gründe, warum Sie PowerDMARC bei der Verwendung von Microsoft Office365 benötigen

Microsoft Office 365 bietet Anwendern eine Vielzahl von Cloud-basierten Diensten und Lösungen zusammen mit integrierten Anti-Spam-Filtern. Doch trotz der verschiedenen Vorteile, sind dies die Nachteile, die Sie bei der Verwendung aus einer Sicherheitsperspektive sehen könnten:

  • Keine Lösung für die Validierung ausgehender Nachrichten, die von Ihrer Domain aus gesendet werden
  • Kein Berichtsmechanismus für E-Mails, die die Authentifizierungsprüfung nicht bestehen
  • Kein Einblick in Ihr E-Mail-Ökosystem
  • Kein Dashboard zur Verwaltung und Überwachung Ihres ein- und ausgehenden E-Mail-Flusses
  • Kein Mechanismus, der sicherstellt, dass Ihr SPF-Eintrag immer unter dem Limit von 10 Suchvorgängen liegt

DMARC-Berichterstattung und -Überwachung mit PowerDMARC

PowerDMARC lässt sich nahtlos in Office 365 integrieren und bietet Domain-Besitzern fortschrittliche Authentifizierungslösungen, die vor ausgeklügelten Social Engineering-Angriffen wie BEC und Direct-Domain-Spoofing schützen. Wenn Sie sich bei PowerDMARC anmelden, melden Sie sich für eine mandantenfähige SaaS-Plattform an, die nicht nur alle Best Practices für die E-Mail-Authentifizierung (SPF, DKIM, DMARC, MTA-STS, TLS-RPT und BIMI) vereint, sondern auch einen umfangreichen und detaillierten DMARC-Berichtsmechanismus bietet, der einen vollständigen Einblick in Ihr E-Mail-Ökosystem ermöglicht. DMARC-Berichte auf dem PowerDMARC-Dashboard werden in zwei Formaten erstellt:

  • Aggregierte Berichte
  • Forensische Berichte

Wir haben uns bemüht, die Authentifizierungserfahrung für Sie zu verbessern, indem wir verschiedene Branchenprobleme gelöst haben. Wir stellen die Verschlüsselung Ihrer DMARC-Forensikberichte sicher und zeigen aggregierte Berichte in 7 verschiedenen Ansichten an, um die Benutzerfreundlichkeit und Übersichtlichkeit zu verbessern. PowerDMARC hilft Ihnen, den E-Mail-Verkehr und Authentifizierungsfehler zu überwachen und bösartige IP-Adressen aus der ganzen Welt auf eine schwarze Liste zu setzen. Unser DMARC-Analysetool hilft Ihnen dabei, DMARC für Ihre Domain richtig zu konfigurieren und im Handumdrehen von der Überwachung zur Durchsetzung zu wechseln!

 

Die Verschlüsselung ist bei SMTP optional, was bedeutet, dass E-Mails im Klartext gesendet werden können. Mail Transfer Agent-Strict Transport Security (MTA-STS) ist ein relativ neuer Standard, der es E-Mail-Dienstanbietern ermöglicht, Transport Layer Security (TLS) zur Sicherung von SMTP-Verbindungen zu erzwingen und festzulegen, ob die sendenden SMTP-Server die Zustellung von E-Mails an MX-Hosts, die TLS nicht unterstützen, verweigern sollen. Es hat sich bewährt, TLS-Downgrade-Angriffe und Man-In-The-Middle (MITM)-Angriffe abzuschwächen.

Die Aktivierung von MTA-STS reicht nicht aus, da Sie einen effektiven Berichtsmechanismus benötigen, um Fehler beim Aufbau eines verschlüsselten Kanals zu erkennen. SMTP TLS Reporting (TLS-RPT) ist ein Standard, der die Meldung von Problemen bei der TLS-Verbindung ermöglicht, die bei Anwendungen auftreten, die E-Mails senden und Fehlkonfigurationen erkennen. Er ermöglicht die Meldung von E-Mail-Zustellungsproblemen, die auftreten, wenn eine E-Mail nicht mit TLS verschlüsselt ist.

