Der Unterschied zwischen SPF -all und ~all

Blog

Lernen Sie die SPF-Eintragssyntax, den Unterschied zwischen -all und ~all und wie sich diese Mechanismen auf die E-Mail-Authentifizierung, DMARC und die Zustellbarkeit auswirken.

von YunesTarada

Zuletzt aktualisiert:
Lesezeit: 8 min
Der Unterschied zwischen SPF -all und ~all
Inhaltsverzeichnis-

Das Verständnis der Mechanismen SPF -all und ~all ist für die E-Mail-Authentifizierung von entscheidender Bedeutung. Erfahren Sie, wie sich diese SPF-Eintragsendungen auf die E-Mail-Zustellung auswirken und welche Sie für die Sicherheit Ihrer Domain wählen sollten.

Inhaltsverzeichnis

Wichtigste Erkenntnisse

  • ~alle und -all beide weisen auf einen SPF-Fehler für nicht autorisierte Absender hin, aber -all signalisiert eine strengere Durchsetzung.
  • Empfangsserver können -all aggressiver behandeln als ~all, je nach Richtlinien und Reputationssignalen.
  • Beginnen Sie mit ~all während der Überwachung, um das Risiko zu verringern, dass legitime E-Mails abgelehnt werden, während Sie alle Absenderquellen bestätigen.
  • Verwenden -all nur, wenn die SPF-Quellen vollständig sind und DMARC-Berichte bestätigen, dass keine Authentifizierungslücken bestehen.
  • DMARC definiert, wie Authentifizierungsfehler behandelt werden (überwachen, unter Quarantäne stellen oder ablehnen).
  • Eine ordnungsgemäße SPF-Optimierung hilft dabei, die Beschränkung auf 10 DNS-Lookups zu vermeiden, wenn Ihre E-Mail-Infrastruktur wächst.

SPF verstehen -all vs ~all ist ein wichtiger Bestandteil der E-Mail-Authentifizierung, da diese Mechanismen signalisieren, wie empfangende Mailserver E-Mails behandeln sollen, die von nicht autorisierten Quellen gesendet werden. Beide Mechanismen weisen auf einen SPF-Fehler hin, kommunizieren jedoch unterschiedliche Stufen der Durchsetzungsabsicht und können je nach den Richtlinien des Empfängers Einfluss darauf haben, wie E-Mails gefiltert oder abgelehnt werden.

Die gesamte Mechanismus erscheint am Ende eines SPF-Eintrags und wird von einem Qualifizierer wie (hardfail) oder ~ (softfail) vorangestellt. Die Wahl zwischen diesen beiden Optionen hängt davon ab, wie vollständig Ihr SPF-Eintrag ist und ob Sie die Authentifizierungsergebnisse mithilfe von DMARC aktiv überwachen.

Dieser Artikel erklärt, wie SPF -all und ~all funktionieren, wie Mailbox-Anbieter sie heute interpretieren und wann sie sicher verwendet werden können, ohne die Zustellung legitimer E-Mails zu gefährden.

Kurze Antwort: Verwenden Sie ~all bei der Validierung von Absendern und der Überwachung mit DMARC. Wechseln Sie zu -all , wenn SPF vollständig ist und die DMARC-Berichte keine legitimen Fehler anzeigen.

SPF-Eintragssyntax und -Mechanismen erklärt

Bevor wir uns mit den Unterschieden zwischen SPF -all und ~all befassen, ist es wichtig, die vollständige SPF-Eintragssyntax und alle verfügbaren Mechanismen zu verstehen. 

Ein SPF-Eintrag folgt einem bestimmten Format, das den empfangenden Mail-Servern mitteilt, welche IP-Adressen und Domains berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden.

