Inhaber von SPF-aktivierten Domänen verwenden Gmail häufig zur Überwachung der Authentifizierungsergebnisse, um sicherzustellen, dass ihre SPF Einträge nicht fehlerhaft sind und auf die richtigen Konfigurationen eingestellt wurden. Gmail gibt oft einen SPF-Best-Guess-Status zurück, wenn es keinen veröffentlichten SPF-Eintrag für die E-Mail-Sendedomäne finden kann.
Dieser Leitfaden erklärt, wann und warum Google Mail Ihnen mitteilt, dass es sich um ein "Best Guess"-Ergebnis handelt.
Wann gibt Gmail den SPF "Best Guess" Status zurück?
Gmail kann den SPF-Status "Best Guess" zurückgeben, wenn die Domäne des Absenders keinen eindeutigen SPF-Eintrag in ihren DNS-Einstellungen veröffentlicht hat. In solchen Fällen versucht Google Mail, auf der Grundlage historischer E-Mail-Daten und des Absenderverhaltens eine fundierte Vermutung über die SPF-Richtlinie anzustellen. Dieser "Best Guess"-Status ist nicht so zuverlässig wie ein klar definierter SPF-Datensatz, aber er ermöglicht es Gmail, ein gewisses Maß an E-Mail-Authentifizierung zu bieten.
Beispiel für ein Gmail 'Best Guess' Ergebnis
Received-SPF: pass (google.com: best guess record für die Domain von companyname@domain.com bezeichnet 12.43.77.991 als zulässigen Absender)
Dieses Beispiel zeigt, dass Gmail keinen offiziellen SPF-Eintrag finden kann, der im DNS für domain.com veröffentlicht wurde.
Gmail täuscht es vor!
Was Gmail mit "Best Guess" meint, ist, dass es einen inoffiziellen SPF-Eintrag für eine Domäne auf der Grundlage von Beobachtungen erstellt hat, die es über diese Domäne gemacht hat. In Wirklichkeit wird kein solcher SPF-Eintrag im DNS veröffentlicht, und Gmail stellt lediglich eine Vermutung Vermutung an. Es gibt keine Gewissheit, und daher wird die Diskretion des Domänenbesitzers geschätzt.
Wir sind uns nicht sicher, welche Faktoren Google bei der Erstellung eines SPF-Eintrags für eine Domain berücksichtigt, aber laut der Fehlerbehebungsanleitung von Google Mail könnte dies der Fall sein:
- Ein fehlender SPF-Eintrag oder eine fehlende Einrichtung
- Ungültige oder falsche SPF-Konfiguration
- DNS-bezogene Probleme oder Ausfälle
Ist dies für Sie lösbar?
Um den SPF-Status "Best Guess" zu beheben und die Zustellbarkeit von E-Mails zu verbessern, sollten Sie als Domaininhaber einen gültigen SPF-Eintrag in den DNS-Einstellungen Ihrer Domain einrichten. Hier sind einige Vorschläge, wie Sie das tun können:
SPF-Einträge verstehen
SPF-Einträge (Sender Policy Framework) sind DNS-TXT-Einträge, die angeben, welche Mailserver berechtigt sind, E-Mails im Namen Ihrer Domäne zu versenden. Damit wird verhindert, dass Spammer E-Mails unter Verwendung Ihrer Domäne fälschen. Der SPF-Eintrag ist in einem bestimmten Format definiert, das die IP-Adressen oder Domänennamen Ihrer Mailserver enthält.
Vorhandene SPF-Einträge prüfen
Bevor Sie Änderungen vornehmen, prüfen Sie, ob für Ihre Domäne bereits ein SPF-Eintrag existiert. Dazu können Sie Online-SPF-Datensatz-Prüfprogramme oder DNS-Lookup-Tools verwenden. Wenn Sie einen bestehenden SPF-Eintrag finden, prüfen Sie, ob er alle rechtmäßigen Mailserver enthält, die für den Versand von E-Mails von Ihrer Domäne aus verwendet werden.
Einen neuen SPF-Eintrag erstellen
Wenn es keinen SPF-Eintrag gibt oder der vorhandene unvollständig oder falsch ist, müssen Sie einen neuen erstellen. Sie können den SPF-Eintrag als DNS-TXT-Eintrag mit den entsprechenden Informationen erstellen.