Einfache MTA-STS-Implementierung mit PowerMTA-STS

Die Implementierung von MTA-STS ist eine mühsame Aufgabe, die bei der Übernahme eine Menge Komplexität mit sich bringt. Von der Erstellung von Richtliniendateien und Datensätzen bis hin zur Wartung des Webservers und der Hosting-Zertifikate ist es ein langwieriger Prozess. PowerDMARC hat die Lösung für Sie! Unsere gehosteten MTA-STS-Services bieten die folgenden Vorteile:

  • Veröffentlichen Sie Ihre DNS-CNAME-Einträge mit nur wenigen Klicks
  • Wir übernehmen die Verantwortung für die Wartung des Richtlinien-Webservers und das Hosting der Zertifikate
  • Sie können MTA-STS-Richtlinienänderungen sofort und einfach über das PowerDMARC-Dashboard vornehmen, ohne manuell Änderungen am DNS vornehmen zu müssen
  • Die gehosteten MTA-STS-Dienste von PowerDMARC sind RFC-konform und unterstützen die neuesten TLS-Standards
  • Von der Generierung von Zertifikaten und MTA-STS-Richtliniendateien bis hin zur Durchsetzung von Richtlinien helfen wir Ihnen, die enorme Komplexität zu umgehen, die mit der Einführung des Protokolls verbunden ist

Warum müssen E-Mails während der Übertragung verschlüsselt werden?

Da die Sicherheit in SMTP nachgerüstet werden musste, um es abwärtskompatibel zu machen, indem der STARTTLS-Befehl hinzugefügt wurde, um TLS-Verschlüsselung zu initiieren, fällt die Kommunikation auf Klartext zurück, falls der Client TLS nicht unterstützt. Auf diese Weise können E-Mails während der Übertragung Opfer von allgegenwärtigen Überwachungsangriffen wie MITM werden, bei denen Cyberkriminelle Ihre Nachrichten abhören und Informationen verändern und manipulieren können, indem sie den Verschlüsselungsbefehl (STARTTLS) ersetzen oder löschen, wodurch die Kommunikation in den Klartext zurückfällt.

Hier kommt MTA-STS zur Hilfe, das die TLS-Verschlüsselung in SMTP zur Pflicht macht. Dies hilft bei der Reduzierung der Bedrohungen durch MITM, DNS-Spoofing und Downgrade-Angriffe.

Nach der erfolgreichen Konfiguration von MTA-STS für Ihre Domain benötigen Sie einen effizienten Berichtsmechanismus, mit dem Sie Probleme bei der E-Mail-Zustellung aufgrund von Problemen bei der TLS-Verschlüsselung schneller erkennen und darauf reagieren können. PowerTLS-RPT macht genau das für Sie!

Erhalten Sie Berichte über E-Mail-Zustellungsprobleme mit PowerTLS-RPT

TLS-RPT ist vollständig in die PowerDMARC-Sicherheitssuite integriert. Sobald Sie sich bei PowerDMARC anmelden und SMTP-TLS-Reporting für Ihre Domain aktivieren, nehmen wir Ihnen die Mühe ab, die komplizierten JSON-Dateien, die Ihre Berichte über E-Mail-Zustellungsprobleme enthalten, in einfache, lesbare Dokumente zu konvertieren, die Sie problemlos durchgehen und verstehen können!

Auf der PowerDMARC-Plattform werden TLS-RPT-Aggregatberichte in zwei Formaten generiert, um die Bedienung zu erleichtern, den Einblick zu verbessern und die Benutzerfreundlichkeit zu erhöhen:
  • Aggregierte Berichte pro Ergebnis
  • Aggregierte Berichte pro Sendequelle

Darüber hinaus erkennt die Plattform von PowerDMARC automatisch die Probleme, die Sie haben, und übermittelt diese anschließend, so dass Sie sie in kürzester Zeit angehen und lösen können.

Warum brauchen Sie SMTP-TLS-Reporting?

