Was ist SPF Permerror?

SPF=Permerror zeigt an, dass ein grundsätzliches Problem mit dem SPF-Datensatz vorliegt, das es unmöglich macht, festzustellen, ob der sendende Server autorisiert ist oder nicht.

Wie hoch ist das Limit von 10 DNS-Lookups?

Bei der SPF-Prüfung führt der E-Mail-Server des Empfängers jedes Mal, wenn eine E-Mail von Ihrer Domäne aus versandt wird, DNS-Abfragen durch, die auch als DNS-Lookups bezeichnet werden, um das Vorhandensein autorisierter IP-Adressen in Ihrem DNS zu überprüfen und sie mit den Adressen im Return-Path-Header der empfangenen E-Mail abzugleichen. Der RFC begrenzt jedoch die Anzahl der DNS-Abfragen auf 10. Dies ist als 10 DNS-Lookup-Limit bekannt.

Überschreite ich die SPF-Grenze für zu viele DNS-Lookups?

Wenn Sie sich Sorgen machen, dass Sie das SPF-Lookup-Limit überschreiten, können Sie Ihren Eintrag sofort mit unserem SPF-Datensatz-Checker-Tool überprüfen.

Wie behebt man SPF Permerror?

Eine effektivere Methode zur Vermeidung von SPF-Fehlern ist der Einsatz eines SPF-Flattening-Tools, das automatisch und mühelos funktioniert - wie PowerSPF!

Wie richtet man DMARC, SPF und DKIM für Salesforce ein?

Für Salesforce-Benutzer, die ihre E-Mail-Sicherheit auf die nächste Stufe heben, ihre E-Mail-Zustellbarkeit im Laufe der Zeit verbessern und die Posteingänge von Google und Yahoo erreichen möchten, ohne blockiert zu werden, ist dies der richtige Artikel für Sie! Um die Sicherheit der E-Mail-Kommunikation weiter zu verbessern, unterstützt Salesforce E-Mail-Authentifizierungsprotokolle wie DMARC, SPF und DKIM. Wenn Sie Ihre Domain vor E-Mail-basierten Angriffen schützen und die Zahl der Spam-Beschwerden über Ihre E-Mails reduzieren möchten, ist es unerlässlich, diese Authentifizierungsprotokolle zu implementieren. Durch die Einrichtung dieser Protokolle in Ihrem Salesforce-Konto können Sie überprüfen, ob Ihre E-Mails echt und vertrauenswürdig sind.

Sender Policy Framework (SPF) stellt sicher, dass nur autorisierte Server E-Mails im Namen Ihrer Domäne versenden können, während DomainKeys Identified Mail (DKIM) kryptografische Schlüssel verwendet, um zu überprüfen, ob Ihre E-Mails manipuliert wurden. SPF und DKIM können mit DMARC (Domain-based Message Authentication, Reporting, and Conformance) kombiniert werden, um Spoofing und Phishing-Angriffe zu verhindern.

Dieser Artikel erklärt, wie Sie SPF-, DKIM- und DMARC-Einträge zu Ihrem Salesforce-Konto hinzufügen. Fangen wir gleich an!

Wichtigste Erkenntnisse

Die Implementierung von SPF, DKIM und DMARC ist für den Schutz Ihrer E-Mail-Domäne vor Spoofing- und Phishing-Angriffen unerlässlich.
SPF stellt sicher, dass nur autorisierte Server E-Mails im Namen Ihrer Domain versenden können, um die Zustellbarkeit Ihrer E-Mails zu verbessern.
DKIM verwendet kryptografische Schlüssel, um die Integrität Ihrer E-Mails zu überprüfen und zu bestätigen, dass sie während der Übertragung nicht verändert wurden.
DMARC gibt den Empfängerservern Anweisungen, wie E-Mails zu behandeln sind, die SPF- und DKIM-Prüfungen nicht bestehen, und verbessert so Ihre E-Mail-Sicherheitslage.
Der Einsatz von Tools wie SPF Record Generators und DMARC Monitoring kann die Einrichtung vereinfachen und die Effektivität Ihrer E-Mail-Authentifizierungsprotokolle verbessern.

So fügen Sie einen SPF-Eintrag für Salesforce hinzu

Einrichten eines SPF Datensatz für Ihr Salesforce-Konto ist unerlässlich, da Salesforce einen speziellen SPF-Datensatz bereitstellt, der garantiert, dass E-Mails, die von Ihrem Konto gesendet werden, die Sicherheitsprüfungen bestehen.