Die grundlegende SPF-Eintragssyntax lautet: v=spf1 [Mechanismen] [Modifikatoren] [all]

SPF Alle Mechanismusoptionen

Der Mechanismus „all“ am Ende Ihres SPF-Eintrags bestimmt, was passiert, wenn eine E-Mail keinem der autorisierten Absender entspricht. Hier sind alle vier Optionen:

MechanismusNameErgebnisAktion
#NAME?PassPASSAlle E-Mails akzeptieren (nicht empfohlen)
?alleNeutralNEUTRALKeine Richtlinie angegeben
~alleSoftfailSOFTFAILAls verdächtig markieren, aber zustellen
-alleHardfailFEHLERAblehnen nicht autorisierter E-Mails

Beispiele für SPF-Einträge

Hier sind praktische Beispiele für SPF-Einträge, die verschiedene Mechanismen verwenden:

  • Grundlegendes SPF mit Softfail: v=spf1 include:_spf.google.com ~all
  • Mehrere Includes mit Hardfail: v=spf1 include:spf.protection.outlook.com include:_spf.salesforce.com -all
  • IP-Adressen mit Softfail: v=spf1 ip4:192.168.1.0/24 ip6:2001:db8::/32 ~all
  • Gemischte Mechanismen: v=spf1 a mx include:_spf.google.com ip4:203.0.113.0/24 -all

SPF -all vs ~all

Sowohl der SPF-all- als auch der SPF-~all-Mechanismus bedeuten ein „NOT PASS” für die SPF-Authentifizierung. In letzter Zeit verwenden E-Mail-Anbieter SPF-Ergebnisse als einen von vielen Inputs, wobei DMARC-Richtlinien und Reputationssignale die endgültigen Zustellungsentscheidungen stark beeinflussen.

Vor einigen Jahren war dies jedoch noch nicht der Fall.

Was bedeutet v=spf1 -all? 

Der SPF-Eintrag, der mit „-all“ (hardfail) endet, weist empfangende Mailserver an, alle E-Mails abzulehnen, die nicht von autorisierten Absendern stammen, die in Ihrem SPF-Eintrag aufgeführt sind. Dies ist die strengste SPF-Richtlinie und bietet den stärksten Schutz vor E-Mail-Spoofing.

Was bedeutet ~all in SPF? 

Der „~all“-Mechanismus (Softfail) weist empfangende Server an, E-Mails von nicht autorisierten Absendern als verdächtig zu kennzeichnen, sie aber dennoch an den Posteingang des Empfängers zuzustellen, häufig in den Spam-Ordner.

Wie funktionierte der SPF-Mechanismus (Softfail vs. Fail) vor DMARC?

DMARC wurde geschaffen, lange nachdem SPF bereits als Standardprotokoll zur E-Mail-Authentifizierung auf dem Markt war. Zu dieser Zeit funktionierte der SPF-All-Softfail-Mechanismus folgendermaßen: 

Nehmen wir an, Ihr SPF-Eintrag lautet: 

v=spf1 include:spf.domain.com ~all (wobei ~all für SPF Softfail steht) 

Der E-Mail-Server des Empfängers hätte eine DNS-Abfrage durchgeführt, um den DNS des Absenders nach dessen SPF-Eintrag abzufragen. Wenn die Return-Path-Domain der E-Mail nicht im Eintrag des Absenders aufgeführt war, hätte der empfangende Server ein SPF-Ergebnis „NOT PASS“ zurückgegeben, die E-Mail jedoch an den Posteingang des Empfängers zugestellt. 

Nehmen wir nun an, Ihr SPF-Eintrag lautet: 

v=spf1 include:spf.domain.com -all (wobei -all für SPF Fail steht) 

Der E-Mail-Server des Empfängers hätte eine DNS-Abfrage durchgeführt, um den DNS des Absenders nach dessen SPF-Eintrag zu fragen. Wenn die Return-Path-Domain der E-Mail nicht im Eintrag des Absenders aufgeführt gewesen wäre, hätte der empfangende Server ein SPF-Ergebnis „NOT PASS“ zurückgegeben, aber in diesem Fall wäre die E-Mail abgelehnt und nicht an den Posteingang des Empfängers zugestellt worden.