Im Falle von Fehlern bei der E-Mail-Zustellung aufgrund von Problemen bei der TLS-Verschlüsselung werden Sie mit TLS-RPT benachrichtigt. TLS-RPT bietet eine verbesserte Sichtbarkeit auf alle Ihre E-Mail-Kanäle, sodass Sie einen besseren Einblick in alle Vorgänge in Ihrer Domain erhalten, einschließlich der Nachrichten, die nicht zugestellt werden können. Darüber hinaus bietet es ausführliche Diagnoseberichte, die es Ihnen ermöglichen, das Problem bei der E-Mail-Zustellung zu identifizieren, ihm auf den Grund zu gehen und es ohne Verzögerung zu beheben.

Um praktisches Wissen über die Implementierung und Einführung von MTA-STS und TLS-RPT zu erhalten, lesen Sie noch heute unseren detaillierten Leitfaden!

Konfigurieren Sie DMARC für Ihre Domain mit PowerDMARC und setzen Sie Best Practices zur E-Mail-Authentifizierung wie SPF, DKIM, BIMI, MTA-STS und TLS-RPT ein - alles unter einem Dach. Melden Sie sich noch heute für eine kostenlose DMARC-Testversion an!

Aktuelle Branchentrends legen nahe, dass MSSP DMARC-Überwachungsdienste anbieten müssen, um den Markenwert zu steigern. Managed Security Service Providers (MSSPs) und Managed Service Providers (MSPs) bieten Sicherheitsdienste und technologische Lösungen für Organisationen und Unternehmen an, die diese nicht selbst betreiben. MSS oder Managed Security Services sind Dienstleistungen, die die Informations-/Netzwerksicherheit gewährleisten, die an einen Dienstleister ausgelagert wurde. Unabhängig davon, ob Sie ein KMU oder ein MNC sind, mindert die Inanspruchnahme von Managed Security Services den Druck, dem Sie täglich durch die Informationssicherheit ausgesetzt sind, wie z. B. Phishing-Attacken und Diebstahl von Kundendaten, und reduziert die Einschränkung von Ressourcen. 

PowerDMARC ist auf der Mission, DMARC-Authentifizierungsdienste in Unternehmen auf der ganzen Welt mit unserem DMARC-MSSP-Programm zu implementieren, um die Daten- und Informationsübertragung sicher zu machen und den Ruf und die Glaubwürdigkeit der Marke zu wahren.

Warum müssen MSSP DMARC anbieten?

Ein DMARC-Dienstanbieter zu werden ist mehr als nur die Erweiterung der Unterstützung von E-Mail-Authentifizierungsprotokollen, es ist ein wichtiger Mehrwert für Ihre Marke und die Basis für Ihre Marketingeffizienz. Als Industriestandard für die E-Mail-Authentifizierung schützt DMARC nicht nur Ihre Domain vor Impersonation und Spoofing, sondern verbessert auch die Zustellbarkeit von E-Mails und stärkt das Vertrauen Ihrer Kunden in Ihre Marke. Wenn Sie MSSP-Partner werden, haben Sie die Berechtigung, Ihre Kundendomains zu Ihrem MSSP-Dashboard hinzuzufügen, die Authentifizierungsergebnisse zu überwachen und sie davor zu schützen, Opfer von E-Mail-Betrug zu werden.

Wie unterscheidet sich das MSSP-Programm von PowerDMARC?

Zugriff auf ein exklusives Multi-Tenant-Control-Panel

Wenn Sie sich bei unserem MSSP-Programm anmelden und Partner werden, steht Ihnen ein voll funktionsfähiges, mandantenfähiges und partner-exklusives Control Panel zur Verfügung, mit dem Sie Benutzer- und Kundenaktivitäten sowie Authentifizierungsergebnisse überwachen können. Fügen Sie Ihre Kunden und Mitarbeiter an Bord hinzu und verwalten und unterstützen Sie sie, wobei Sie vollständige Autorität und Kontrolle ausüben.

Automatisiertes und einfaches Onboarding

Vom Onboarding Ihrer Kunden bis hin zur Rechnungsstellung und -abwicklung wird der gesamte Prozess für Sie automatisiert, so dass Sie sich die Komplexität und den Aufwand des manuellen Onboardings ersparen können.