Nachfolgend finden Sie die Anweisungen zum Hinzufügen von Salesforce zu Ihrem SPF-Eintrag.

Vereinfachen Sie die Einrichtung von DMARC, SPF und DKIM mit PowerDMARC!

15-Tage-Test Demo buchen

1. Den SPF-Eintrag von Salesforce einbeziehen

Fügen Sie den spezifischen SPF-Eintrag in den SPF-Datensatz Ihrer Domain ein, um E-Mails aus Salesforce zu versenden:

_spf.salesforce.com

SPF-Beispielsatz für Salesforce

Ein SPF-Beispielsatz für Salesforce könnte so aussehen:

v=spf1 mx include:_spf.salesforce.com ~all

Dies ist der einfachste SPF-Eintrag. Er gibt an, dass Ihre Domain E-Mails über Salesforce senden darf. Sie können auch mehrere "Include"-Mechanismen konfigurieren, um andere Domänen von Drittanbietern zum Senden von E-Mails in Ihrem Namen zu autorisieren. Es ist wichtig, diese Quellen in demselben SPF-Eintrag zu autorisieren, anstatt einen neuen Eintrag für dieselbe Domain zu erstellen.

2. Erstellen Sie Ihren SPF-Eintrag

Um einen fehlerfreien SPF-Eintrag zu erstellen, empfehlen wir die Verwendung eines SPF-Datensatz-Generator.

3. Testen und validieren Sie Ihren SPF-Eintrag

Sie müssen Ihren SPF-Eintrag nach dem Einrichten testen, um die ordnungsgemäße Funktion sicherzustellen. Ein SPF-Überprüfungsprogramm kann zur Überprüfung des Eintrags verwendet werden.

Hier erfahren Sie, wie Sie das Tool verwenden können:

Öffnen Sie zunächst das SPF Query Tool.
Geben Sie Ihren Domänennamen ein.
Klicken Sie auf die Schaltfläche "Nachschlagen".

Sie erhalten den Status "gültig", wenn Ihr SPF-Eintrag korrekt ist.

Zusätzliche Ressourcen

Weitere Informationen finden Sie unter SPF-Einrichtungsanleitung von Salesforce.

Hinzufügen eines DKIM-Datensatzes für Salesforce

Hier sind die Anweisungen zum Erstellen von DKIM-Schlüsseln in Salesforce.

1. Navigieren Sie zu DKIM-Einstellungen

Suchen Sie in der Salesforce-Einrichtung das Feld "Schnellsuche". Geben Sie "DKIM-Schlüssel" ein und wählen Sie diese Option.

2. Erstellen Sie einen neuen DKIM-Schlüssel

Nachdem Sie "DKIM-Schlüssel" ausgewählt haben, klicken Sie auf "Neue Schlüssel erstellen". Dadurch wird das DKIM-Schlüsselpaar standardmäßig in einem inaktiven Zustand erstellt.

RSA-Schlüsselgröße auswählen

Wählen Sie die Größe des RSA-Schlüssels entsprechend den Anforderungen Ihrer Organisation. Berücksichtigen Sie die Einschränkungen Ihrer E-Mail-Empfänger, bevor Sie einen Schlüssel auswählen. Beachten Sie auch die Sicherheitsvorschriften.

3. Geben Sie einen Selektornamen ein

Ihr DKIM-Selektor ist ein eindeutiger Bezeichner, mit dem Ihr DKIM-Schlüssel erkannt wird. Geben Sie einen eindeutigen Namen ein, um diesen Schlüssel von anderen zu unterscheiden.

4. Einen alternativen Selektor einstellen

Mit dem Alternate Selector kann Salesforce Ihre DKIM-Schlüssel automatisch rotieren, um die Sicherheit zu erhöhen.

5. Geben Sie den Domänennamen ein

Danach müssen Sie einen Domänennamen angeben. Dieser Name wird zum Senden von E-Mails von Ihrem Salesforce-Konto aus verwendet. Der Domänenname kann nach der Festlegung nicht mehr geändert werden.

6. Domänenabgleichsmuster definieren

Sie können auch steuern, wann Salesforce eine E-Mail mit einem DKIM-Schlüssel signiert. Dies kann mit einem Domänenübereinstimmungsmuster erfolgen. Sie müssen eine kommagetrennte Liste von Mustern verwenden.

7. Änderungen speichern

Speichern Sie Ihre Änderungen, nachdem Sie alle oben genannten Schritte durchgeführt haben. Ihr TXT-Eintrag für den DKIM-Schlüssel wird dann von Salesforce in Ihrem DNS veröffentlicht.

