Der Unterschied zwischen SPF -all und ~all

Blog

Anbieter von Postfächern behandeln die Mechanismen SPF -all und ~all jetzt als "NOT PASS", anders als vor der Verwendung von DMARC. Hier finden Sie eine Kurzanleitung zum SPF-All-Mechanismus.

von YunesTarada

Lesezeit: 4 min
Der Unterschied zwischen SPF -all und ~all
Inhaltsverzeichnis-

Der SPF-All-Mechanismus ist ein SPF-Mechanismus, der im DNS Ihrer Domäne als TXT-Eintrag vorhanden ist; er befindet sich am rechten Ende eines SPF-Eintrags, dem ein "-" oder "~" vorangestellt ist. Schauen wir uns den Unterschied zwischen den SPF-Mechanismen "-all" und "~all" an, um festzustellen, wann Sie sie konfigurieren sollten.

Wichtigste Erkenntnisse

  1. Die SPF-Mechanismen -all und ~all zeigen beide "NOT PASS" für die SPF-Authentifizierung an, können aber von einigen E-Mail-Diensten unterschiedlich behandelt werden.
  2. In der Vergangenheit erlaubte SPF Softfail (~all) die Zustellung von E-Mails, auch wenn sie die Authentifizierung nicht bestanden, während SPF Hardfail (-all) E-Mails zurückwies, die die Authentifizierung nicht bestanden.
  3. Moderne E-Mail-Dienste verarbeiten -all und ~all häufig ohne nennenswerte Zustellungsfehler, obwohl es bei -all gelegentlich zu Ablehnungen kommen kann.
  4. Um das Risiko zu minimieren, ist es ratsam, anfangs den Softfail-Mechanismus (~all) zu verwenden und gleichzeitig sicherzustellen, dass DMARC konfiguriert ist und die Ergebnisse überwacht werden.
  5. Die Implementierung von DMARC in Verbindung mit ordnungsgemäßen SPF-Konfigurationen erhöht die E-Mail-Sicherheit, da festgelegt wird, wie nicht authentifizierte E-Mails behandelt werden sollen.

SPF -all vs ~all

Sowohl der SPF -all als auch der SPF ~all Mechanismus bedeuten ein "NOT PASS" für die SPF-Authentifizierung. In letzter Zeit gibt es bei den meisten E-Mail-Diensteanbietern keine Unterschiede mehr zwischen dem -all- und dem ~all-Mechanismus, und es wird das gleiche Ergebnis zurückgegeben. Dies war jedoch vor einigen Jahren noch nicht der Fall.

Wie funktionierte der SPF All (Softfail vs. Fail) Mechanismus vor DMARC?

DMARC wurde geschaffen, lange nachdem SPF bereits als Standardprotokoll zur E-Mail-Authentifizierung auf dem Markt war. Zu dieser Zeit funktionierte der SPF-All-Softfail-Mechanismus folgendermaßen: 

Nehmen wir an, Ihr SPF-Eintrag lautet: 

v=spf1 include:spf.domain.com ~all (wobei ~all für SPF Softfail steht)

Der E-Mail-Server des Empfängers hätte eine DNS-Abfrage durchgeführt, um den SPF-Eintrag des Absenders zu ermitteln. Wenn die Return-path-Domäne der E-Mail nicht im Datensatz des Absenders aufgeführt war, hätte der Empfangsserver ein SPF-Ergebnis "NOT PASS" zurückgegeben, aber hätte die E-Mail in den Posteingang des Empfängers zugestellt.

Nehmen wir nun an, Ihr SPF-Eintrag lautet: 

v=spf1 include:spf.domain.com -all (wobei -all für SPF Fail steht)

Der E-Mail-Server des Empfängers hätte eine DNS-Abfrage durchgeführt, um den SPF-Eintrag des Absenders zu ermitteln. Wenn die Return-path-Domain der E-Mail nicht im Eintrag des Absenders aufgeführt wäre, hätte der empfangende Server ein SPF-Ergebnis "NOT PASS" zurückgegeben, aber in diesem Fall wäre die E-Mail gewesen zurückgewiesen und nicht in den Posteingang des Empfängers zugestellt.