Schulung zur Sicherstellung der Klarheit von Dienstleistungen

Wenn Sie eine Partnerschaft mit PowerDMARC eingehen, bieten wir Ihnen ausführliche Schulungen und Wissensvermittlungen, um Sie mit den von uns angebotenen Sicherheitsdienstleistungen und -lösungen vertraut zu machen. Darüber hinaus bieten wir Ihnen während der gesamten Dauer der Partnerschaft proaktiven technischen Support rund um die Uhr.

15-tägige kostenlose Testversion

Wenn Ihre Kunden unsicher sind, ob sie sofort nach dem Onboarding auf einen kostenpflichtigen Plan umsteigen sollen, können Sie ihre Zweifel dauerhaft ausräumen, indem Sie ihnen eine 15-tägige kostenlose Testversion unserer PowerDMARC-Plattform zur Verfügung stellen.

Bewusstsein unter Kunden verbreiten

Abgesehen von der Steigerung des Markenwerts ist Ihre Rolle als MSSP-Partner vielschichtig, da Sie eine entscheidende Rolle bei der Verbreitung des Bewusstseins unter Ihren Kunden in Bezug auf Informationssicherheit und Impersonationsangriffe spielen, die nicht nur den Ruf Ihrer Marke schädigen, sondern auch die vertraulichen Daten und Anmeldeinformationen Ihrer Kunden gefährden. Sie können Ihre Kunden proaktiv bei der Einführung von DMARC und dem Wechsel von der Überwachung (p=none) zur Durchsetzung (p=reject) unterstützen und so die Reputation Ihrer Kunden verbessern und die Zustellbarkeit von E-Mails erhöhen.

Vorteile des MSSP-Programms von PowerDMARC

  • Automatisierter Onboarding-Prozess
  • 15 Tage kostenlos testen
  • Schulungen und technische Unterstützung durch Authentifizierungsexperten im PowerDMARC-Team
  • Partner-exklusives, mandantenfähiges Control Panel
  • Volle Kontrolle über das Hinzufügen, Verwalten und Betreiben von Clients
  • Bietet eine umfangreiche Plattform, die DMARC, DKIM, SPF, BIMI, MTA-STS und TLS-RPT unterstützt

Wir bei PowerDMARC freuen uns darauf, das Partnerschaftserlebnis für Sie jeden Tag zu verbessern und streben danach, uns mit Unternehmen zu verbinden, die wie wir danach streben, E-Mails sicher zu machen und Informationen gegen die Übel des digitalen Zeitalters zu schützen. Melden Sie sich noch heute beim MSSP DMARC-Programm an und lassen Sie uns einen Schritt nach vorne machen, um die Informations- und E-Mail-Sicherheit für alle da draußen zu verbessern!

In diesem Artikel werden wir untersuchen, wie Sie den SPF-Eintrag für Ihre Domain einfach optimieren können. Sowohl Unternehmen als auch kleine Betriebe, die eine E-Mail-Domain zum Senden und Empfangen von Nachrichten unter ihren Kunden, Partnern und Mitarbeitern besitzen, haben mit hoher Wahrscheinlichkeit einen SPF-Eintrag, der von Ihrem Posteingangsdienstanbieter standardmäßig eingerichtet wurde. Unabhängig davon, ob Sie einen bereits existierenden SPF-Eintrag haben oder einen neuen erstellen müssen, müssen Sie Ihren SPF-Eintrag korrekt für Ihre Domain optimieren, um sicherzustellen, dass er keine Probleme bei der E-Mail-Zustellung verursacht.

Einige E-Mail-Empfänger verlangen unbedingt SPF, was bedeutet, dass Ihre E-Mails im Posteingang des Empfängers als Spam markiert werden können, wenn Sie keinen SPF-Eintrag für Ihre Domain veröffentlicht haben. Außerdem hilft SPF bei der Erkennung von nicht autorisierten Quellen, die E-Mails im Namen Ihrer Domain senden.

Lassen Sie uns zunächst verstehen, was SPF ist und warum Sie ihn brauchen?

Sender Policy Framework (SPF)

SPF ist im Wesentlichen ein Standard-E-Mail-Authentifizierungsprotokoll, das die IP-Adressen angibt, die berechtigt sind, E-Mails von Ihrer Domain zu senden. Es arbeitet, indem es Absenderadressen mit der Liste der autorisierten sendenden Hosts und IP-Adressen für eine bestimmte Domain vergleicht, die im DNS für diese Domain veröffentlicht ist.