8. Hinzufügen von CNAME-Einträgen zu Ihrem DNS

Fügen Sie die CNAME- und alternativen CNAME-Einträge zum DNS Ihrer Domain hinzu, bevor Sie den DKIM-Schlüssel für Ihre Domain aktivieren.

9. Warten auf DNS-Veröffentlichung

Die Veröffentlichung von DNS-Einträgen dauert einige Tage. CNAME- und alternative CNAME-Einträge werden auf der Seite DKIM-Schlüsseldetails angezeigt, nachdem die DNS-Veröffentlichungszeit abgeschlossen ist.

10. Aktivieren Sie den DKIM-Schlüssel

Kehren Sie nach der Veröffentlichung des Datensatzes zur Seite mit den Details zum DKIM-Schlüssel zurück. Aktivieren Sie den DKIM-Schlüssel.

Hinweis: Salesforce rotiert die Schlüssel nach 30 Tagen. Sobald Sie also den Schlüssel aktivieren, wird Ihr sekundärer, inaktiver Schlüssel automatisch generiert.

So richten Sie DMARC für Salesforce ein

DMARC weist die Empfängerserver an, wie sie mit E-Mails umgehen sollen, die SPF- und DKIM-Authentifizierungsprüfungen nicht bestehen. Beachten Sie, dass Salesforce die DMARC-Authentifizierung nicht bereitstellen kann. Es wird daher empfohlen, mit einem externen Anbieter wie PowerDMARC zusammenzuarbeiten, um das Protokoll zu konfigurieren.

Die korrekte DMARC-Implementierung ist notwendig, um Konfigurationsprobleme zu vermeiden. Hier sind die Anweisungen zum Hinzufügen eines DMARC-Eintrags für Salesforce.

1. Wählen Sie eine DMARC-Version

Die Standardversion von DMARC ist Version 1, die wie folgt aussieht:v=DMARC1

2. Wählen Sie eine DMARC-Richtlinie

Es gibt drei DMARC-Richtlinien, die vorschreiben, wie Empfängerserver mit E-Mails umgehen sollen, die die Authentifizierungsprüfung nicht bestehen.

p=kein

Dies ist die erste zu aktivierende Richtlinie. Mit dieser Richtlinie passieren E-Mails die DMARC-Authentifizierung, auch wenn sie SPF- und DKIM-Prüfungen nicht bestehen. Diese Richtlinie muss bei der Ersteinrichtung von DMARC verwendet werden.

p=Quarantäne

Die Richtlinie isoliert die E-Mails, die die SPF- und DKIM-Authentifizierung nicht bestehen. Sie markiert die E-Mails als Spam, um den Benutzer über verdächtige E-Mails zu informieren.

p=ablehnen

Wie der Name schon sagt, lehnt diese Richtlinie die E-Mails ab, die die Authentifizierung nicht bestehen. Sie ist normalerweise das letzte Ziel, das nach der Implementierung von DMARC erreicht werden muss.

3. Wählen Sie SPF- und DKIM-Ausrichtungsmodi (optional)

Im Folgenden wird erläutert, wie SPF-Richtlinien mit DMARC funktionieren:

aspf=s

Der strenge SPF-Ausrichtungsmodus erfordert eine exakte Übereinstimmung zwischen der Domäne im "Return-Path" (Absender des Umschlags) und der Domäne in der "From"-Kopfzeile.

aspf=r

Der entspannte SPF-Abgleichsmodus erlaubt einen Durchgang, auch wenn die "Return-Path"-Domäne (Absender des Umschlags) und die "From"-Header-Domäne eine organisatorische Übereinstimmung und keine exakte Übereinstimmung sind.

adkim=s

Die Domäne in der DKIM-Signatur (das d=-Tag im DKIM-Header) muss genau mit der Domäne in der "Von"-Adresse übereinstimmen.

adkim=r

Im entspannten Modus kann die Domäne in der DKIM-Signatur entweder dieselbe oder die gleiche Top-Level-Domäne sein wie die Domäne in der Absenderadresse.

4. Geben Sie eine prozentuale Kennzeichnung an (optional)

Hier wird der Prozentsatz der E-Mails angegeben, die der DMARC-Richtlinie entsprechen müssen. Ein pct=100 bedeutet, dass die definierte Richtlinie auf 100 % der E-Mails angewendet wird. Beginnen Sie bei der Einrichtung von DMARC mit einem niedrigeren Prozentsatz. Nach regelmäßiger Überwachung können Sie diesen Prozentsatz erhöhen.

