Fassen Sie Ihren komplexen SPF-Eintrag in einem einzigen Include zusammen. Wird automatisch aktualisiert, sobald Ihre E-Mail-Anbieter ihre IP-Adressen ändern. Vollständig automatisierter Ansatz. Keine DNS-Bearbeitung. Kein Wartungsaufwand.
Bei der SPF-Flattening-Verarbeitung wird ein komplexer SPF-Eintrag (der mehrere „include:“, „a“, „mx“ oder „redirect=“-Mechanismen enthält) in eine vereinfachte Version umgewandelt, in der die aufgelösten IP-Adressen direkt aufgeführt sind. Anstatt die empfangenden Mailserver anzuweisen, selbst nachzuschlagen, welche IP-Adressen die einzelnen E-Mail-Anbieter verwenden, werden bei einem „flattened“ Eintrag all diese Informationen im Voraus aufgelöst und die Ergebnisse direkt in Ihr DNS geschrieben.
Jedes Mal, wenn ein empfangender Mailserver Ihren SPF-Eintrag auswertet, folgt er jedem „include:“, „a“ oder „mx“-Eintrag, um die autorisierten IP-Adressen zu ermitteln. Gemäß RFC 7208 (der offiziellen SPF-Spezifikation) ist diese Abfragekette auf 10 DNS-Abfragen begrenzt. Wird diese Obergrenze überschritten, gibt SPF einen „PermError“ (permanenten Fehler) zurück, was in der Regel dazu führt, dass Ihre legitimen E-Mails die Authentifizierung nicht bestehen und im Spam-Ordner landen oder direkt abgelehnt werden.
Wenn für die vollständige Auflösung Ihres Eintrags mehr als 10 Abfragen erforderlich sind, brechen die Mailserver die Auswertung nach der 10. Abfrage ab, sodass alle danach aufgeführten Absender einfach nicht mehr überprüft werden. SPF gibt „PermError“ zurück, und je nach Ihrer DMARC-Richtlinie werden E-Mails dieser nicht überprüften Absender möglicherweise in Quarantäne verschoben oder abgelehnt. Der Fehler verläuft in der Regel unbemerkt: Sie erhalten keine Rückmeldung. Ihre E-Mails kommen einfach nicht mehr an.
include:spf.protection.outlook.cominclude:_spf.google.cominclude:spf.mandrillapp.cominclude:_spf.salesforce.cominclude:sendgrid.netinclude:mail.zendesk.com
Durch das „Flattening“ werden alle diese „include:“-Mechanismen in ihre zugrunde liegenden IP-Adressen aufgelöst und direkt in Ihren Eintrag geschrieben. Theoretisch werden dadurch verschachtelte Lookups vollständig vermieden. In der Praxis hat ein statisch „geflattenter“ Eintrag jedoch eine vorhersehbare Lebensdauer: Sobald einer Ihrer E-Mail-Anbieter seine IP-Bereiche ändert, ist Ihr abgeflachter Datensatz falsch.
Google, Microsoft, Mailchimp und SendGrid aktualisieren ihre Versandinfrastruktur, ohne die Domaininhaber, die darauf angewiesen sind, darüber zu informieren.
Für DNS-TXT-Einträge gelten praktische Größenbeschränkungen (255 Byte pro Zeichenfolge). Ein vollständig erweiterter Eintrag mit vielen IP-Bereichen kann diese Grenzen überschreiten, was zu Validierungsfehlern führt.
Jedes Mal, wenn Sie einen neuen E-Mail-Dienst hinzufügen, führen Sie eine erneute Abflachung durch. Jedes Mal, wenn Sie einen entfernen, führen Sie eine erneute Abflachung durch. Mit zunehmender Größe der Infrastruktur wird dies untragbar.
Der SPF-Standard sieht keinen Benachrichtigungsmechanismus vor. Wenn ein Anbieter IP-Adressen verlegt, bemerkt man dies erst, wenn die Zustellbarkeit bereits beeinträchtigt ist.
Das SPF-Flattening-Tool von PowerDMARC ist Teil des gehosteten SPF-Dienstes PowerSPF und wickelt den gesamten Prozess automatisch ab, sodass Ihr Eintrag stets auf dem neuesten Stand bleibt, wenn sich Ihre E-Mail-Infrastruktur ändert.
Registrieren Sie sich und fügen Sie Ihre Domain hinzu. PowerDMARC erkennt Ihren aktuellen SPF-Eintrag sofort automatisch, ohne dass eine manuelle Eingabe erforderlich ist.
Sehen Sie genau, wie viele DNS-Abfragen Ihr Eintrag nutzt, welche Dienste am meisten dazu beitragen und ob bei Ihnen das Risiko eines PermError besteht.
Alle Include-Mechanismen werden auf ihre aktuellen IP-Adressen aufgelöst und zu einem einzigen optimierten Include komprimiert. Ihre Anzahl sinkt auf 1.
Veröffentlichen Sie den neuen Datensatz. PowerDMARC überwacht Ihre Anbieter und passt die Daten automatisch an, wenn sich IP-Adressen ändern, sodass sie stets auf dem neuesten Stand sind.
Durch die manuelle Nachverfolgung entstanden operative Engpässe und versteckte Reibungsverluste.
Das manuelle Hinzufügen von Diensten von Drittanbietern führt schnell dazu, dass Ihr DNS das Limit von 10 Abfragen überschreitet, wodurch die E-Mail-Zustellung ohne Vorwarnung unterbrochen wird.
