SPF-Einschränkungen: Verständnis der SPF-Grenzen bei der E-Mail-Authentifizierung

Blog

Erfahren Sie mehr über SPF-Einschränkungen, darunter die Begrenzung auf 10 DNS-Lookups, die zu E-Mail-Fehlern führt. Erfahren Sie, wie Sie Ihren SPF-Eintrag erkennen, korrigieren und optimieren können.

von Ahona Rudra

Zuletzt aktualisiert:
11 Lesezeit: 11 Minuten
SPF-Einschränkungen: Verständnis der SPF-Grenzen bei der E-Mail-Authentifizierung
Inhaltsverzeichnis-

Wichtigste Erkenntnisse

  • SPF (Sender Policy Framework) legt fest, welche Mailserver berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden. Es verfügt jedoch über integrierte SPF-Einschränkungen, die bei unsachgemäßer Verwaltung zu Zustellungsproblemen führen können.
  • Die SPF-Spezifikation begrenzt DNS-Lookups auf 10 pro SPF-Prüfung, einschließlich Lookups, die durch „include”, „a”, „mx”, „ptr” und „redirect”-Mechanismen verursacht werden.
  • Das Überschreiten des Limits löst einen „SPF PermError: too many DNS lookups” aus, wodurch die SPF-Überprüfung fehlschlägt und von DMARC als Fehler interpretiert wird, was möglicherweise dazu führt, dass E-Mails aus dem Posteingang blockiert werden.
  • Mechanismen wie „ip4“ und „ip6“ werden nicht auf das Limit angerechnet, während „include“ und „mx“ jeweils mehrere Lookups verbrauchen können, insbesondere bei verschachtelten Referenzen.
  • Um innerhalb des Limits zu bleiben, entfernen Sie nicht verwendete Dienste, vermeiden Sie nach Möglichkeit „ptr“ und „mx“, ersetzen Sie suchintensive Mechanismen durch direkte IP-Referenzen und erwägen Sie eine automatisierte SPF-Record-Flattening.

Ihr SPF-Eintrag könnte unbemerkt die Zustellbarkeit Ihrer E-Mails beeinträchtigen, ohne dass Sie dies auf den ersten Blick erkennen können.

SPF (Sender Policy Framework) ist eines der grundlegenden E-Mail-Authentifizierungsprotokolle, das zum Schutz vor Domain-Spoofing und Phishing-Angriffen eingesetzt wird. Jedes Mal, wenn Sie einen neuen E-Mail-Dienstleister, eine neue Marketingplattform oder ein neues Drittanbieter-Tool hinzufügen, wächst Ihr SPF-Eintrag und damit auch die Anzahl der DNS-Lookups, die zu seiner Überprüfung erforderlich sind.

Dieser Leitfaden erläutert die SPF-Einschränkungen, die Sie kennen müssen, erklärt, warum es die Beschränkung auf 10 DNS-Lookups gibt, und führt Sie durch die Schritte zum Erkennen, Beheben und Verhindern von SPF-Fehlern, bevor diese den Ruf Ihrer Domain schädigen.

Was ist SPF und wie funktioniert es?

SPF ist eine E-Mail-Authentifizierungsprotokoll , das Ihre Domain vor E-Mail-Spoofing schützen soll. Es legt fest, welche Mailserver berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden, und bietet empfangenden Servern eine Möglichkeit, die Legitimität eingehender Nachrichten zu überprüfen.

So funktioniert die SPF-Authentifizierung

Der SPF-Eintrag ist ein DNS-TXT-Eintrag , der zur Durchführung des E-Mail-Authentifizierungsprozesses verwendet wird.