Lesen Sie mehr über die Geschichte des Sender Policy Framework

Vereinfachen Sie SPF mit PowerDMARC!

15-Tage-TestDemo buchen

Wie handhaben E-Mail-Diensteanbieter jetzt den SPF-Mechanismus -all vs. ~all?

Zwar können Sie derzeit bei den meisten Mailbox-Anbietern SPF -all oder ~all verwenden, ohne sich um Zustellungsfehler bei legitimen E-Mails sorgen zu müssen, kann eine Situation entstehen, in der ein Server Ihre E-Mail im Falle des Attributs -all zurückweist.

Um auf der sicheren Seite zu sein, können Sie bei der Erstellung Ihres SPF-Eintrags die Verwendung des SPF-Hard-Fail-All-Mechanismus vermeiden. So machen Sie es:

  • Öffnen Sie den PowerDMARC SPF-Datensatz-Generator um mit der kostenlosen Erstellung eines Eintrags zu beginnen
  • Nachdem Sie die IP-Adressen und Domänen Ihrer E-Mail-Absender eingegeben haben, scrollen Sie zum letzten Abschnitt, der den E-Mail-Servern vorschreibt, wie streng sie bei der Überprüfung Ihrer E-Mails sein sollen
  • Wählen Sie die Option "Soft-fail", bevor Sie auf die Schaltfläche "SPF-Datensatz generieren" klicken.

Was empfehlen wir? SPF -all oder SPF ~all

Die Probleme mit der Zustellbarkeit von E-Mails, die mit dem SPF-All-Mechanismus zusammenhängen, können in sehr seltenen Fällen auftreten. Es handelt sich nicht um ein wiederkehrendes Problem, auf das Sie häufig stoßen werden. Um sicherzustellen, dass dieses Problem nie auftritt, können Sie die folgenden Schritte unternehmen:

  • Konfigurieren Sie DMARC für Ihre E-Mails, und aktivieren Sie DMARC-Berichte
  • Setzen Sie Ihre DMARC-Richtlinie auf Überwachung und prüfen Sie Ihre SPF-Authentifizierungsergebnisse genau, um Unstimmigkeiten bei der Zustellbarkeit von E-Mails zu erkennen.
  • Wenn alles in Ordnung ist, können Sie den Mechanismus -all in Ihrem SPF-Eintrag verwenden. Wir empfehlen die Verwendung des Hard-Fail-Attributs, da es bestätigt, dass Sie von der Authentizität Ihrer E-Mails überzeugt sind, was den Ruf Ihrer Domain verbessern kann

Wenn Sie noch unsicher sind, ob Sie SPF -all verwenden sollen, können Sie die folgenden Schritte ausführen:

Fehlersuche bei anderen SPF-Fehlern

Bei der Verwendung von Online-Tools stoßen Sie oft auf die Meldung "Kein SPF-Eintrag gefunden"Dies ist eine häufige Fehlermeldung, die durch ein Nullergebnis entsteht, wenn ein Server den SPF-Eintrag Ihrer Domäne nachschlägt. Wir haben einen ausführlichen Artikel zu diesem Problem verfasst, der den Nutzern hilft, es zu lösen. Klicken Sie auf den verlinkten Text, um mehr zu erfahren!

Wenn Sie zusätzlich zu SPF DMARC für Ihre Domäne eingerichtet haben, überprüfen die E-Mail-Server die DMARC-Richtlinie Ihrer Domäne, um festzulegen, wie E-Mails behandelt werden sollen, deren Authentifizierung fehlschlägt. Diese DMARC-Richtlinie bestimmt, ob Ihre E-Mails zugestellt, unter Quarantäne gestellt oder zurückgewiesen werden. 

Die DMARC-Ablehnung schützt Ihre Domain vor einer Vielzahl von Imitationsangriffen wie Spoofing, Phishing und Ransomware.

Neueste Beiträge von Yunes Tarada (alle anzeigen)
Arten von Social Engineering-Angriffen im Jahr 2022Social-Engineering-AngriffeCyber-Resilienz und DMARCCyber-Resilienz und DMARC