SPF-Makros - Alles, was Sie wissen müssen

von

Zuletzt aktualisiert:
7 Lesezeit: 7 Minuten
SPF-Makros - Alles, was Sie wissen müssen

SPF-Makros sind Zeichensequenzen, die zur Vereinfachung eines SPF-Datensatzes verwendet werden können, indem sie die in diesem DNS-Datensatz definierten Mechanismen ersetzen.

Wichtigste Erkenntnisse

  1. SPF-Makros ermöglichen dynamischere und skalierbarere SPF-Einträge, die die E-Mail-Authentifizierung für Domänenbesitzer erleichtern.
  2. Makros in SPF reduzieren die Länge und Komplexität von SPF-Einträgen und tragen dazu bei, dass die DNS-Längengrenze nicht überschritten wird.
  3. Unternehmen mit Multi-Domain-Infrastrukturen können von der Flexibilität und Optimierung profitieren, die SPF-Makros bieten.
  4. Die Verwendung von SPF-Makros kann dazu beitragen, Probleme im Zusammenhang mit DNS und ungültigen Suchvorgängen zu entschärfen, was zu besseren E-Mail-Zustellungsraten führt.
  5. Ideal für Unternehmen, die mehrere Domänen oder komplexe E-Mail-Infrastrukturen verwalten.
  6. PowerSPF nutzt SPF-Makros, um die Flexibilität und Effizienz der SPF-Datensatzverwaltung zu verbessern.

SPF-Makros sind eine effektive und wichtige Funktion des Sender Policy Framework, die verwendet wird, wenn Domänenbesitzer einen dynamischeren und skalierbaren SPF-Eintrag für die Authentifizierung ihrer E-Mail-Domänen benötigen. Die SPF-Makrofunktion ist ein Teil der SPF-Datensatz-SyntaxDie SPF-Makros definieren Zeichensequenzen, die durch Metadaten aus einzelnen E-Mails ersetzt werden, die eine SPF-Validierung erfordern. Dies wiederum hilft bei der Erstellung vereinfachter SPF-Datensätze, wodurch die Erstellung langer und komplizierter SPF-Datensätze vermieden wird.

Im Gegensatz zu herkömmlichen Lösungen bietet PowerSPF automatisierte Makro-Unterstützung, Echtzeit -SPF-Flattening und dedizierte Expertenberatung, auf die weltweit mehr als 2000 Organisationen vertrauen.

Um mehr zu erfahren, können Sie das offizielle IETF-Dokument.

Was sind SPF-Makros?

SPF-Makros sind Zeichenfolgen, mit denen Sie die Konfiguration Ihres SPF-Eintrags vereinfachen können, indem Sie die in diesem SPF definierten Mechanismen ersetzen DNS-TXT-Eintragdefinierten Mechanismen ersetzen, wie unter RFC 7208, Abschnitt 7erläutert.

SPF-Einträge sind meist einfach, und Anweisungen für die Server der Empfänger bezüglich der Behandlung unzulässiger E-Mails, die von Ihrer Domäne kommen, können mit SPF-Mechanismen, Qualifizierern und Modifikatoren festgelegt werden. Es gibt jedoch bestimmte Situationen, in denen SPF-Mechanismen nicht ausreichen und SPF-Makros ins Spiel gebracht werden müssen. 

SPF-Makros werden durch ein Prozentzeichen (%) dargestellt und bestehen aus einer Kombination aus zwei oder mehr Buchstaben, Modifikatoren und Trennzeichen. Während des SPF-Authentifizierungsprozesses werden die SPF-Makros ausgewertet und durch ihre entsprechenden Werte ersetzt.

Beispielsweise bezeichnen %s und %d die Adresse des Absenders bzw. den Domänennamen, der mit der geprüften Identität verknüpft ist. 

Modifikatoren wie r, l oder o werden angewendet, um bestimmte Elemente der Adresse oder des Bereichs zu extrahieren, und Trennzeichen wie - oder . helfen, verschiedene Elemente innerhalb des Makros zu trennen.

Die Rolle von SMTP in SPF-Makros verstehen

Um SPF-Makros vollständig zu verstehen, muss man wissen, wie sie mit SMTP (Simple Mail Transfer Protocol) interagieren, dem grundlegenden Protokoll für die E-Mail-Übertragung.