Bestimmen Sie Ihre Mailserver
Bestimmen Sie die Mailserver, die berechtigt sind, E-Mails im Namen Ihrer Domäne zu versenden. Dazu gehören in der Regel Ihr eigener Mailserver und jeder Drittanbieter von E-Mail-Diensten, den Sie für den Versand von E-Mails von Ihrer Domain aus nutzen.
Formatieren des SPF-Datensatzes
SPF-Einträge sind in einer bestimmten Syntax geschrieben. Sie bestehen aus dem Tag "v=spf1", gefolgt von den Mechanismen, die festlegen, welche Server E-Mails für Ihre Domäne senden dürfen. Zu den üblichen Mechanismen gehören "a" (für den A-Eintrag der Domäne), "mx" (für den MX-Eintrag der Domäne), "include" (für die Einbeziehung von SPF-Einträgen anderer Domänen) und "ip4" oder "ip6" (für bestimmte IP-Adressen).
Ein einfacher SPF-Eintrag, der es den MX-Servern der Domäne und einer bestimmten IP-Adresse erlaubt, E-Mails zu versenden, würde beispielsweise wie folgt aussehen:
v=spf1 mx ip4:192.0.2.10 -all
Vermeiden Sie die Verwendung von "Best Guess".
Um zu verhindern, dass Gmail und andere E-Mail-Anbieter "Best Guess"-Annahmen über Ihre SPF-Richtlinie treffen, stellen Sie sicher, dass Ihr SPF-Eintrag vollständig und korrekt ist. Vermeiden Sie die Verwendung des "all"-Mechanismus mit einem Soft-Fail "~" oder das Fehlen eines Mechanismus, was zu einer permissiven SPF-Richtlinie führen kann. Verwenden Sie stattdessen ein Hard-Fail "-all" am Ende Ihres SPF-Eintrags, um anzugeben, dass alle anderen Server als nicht autorisiert betrachtet werden sollen.
Veröffentlichen Sie den SPF-Eintrag
Sobald Sie den SPF-Eintrag erstellt haben, fügen Sie ihn als DNS-TXT-Eintrag in den DNS-Einstellungen Ihrer Domäne hinzu. Dies kann in der Regel über das Kontrollpanel oder die DNS-Verwaltungsschnittstelle Ihrer Domänenregistrierungsstelle erfolgen. Bedenken Sie, dass es einige Zeit dauern kann, bis sich DNS-Änderungen im Internet verbreiten.
Testen Sie Ihren SPF-Eintrag
Nachdem Sie den SPF-Eintrag veröffentlicht haben, verwenden Sie unseren kostenlosen SPF-Eintragsprüfer um seine Korrektheit zu überprüfen. Mit diesem Schritt können Sie sicherstellen, dass Ihr SPF-Eintrag ordnungsgemäß eingerichtet ist und E-Mail-Spoofing wirksam verhindert wird.
Schließlich empfiehlt Google auch, sich mit Ihrem Domain-Hosting-Anbieter in Verbindung zu setzen, um DNS-Probleme zu beheben, die zum SPF-Best-Guest-Status führen können.
SPF ist nicht selbstgenügsam
SPF hat einige Unzulänglichkeiten (wie Nachschlage-Limit, SPF-Bruch bei der E-Mail-Weiterleitung und die Herausforderung, SPF-Datensätze zu pflegen und zu aktualisieren), die durch die Ergänzung Ihrer SPF-Implementierungen mit folgenden Elementen aufgewogen werden können DKIM und DMARC. Diese E-Mail-Sicherheitsprotokolle verringern das Risiko, dass unbefugte Absender Nachrichten von Ihrer Domäne aus versenden, und verhindern potenzielle Phishing- und Spoofing-Angriffe.
PowerDMARC bietet eine Reihe von DMARC-Diensten an, die auf unterschiedliche Geschäftsanforderungen und Betriebsparameter zugeschnitten sind. Sprechen Sie uns an, wenn Sie Fragen zu DMARC haben; unser Team würde sich gerne mit Ihnen unterhalten!
- Wie richtet man DMARC in Office 365 ein? Schritt-für-Schritt-Anleitung - 6. Mai 2024
- SMTP Yahoo Fehler Codes erklärt - 1. Mai 2024
- SPF Softfail vs. Hardfail: Was ist der Unterschied? - April 26, 2024