Wenn Anbieter ihre zugrunde liegenden IP-Adressen aktualisieren, veraltet Ihr statischer, manuell erstellter Eintrag unbemerkt, bis Sie feststellen, dass die Zustellung nicht mehr funktioniert.
Das manuelle Erweitern von Untereinträgen führt dazu, dass die Zeichenfolgen rapide an Länge zunehmen und die strenge Begrenzung auf 255 Zeichen für einzelne DNS-Zeichenfolgen leicht überschritten wird.
Tippfehler, falsche Formatierungssyntax oder das fehlerhafte Kopieren langer Blöcke von IP-Bereichen führen zu schwerwiegenden Sicherheits- und Zustellbarkeitsproblemen.
Erfordert kontinuierliche manuelle Prüfungen, die Überwachung mittels Tabellenkalkulationen und den Zeitaufwand von Entwicklern, nur um den Überblick über Standard-Geschäftsanwendungen zu behalten.
Eine automatisierte, effiziente Sicherheitsinfrastruktur in Ihrer nativen Umgebung.
Dank fortschrittlichem dynamischem Mapping werden zahlreiche Abfragen automatisch und sicher auf einen Wert unterhalb der im Protokoll festgelegten Höchstgrenze von 10 Abfragen zusammengefasst.
Hintergrund: Automatisierte Prüfskripte erkennen Änderungen bei den Systemanbietern sofort und sorgen innerhalb weniger Minuten für eine nahtlose automatische Aktualisierung der Netzwerkdaten.
Durch intelligentes algorithmisches Zeilenumbruchverfahren werden überflüssige Syntax-Leerzeichen entfernt und Datensätze komprimiert, um die Zeichenwege zu minimieren.
Vermeidet riskante, manuelle Anpassungen an der Struktur und überlässt es Software-Regeln, Ihre Plattformkonfigurationen systematisch und fehlerfrei zu überwachen.
Stellen Sie einen permanenten, statischen Konfigurations-Handle für den Motor bereit und schützen Sie die Authentifizierungsparameter für den digitalen Bereich langfristig und kontinuierlich.
Die SPF-Flattening-Methode ist eine legitime Technik, birgt jedoch Risiken, die man kennen sollte, bevor man sich darauf verlässt – insbesondere, wenn man den Datensatz manuell pflegen möchte.
Änderungen der IP-Adressen – Große Provider ändern regelmäßig ihre ausgehenden IP-Adressbereiche; in diesem Fall scheitern E-Mails von den neuen IP-Adressen sofort am SPF, und Sie bemerken dies erst, wenn die Zustellbarkeit nachlässt.
Aufblähung von Datensätzen und DNS-Beschränkungen – Ein „abgeflachter“ Datensatz für eine Organisation mit vielen Diensten kann sich auf Hunderte von IP-Einträgen ausweiten, wodurch praktische Größenbeschränkungen überschritten werden und ein „Permerror“ verursacht wird.
Wartungsaufwand – Eine manuelle Erfassung ist keine einmalige Angelegenheit. Wenn Sie einen Dienst hinzufügen, einen entfernen oder die Infrastruktur von einem Anbieter aktualisieren lassen, müssen Sie die Daten erneut bereinigen und veröffentlichen.
Lassen Sie nur aktive, legitime Absender zu – Überprüfen Sie vor der Bereinigung Ihre Datensätze und entfernen Sie Verweise auf Dienste, die Sie nicht mehr nutzen. Jeder unnötige Eintrag erhöht die Anzahl der Abfragen und vergrößert die Angriffsfläche.
Überwachen Sie die SPF-Erfolgs- und Fehlerquoten in DMARC-Berichten – In den aggregierten Berichten wird genau angezeigt, welche Quellen die Prüfung bestehen und welche nicht. Unerklärliche Fehler nach der Flachstellung deuten in der Regel auf einen veralteten IP-Bereich hin.
Verwenden Sie SPF zusammen mit DKIM und DMARC – SPF allein verhindert Spoofing nicht. Für eine ordnungsgemäße Authentifizierung sind alle drei erforderlich: SPF und DKIM zur Abstimmung, DMARC zur Festlegung, was geschieht, wenn diese versagen.
Nach jeder Änderung an der Infrastruktur erneut überprüfen — Wenn Sie einen E-Mail-Dienst hinzufügen oder entfernen, überprüfen Sie Ihren Eintrag mit einem SPF-Checker, bevor Sie davon ausgehen, dass er weiterhin gültig ist.
Systemadministrator
„PowerDMARC hebt die Beschränkung der SPF-Abfragen für unsere Domains durch den gehosteten SPF auf; wir müssen lediglich einen SPF-Eintrag in unserem DNS veröffentlichen.“
Präsident
"PowerDMARC hilft sehr bei SPF-Fehlern, insbesondere indem es das "SPF-Folding" erleichtert, das oft für Kunden benötigt wird, die mehr SPF-Einschlüsse benötigen, als technisch zulässig sind.
Berater für Technologiesicherheit
"Mit dem SPF-Flattening konnten wir den SPF problemlos erweitern, um die Besonderheiten des Datensatzes zu prüfen."
Das „SPF-Flattening“ muss kein wiederkehrendes Problem sein. Mit unserem Tool ist das ganz einfach!