SPF dient zusammen mit DMARC (Domain-based Message Authentication, Reporting and Conformance) dazu, gefälschte Absenderadressen bei der E-Mail-Zustellung zu erkennen und Spoofing-Angriffe, Phishing und E-Mail-Betrug zu verhindern.

Es ist wichtig zu wissen, dass, obwohl der von Ihrem Hosting-Provider in Ihre Domain integrierte Standard-SPF sicherstellt, dass E-Mails, die von Ihrer Domain aus gesendet werden, anhand von SPF authentifiziert werden, wenn Sie mehrere Drittanbieter haben, die E-Mails von Ihrer Domain aus senden, muss dieser bereits vorhandene SPF-Eintrag an Ihre Anforderungen angepasst und geändert werden. Wie können Sie das tun? Lassen Sie uns zwei der gängigsten Möglichkeiten untersuchen:

  • Erstellen eines brandneuen SPF-Eintrags
  • Optimieren eines vorhandenen SPF-Eintrags

Anleitung zum Optimieren des SPF-Eintrags

Einen brandneuen SPF-Eintrag erstellen

Das Erstellen eines SPF-Eintrags ist einfach das Veröffentlichen eines TXT-Eintrags im DNS Ihrer Domain, um SPF für Ihre Domain zu konfigurieren. Dies ist ein obligatorischer Schritt, bevor Sie damit beginnen, wie Sie den SPF-Eintrag optimieren können. Wenn Sie gerade erst mit der Authentifizierung beginnen und sich über die Syntax unsicher sind, können Sie unseren kostenlosen Online-SPF-Eintragsgenerator verwenden, um einen SPF-Eintrag für Ihre Domain zu erstellen.

Ein SPF-Record-Eintrag mit korrekter Syntax sieht etwa so aus:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Gibt die verwendete Version von SPF an
ip4/ip6Dieser Mechanismus legt die gültigen IP-Adressen fest, die berechtigt sind, E-Mails von Ihrer Domain zu senden.
einschließen.Dieser Mechanismus weist die empfangenden Server an, die Werte für den SPF-Eintrag der angegebenen Domäne aufzunehmen.
-alleDieser Mechanismus legt fest, dass E-Mails, die nicht SPF-konform sind, zurückgewiesen werden. Dies ist das empfohlene Tag, das Sie beim Veröffentlichen Ihres SPF-Eintrags verwenden können. Es kann jedoch durch ~ für SPF Soft Fail ersetzt werden (nicht konforme E-Mails werden als Soft Fail markiert, aber trotzdem akzeptiert) oder durch +, das angibt, dass jeder Server E-Mails im Namen Ihrer Domain senden darf, wovon dringend abgeraten wird.

Wenn Sie SPF bereits für Ihre Domain konfiguriert haben, können Sie auch unseren kostenlosen SPF-Datensatz-Checker verwenden, um Ihren SPF-Datensatz nachzuschlagen und zu validieren und Probleme zu erkennen.

Häufige Herausforderungen und Fehler beim Konfigurieren von SPF

1) 10 DNS-Lookup-Limit 

Die häufigste Herausforderung, mit der sich Domain-Besitzer bei der Konfiguration und Übernahme des SPF-Authentifizierungsprotokolls für ihre Domain konfrontiert sehen, besteht darin, dass SPF mit einem Limit für die Anzahl der DNS-Lookups versehen ist, das 10 nicht überschreiten darf. Für Domains, die sich auf mehrere Drittanbieter verlassen, wird das Limit von 10 DNS-Lookups leicht überschritten, was wiederum SPF bricht und einen SPF PermError zurückgibt. Der empfangende Server macht in solchen Fällen Ihren SPF-Eintrag automatisch ungültig und blockiert ihn.

Mechanismen, die DNS-Lookups initiieren: MX, A, INCLUDE, REDIRECT Modifier

2) SPF Void Lookup 

Void-Lookups beziehen sich auf DNS-Lookups, die entweder eine NOERROR-Antwort oder eine NXDOMAIN-Antwort (void answer) zurückgeben. Bei der Implementierung von SPF wird empfohlen, sicherzustellen, dass DNS-Lookups nicht von vornherein eine ungültige Antwort zurückgeben.