SMTP-Variablen in SPF-Makros

  • Sender IP Address: Retrieved from the SMTP connection (%{i} macro)
  • HELO/EHLO Hostname: Captured during SMTP handshake (%{h} macro)
  • Envelope Sender: From the MAIL FROM command (%{s} macro)
  • Domain Information: Extracted from various SMTP headers (%{d} macro)

Dieser dynamische Ansatz ermöglicht es SPF-Makros, Absenderquellen in Echtzeit auf der Grundlage tatsächlicher SMTP-Transaktionsdaten zu validieren, was sie besonders wertvoll für Unternehmen mit komplexen E-Mail-Infrastrukturen macht.

Hier erfahren Sie, warum mehr als 10.000 Kunden der Plattform von PowerDMARC vertrauen

  • Deutlicher Rückgang von Spoofing-Versuchen und unerwünschten E-Mails durch KI-gestützte Bedrohungsinformationen
  • Schnellere Einarbeitung + automatisierte Authentifizierungsverwaltung, die IT-Teams viel Zeit spart
  • Echtzeit-Bedrohungsinformationen und PGP-verschlüsselte Berichterstattung domänenübergreifend
  • Bessere E-Mail-Zustellungsraten dank strikter DMARC-Durchsetzung unter fachkundiger Anleitung

Die ersten 15 Tage gehen auf unsere Kosten.

Kostenlose Testversion starten

Arten von SPF-Makros

SPF-Makros werden durch verschiedene einzelne Buchstaben oder Zeichen bezeichnet, die von geschweiften Klammern { } umschlossen sind und denen ein Prozentzeichen (%) vorangestellt ist, das sich auf bestimmte Mechanismen in Ihrem SPF-Eintrag bezieht. Hier sind die wichtigsten Makros.

MakroSyntaxBedeutungBeispiel
%{s}%{s}E-Mail-Adresse des Absenders[email protected]
%{l}%{l}Lokaler Teil des AbsendersMarkierung
%{o}%{o}Domäne des AbsendersBeispiel.com
%{d}%{d}Autoritative sendende DomäneBeispiel.com
%{i}%{i}IP-Adresse des Absenders192.168.1.100
%{h}%{h}HELO/EHLO-Hostnamemail.beispiel.com

Es gibt noch viele weitere Makros, die in Ihrem Datensatz angegeben werden können, wir haben jedoch einige gängige aufgeführt.

Wie funktionieren SPF-Makros?

Mit SPF-Makros können Domänenbesitzer Verweise auf bestimmte Mechanismen in ihrem SPF-Datensatz angeben und so diese Mechanismen ersetzen. Bei einer DNS-Abfrage durch den empfangenden MTA werden die Verweise dann verwendet, um die Mechanismen zu extrahieren und Ihren Eintrag zu erweitern, was dazu beiträgt, besser verwaltbare und anpassbare SPF-Einträge zu erstellen.

Nachstehend ein Beispiel für Makros, die in einem SPF-Datensatz verwendet werden.

“v=spf1 include:%{i}_.%{d}._spf.powerdmarc.com ~all”

  • Hier werden die include: Mechanismus enthält die SPF-Makros.
  • Es gibt zwei SPF-Makros, die jeweils durch eine Zeichenfolge aus Prozentzeichen, linker geschweifter Klammer, Makrobuchstabe und rechter geschweifter Klammer dargestellt werden. Im obigen Beispiel steht %{i} für die IP-Adresse des Absenders und %{d} für die Absenderdomäne aus dem Befehl "MAIL FROM".
  • Wenn man davon ausgeht, dass die IP-Adresse 192.168.1.100 die IP-Adresse der sendenden Domäne ist, leitet der empfangende Server eine DNS-Abfrage ein, um den SPF-DNS-Eintrag der Domäne nachzuschlagen, wenn eine E-Mail von dieser IP-Adresse gesendet wird
  • Sobald der Empfänger den SPF-Datensatz der sendenden Domäne nachschlägt, stößt er auf SPF-Makros, die anschließend durch die entsprechenden Werte ersetzt werden.
  • Dieser erweiterte SPF-Datensatz wird dann untersucht, um festzustellen, ob die E-Mail die SPF-Validierung besteht oder die Prüfung nicht besteht. 

