• Einloggen
  • Anmelden
  • Kontakt
PowerDMARC
  • Merkmale
    • PowerDMARC
    • Gehostetes DKIM
    • PowerSPF
    • PowerBIMI
    • PowerMTA-STS
    • PowerTLS-RPT
    • PowerAlerts
  • Dienste
    • Bereitstellungsdienste
    • Verwaltete Dienste
    • Support-Dienstleistungen
    • Serviceleistungen
  • Preisgestaltung
  • Power-Werkzeugkasten
  • Partner
    • Wiederverkäufer-Programm
    • MSSP-Programm
    • Technologie-Partner
    • Industrie-Partner
    • Einen Partner finden
    • Partner werden
  • Ressourcen
    • Was ist DMARC? - Ein detaillierter Leitfaden
    • Datenblätter
    • Fallstudien
    • DMARC in Ihrem Land
    • DMARC nach Branche
    • Unterstützung
    • Blog
    • DMARC-Schulung
  • Über
    • Unser Unternehmen
    • Kunden
    • Kontakt
    • Demo buchen
    • Veranstaltungen
  • Menü Menü

Verstehen der Grenzen von SPF bei der E-Mail-Authentifizierung

Blogs
Die Grenzen von SPF bei der E-Mail-Authentifizierung verstehen

Sender Policy Framework oder SPF reicht nicht aus, wenn es darum geht, Unternehmens-E-Mails vor Phishing und Spamming Angriffen. Die SPF-Beschränkung der maximalen Anzahl von DNS-Lookups und die Nichtübereinstimmung von Absenderadresse und Domäne führen zu Implementierungsfehlern und damit zu Problemen bei der Zustellbarkeit von E-Mails. In diesem Blog werden diese Probleme erörtert und wie DMARC hilft, diese SPF-Einschränkungen zu überwinden.

Was sind die SPF-Einschränkungen?

Es gibt 2 wichtige SPF-Grenzen, die die Implementierung und Pflege erschweren. 

1. Die SPF 10-Lookup-Grenze

Wenn ein Benutzer den DNS-Server abfragt, werden dessen Validator-Ressourcen wie Bandbreite, Zeit, CPU und Speicher in Anspruch genommen. Um eine Belastung des Validators zu vermeiden, gibt es ein SPF-Limit von 10 zusätzlichen Abfragen. Die DNS-Abfrage für den SPF-Richtliniendatensatz selbst wird jedoch nicht auf dieses Limit angerechnet.

Gemäß RFC7208 Abschnitt 4.6.4sollte der Mailserver des Empfängers nicht mehr weiterarbeiten, wenn die 10-Lookup-Grenze erreicht ist. In einem solchen Fall lehnt die E-Mail die SPF-Validierung mit einem Permerror-Fehler ab. SPF Permerror ist eine der Meldungen, die häufig im SPF-Implementierungsprozess auftreten. Er führt dazu, dass E-Mails nicht zugestellt werden und tritt auf, wenn mehrere SPF-Datensätze auf einer Domäne vorhanden sind, ein Syntaxfehler auftaucht oder die SPF-Datensatzgrenzen überschritten werden.

Sie können den kostenlosen SPF-Datensatz-Prüfung Tool verwenden, um diesen Fehler zu beheben und einen sicheren E-Mail-Verkehr zu gewährleisten.

Außerdem ist laut RFC eine DNS-Abfrage eines Hostnamens, der in einem MX-Eintrag nicht mehr als 10 A-Einträge oder AAAA-Einträge erzeugen. Wenn eine DNS-PTR-Abfrage mehr als 10 Ergebnisse liefert, werden nur die ersten 10 Ergebnisse angezeigt und verwendet.

2. Die von Menschen lesbare Absenderadresse

Die zweite SPF-Beschränkung besteht darin, dass SPF-Einträge für bestimmte Return-Path-Domänen gelten und nicht für die Absenderadresse. Die Empfänger achten im Allgemeinen nicht auf die Return-Path-Adresse und konzentrieren sich nur auf die Absenderadresse, wenn sie eine E-Mail öffnen. Hacker nutzen dieses Schlupfloch für Phishing-Angriffe, indem sie die Absenderadresse fälschen.