Wenn Sie einen SPF-Eintrag für Ihre Domain veröffentlichen, teilen Sie damit im Wesentlichen der Welt mit, welche IP-Adressen und Mailserver E-Mails unter Verwendung Ihres Domainnamens versenden dürfen. Folgendes geschieht, wenn eine E-Mail versendet wird:

  • Der empfangende Server überprüft die Return-Path-Adresse des Absenders und sucht den SPF-Eintrag für diese Domain.
  • Der Server wertet den SPF-Eintrag aus, um festzustellen, ob die IP-Adresse des Absenders mit den autorisierten IP-Adressen übereinstimmt.
  • Wenn die IP-Adresse des Absenders übereinstimmt, besteht die E-Mail die SPF-Prüfung.
  • Wenn es nicht übereinstimmt, besteht die E-Mail die SPF- Überprüfung nicht und der empfangende Server behandelt sie gemäß der SPF-Richtlinie der Domain und der DMARC-Konfiguration

SPF ermöglicht es dem Server des Empfängers zu überprüfen, ob die E-Mail tatsächlich von der angegebenen Quelle stammt. Damit ist es eine wichtige erste Verteidigungslinie gegen Spoofing und eine Schlüsselkomponente für die Einhaltung der DMARC-Richtlinien.

Was ist das SPF 10 DNS-Lookup-Limit?

Die SPF-Spezifikation legt eine strenge Obergrenze für die Anzahl der DNS-Lookups fest, die während einer einzelnen Überprüfung durchgeführt werden dürfen.

Eine SPF-Richtlinie darf nicht mehr als 10 Begriffe enthalten, deren Auswertung zusätzliche DNS-Lookups erfordert. Dazu gehören alle Lookups, die durch Mechanismen wie „include“, „a“, „mx“, „ptr“ und den Modifikator „redirect“ ausgelöst werden.

Was zählt zum Limit?

SPF-Einträge verwenden eine Kombination aus Mechanismen und Modifikatoren, um zu definieren, welche Server berechtigt sind, E-Mails für Ihre Domain zu versenden.

Einige davon erfordern, dass der empfangende Mailserver zusätzliche DNS abführen muss, um sie aufzulösen, und jede Abfrage zählt zum Limit von 10 DNS-Lookups. Zu den Mechanismen und Modifikatoren, die DNS-Lookups erfordern, gehören:

  • include — löst eine Suche nach dem SPF-Eintrag einer anderen Domain sowie alle darin enthaltenen verschachtelten Suchvorgänge aus
  • a — erfordert eine DNS-Abfrage, um die A- oder AAAA-Einträge für die angegebene Domäne aufzulösen
  • mx – erfordert eine DNS-Abfrage zur Auflösung des MX-Eintrags, gefolgt von zusätzlichen Abfragen zur Auflösung der IP-Adressen aller aufgeführten Mailserver
  • ptr – erfordert eine DNS-PTR-Abfrage, um eine umgekehrte Suche durchzuführen, und wird aufgrund seiner Unzuverlässigkeit und der Möglichkeit, dass mehrere zusätzliche Suchvorgänge erforderlich werden, dringend abgeraten.
  • Weiterleitung — löst eine Suche nach dem SPF-Eintrag der umgeleiteten Domain aus
  • existiert — erfordert eine DNS-Abfrage, um zu überprüfen, ob eine bestimmte Domain aufgelöst wird

Wenn der SPF-Eintrag viele Mechanismen enthält, insbesondere verschachtelte Includes, kann er schnell das Limit von 10 DNS-Lookups überschreiten.

Was zählt nicht zum Limit?

Die folgenden Mechanismen und Elemente werden nicht auf das Limit von 10 Lookups angerechnet:

  • ip4 und ip6 – diese geben direkt autorisierte IP-Adressen an, sodass keine zusätzliche DNS-Auflösung erforderlich ist.
  • alle – Der Catch-All-Mechanismus am Ende des Datensatzes erfordert keine Suche.
  • Die anfängliche DNS-Abfrage für den SPF-Richtlinieneintrag selbst – die DNS-Abfrage zum Abrufen des SPF-TXT-Eintrags aus dem DNS der Domain zählt nicht zum Limit
  • v=spf1 – das Versionskennzeichen, das den Datensatz als SPF identifiziert

Die Verwendung von IP4- oder IP6-Mechanismen in SPF-Einträgen erfordert keine zusätzlichen Lookups und kann dazu beitragen, die Grenze einzuhalten. Aus diesem Grund ist das Ersetzen von lookup-intensiven Mechanismen durch direkte IP-Referenzen eine der effektivsten Optimierungsstrategien.