Wann werden Makros in Ihrem SPF-Eintrag verwendet?

SPF-Makros können je nach den Bedürfnissen von Domänenbesitzern in verschiedenen Szenarien eingesetzt werden. Sie können nützlich sein, wenn Sie eine komplexe E-Mail-Authentifizierungsinfrastruktur vereinfachen, mehrere E-Mail-Bearbeitungsdienste von Drittanbietern verwenden oder einfach die Größe Ihres SPF-Eintrags reduzieren möchten.

Im Folgenden sind einige häufige Fälle aufgeführt, in denen sich SPF-Makros als vorteilhaft erweisen können:

Organisationen mit einer Multi-Domain-Infrastruktur

Unternehmen, die mehrere Domains betreiben, sind die besten Nutzer für SPF-Makros, obwohl sie von Unternehmen jeder Größe verwendet werden können. Makros bieten im Vergleich zu herkömmlichen Flachmethoden wesentlich mehr Flexibilität und eine effektive Optimierung von SPF-Einträgen, um sicherzustellen, dass SPF auch in Umgebungen mit mehreren Domains nahtlos funktioniert. Dadurch entfällt auch die Notwendigkeit, mehrere SPF-Einträgeerstellen.

Für einen Gesundheitsdienstleister, der mehrere Domänen für verschiedene Kliniken verwaltet, optimieren Makros die SPF-Verwaltung im gesamten Netzwerk.

Große E-Mail-Infrastrukturen

Unternehmen mit komplizierten E-Mail-Infrastrukturen müssen möglicherweise eine Reihe von SPF-Mechanismen einbauen, die am besten mit SPF-Makros optimiert werden. Diese Makros bieten eine Möglichkeit, Verweise auf Mechanismen zu definieren, um sicherzustellen, dass der Datensatz nicht zu lang wird und unter den RFC-spezifizierten Länge von 512 Oktetten bleibt.

Dienstleistungen von Drittanbietern

Unternehmen, die mehrere E-Mail-Drittanbieter nutzen, können sich jetzt darauf verlassen, dass SPF nicht verletzt wird, da SPF-Makros eine einfache Optimierung der Drittanbieter-Includes ermöglichen und gleichzeitig sicherstellen, dass Ihr Datensatz die zulässigen Grenzen für DNS und ungültige Lookups nicht überschreitet.

Unternehmen lösen SPF-Herausforderungen mit SPF-Makros

Sie können mehrere SPF-Makros in einen Datensatz einfügen und häufige Probleme beseitigen, die bei manuellen SPF-Prüfungen oder bei der Verwendung eines SPF-Prüfer. Hier ist, was Sie potenziell tun können:

1. Verhindern Sie lange SPF-Einträge, die Temperror verursachen

Wenn Ihr SPF-Eintrag mehrere include: -Anweisungen enthält, kann dies verhindern, dass Ihr Eintrag zu lang wird. Dies ist jedoch keine dauerhafte Lösung. Durch die Verwendung von SPF-Makros in der SPF-Einrichtungkönnen Sie verhindern, dass Ihr Eintrag die von RFC für DNS-TXT-Einträge festgelegte Längenbeschränkung (512 Zeichen) überschreitet.

2. Begrenzung von DNS- und Void-Lookups und Abschwächung von Permerror

Organisationen, die mehrere Drittanbieter-Versandquellen und E-Mail-Anbieter nutzen, neigen dazu, die in RFC festgelegten Suchbeschränkungen für DNS-Abfragen zu überschreiten. Das liegt daran, dass jeder Anbieter mindestens eine oder mehrere Suchanfragen hinzufügt. Dies kann sich summieren und dazu führen, dass Ihr SPF-Eintrag beschädigt wird, was zu einem SPF permerror.

Durch die Verwendung von SPF-Makros zum Hinzufügen von Verweisen auf IP-Adressen oder Domänen dieser externen Anbieter können Sie nicht autorisierte Quellen einschränken und gleichzeitig sicherstellen, dass Sie unter den Abfragegrenzen bleiben.