Lesen Sie mehr über die Geschichte des Sender Policy Framework

So vereinfachen Sie die Verwaltung von SPF-Einträgen

Die Verwaltung von SPF-Einträgen kann mit zunehmender Größe von Unternehmen und der Einführung weiterer E-Mail-Versanddienste komplex werden. Die Begrenzung auf 10 DNS-Lookups ist eine häufige Herausforderung, die bei Überschreitung zu Fehlern bei der SPF-Authentifizierung führt. Die automatisierte SPF-Verwaltungslösung von PowerDMARC begegnet diesen Herausforderungen durch fortschrittliche Optimierungstechniken.

Die SPF-Flattening- Technologie von PowerDMARC optimiert Ihre SPF-Einträge automatisch, damit sie innerhalb der DNS-Lookup-Grenzen bleiben und gleichzeitig eine umfassende E-Mail-Authentifizierung gewährleistet ist. Dadurch wird sichergestellt, dass Ihre legitimen E-Mails auch dann weiterhin ordnungsgemäß authentifiziert werden, wenn Sie neue E-Mail-Dienste und Marketing-Tools hinzufügen.

Vereinfachen Sie SPF mit PowerDMARC!

15-Tage-TestDemo buchen

Wie gehen E-Mail-Dienstanbieter derzeit mit dem SPF-all- vs. ~all-Mechanismus um?

Moderne E-Mail-Dienstanbieter wie Gmail, Outlook und Yahoo handhaben SPF-Mechanismen anders als in der Zeit vor DMARC. Die meisten großen Anbieter konzentrieren sich bei ihren Zustellungsentscheidungen nun eher auf DMARC-Richtlinien als auf einzelne SPF-Ergebnisse.

  • Der Ansatz von Gmail: Gmail behandelt SPF-Softfail (~all) als schwächeres Authentifizierungssignal, während Hardfail (-all) kann den Verdacht auf Nachrichten erhöhen, die nicht mit autorisierten Absenderquellen übereinstimmen. Die endgültigen Zustellungsentscheidungen hängen von der DMARC-Richtlinie und anderen Filtersignalen ab.
  • Behandlung durch Microsoft Outlook: Outlook.com und Microsoft 365 berücksichtigen SPF-Ergebnisse als Teil ihrer Filter- und Authentifizierungsbewertung. Ein Hardfail (-all) kann strenger behandelt werden als ein Softfail (~all) strenger behandelt werden, aber die endgültige Behandlung hängt weiterhin von der DMARC-Richtlinie und zusätzlichen Signalen ab.

Obwohl Sie derzeit bei den meisten Mailbox-Anbietern SPF -all oder ~all verwenden können, ohne sich um Zustellungsfehler bei legitimen E-Mails sorgen zu müssen, kann es vorkommen, dass ein Server Ihre E-Mail im Falle des Attributs -all ablehnt. Um auf der sicheren Seite zu sein, können Sie die Verwendung des SPF-Hard-Fail-Mechanismus -all bei der Erstellung Ihres SPF-Eintrags vermeiden. So gehen Sie dabei vor:

  • Öffnen Sie den PowerDMARC SPF-Datensatzgenerator , um kostenlos mit der Erstellung eines Datensatzes zu beginnen.
  • Nachdem Sie die IP-Adressen und Domänen Ihrer E-Mail-Absender eingegeben haben, scrollen Sie zum letzten Abschnitt, der den E-Mail-Servern vorschreibt, wie streng sie bei der Überprüfung Ihrer E-Mails sein sollen
  • Wählen Sie die Option "Soft-fail", bevor Sie auf die Schaltfläche "SPF-Datensatz generieren" klicken.

Was empfehlen wir? SPF -all oder SPF ~all

Verwenden Sie SPF ~all (softfail), wenn:

  • Sie sind neu im Bereich E-Mail-Authentifizierung und möchten Zustellungsrisiken minimieren.
  • Ihre Organisation fügt häufig neue E-Mail-Versanddienste hinzu.
  • Sie haben die DMARC-Überwachung noch nicht implementiert.
  • Sie befinden sich in einer Testphase und möchten die Authentifizierungsergebnisse beobachten.