PowerDMARC SPF-Banner

SPF fällt still und leise aus. Man merkt es erst, wenn keine E-Mails mehr ankommen.

PowerDMARC hat bereits über 10.000 Kunden dabei unterstützt:

Ein einziges Dashboard für SPF, DMARC und DKIM
Automatisierte Überwachung – kein mühsames Durchforsten von Rohdatenberichten
Sofortige Benachrichtigungen bei Fehlkonfigurationen und Lücken in den Richtlinien
Skalierung über mandantenfähige Kundendomänen hinweg

Die ersten 15 Tage gehen auf unsere Kosten

Melden Sie sich für eine kostenlose Testversion an

Warum gibt es die SPF-10-Lookup-Beschränkung?

Die Beschränkung auf 10 DNS-Lookups mag restriktiv erscheinen, insbesondere für Unternehmen, die mehrere E-Mail-Dienstanbieter nutzen, aber sie besteht aus wichtigen Sicherheits- und Leistungsgründen.

Verhindern von Denial-of-Service-Angriffen

Die Begrenzung auf 10 zusätzliche Abfragen wurde eingeführt, um eine unangemessene Belastung des DNS zu vermeiden und Denial-of-Service-Angriffe (DoS) zu verhindern.

Ohne diese Begrenzung könnte ein Angreifer einen SPF-Eintrag mit Hunderten von verschachtelten Einbindungen erstellen und so jeden empfangenden Mailserver, der eine E-Mail von dieser Domain verarbeitet, dazu zwingen, eine enorme Anzahl von DNS-Abfragen durchzuführen. Dies könnte DNS-Server überlasten und die Leistung im gesamten Internet beeinträchtigen.

Sicherstellung einer zeitnahen E-Mail-Bearbeitung

Jede DNS-Abfrage während einer SPF-Prüfung erhöht die Latenz beim E-Mail-Versand. Wenn SPF-Einträge unbegrenzt viele Abfragen zulassen würden, könnte sich die für die SPF-Überprüfung benötigte Zeit erheblich verlängern, was zu Zeitüberschreitungen bei DNS-Abfragen und vorübergehenden Problemen mit dem DNS-Server führen könnte.

Die Begrenzung auf 10 Suchvorgänge stellt sicher, dass SPF-Prüfungen schnell und zuverlässig durchgeführt werden können, ohne dass es zu Engpässen bei der E-Mail-Zustellung kommt.

Aufrechterhaltung der DNS-Stabilität

Die DNS-Infrastruktur ist eine gemeinsam genutzte Ressource. Die Zulassung unbegrenzter Lookups während der SPF-Authentifizierung würde rekursive Resolver und autoritative Nameserver übermäßig belasten, insbesondere bei Sendern mit hohem Volumen.

Die Begrenzung schützt das gesamte DNS-Ökosystem, indem sie das Volumen der SPF-bezogenen Abfragen überschaubar hält.

Was passiert, wenn Sie das SPF-Lookup-Limit überschreiten?

Das Überschreiten des SPF-Lookup-Limits führt nicht nur zu einer kleinen Warnung. Es verursacht einen schwerwiegenden Fehler, der sich direkt darauf auswirken kann, ob Ihre E-Mails die Posteingänge Ihrer Empfänger erreichen.

SPF PermError und Verifizierungsfehler

Wenn die SPF-Implementierung auf dem empfangenden E-Mail-Server mehr als 10 DNS-Abfragemechanismen oder Modifikatoren im SPF-Eintrag der Domäne des Absenders findet, gibt sie „SPF PermError: too many DNS lookups“ zurück.

