Verstehen der Grenzen von SPF bei der E-Mail-Authentifizierung

Sender Policy Framework oder SPF reicht nicht aus, wenn es darum geht, Unternehmens-E-Mails vor Phishing und Spamming Angriffen. Die SPF-Beschränkung der maximalen Anzahl von DNS-Lookups und die Nichtübereinstimmung von Absenderadresse und Domäne führen zu Implementierungsfehlern und damit zu Problemen bei der Zustellung von E-Mails. In diesem Blog werden diese Probleme erörtert und wie DMARC hilft, diese SPF-Einschränkungen zu überwinden.

Was sind die SPF-Einschränkungen?

Es gibt 2 wichtige SPF-Grenzen, die die Implementierung und Pflege erschweren. 

1. Die SPF 10-Lookup-Grenze

Wenn ein Benutzer den DNS-Server abfragt, werden dessen Validator-Ressourcen wie Bandbreite, Zeit, CPU und Speicher in Anspruch genommen. Um eine Belastung des Validators zu vermeiden, gibt es ein SPF-Limit von 10 zusätzlichen Abfragen. Die DNS-Abfrage für den SPF-Richtliniendatensatz selbst wird jedoch nicht auf dieses Limit angerechnet.

Gemäß RFC7208 Abschnitt 4.6.4sollte der Mailserver des Empfängers nicht mehr weiterarbeiten, wenn die 10-Lookup-Grenze erreicht ist. In einem solchen Fall lehnt die E-Mail die SPF-Validierung mit einem Permerror-Fehler ab. SPF Permerror ist eine der Meldungen, die häufig im SPF-Implementierungsprozess auftreten. Er führt dazu, dass E-Mails nicht zugestellt werden und tritt auf, wenn mehrere SPF-Datensätze auf einer Domäne vorhanden sind, ein Syntaxfehler auftaucht oder die SPF-Datensatzgrenzen überschritten werden.

Sie können den kostenlosen SPF-Datensatz-Prüfung Tool verwenden, um diesen Fehler zu beheben und einen sicheren E-Mail-Verkehr zu gewährleisten.

Außerdem ist laut RFC eine DNS-Abfrage eines Hostnamens, der in einem MX-Eintrag nicht mehr als 10 A-Einträge oder AAAA-Einträge erzeugen. Wenn eine DNS-PTR-Abfrage mehr als 10 Ergebnisse liefert, werden nur die ersten 10 Ergebnisse angezeigt und verwendet.

2. Die von Menschen lesbare Absenderadresse

Die zweite SPF-Beschränkung besteht darin, dass SPF-Einträge für bestimmte Return-Path-Domänen gelten und nicht für die Absenderadresse. Die Empfänger achten im Allgemeinen nicht auf die Return-Path-Adresse und konzentrieren sich nur auf die Absenderadresse, wenn sie eine E-Mail öffnen. Hacker nutzen dieses Schlupfloch für Phishing-Angriffe, indem sie die Absenderadresse fälschen.

Der Einfluss der SPF-Eintragsgröße auf die E-Mail-Zustellung

Wenn ein Empfänger das SPF-Datensatzlimit überschreitet, schlägt er die SPF-Prüfungen fehl und es tritt ein Permerror auf. Sie können diesen Fehler bei der Verwendung der DMARC-Überwachung beobachten. Der Empfänger kann wählen, wie er mit E-Mails mit Permerror-Fehlern umgehen möchte. Er kann wählen, dass der Eintrag zurückgewiesen wird, was bedeutet, dass die E-Mail zurückgeschickt wird. Einige Empfänger konfigurieren es so, dass ein "neutrales" SPF-Ergebnis angezeigt wird (als ob kein SPF verwendet würde). Sie können auch "fail" oder "softfail" wählen, was bedeutet, dass E-Mails, die die SPF-Authentifizierungsprüfungen nicht bestehen, nicht zurückgewiesen werden, sondern im Spam-Ordner landen. 