Verwenden Sie SPF -all (hardfail), wenn:

  • Sie haben DMARC ordnungsgemäß konfiguriert und überwachen es.
  • Ihr SPF-Eintrag enthält alle legitimen Absenderquellen.
  • Sie möchten maximalen Schutz vor E-Mail-Spoofing.
  • Ihre E-Mail-Infrastruktur ist stabil und gut dokumentiert.

Die Probleme mit der Zustellbarkeit von E-Mails, die mit dem SPF-All-Mechanismus zusammenhängen, können in sehr seltenen Fällen auftreten. Es handelt sich nicht um ein wiederkehrendes Problem, auf das Sie häufig stoßen werden. Um sicherzustellen, dass dieses Problem nie auftritt, können Sie die folgenden Schritte unternehmen:

  • Konfigurieren DMARC für Ihre E-Mails und aktivieren Sie DMARC-Berichterstattung
  • Legen Sie Ihre DMARC-Richtlinie auf Überwachung und überprüfen Sie Ihre SPF-Authentifizierungsergebnisse genau, um Unstimmigkeiten bei der E-Mail-Zustellbarkeit zu erkennen.
  • Wenn alles in Ordnung ist, können Sie den Mechanismus -all in Ihrem SPF-Eintrag verwenden. Wir empfehlen die Verwendung des Hard-Fail-Attributs, da es bestätigt, dass Sie von der Authentizität Ihrer E-Mails überzeugt sind, was den Ruf Ihrer Domain verbessern kann

Wenn Sie noch unsicher sind, ob Sie SPF -all verwenden sollen, können Sie die folgenden Schritte ausführen:

So beheben Sie häufige Fehler bei SPF-Einträgen 

SPF-Fehler lassen sich in der Regel in vier Kategorien einteilen: fehlende Datensätze, doppelte Datensätze, ungültige Datensätze oder fehlgeschlagene DNS-Lookups. Verwenden Sie die unten stehende Fehlerbezeichnung, um die Fehlerbehebung schnell zu lokalisieren.

Häufige SPF-Fehler sind unter anderem:

  • SPF PermError: Ihr SPF-Eintrag ist ungültig. Dies geschieht in der Regel aufgrund von Syntaxfehlern oder weil der Eintrag das Limit von 10 DNS-Lookups überschreitet (z. B. zu viele include Mechanismen).
  • SPF TempError: Ein vorübergehendes Problem bei der DNS-Auflösung (Zeitüberschreitungen, vorübergehende DNS-Fehler). Dies kann sich von selbst beheben, aber wiederholte TempErrors deuten in der Regel auf instabile DNS- oder Nameserver-Probleme hin.
  • SPF Keine: Für die überprüfte Domain wurde kein SPF-Eintrag gefunden. Dies bedeutet häufig, dass SPF nicht veröffentlicht wurde, auf der falschen Domain veröffentlicht wurde oder DNS nicht propagiert wurde.
  • Mehrere SPF-Einträge: Für dieselbe Domain existieren mehrere SPF-TXT-Einträge, was die SPF-Auswertung beeinträchtigt und häufig zu Authentifizierungsfehlern führt.

Wenn Sie häufig „Kein SPF-Eintrag gefunden“ angezeigt wird, bedeutet dies, dass der empfangende Server bei der Abfrage Ihres SPF-TXT-Eintrags im DNS kein Ergebnis zurückgegeben hat. Dies kann durch einen fehlenden Eintrag, eine falsche Domain-Überprüfung (Return-Path vs. From) oder Probleme bei der DNS-Veröffentlichung/Propagierung verursacht werden. (Link zu Ihrem Artikel „Kein SPF-Eintrag gefunden“ hier.)