Gemäß der SPF-Spezifikation muss ein Empfänger, der bei der Auswertung der SPF-Richtlinie das DNS-Lookup-Limit überschreitet, die SPF-Überprüfung für diese Nachricht mit einem „permerror” ablehnen.

Das bedeutet, dass die E-Mail nicht einfach einen „weichen“ Fehler oder ein neutrales Ergebnis erhält. Sie erhält einen permanenten Fehler, der dem empfangenden Server mitteilt, dass der SPF-Eintrag überhaupt nicht ausgewertet werden kann.

Auswirkungen auf DMARC und die Zustellbarkeit von E-Mails

Wenn Ihre DMARC-Richtlinie auf Quarantäne oder Ablehnung eingestellt ist, können E-Mails, die einen SPF PermError auslösen, in den Spam-Ordner verschoben oder vollständig blockiert werden.

Das Überschreiten des SPF-Lookup-Limits beeinträchtigt die Zustellbarkeit von E-Mails, da dadurch die Wahrscheinlichkeit sinkt, dass E-Mails im primären Posteingang der vorgesehenen Empfänger landen. Im Laufe der Zeit können wiederholte SPF-Fehler auch die Reputation Ihrer Domain beeinträchtigen, sodass es selbst für legitime E-Mails schwieriger wird, zugestellt zu werden.

Andere Ursachen für SPF PermError

Die Überschreitung des Limits von 10 DNS-Lookups ist zwar die häufigste Ursache für einen SPF PermError, aber nicht die einzige. Ein SPF PermError kann auch auftreten, wenn:

  • Der SPF-Eintrag enthält Syntaxfehler, die eine korrekte Interpretation verhindern.
  • Für eine einzelne Domain werden mehrere SPF-Einträge veröffentlicht, was gegen die SPF-Spezifikation verstößt.
  • Der Datensatz verwendet veraltete oder nicht unterstützte Mechanismen.
  • Circular enthält eine Endlosschleife in der Suchkette.

Jedes dieser Probleme kann zu einem Ausfall des SPF und zu nicht zugestellten E-Mails führen. Daher ist es wichtig, Ihre gesamte SPF-Konfiguration regelmäßig zu überprüfen.

So überprüfen Sie, ob Ihr SPF-Eintrag das Limit überschreitet

Der erste Schritt zur Behebung von Zustellbarkeitsproblemen besteht darin, festzustellen, ob Ihr SPF-Eintrag das Limit von 10 DNS-Lookups überschreitet. Es gibt mehrere Möglichkeiten, einen SPF-Eintrag zu überprüfen und Ihre aktuelle Lookup-Anzahl zu verifizieren.

Verwenden Sie ein SPF-Diagnosetool.

Mit einem SPF-Diagnosetool können Sie überprüfen, ob ein SPF-Eintrag gültig ist und ordnungsgemäß funktioniert. Diese Tools analysieren Ihren SPF-Eintrag, zählen alle DNS-Lookups einschließlich verschachtelter Includes und markieren alle Fehler oder Warnungen.

Mit dem kostenlosen SPF-Record-Checker von PowerDMARC ermöglicht es Ihnen, sofort die Gesamtzahl Ihrer Suchanfragen zu sehen, zu erkennen, welche Mechanismen die meisten Abfragen verbrauchen, und Fehlkonfigurationen zu erkennen, bevor sie zu Zustellungsproblemen führen.

Verfolgen Sie Ihren SPF-Eintrag manuell

Wenn Sie Ihren SPF-Eintrag lieber selbst überprüfen möchten, können Sie die DNS-Lookups manuell zählen, indem Sie jeden Mechanismus im Eintrag durchgehen.

Beginnen Sie mit dem SPF-TXT-Eintrag Ihrer Domain und zählen Sie alle „include”, „a”, „mx”, „ptr”, „redirect” und „exists”-Mechanismen. Suchen Sie dann für jedes „include” den SPF-Eintrag der referenzierten Domain und zählen Sie auch deren Lookup-auslösende Mechanismen.