So testen und beheben Sie Probleme mit SPF-Makros

Das Testen von SPF-Makros ist entscheidend, um sicherzustellen, dass sie in Ihrer E-Mail-Infrastruktur korrekt funktionieren. Hier finden Sie eine Schritt-für-Schritt-Anleitung zur Validierung und Fehlerbehebung Ihrer SPF-Makro-Implementierung.

Schritt-für-Schritt-Checkliste für Tests

  1. Verwenden Sie Online-SPF-Validatoren: Testen Sie Ihren SPF-Eintrag mit Makrosyntax mithilfe von Tools wie dem SPF-Checker von PowerDMARC.
  2. DNS-Lookup-Test: Verwenden Sie Befehlszeilentools wie nslookup oder dig, um die Makroexpansion zu überprüfen.
  3. Test-E-Mails senden: Senden Sie E-Mails aus verschiedenen Quellen und überprüfen Sie die Authentifizierungs-Header.
  4. DMARC-Berichte überwachen: Berichte zu fehlgeschlagenen SPF-Authentifizierungen überprüfen
  5. E-Mail-Header überprüfen: Überprüfen Sie die Authentication-Results-Header auf SPF-Ergebnisse.

Häufige Probleme bei der Fehlerbehebung

  1. Syntaxfehler: Falsche Makroformatierung oder fehlende geschweifte Klammern
  2. DNS-Auflösung: Makroexpansion führt zu nicht existierenden Domänen
  3. Lookup-Limits: Überschreitung des Limits von 10 DNS-Lookups, selbst mit Makros
  4. Zeichenbeschränkungen: Erweiterte Makros, die übermäßig lange DNS-Einträge erstellen
  • PowerDMARC SPF Checker – Umfassende SPF-Validierung
  • Befehlszeilentools: dig, nslookup, host
  • E-Mail-Header-Analysatoren zur Überprüfung der Authentifizierungsergebnisse

Nutzen Sie die Vorteile von Makros in Ihrem SPF-Setup mit PowerSPF

SPF-Makros werden von MTAs umfassend unterstützt, um Dynamik und Skalierbarkeit in Bezug auf SPF-Authentifizierung, Datensatzerstellung und -verwaltung zu ermöglichen. PowerSPF integriert SPF-Makros nahtlos, sodass unsere Kunden können SPF-Datensätze Datensätze mit verbesserter Flexibilität erstellen können. 

Warum reicht es nicht aus, Ihren SPF-Eintrag zu reduzieren?

Die traditionelle SPF-Flattening-Verfahren hat sich in den meisten Fällen bei kleinen bis mittelgroßen Unternehmen mit einfacheren Strukturen und weniger SPF-Mechanismen als wirksam erwiesen. Mit zunehmender Anzahl von Mechanismen kann es jedoch zunehmend schwieriger werden, was zu folgenden ungünstigen Situationen führen kann: 

  • Die Anzahl der DNS-Lookups kann bis zu 10 betragen.
  • Die Länge des letzten DNS-Eintrags kann 512 Zeichen überschreiten (maximal zulässige Größe für TXT-DNS-Eintrag)
  • Autorisierte IPs und Sendequellen sind öffentlich sichtbar, was Bedenken hinsichtlich des Datenschutzes aufwirft

SPF-Makros - eine bessere Herangehensweise

Makros in SPF wurden mit Blick auf Unternehmen mit komplexen SPF-Setups entwickelt, sind aber auch für kleine und mittlere Organisationen gleichermaßen effektiv. Sie helfen Ihnen, Ihre Datensätze zu optimieren und effizienter zu verwalten als mit dem typischen Flattening-Ansatz. So geht's: 

  • Makros in SPF begrenzen Ihre DNS- und Void-Lookups so, dass sie unter den Höchstgrenzen von 10 bzw. 2 bleiben 
  • Es behält die Zeichenlänge Ihres Datensatzes bei und stellt sicher, dass diese die Grenze von 512 Zeichen nicht überschreitet.
  • Zugelassene IPs und Sendequellen werden durch Charakterreferenzen ersetzt, wodurch sie vor der Öffentlichkeit verborgen werden 