Diese Ergebnisse werden auch durch die Berücksichtigung der Ergebnisse von DMARC, DKIM und der Spam-Bewertung bestimmt. Das Überschreiten des SPF-Limits wirkt sich auf die Zustellbarkeit von E-Mails aus, indem es die Wahrscheinlichkeit verringert, dass die E-Mails im primären Posteingang der vorgesehenen Empfänger landen.

Der Validator prüft die SPF-Richtlinie von links nach rechts, und wenn eine Übereinstimmung mit der IP-Adresse des Absenders gefunden wird, stoppt der Prozess. Je nach Absender erreicht ein Validator nun möglicherweise nicht immer das Lookup-Limit, selbst wenn die SPF-Richtlinie mehr als 10 Lookups zur vollständigen Bewertung erfordert. Dies führt zu Schwierigkeiten bei der Identifizierung von SPF-Datensatz-Limit-bezogenen E-Mail-Zustellbarkeitsproblemen. 

Wie lässt sich die Anzahl der erforderlichen Suchvorgänge reduzieren?

Für einige Domänenbesitzer ist es schwierig, die SPF-Grenze von 10 Abfragen einzuhalten, da sich die Gewohnheiten beim E-Mail-Austausch seit 2006 (dem Zeitpunkt der Einführung von RFC4408) erheblich geändert haben. Heute nutzen Unternehmen mehrere Cloud-basierte Programme und Dienste mit einer einzigen Domäne. Im Folgenden finden Sie einige Möglichkeiten, wie Sie diese übliche SPF-Beschränkung überwinden können.

• Ungenutzte Dienste entfernen

Prüfen Sie Ihren SF-Datensatz und schauen Sie, ob es ungenutzte oder nicht angeforderte Dienste gibt. Prüfen Sie, ob die 'einschließen' oder andere Mechanismen, die Domains von nicht mehr genutzten Diensten anzeigen.

• Entfernen Sie die Standard-SPF-Werte

Die Standard-SPF-Richtlinie ist normalerweise auf 'v=spf1 a mx'.. Da die meisten A- und AAAA-Einträge für Webserver verwendet werden, die möglicherweise keine E-Mails versenden, ist der 'a' und 'mx' Mechanismus nicht erforderlich.

• Vermeiden Sie die Verwendung der ptr Mechanismus

Die ptr Mechanismus wird aufgrund der schwachen Sicherheit und Unzuverlässigkeit dringend abgeraten. Der Mechanismus verursacht das SPF-Limitproblem, da er mehr Suchvorgänge erfordert. Daher sollte er so weit wie möglich vermieden werden.

• Vermeiden Sie die Verwendung des mx Mechanismus

Die mx Mechanismus wird für den Empfang von E-Mails verwendet, nicht unbedingt für deren Versand. Deshalb können Sie es vermeiden, ihn zu verwenden, um das Limit für SPF-Einträge bei Lookups einzuhalten. Wenn Sie einen Cloud-basierten E-Mail-Dienst nutzen, verwenden Sie den 'include' Mechanismus.

• IPv6 oder IPv4 verwenden 

IPv4 und IPv6 benötigen keine zusätzlichen Nachforschungen, was bedeutet, dass sie Ihnen helfen, die SPF-Grenze von maximal 10 Nachforschungen nicht zu überschreiten. Allerdings müssen Sie die beiden Mechanismen regelmäßig aktualisieren und pflegen, da sie anfälliger für Fehler sind, wenn sie nicht überholt werden.

• SPF-Datensätze nicht platt machen

In einigen Quellen wird behauptet, dass der Ruf der Domäne umso besser ist, je flacher (oder kürzer) die SPF-Richtlinie ist. Sie empfehlen diese Methode, um die Grenzen des SPF-Eintrags bei Suchvorgängen einzuhalten. Von einer Verflachung wird jedoch abgeraten, da sie Ihren Eintrag fehleranfälliger macht und regelmäßige Aktualisierungen erforderlich macht. 