Verschachtelte Einschlüsse summieren sich schnell, weshalb Unternehmen, die mehrere E-Mail-Dienstleister nutzen, das Limit oft überschreiten, ohne es zu merken.

Überwachen Sie die SPF-Validierung im Zeitverlauf

SPF-Einträge sind nicht statisch. Wenn Sie E-Mail-Dienstanbieter hinzufügen oder entfernen, Hosting-Umgebungen ändern oder Ihre E-Mail-Infrastruktur aktualisieren, ändern sich auch Ihre SPF-Einträge. Es wird empfohlen, SPF-Einträge nach Änderungen zu validieren, um die Einhaltung der 10-Lookup-Beschränkung sicherzustellen.

Durch die Einrichtung einer kontinuierlichen Überwachung über die Plattform von PowerDMARC erhalten Sie einen ständigen Überblick über Ihre SPF-Konfiguration und werden benachrichtigt, wenn Änderungen dazu führen, dass Ihr Datensatz den Grenzwert überschreitet.

So reparieren und optimieren Sie Ihren SPF-Eintrag

Wenn Ihr SPF-Eintrag das Limit von 10 DNS-Lookups überschreitet oder sich diesem annähert, gibt es mehrere praktische Maßnahmen, mit denen Sie die Anzahl der Lookups reduzieren können, ohne die E-Mail-Authentifizierungsabdeckung zu beeinträchtigen.

Nicht verwendete oder nicht benötigte Dienste entfernen

Die einfachste Optimierung besteht darin, Ihren SPF-Eintrag zu überprüfen und alle Mechanismen zu entfernen, die auf Dienste verweisen, die Sie nicht mehr verwenden.

Im Laufe der Zeit fügen Unternehmen E-Mail-Dienstleister, Marketingplattformen und Tools von Drittanbietern zu ihrem SPF-Eintrag hinzu, vergessen jedoch, diese wieder zu entfernen, wenn sie nicht mehr aktiv sind.

Um die Anzahl der erforderlichen Lookups zu reduzieren, sollten Unternehmen nicht verwendete Dienste aus ihrem SPF-Eintrag entfernen. Dies bedeutet auch, dass Standard-SPF-Werte entfernt werden sollten, die bei der Ersteinrichtung hinzugefügt wurden, aber derzeit keinen Zweck mehr erfüllen.

Ersetzen Sie suchintensive Mechanismen durch ip4 oder ip6.

Jeder „include“-„a“- und „mx“-Mechanismus erfordert mindestens eine DNS-Abfrage. Ersetzen Sie diese nach Möglichkeit durch ip4- oder ip6-Mechanismen, die die autorisierten IP-Adressen direkt angeben. Die Verwendung von ip4- oder ip6-Mechanismen in SPF-Einträgen erfordert keine zusätzlichen Abfragen und kann dazu beitragen, die Einhaltung der Abfragegrenze zu gewährleisten.

Wenn beispielsweise der SPF-Eintrag eines E-Mail-Dienstanbieters zu einer bekannten Gruppe statischer IP-Adressen führt, können Sie diese IPs direkt auflisten, anstatt ein „include“ zu verwenden, das mehrere DNS-Lookups auslöst.

Vermeiden Sie den PTR-Mechanismus

Die Verwendung des ptr-Mechanismus wird dringend abgeraten, da dies zu einer Zunahme der erforderlichen Lookups führen kann, was wiederum zu Permerror-Problemen führen kann.

Der PTR-Mechanismus führt für jede verbindende IP-Adresse eine umgekehrte DNS-Abfrage durch, was sowohl langsam als auch unzuverlässig ist. Die SPF-Spezifikation selbst rät von dessen Verwendung ab. Wenn Ihr SPF-Eintrag derzeit einen PTR-Mechanismus enthält, entfernen Sie diesen und ersetzen Sie ihn durch direkte IP-Referenzen.