SPF-Abflachung vs. SPF-Makros

Erster SPF-Eintrag (5 Abfragen)SPF-Makros (1 Nachschlag)SPF-Abflachung (2 Suchvorgänge)
v=spf1 include:_spf.google.com include:zcsend.net -allv=spf1 exists:%{i}.abcde12345.macrospf.powerspf.com -allabcde12345.powerspf.com:
v=spf1 ip6:2c0f:fb50:4000::/36 ip6:2a00:1450:4000::/36 ip6:2800:3f0:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2404:6800:4000::/36 ip6:2001:4860:4000::/36 ip4:74.125.0.0/16 ip4:35.191.0.0/16 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:72.14.192.0/18 ip4:64.233.160.0/19 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ip4:172.217.192.0/19 ip4:172.217.128.0/19 ip4:172.217.0.0/19 ip4:108.177.96.0/19 ip4:66.249.80.0/20 ip4:66.102.0.0/20 ip4:172.253.112.0/20 ip4:172.217.32.0/20 include:_s1.abcde12345.powerspf.com -all
_s1.abcde12345.powerspf.com:
v=spf1 ip4:172.217.160.0/20 ip4:172.253.56.0/21 ip4:108.177.8.0/21 ip4:130.211.0.0/22 ip4:136.143.160.0/23 ip4:135.84.82.0/23 ip4:35.190.247.0/24 ip4:165.173.128.0/24 ip4:135.84.81.0/24 -all

Wann sollten SPF-Makros und wann SPF-Flattening verwendet werden?

  • Verwenden Sie SPF-Makros, wenn: Sie über komplexe, dynamische E-Mail-Infrastrukturen verfügen oder Datenschutz für autorisierte Quellen benötigen.
  • Verwenden Sie SPF Flattening, wenn: Sie einfachere Konfigurationen mit statischen IP-Bereichen und weniger Drittanbieterdiensten haben.
  • Hybridansatz: Kombinieren Sie beide Methoden für optimale Ergebnisse in Unternehmensumgebungen.

Zusammenfassung & nächste Schritte

SPF-Makros bieten eine leistungsstarke Lösung für Unternehmen mit komplexen E-Mail-Infrastrukturen und ermöglichen eine dynamische Authentifizierung, die sich an Ihre geschäftlichen Anforderungen anpassen lässt.

Wichtige Maßnahmen:

  • Bewerten Sie Ihre aktuelle SPF-Konfiguration hinsichtlich Komplexität und Suchbeschränkungen.
  • Testen Sie Ihre SPF-Einträge mit den Validierungstools von PowerDMARC.
  • Erwägen Sie die Implementierung von SPF-Makros für Umgebungen mit mehreren Domänen.
  • Überwachen Sie DMARC-Berichte, um die Leistung der SPF-Authentifizierung zu verfolgen.
  • Starten Sie Ihre kostenlose Testversion, um die automatisierte SPF-Makroverwaltung kennenzulernen.

Erleben Sie den Unterschied von PowerDMARC – kontaktieren Sie uns für eine persönliche Demo mit einem erfahrenen Experten für Domain- und E-Mail-Sicherheit

Häufig gestellte Fragen

1. Was ist ein SPF-Makro?

Ein SPF-Makro ist eine Zeichenfolge in einem SPF-Eintrag, die während der E-Mail-Authentifizierung dynamisch durch tatsächliche Werte ersetzt wird. Makros verwenden Variablen wie %{i} für die IP-Adresse oder %{d} für die Domain, um flexible, skalierbare SPF-Einträge zu erstellen, die sich an verschiedene Sendeszenarien anpassen.

2. Ist TXT dasselbe wie SPF?

Nein, TXT ist ein DNS-Eintragstyp, während SPF ein E-Mail-Authentifizierungsprotokoll ist. SPF-Einträge werden als TXT-Einträge im DNS veröffentlicht, aber nicht alle TXT-Einträge enthalten SPF-Informationen. SPF-Einträge beginnen immer mit „v=spf1“, um sie als SPF-Richtlinien zu kennzeichnen.

3. Wie kann ich überprüfen, ob meine SPF-Makros funktionieren?

Sie können SPF-Makros testen, indem Sie Online-SPF-Validatoren verwenden, Test-E-Mails versenden und Authentifizierungs-Header überprüfen, DMARC-Berichte auf SPF-Ergebnisse überwachen und DNS-Lookup-Tools zur Überprüfung der Makroerweiterung verwenden. Das SPF-Prüftool von PowerDMARC kann die Makrosyntax und -funktionalität validieren.