Die Rolle von DMARC bei der Überwindung von SPF-Beschränkungen

DMARC löst die SPF-Beschränkung der von Menschen lesbaren Absenderadresse, indem es eine Übereinstimmung oder einen Abgleich zwischen dem von Menschen lesbaren Absenderfeld und dem durch SPF authentifizierten Server verlangt.

Wenn also eine E-Mail die SPF-Prüfungen besteht, aber die Domäne nicht mit der Absenderadresse übereinstimmt, setzt DMARC diese Authentifizierung außer Kraft. Das bedeutet, dass die E-Mail die Authentifizierungsprüfung nicht besteht.

Wie hilft SPF-Record-Flattening dabei, das Limit von 10 DNS-Lookups zu überwinden?

SPF-Datensatz-Verflachung ist eine Technik zur Optimierung von SPF-Datensätzen (Sender Policy Framework), um das Limit von 10 DNS-Abfragen für SPF zu überwinden. Die 10-DNS-Lookup-Grenze ist eine von vielen DNS-Resolvern auferlegte Beschränkung, die die Anzahl der DNS-Abfragen begrenzt, die bei der Überprüfung eines SPF-Eintrags für eine Domäne durchgeführt werden können.

Wenn eine E-Mail empfangen wird, fragt der Mailserver des Empfängers den DNS der Domäne des Absenders nach dessen SPF-Eintrag ab, um zu überprüfen, ob der Absender berechtigt ist, E-Mails von dieser Domäne zu senden. Wenn der SPF-Eintrag jedoch viele verschachtelte Includes enthält, kann er schnell die Grenze von 10 DNS-Abfragen überschreiten, was zu SPF-Verifizierungsfehlern und falsch-positiven Spam-Erkennungen führt.

Um diese Einschränkung zu überwinden, wird das SPF Record Flattening verwendet. SPF-Record Flattening ist eine Technik, die alle verschachtelten Include-Anweisungen in einem SPF-Record durch die entsprechenden IP-Adressen oder CIDR-Bereiche ersetzt. Dadurch verringert sich die Anzahl der DNS-Abfragen, die zur Überprüfung des SPF-Eintrags erforderlich sind, da nicht mehr jede eingeschlossene Domäne einzeln abgefragt wird.

Durch die Verflachung des SPF-Datensatzes wird die Anzahl der DNS-Abfragen, die zur Überprüfung des SPF-Datensatzes erforderlich sind, erheblich reduziert, so dass E-Mail-Nachrichten die SPF-Überprüfung auch dann bestehen, wenn der ursprüngliche Datensatz mehr als 10 DNS-Abfragen hatte. Diese Technik verringert auch das Risiko von SPF-Eintragsvalidierungsfehlern aufgrund von DNS-Abfragezeitüberschreitungen oder vorübergehenden DNS-Serverproblemen.

Herausforderungen bei der Implementierung von SPF in großen Unternehmen

SPF hat die Beschränkung auf maximal 10 Lookups erzwungen, um DoS- und DDoS-Angriffe. Leider können sich diese Abfragen sehr schnell summieren, insbesondere in großen Unternehmen. Früher haben die Unternehmen ihre eigenen Mailserver betrieben, aber jetzt verwenden sie Absender von Drittanbietern. Dies stellt ein Problem dar, da jeder von ihnen bis zu 3 oder 4 Server in Anspruch nehmen kann und man sehr schnell an die Grenze stößt.

• Über
• Neueste Beiträge

Ahona Rudra

Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.

Neueste Beiträge von Ahona Rudra (alle anzeigen)

• Wie finden Sie den besten DMARC-Lösungsanbieter für Ihr Unternehmen? - April 25, 2024
• PowerDMARC und Zendata schmieden Partnerschaft zur Verbesserung der Domain-Sicherheit - 25. April 2024
• PowerDMARC kooperiert mit CNS, um E-Mail-Sicherheitspraktiken im Nahen Osten voranzutreiben - April 24, 2024