Minimieren Sie die Verwendung des mx-Mechanismus.

Durch Vermeiden des MX-Mechanismus in SPF-Einträgen kann das Limit von 10 DNS-Lookups eingehalten werden. Der MX-Mechanismus löst zunächst den MX-Eintrag der Domain auf und führt dann zusätzliche Lookups durch, um die IP-Adresse jedes aufgeführten Mail-Servers aufzulösen.

Wenn Ihre Domain mehrere MX-Einträge hat, kann ein einzelner „mx“-Mechanismus mehrere Lookups verbrauchen. Ersetzen Sie ihn nach Möglichkeit durch ip4- oder ip6-Einträge für Ihre Mailserver.

Konsolidierung einschließlich Aussagen

Wenn Ihr SPF-Eintrag mehrere „include“-Mechanismen enthält, die auf verwandte Dienste verweisen, prüfen Sie, ob diese konsolidiert werden können.

Einige E-Mail-Dienstanbieter nutzen sich überschneidende Infrastrukturen, was bedeutet, dass Sie möglicherweise redundante Suchvorgänge durchführen. Überprüfen Sie jede Einbindung, um festzustellen, ob sie noch erforderlich ist und ob die zugrunde liegenden IP-Adressen direkt referenziert werden können.

Nach jeder Änderung validieren

Die Validierung von SPF-Einträgen nach Änderungen ist unerlässlich, um die Einhaltung der Beschränkung auf 10 Lookups sicherzustellen.

Selbst eine kleine Änderung, wie das Hinzufügen eines einzigen neuen „Include“ für eine Marketingplattform, kann Ihren Datensatz über die Grenze bringen, wenn dadurch verschachtelte Lookups ausgelöst werden. Überprüfen Sie Ihren Datensatz nach jeder Aktualisierung mit einem SPF-Diagnosetool, um sicherzustellen, dass er weiterhin gültig ist.

SPF-Record-Flattening: Was es ist und wann es verwendet wird

SPF-Record-Flattening ist eine Technik zur Optimierung von SPF-Einträgen, um die Beschränkung auf 10 DNS-Lookups für SPF zu umgehen. Es handelt sich um eine der meistdiskutierten Lösungen für Unternehmen mit komplexen E-Mail-Infrastrukturen, die jedoch mit einigen Kompromissen verbunden ist, die es zu beachten gilt.

Wie das SPF-Record-Flattening funktioniert

SPF-Record-Flattening ersetzt Mechanismen, die Lookups in einem SPF-Record verursachen, durch die entsprechenden IP-Adressen oder CIDR-Bereiche, wodurch die Anzahl der DNS-Abfragen reduziert wird, die zur Überprüfung des SPF-Records erforderlich sind.

Anstatt einen Verweis wie „include:emailprovider.com“ einzufügen, der eine oder mehrere DNS-Lookups auslöst, lösen Sie diesen Verweis in die zugrunde liegenden IP-Adressen auf und listen diese direkt in Ihrem Datensatz unter Verwendung von ip4- oder ip6-Mechanismen auf.

Wenn beispielsweise „include:emailprovider.com“ zu drei IP-Adressen aufgelöst wird, ersetzt die Vereinfachung die Include-Anweisung durch diese drei IP4-Einträge. Die SPF-Prüfung liefert nun das gleiche Ergebnis, ohne dass zusätzliche DNS-Abfragen für diesen Anbieter erforderlich sind.

Wenn Abflachung hilft

Durch das Abflachen eines SPF-Eintrags kann die Anzahl der DNS-Abfragemechanismen und Modifikatoren auf weniger als 10 reduziert werden. Dies ist besonders nützlich, wenn:

  • Ihre Domain versendet E-Mails über zahlreiche Drittanbieter-Dienste, wobei allein die Anzahl der Einbindungen 10 übersteigt.
  • Sie haben bereits nicht genutzte Dienste entfernt und wo möglich konsolidiert, überschreiten aber immer noch das Limit.
  • Sie benötigen eine schnelle Möglichkeit, Ihre Aufzeichnungen in Einklang zu bringen, während Sie eine längerfristige Optimierungsstrategie planen.