3) SPF Rekursive Schleife

Dieser Fehler zeigt an, dass der SPF-Eintrag für Ihre angegebene Domain rekursive Probleme mit einem oder mehreren der INCLUDE-Mechanismen enthält. Dies geschieht, wenn eine der im INCLUDE-Tag angegebenen Domains eine Domain enthält, deren SPF-Eintrag das INCLUDE-Tag der ursprünglichen Domain enthält. Dies führt zu einer Endlosschleife, die E-Mail-Server dazu veranlasst, ständig DNS-Lookups für die SPF-Records durchzuführen. Dies führt letztendlich dazu, dass das Limit von 10 DNS-Lookups überschritten wird, was dazu führt, dass E-Mails die SPF-Prüfung nicht bestehen.

4) Syntax-Fehler 

Ein SPF-Eintrag kann im DNS Ihrer Domain vorhanden sein, aber er ist nutzlos, wenn er Syntaxfehler enthält. Wenn Ihr SPF-TXT-Eintrag unnötige Leerzeichen bei der Eingabe des Domainnamens oder des Mechanismusnamens enthält, würde die Zeichenfolge vor dem zusätzlichen Leerzeichen vom empfangenden Server bei der Durchführung eines Lookups vollständig ignoriert werden, wodurch der SPF-Eintrag ungültig wird.

5) Mehrere SPF-Einträge für dieselbe Domain

Eine einzelne Domain kann nur einen SPF-TXT-Eintrag im DNS haben. Wenn Ihre Domain mehr als einen SPF-Eintrag enthält, macht der empfangende Server alle ungültig, was dazu führt, dass E-Mails SPF nicht bestehen.

6) Länge des SPF-Records 

Die maximale Länge eines SPF-Eintrags im DNS ist auf 255 Zeichen begrenzt. Dieses Limit kann jedoch überschritten werden, und ein TXT-Eintrag für SPF kann mehrere aneinandergereihte Zeichenketten enthalten, jedoch nicht über ein Limit von 512 Zeichen hinaus, um in die DNS-Abfrageantwort zu passen (gemäß RFC 4408). Obwohl dies später überarbeitet wurde, waren Empfänger, die sich auf ältere DNS-Versionen verlassen, nicht in der Lage, E-Mails zu validieren, die von Domänen gesendet wurden, die einen langen SPF-Eintrag enthalten.

Optimieren Ihres SPF-Eintrags

Um Ihren SPF-Eintrag zeitnah zu ändern, können Sie die folgenden SPF-Best Practices verwenden:

  • Versuchen Sie, Ihre E-Mail-Quellen in abnehmender Reihenfolge ihrer Wichtigkeit von links nach rechts in Ihren SPF-Eintrag einzutragen
  • Entfernen Sie veraltete E-Mail-Quellen aus Ihrem DNS
  • IP4/IP6-Mechanismen anstelle von A und MX verwenden
  • Halten Sie die Anzahl der INCLUDE-Mechanismen so gering wie möglich und vermeiden Sie verschachtelte Includes
  • Veröffentlichen Sie nicht mehr als einen SPF-Eintrag für dieselbe Domain in Ihrem DNS
  • Stellen Sie sicher, dass Ihr SPF-Eintrag keine überflüssigen Leerzeichen oder Syntaxfehler enthält

Hinweis: SPF-Flattening wird nicht empfohlen, da es sich nicht um eine einmalige Sache handelt. Wenn Ihr E-Mail-Dienstanbieter seine Infrastruktur ändert, müssen Sie Ihre SPF-Einträge jedes Mal entsprechend ändern.