Der Einfluss der SPF-Eintragsgröße auf die E-Mail-Zustellung

Wenn ein Empfänger das SPF-Datensatzlimit überschreitet, schlägt er die SPF-Prüfungen fehl und es tritt ein Permerror auf. Sie können diesen Fehler bei der Verwendung der DMARC-Überwachung beobachten. Der Empfänger kann wählen, wie er mit E-Mails mit Permerror-Fehlern umgehen möchte. Er kann wählen, dass der Eintrag zurückgewiesen wird, was bedeutet, dass die E-Mail zurückgeschickt wird. Einige Empfänger konfigurieren es so, dass ein "neutrales" SPF-Ergebnis angezeigt wird (als ob kein SPF verwendet würde). Sie können auch "fail" oder "softfail" wählen, was bedeutet, dass E-Mails, die die SPF-Authentifizierungsprüfungen nicht bestehen, nicht zurückgewiesen werden, sondern im Spam-Ordner landen. 

Diese Ergebnisse werden auch durch die Berücksichtigung der Ergebnisse von DMARC, DKIM und der Spam-Bewertung bestimmt. Das Überschreiten des SPF-Limits wirkt sich auf die Zustellbarkeit von E-Mails aus, indem es die Wahrscheinlichkeit verringert, dass die E-Mails im primären Posteingang der vorgesehenen Empfänger landen.

Der Validator prüft die SPF-Richtlinie von links nach rechts, und wenn eine Übereinstimmung mit der IP-Adresse des Absenders gefunden wird, stoppt der Prozess. Je nach Absender erreicht ein Validator nun möglicherweise nicht immer das Lookup-Limit, selbst wenn die SPF-Richtlinie mehr als 10 Lookups zur vollständigen Bewertung erfordert. Dies führt zu Schwierigkeiten bei der Identifizierung von SPF-Datensatz-Limit-bezogenen E-Mail-Zustellbarkeitsproblemen. 

Wie lässt sich die Anzahl der erforderlichen Suchvorgänge reduzieren?

Für einige Domänenbesitzer ist es schwierig, die SPF-Grenze von 10 Abfragen einzuhalten, da sich die Gewohnheiten beim E-Mail-Austausch seit 2006 (dem Zeitpunkt der Einführung von RFC4408) erheblich geändert haben. Heute nutzen Unternehmen mehrere Cloud-basierte Programme und Dienste mit einer einzigen Domäne. Im Folgenden finden Sie einige Möglichkeiten, wie Sie diese übliche SPF-Beschränkung überwinden können.

  • Ungenutzte Dienste entfernen

Prüfen Sie Ihren SF-Datensatz und schauen Sie, ob es ungenutzte oder nicht angeforderte Dienste gibt. Prüfen Sie, ob die 'einschließen' oder andere Mechanismen, die Domains von nicht mehr genutzten Diensten anzeigen.

  • Entfernen Sie die Standard-SPF-Werte

Die Standard-SPF-Richtlinie ist normalerweise auf 'v=spf1 a mx'.. Da die meisten A- und AAAA-Einträge für Webserver verwendet werden, die möglicherweise keine E-Mails versenden, ist der 'a' und 'mx' Mechanismus nicht erforderlich.

  • Vermeiden Sie die Verwendung der ptr Mechanismus

Die ptr Mechanismus wird aufgrund der schwachen Sicherheit und Unzuverlässigkeit dringend abgeraten. Der Mechanismus verursacht das SPF-Limitproblem, da er mehr Suchvorgänge erfordert. Daher sollte er so weit wie möglich vermieden werden.

  • Vermeiden Sie die Verwendung des mx Mechanismus

Die mx Mechanismus wird für den Empfang von E-Mails verwendet, nicht unbedingt für deren Versand. Deshalb können Sie es vermeiden, ihn zu verwenden, um das Limit für SPF-Einträge bei Lookups einzuhalten. Wenn Sie einen Cloud-basierten E-Mail-Dienst nutzen, verwenden Sie den 'include' Mechanismus.

  • IPv6 oder IPv4 verwenden 

IPv4 und IPv6 benötigen keine zusätzlichen Nachforschungen, was bedeutet, dass sie Ihnen helfen, die SPF-Grenze von maximal 10 Nachforschungen nicht zu überschreiten. Allerdings müssen Sie die beiden Mechanismen regelmäßig aktualisieren und pflegen, da sie anfälliger für Fehler sind, wenn sie nicht überholt werden.

  • SPF-Datensätze nicht platt machen

In einigen Quellen wird behauptet, dass der Ruf der Domäne umso besser ist, je flacher (oder kürzer) die SPF-Richtlinie ist. Sie empfehlen diese Methode, um die Grenzen des SPF-Eintrags bei Suchvorgängen einzuhalten. Von einer Verflachung wird jedoch abgeraten, da sie Ihren Eintrag fehleranfälliger macht und regelmäßige Aktualisierungen erforderlich macht. 