Die Risiken des manuellen Glättens

Die SPF-Record-Flattening löst zwar das Problem der Suchbegrenzung, bringt jedoch eine Herausforderung hinsichtlich der Wartung mit sich. Die zugrunde liegenden IP-Adressen Ihrer E-Mail-Dienstanbieter können sich ohne Vorankündigung ändern.

Wenn ein Anbieter IP-Adressen hinzufügt, entfernt oder rotiert und Ihr abgeflachter Datensatz weiterhin auf die alten verweist, werden legitime E-Mails, die von den neuen IPs gesendet werden, die SPF-Prüfung nicht bestehen.

Die manuelle Pflege eines abgeflachten SPF-Eintrags erfordert eine ständige Überwachung, um sicherzustellen, dass die aufgeführten IP-Adressen aktuell bleiben. Aus diesem Grund wird die manuelle Abflachung im Allgemeinen nicht als langfristige Lösung für Unternehmen mit dynamischen E-Mail-Infrastrukturen empfohlen.

Weitere wichtige Einschränkungen für SPF-Einträge

Die Beschränkung auf 10 DNS-Lookups ist die bekannteste SPF-Einschränkung, aber nicht die einzige. Domaininhaber sollten sich dieser zusätzlichen Einschränkungen für SPF-Einträge bewusst sein, um unerwartete Authentifizierungsfehler zu vermeiden.

Nur ein SPF-Eintrag pro Domain

Die SPF-Spezifikation verlangt, dass jede Domain nur einen einzigen SPF-TXT-Eintrag veröffentlicht.

Wenn der SPF-Eintrag mehrere SPF-Einträge für eine Domain enthält, kann dies zu einem SPF PermError führen, und der empfangende Server kann die E-Mail ablehnen oder falsch verarbeiten. Wenn Sie zusätzliche Absender autorisieren müssen, fügen Sie diese zu Ihrem bestehenden SPF-Eintrag hinzu, anstatt einen zweiten zu erstellen.

SPF überprüft den Rückweg, nicht die Absenderadresse.

SPF authentifiziert die Domain in der Return-Path-Adresse, nicht das für Menschen lesbare Feld „Von“, das der Empfänger sieht. Das bedeutet, dass ein Angreifer die Absenderadresse fälschen kann, während er SPF umgeht, indem er eine andere Return-Path-Domain verwendet.

DMARC schließt diese Lücke, indem es eine Übereinstimmung oder Angleichung zwischen der für Menschen lesbaren Absender-Domäne und der durch SPF authentifizierten Domäne verlangt.

Die Zeichenbegrenzung von 255 Zeichen

Ein SPF-Eintrag kann zwar insgesamt mehr als 255 Zeichen enthalten, ein einzelner DNS-TXT-Eintrag Zeichenfolge auf 255 Zeichen begrenzt. Längere SPF-Einträge müssen in mehrere Zeichenfolgen innerhalb desselben TXT-Eintrags aufgeteilt werden.

Die meisten DNS-Anbieter handhaben dies automatisch, aber falsch konfigurierte Aufteilungen können zu Parsing-Fehlern führen.

Leere Suchgrenze

Zusätzlich zur Begrenzung auf 10 DNS-Lookups begrenzt die SPF-Spezifikation auch die Anzahl der „ungültigen Lookups“, also DNS-Abfragen, die keine Datensätze zurückgeben (entweder eine leere Antwort oder eine NXDOMAIN-Antwort).

Das Überschreiten dieser Grenze, die in der Regel bei zwei ungültigen Lookups liegt, kann ebenfalls einen SPF PermError auslösen.