Optimierung Ihres SPF-Eintrags leicht gemacht mit PowerSPF

Sie können fortfahren und versuchen, all diese oben genannten Änderungen zu implementieren, um Ihren SPF-Eintrag manuell zu optimieren, oder Sie können den Ärger vergessen und sich auf unser dynamisches PowerSPF verlassen, um all das automatisch für Sie zu tun! PowerSPF hilft Ihnen, Ihren SPF-Eintrag mit einem einzigen Klick zu optimieren, wobei Sie können:

  • Einfaches Hinzufügen oder Entfernen von Sendequellen
  • Einfaches Aktualisieren von Datensätzen, ohne dass Sie manuell Änderungen an Ihrem DNS vornehmen müssen
  • Erhalten Sie einen optimierten automatischen SPF-Eintrag mit nur einem Klick auf eine Schaltfläche
  • Bleiben Sie immer unter dem Limit von 10 DNS-Lookups
  • Erfolgreich PermError entschärfen
  • Vergessen Sie SPF-Record-Syntaxfehler und Konfigurationsprobleme
  • Wir nehmen Ihnen die Last ab, SPF-Einschränkungen in Ihrem Namen zu lösen

Melden Sie sich noch heute bei PowerDMARC an und sagen Sie den SPF-Beschränkungen für immer Adieu!  

Die Rate, mit der E-Mails den Posteingang des Empfängers erreichen, wird als E-Mail-Zustellbarkeitsrate bezeichnet. Diese Rate kann verlangsamt oder verzögert werden oder sogar zum Scheitern der Zustellung führen, wenn E-Mails im Spam-Ordner landen oder von Empfangsservern blockiert werden. Sie ist im Wesentlichen ein wichtiger Parameter, um den Erfolg Ihrer E-Mails zu messen, die den Posteingang der gewünschten Empfänger erreichen, ohne als Spam markiert zu werden. Die E-Mail-Authentifizierung ist definitiv eine der Optionen, auf die Authentifizierungs-Neulinge zurückgreifen können, um im Laufe der Zeit eine wesentliche Verbesserung der E-Mail-Zustellbarkeit zu erreichen.

In diesem Blog möchten wir mit Ihnen darüber sprechen, wie Sie Ihre E-Mail-Zustellbarkeitsrate mit Leichtigkeit verbessern können. Außerdem besprechen wir die besten Branchenpraktiken, um einen reibungslosen Nachrichtenfluss über alle Ihre E-Mail-Kanäle sicherzustellen!

Was ist E-Mail-Authentifizierung?

Die E-Mail-Authentifizierung ist eine Technik zur Überprüfung der Authentizität Ihrer E-Mails gegenüber allen autorisierten Quellen, die E-Mails von Ihrer Domain senden dürfen. Darüber hinaus hilft sie bei der Überprüfung der Domain-Eigentümerschaft jedes Mail Transfer Agent (MTA), der an der Übertragung oder Änderung einer E-Mail beteiligt ist.

Warum brauchen Sie E-Mail-Authentifizierung?

Das Simple Mail Transfer Protocol (SMTP), der Internetstandard für die E-Mail-Übertragung, enthält keine Funktion zur Authentifizierung ein- und ausgehender E-Mails, wodurch Cyberkriminelle das Fehlen sicherer Protokolle in SMTP ausnutzen können. Dies kann von Bedrohungsakteuren genutzt werden, um E-Mail-Phishing-Betrug, BEC und Domain-Spoofing-Angriffe zu verüben, bei denen sie sich als Ihre Marke ausgeben und deren Ruf und Glaubwürdigkeit schädigen können. Die E-Mail-Authentifizierung erhöht die Sicherheit Ihrer Domain gegen Imitation und Betrug, indem sie den empfangenden Servern anzeigt, dass Ihre E-Mails DMARC-konform sind und von gültigen und authentischen Quellen stammen. Sie dient auch als Kontrollpunkt für nicht autorisierte und bösartige IP-Adressen, die E-Mails von Ihrer Domain senden.

Um Ihr Markenimage zu schützen, Cyber-Bedrohungen und BEC zu minimieren und eine verbesserte Zustellbarkeitsrate zu gewährleisten, ist die E-Mail-Authentifizierung ein Muss!

Best Practices für die E-Mail-Authentifizierung

Sender Policy Framework (SPF)

SPF ist in Ihrem DNS als TXT-Eintrag vorhanden und zeigt alle gültigen Quellen an, die berechtigt sind, E-Mails von Ihrer Domain zu versenden. Jede E-Mail, die Ihre Domain verlässt, hat eine IP-Adresse, die Ihren Server und den von Ihrer Domain verwendeten E-Mail-Dienstanbieter identifiziert, der in Ihrem DNS als SPF-Eintrag eingetragen ist. Der Mailserver des Empfängers validiert die E-Mail anhand Ihres SPF-Eintrags, um sie zu authentifizieren, und markiert die E-Mail entsprechend als SPF pass oder fail.