5. Aktivieren Sie die DMARC-Berichterstattung (optional, aber empfohlen)

Aggregierte Berichterstattung

Der DMARC-Gesamtbericht liefert wertvolle Daten über die Ergebnisse Ihrer E-Mail-Authentifizierung. Für den Empfang eines aggregierten Berichts muss das RUA-Tag eingerichtet werden. Aggregierte Berichte werden entweder täglich oder wöchentlich empfangen, liegen im XML-Format vor und enthalten keine PII (Personally Identifiable Information).

Der Bericht enthält Informationen wie die sendende IP-Adresse, die Anzahl der E-Mails, SPF/DKIM-Kennungen und Ergebnisse usw. Der DMARC-Datensatz verweist das rua-Tag auf die E-Mail, die vom Domänenbesitzer für den Empfang der aggregierten Berichte angegeben wurde. Hier ist ein Beispiel:

rua=mailto:[email protected].

Forensische Berichterstattung

Der DMARC-Forensikbericht enthält Informationen über einzelne E-Mails. Dazu muss das RUF-Tag in Ihrem DMARC-Datensatz gesetzt werden. Im Gegensatz zu den DMARC-Gesamtberichten, die alle 24 Stunden empfangen werden, wird ein DMARC-Forensikbericht immer dann erstellt, wenn die E-Mail die DMARC-Authentifizierung nicht bestanden hat. Forensische Berichte werden im Klartext erstellt und können sensible Informationen enthalten.

ruf=mailto:[email protected].

Es ist auch wichtig zu beachten, dass nicht alle DMARC-kompatiblen Mailbox-Anbieter die Erstellung von DMARC-Forensik-Berichten unterstützen.

Definieren Sie die Nutzungsdauer (Time to Live, TTL)

Bei der Erstkonfiguration von DMARC können Sie die Lebendige Zeit (TTL) auf 600 Sekunden einstellen. Dies ist für eine schnellere Weiterleitung hilfreich. Später können Sie die TTL auf 3600 Sekunden einstellen, um die Häufigkeit der DNS-Abfragen zu verringern, was die Belastung des DNS-Servers reduziert.

DMARC-Generatoren und -Tools

Sie können PowerDMARCs automatisierten DMARC-Datensatz-Generator-Tool verwenden, um den Prozess der DMARC-Datensatzerstellung zu vereinfachen. PowerDMARC bietet verschiedene verwaltete DMARC-Lösungen sowie granulare Überwachungs- und Berichtsoptionen. Die Kombination dieser fortschrittlichen Optionen hilft Ihnen bei der Konfiguration von technischen Protokollen wie DMARC, ohne dass es zu Problemen oder zusätzlicher Komplexität kommt.

Abschließende Worte

Die Implementierung der E-Mail-Authentifizierung ist für die Stärkung der Sicherheit Ihrer Salesforce-E-Mails unerlässlich. Es liegt an Ihnen, Ihre Domains vor E-Mail-basierten Bedrohungen zu schützen.

Auch die Einrichtung dieser E-Mail-Authentifizierungsprotokolle kann mit PowerDMARC vereinfacht werden. Für weitere Details zur Implementierung können Sie uns kontaktieren oder starten Sie Ihre kostenlose Testversion jetzt!

Über
Neueste Beiträge

Ayan Bhuiya

Schichtleiter, Experte für Infrastruktur und E-Mail-Sicherheit bei PowerDMARC

Ayan Bhuiya verfügt über mehr als 13 Jahre Erfahrung im Bereich Cybersicherheit und ist spezialisiert auf Infrastruktur, Geschäftskontinuität, Risikomanagement und E-Mail-Sicherheit. Derzeit ist er als Shift Lead bei PowerDMARC tätig. Er hat ein Postgraduierten-Diplom in Netzwerken und Sicherheit und verfügt über eine nachgewiesene Erfolgsbilanz bei der Leitung strategischer Sicherheitsinitiativen zur Abschwächung von Bedrohungen und zur Gewährleistung der Widerstandsfähigkeit von Unternehmen.

Neueste Beiträge von Ayan Bhuiya (alle anzeigen)

Essential Eight vs. SMB 1001: Ein umfassender Vergleich für moderne Cybersicherheit in Australien – 12. Februar 2026
Die 10 besten E-Mail-Sicherheitslösungen für Unternehmen für 2026 – 5. Januar 2026
Phishing bei Mitarbeitern: Risiken, Beispiele und Tipps zur Prävention – 15. Dezember 2025

Salesforce DMARC-, SPF- und DKIM-Einrichtungsleitfaden