Kein Schutz für weitergeleitete E-Mails

Wenn eine E-Mail weitergeleitet wird, ändert sich die sendende IP-Adresse in die IP-Adresse des Weiterleitungsservers, die wahrscheinlich nicht im SPF-Eintrag des ursprünglichen Absenders aufgeführt ist. Dies führt dazu, dass die weitergeleitete E-Mail die SPF-Prüfung nicht besteht, obwohl sie ursprünglich legitim war.

Optimieren Sie Ihre SPF-Aufzeichnungen mit PowerDMARC

SPF ist für die E-Mail-Authentifizierung unerlässlich, aber seine integrierten Einschränkungen können Ihre E-Mail-Zustellbarkeit unbemerkt beeinträchtigen, wenn sie nicht überprüft werden. Ein einziges zusätzliches „include“ oder ein übersehener veralteter Mechanismus kann Ihren Datensatz über das Limit von 10 DNS-Lookups hinausbringen und zu SPF-Fehlern führen, die verhindern, dass legitime E-Mails Ihre Empfänger erreichen.

PowerDMARC vereinfacht die SPF-Verwaltung.

Mit automatischer SPF-Flattening, Echtzeit-Lookup-Überwachung, sofortigen Fehlermeldungen und einer vollständigen Suite von Tools für SPF, DKIM, DMARCund BIMI hilft Ihnen PowerDMARC dabei, das Lookup-Limit einzuhalten und jederzeit eine saubere Authentifizierungskonfiguration aufrechtzuerhalten.

Lassen Sie nicht zu, dass SPF-Einschränkungen stillschweigend die Zustellbarkeit Ihrer E-Mails beeinträchtigen. Kontaktieren Sie uns noch heute!

Häufig gestellte Fragen

1. Was passiert, wenn mein SPF-Eintrag das Limit von 10 DNS-Lookups überschreitet?

Wenn Ihr SPF-Eintrag das Limit von 10 DNS-Lookups überschreitet, gibt der empfangende Mailserver ein „Permerror”-Ergebnis zurück. Dies führt dazu, dass die SPF-Authentifizierung fehlschlägt, was dazu führen kann, dass Ihre legitimen E-Mails abgelehnt, als Spam markiert oder mit verminderter Reputation zugestellt werden.

2. Wie kann ich überprüfen, wie viele DNS-Lookups mein SPF-Eintrag verwendet?

Sie können Online-SPF-Validierungstools wie den kostenlosen SPF-Checker von PowerDMARC verwenden, um Ihren Datensatz zu analysieren und DNS-Lookups zu zählen. Diese Tools zeigen Ihnen genau, welche Mechanismen Lookups verursachen, und helfen Ihnen, Optimierungsmöglichkeiten zu identifizieren. Sie können Ihren SPF-Datensatz auch manuell durchgehen und jeden „include”, „a”, „mx” und „ptr”-Mechanismus zählen.

3. Was sind die besten Vorgehensweisen, um einen SPF-Eintrag innerhalb des Lookup-Limits zu halten?

Zu den bewährten Verfahren gehören: regelmäßige Überprüfung Ihres SPF-Eintrags, um nicht verwendete Dienste zu entfernen, Verwendung von IP-Adressen anstelle von Includes, wo dies möglich ist, Vermeidung der Mechanismen „a” und „mx”, sofern nicht erforderlich, Konsolidierung mehrerer E-Mail-Dienste, Implementierung von SPF-Flattening für komplexe Setups und Überwachung Ihres SPF-Eintrags, der Sie über Änderungen der Lookup-Zahlen informiert.

Neueste Beiträge von Ahona Rudra (alle anzeigen)
Zuletzt aktualisiert:
DMARC MSP-Fallstudie: Wie QIT Solutions die E-Mail-Sicherheit für Kunden vereinfachte...PowerDMARC zählt zu den 100 am schnellsten wachsenden Softwareunternehmen von G2 20...