Die Rolle von DMARC bei der Überwindung von SPF-Beschränkungen

DMARC löst die SPF-Beschränkung der von Menschen lesbaren Absenderadresse, indem es eine Übereinstimmung oder einen Abgleich zwischen dem von Menschen lesbaren Absenderfeld und dem durch SPF authentifizierten Server verlangt.

Wenn also eine E-Mail die SPF-Prüfungen besteht, aber die Domäne nicht mit der Absenderadresse übereinstimmt, setzt DMARC diese Authentifizierung außer Kraft. Das bedeutet, dass die E-Mail die Authentifizierungsprüfung nicht besteht.

Wie hilft SPF-Record-Flattening dabei, das Limit von 10 DNS-Lookups zu überwinden?

SPF-Datensatz-Verflachung ist eine Technik zur Optimierung von SPF-Datensätzen (Sender Policy Framework), um das Limit von 10 DNS-Abfragen für SPF zu überwinden. Die 10-DNS-Lookup-Grenze ist eine von vielen DNS-Resolvern auferlegte Beschränkung, die die Anzahl der DNS-Abfragen begrenzt, die bei der Überprüfung eines SPF-Eintrags für eine Domäne durchgeführt werden können.

Wenn eine E-Mail empfangen wird, fragt der Mailserver des Empfängers den DNS der Domäne des Absenders nach dessen SPF-Eintrag ab, um zu überprüfen, ob der Absender berechtigt ist, E-Mails von dieser Domäne zu senden. Wenn der SPF-Eintrag jedoch viele verschachtelte Includes enthält, kann er schnell die Grenze von 10 DNS-Abfragen überschreiten, was zu SPF-Verifizierungsfehlern und falsch-positiven Spam-Erkennungen führt.

Um diese Einschränkung zu überwinden, wird das SPF Record Flattening verwendet. SPF-Record Flattening ist eine Technik, die alle verschachtelten Include-Anweisungen in einem SPF-Record durch die entsprechenden IP-Adressen oder CIDR-Bereiche ersetzt. Dadurch verringert sich die Anzahl der DNS-Abfragen, die zur Überprüfung des SPF-Eintrags erforderlich sind, da nicht mehr jede eingeschlossene Domäne einzeln abgefragt wird.

Durch die Verflachung des SPF-Datensatzes wird die Anzahl der DNS-Abfragen, die zur Überprüfung des SPF-Datensatzes erforderlich sind, erheblich reduziert, so dass E-Mail-Nachrichten die SPF-Überprüfung auch dann bestehen, wenn der ursprüngliche Datensatz mehr als 10 DNS-Abfragen hatte. Diese Technik verringert auch das Risiko von SPF-Eintragsvalidierungsfehlern aufgrund von DNS-Abfragezeitüberschreitungen oder vorübergehenden DNS-Serverproblemen.

Herausforderungen bei der Implementierung von SPF in großen Unternehmen

SPF hat die Beschränkung auf maximal 10 Lookups erzwungen, um DoS- und DDoS-Angriffe. Leider können sich diese Abfragen sehr schnell summieren, insbesondere in großen Unternehmen. Früher haben die Unternehmen ihre eigenen Mailserver betrieben, aber jetzt verwenden sie Absender von Drittanbietern. Dies stellt ein Problem dar, da jeder von ihnen bis zu 3 oder 4 Server in Anspruch nehmen kann und man sehr schnell an die Grenze stößt.

SPF-Grenzwert

  • Über
  • Neueste Beiträge
Ahona Rudra
Manager für digitales Marketing und Inhaltserstellung bei PowerDMARC
Ahona arbeitet als Digital Marketing and Content Writer Manager bei PowerDMARC. Sie ist eine leidenschaftliche Autorin, Bloggerin und Marketingspezialistin für Cybersicherheit und Informationstechnologie.
Neueste Beiträge von Ahona Rudra (alle anzeigen)
  • Wie plant man einen reibungslosen Übergang von DMARC None zu DMARC Reject? - Mai 26, 2023
  • Wie prüft man die Gesundheit seiner Domain? - Mai 26, 2023
  • Warum sollte sich Microsoft für BIMI entscheiden? - 25. Mai 2023
27. Februar 2023/von Ahona Rudra
Tags: SPF-Grenze, SPF-Beschränkungen, SPF-Grenzen, SPF-Datensatzgrenze, SPF-Datensatzbeschränkungen, SPF-Datensatzgrenzen
Diesen Eintrag teilen
  • Auf Facebook teilen
  • Auf Twitter teilen
  • Auf WhatsApp teilen
  • Auf LinkedIn teilen
  • Teilen per Mail
Das könnte Sie auch interessieren
spf optimierung blogWie optimiert man den SPF-Eintrag?
SPF-GrenzwertWie lässt sich die Meldung "SPF überschreitet die maximale Zeichenanzahl" beheben?