Beachten Sie, dass SPF ein Limit von 10 DNS-Lookups hat, dessen Überschreitung zu einem PermError-Ergebnis und damit zum Scheitern von SPF führen kann. Dies kann durch die Verwendung von PowerSPF abgemildert werden, um jederzeit unter dem Lookup-Limit zu bleiben!

DomainKeys Identified Mail (DKIM)

DKIM ist ein Standard-E-Mail-Authentifizierungsprotokoll, das eine kryptografische Signatur, die mit einem privaten Schlüssel erstellt wird, zur Validierung von E-Mails im Empfangsserver zuweist, wobei der Empfänger den öffentlichen Schlüssel aus dem DNS des Absenders abrufen kann, um die Nachrichten zu authentifizieren. Ähnlich wie SPF existiert auch der öffentliche Schlüssel von DKIM als TXT-Eintrag im DNS des Domaininhabers.

Domänenbasierte Nachrichtenauthentifizierung, Berichterstattung und Konformität (DMARC)

Die einfache Implementierung von SPF und DKIM reicht nicht aus, da es für Domaininhaber keine Möglichkeit gibt, zu kontrollieren, wie Empfangsserver auf E-Mails reagieren, die die Authentifizierungsprüfung nicht bestehen.

DMARC ist der derzeit am weitesten verbreitete E-Mail-Authentifizierungsstandard, der es Domain-Besitzern ermöglicht, empfangenden Servern mitzuteilen, wie sie Nachrichten behandeln sollen, die SPF oder DKIM oder beides nicht erfüllen. Dies wiederum hilft beim Schutz ihrer Domain vor unberechtigtem Zugriff und E-Mail-Spoofing-Angriffen.

Wie kann DMARC die Zustellbarkeit von E-Mails verbessern?

  • Wenn Sie einen DMARC-Eintrag im DNS Ihrer Domain veröffentlichen, fordert der Domaininhaber empfangende Server, die DMARC unterstützen, auf, eine Rückmeldung zu den E-Mails zu senden, die sie für diese Domain empfangen. Dadurch wird den empfangenden Servern automatisch angezeigt, dass Ihre Domain die Unterstützung für sichere Protokolle und Authentifizierungsstandards für E-Mails, wie DMARC, SPF und DKIM, erweitert.
  • DMARC-Aggregate-Reports verschaffen Ihnen einen besseren Einblick in Ihr E-Mail-Ökosystem und ermöglichen es Ihnen, Ihre E-Mail-Authentifizierungsergebnisse einzusehen, Authentifizierungsfehler zu erkennen und Zustellungsprobleme zu entschärfen.
  • Durch die Durchsetzung Ihrer DMARC-Richtlinie können Sie bösartige E-Mails, die sich als Ihre Marke ausgeben, daran hindern, in den Posteingängen Ihrer Empfänger zu landen.

Weitere Tipps zur Verbesserung der E-Mail-Zustellbarkeit:

  • Ermöglichen Sie die visuelle Identifizierung Ihrer Marke in den Posteingängen Ihrer Empfänger mit BIMI
  • Sicherstellung der TLS-Verschlüsselung von E-Mails im Transit mit MTA-STS
  • Erkennen und Reagieren auf Probleme bei der E-Mail-Zustellung durch Aktivierung eines umfangreichen Berichtsmechanismus mit TLS-RPT

PowerDMARC ist eine SaaS-Plattform für E-Mail-Authentifizierung, die alle bewährten E-Mail-Authentifizierungsverfahren wie DMARC, SPF, DKIM, BIMI, MTA-STS und TLS-RPT unter einem Dach vereint. Melden Sie sich noch heute bei PowerDMARC an und erleben Sie eine erhebliche Verbesserung der E-Mail-Zustellbarkeit mit unserer erweiterten E-Mail-Sicherheits- und Authentifizierungssuite.