Wenn Sie DMARC zusammen mit SPF konfiguriert haben, bewerten die Empfangsserver auch Ihre DMARC-Richtlinie, um zu entscheiden, wie Nachrichten behandelt werden sollen, die die Authentifizierung nicht bestehen. Basierend auf Ihrer Richtlinie können fehlgeschlagene Nachrichten zugestellt, unter Quarantäne gestellt oder abgelehnt werden. Eine DMARC-Ablehnungsrichtlinie kann Identitätsdiebstahl-Angriffe wie Spoofing und Phishing erheblich reduzieren, indem sie den Empfängern mitteilt, nicht authentifizierte E-Mails zu blockieren.

Die SPF-Überwachung von PowerDMARC hilft Ihnen, diese Fehler frühzeitig zu erkennen, indem es Authentifizierungsprobleme kennzeichnet, die Ursache aufdeckt und Sie durch die Behebung führt, bevor die Zustellbarkeit beeinträchtigt wird.

Häufig gestellte Fragen

Was bedeutet v=spf1 -all?

Der SPF-Eintrag „v=spf1 -all” bedeutet, dass nur die im SPF-Eintrag ausdrücklich aufgeführten IP-Adressen und Domains berechtigt sind, E-Mails für Ihre Domain zu versenden. Alle E-Mails aus nicht autorisierten Quellen werden abgelehnt (Hardfail). Dies ist die strengste SPF-Richtlinie und bietet maximalen Schutz vor E-Mail-Spoofing.

Was ist der Unterschied zwischen SPF und DKIM?

SPF (Sender Policy Framework) überprüft, ob E-Mails von autorisierten IP-Adressen stammen, während DKIM (DomainKeys Identified Mail) verwendet kryptografische Signaturen, um die Integrität und Authentizität von E-Mails zu überprüfen. SPF überprüft den sendenden Server, während DKIM überprüft, ob der Inhalt der E-Mail während der Übertragung nicht manipuliert wurde.

Ist SPF bei allen E-Mail-Anbietern gleich?

Nein, verschiedene E-Mail-Anbieter können SPF-Ergebnisse unterschiedlich interpretieren. Während die meisten modernen Anbieter ähnliche Standards befolgen, gehen einige möglicherweise großzügiger mit Softfail-Ergebnissen (~all) um, während andere Hardfail-Richtlinien (-all) strikt durchsetzen. DMARC trägt dazu bei, diese Verhaltensweisen über alle Anbieter hinweg zu standardisieren.

Was bewirkt +all in SPF?

Der Mechanismus „+all“ in SPF bedeutet „alles zulassen“ – er erlaubt es jeder IP-Adresse, E-Mails im Namen Ihrer Domain zu versenden. Davon wird dringend abgeraten, da dies keinen Schutz vor E-Mail-Spoofing bietet und Ihren SPF-Eintrag im Wesentlichen unwirksam macht.

Sollte ich SPF -all oder ~all für meine Domain verwenden?

Beginnen Sie mit ~all (Softfail), während Sie noch alle legitimen Absenderquellen bestätigen oder Ihre Konfiguration ändern. Wechseln Sie erst dann zu -all (Hardfail), wenn Ihr SPF-Eintrag vollständig ist und die DMARC-Berichte zeigen, dass legitime E-Mails die Authentifizierung nicht fehlschlagen, sodass Sie einen strengeren Schutz mit geringerem Risiko durchsetzen können.

Wie behebe ich Fehler bei der SPF-Authentifizierung?

Zu den gängigen Korrekturen gehören: Hinzufügen fehlender IP-Adressen oder Domains zu Ihrem SPF-Eintrag, Reduzieren der DNS-Lookups, um unter dem Limit von 10 Lookups zu bleiben, Entfernen doppelter SPF-Einträge und Sicherstellen der korrekten SPF-Eintragssyntax. Die automatisierte SPF-Verwaltung von PowerDMARC kann dabei helfen, diese Probleme automatisch zu beheben.

Neueste Beiträge von Yunes Tarada (alle anzeigen)
Zuletzt aktualisiert:
Arten von Social Engineering-Angriffen im Jahr 2022Social-Engineering-AngriffeCyber-Resilienz und DMARCCyber-Resilienz und DMARC