Sichern Sie Ihre E-Mail

Stoppen Sie E-Mail-Spoofing und verbessern Sie die Zustellbarkeit von E-Mails

15 Tage kostenlos testen!


Kategorien

  • Blogs
  • Nachrichten
  • Pressemeldungen

Neueste Blogs

  • Wie man einen reibungslosen Übergang von DMARC none zu DMARC reject plant
    Wie plant man einen reibungslosen Übergang von DMARC None zu DMARC Reject?Mai 26, 2023 - 5:00 pm
  • Wie man den Zustand der Domäne überprüft
    Wie prüft man die Gesundheit seiner Domain?Mai 26, 2023 - 5:00 pm
  • Warum-sollte-Microsoft-BIMI-unterstützen
    Warum sollte sich Microsoft für BIMI entscheiden?Mai 25, 2023 - 6:00 pm
  • Cybersecurity Control Audits - Was ist das und warum ist es wichtig?
    Audits der Cybersicherheitskontrolle: Was ist das und warum ist es wichtig?Mai 25, 2023 - 5:28 pm
Logo Fußzeile powerdmarc
SOC2 GDPR PowerDMARC GDPR-konform Crown Commercial Service
global cyber alliance zertifiziert powerdmarc csa

Wissen

Was ist E-Mail-Authentifizierung?
Was ist DMARC?
Was ist eine DMARC-Richtlinie?
Was ist SPF?
Was ist DKIM?
Was ist BIMI?
Was ist MTA-STS?
Was ist TLS-RPT?
Was ist RUA?
Was ist RUF?
AntiSpam gegenüber DMARC
DMARC-Ausrichtung
DMARC-Einhaltung
DMARC-Durchsetzung
BIMI-Implementierungsleitfaden
Permerror
MTA-STS & TLS-RPT Implementierungsleitfaden

Werkzeuge

Kostenloser DMARC-Datensatz-Generator
Kostenloser DMARC-Datensatz-Prüfer
Kostenloser SPF-Datensatz-Generator
Kostenloses SPF Record Lookup
Kostenloser DKIM-Record-Generator
Kostenlose DKIM-Record-Suche
Kostenloser BIMI-Record-Generator
Kostenlose BIMI-Record-Suche
Kostenlose FCrDNS-Record-Suche
Kostenloses TLS-RPT-Datensatz-Prüfprogramm
Kostenloses MTA-STS-Record-Prüfprogramm
Freier TLS-RPT Datensatz-Generator

Produkt

Produkt-Tour
Merkmale
PowerSPF
PowerBIMI
PowerMTA-STS
PowerTLS-RPT
PowerAlerts
API-Dokumentation
Verwaltete Dienste
Schutz vor E-Mail-Spoofing
Markenschutz
Anti-Phishing
DMARC für Office365
DMARC für Google Mail GSuite
DMARC für Zimbra
Kostenlose DMARC-Schulung

Versuchen Sie uns

Kontakt
Kostenlose Testversion
Demo buchen
Partnerschaft
Preisgestaltung
HÄUFIG GESTELLTE FRAGEN
Unterstützung
Blog
Veranstaltungen
Feature-Anfrage
Änderungsprotokoll
System-Status

  • English
  • Français
  • Dansk
  • Nederlands
  • Русский
  • Polski
  • Español
  • Italiano
  • 日本語
  • 中文 (简体)
  • Português
  • Norsk
  • Svenska
  • 한국어
PowerDMARC ist eine eingetragene Marke.
  • Twitter
  • Youtube
  • LinkedIn
  • Facebook
  • Instagram
  • Kontakt
  • Bedingungen und Konditionen
  • Datenschutzrichtlinie
  • Cookie-Richtlinie
  • Sicherheitspolitik
  • Compliance
  • GDPR-Hinweis
  • Sitemap
Wie gibt man TXT-Werte in Google Cloud DNS ein?So geben Sie TXT-Werte in Google Cloud DNS einWas ist Malware-as-a-Service MaaSMalware-as-a-Service (MaaS): Was ist das und wie kann man es verhindern?
Nach oben blättern