SPF-Makros sind eine effektive und wichtige Funktion des Sender Policy Framework, die verwendet wird, wenn Domänenbesitzer einen dynamischeren und skalierbaren SPF-Eintrag für die Authentifizierung ihrer E-Mail-Domänen benötigen. Die SPF-Makrofunktion ist ein Teil der SPF-Datensatz-SyntaxDie SPF-Makros definieren Zeichensequenzen, die durch Metadaten aus einzelnen E-Mails ersetzt werden, die eine SPF-Validierung erfordern. Dies wiederum hilft bei der Erstellung vereinfachter SPF-Datensätze, wodurch die Erstellung langer und komplizierter SPF-Datensätze vermieden wird.
Wir von PowerDMARC haben unsere von der Kritik gefeierte SPF-Management Lösung - PowerSPF - so konzipiert, dass sie die SPF Flattening- und SPF Macros-Technologien nutzt, um umfassende Flexibilität in Bezug auf SPF-Authentifizierung und Datensatzoptimierung zu bieten. Im Laufe der Jahre hat sich PowerSPF aufgrund seiner Benutzerfreundlichkeit und Effektivität zu einem Kundenfavoriten entwickelt.
Um mehr zu erfahren, können Sie das offizielle IETF-Dokument.
SPF-Makros erklärt
SPF-Makros sind Zeichenfolgen, die zur Vereinfachung der Konfiguration Ihres SPF-Datensatzes verwendet werden können, indem sie die im SPF-DNS-TXT-Datensatz definierten Mechanismen ersetzen, wie in RFC 7208, Abschnitt 7, erläutert.
SPF-Einträge sind meist einfach, und Anweisungen für die Server der Empfänger bezüglich der Behandlung unzulässiger E-Mails, die von Ihrer Domäne kommen, können mit SPF-Mechanismen, Qualifizierern und Modifikatoren festgelegt werden. Es gibt jedoch bestimmte Situationen, in denen SPF-Mechanismen nicht ausreichen und SPF-Makros ins Spiel gebracht werden müssen.
SPF-Makros werden durch ein Prozentzeichen (%) dargestellt und umfassen eine Kombination aus zwei oder mehr Buchstaben, Modifikatoren und Begrenzungszeichen. Während des SPF-Authentifizierungsprozesses werden die SPF-Makros ausgewertet und durch ihre entsprechenden Werte ersetzt, wie in
Beispielsweise bezeichnen %s und %d die Adresse des Absenders bzw. den Domänennamen, der mit der geprüften Identität verknüpft ist.
Modifikatoren wie r, l oder o werden angewendet, um bestimmte Elemente der Adresse oder des Bereichs zu extrahieren, und Trennzeichen wie - oder . helfen, verschiedene Elemente innerhalb des Makros zu trennen.
Arten von SPF-Makros
SPF-Makros werden durch verschiedene einzelne Buchstaben oder Zeichen bezeichnet, die von geschweiften Klammern { } umschlossen sind und denen ein Prozentzeichen (%) vorangestellt ist, das sich auf bestimmte Mechanismen in Ihrem SPF-Eintrag bezieht. Hier sind die wichtigsten Makros.
- %{s}: The “s” Macro represents the sender’s email address. Example- Mark@domain.com.
- %{l}: It’s used to denote the local part of the sender. Example- Mark.
- %{o}: This highlights the sender’s domain. Example: domain.com.
- %{d}: Similar to “o”, this Macro represents the authoritative sending domain. In most cases it is the same as the sender’s domain however, it may differ in some cases.
- %{i}: It’s used to extract the IP address of the sender of the message, e.g. 192.168.1.100
- %{h}: The hostname specified by the HELO or EHLO command used during the SMTP connection when the message is being sent is referred to by the %{h} macro.
Es gibt noch viele weitere Makros, die in Ihrem Datensatz angegeben werden können, wir haben jedoch einige gängige aufgeführt.
Wie funktionieren die SPF-Makros?
Mit SPF-Makros können Domänenbesitzer Verweise auf bestimmte Mechanismen in ihrem SPF-Datensatz angeben und so diese Mechanismen ersetzen. Bei einer DNS-Abfrage durch den empfangenden MTA werden die Verweise dann verwendet, um die Mechanismen zu extrahieren und Ihren Eintrag zu erweitern, was dazu beiträgt, besser verwaltbare und anpassbare SPF-Einträge zu erstellen.
Nachstehend ein Beispiel für Makros, die in einem SPF-Datensatz verwendet werden.
“v=spf1 include:%{i}_.%{d}._spf.powerdmarc.com ~all”
- Hier werden die include: Mechanismus enthält die SPF-Makros.
- Es gibt zwei SPF-Makros, die jeweils durch eine Zeichenfolge aus Prozentzeichen, linker geschweifter Klammer, Makrobuchstabe und rechter geschweifter Klammer dargestellt werden. Im obigen Beispiel steht %{i} für die IP-Adresse des Absenders und %{d} für die Absenderdomäne aus dem Befehl "MAIL FROM".
- Wenn man davon ausgeht, dass die IP-Adresse 192.168.1.100 die IP-Adresse der sendenden Domäne ist, leitet der empfangende Server eine DNS-Abfrage ein, um den SPF-DNS-Eintrag der Domäne nachzuschlagen, wenn eine E-Mail von dieser IP-Adresse gesendet wird
- Sobald der Empfänger den SPF-Datensatz der sendenden Domäne nachschlägt, stößt er auf SPF-Makros, die anschließend durch die entsprechenden Werte ersetzt werden.
- Dieser erweiterte SPF-Datensatz wird dann untersucht, um festzustellen, ob die E-Mail die SPF-Validierung besteht oder die Prüfung nicht besteht.
Wann werden Makros in Ihrem SPF-Eintrag verwendet?
SPF-Makros können je nach den Bedürfnissen von Domänenbesitzern in verschiedenen Szenarien eingesetzt werden. Sie können nützlich sein, wenn Sie eine komplexe E-Mail-Authentifizierungsinfrastruktur vereinfachen, mehrere E-Mail-Bearbeitungsdienste von Drittanbietern verwenden oder einfach die Größe Ihres SPF-Eintrags reduzieren möchten.
Im Folgenden sind einige häufige Fälle aufgeführt, in denen sich SPF-Makros als vorteilhaft erweisen können:
Organisationen mit einer Multi-Domain-Infrastruktur
Organisationen auf Unternehmensebene, die mehrere Domains betreiben, sind am besten für SPF-Makros geeignet, obwohl sie von Organisationen jeder Größe verwendet werden können. Makros bieten im Vergleich zu traditionellen Flattening-Methoden wesentlich mehr Flexibilität und eine effektive Optimierung von SPF-Datensätzen, um sicherzustellen, dass SPF auch in Umgebungen mit mehreren Domains reibungslos funktioniert. Damit entfällt auch die Notwendigkeit, mehrere SPF-Datensätze zu erstellen.
Große E-Mail-Infrastrukturen
Unternehmen mit komplizierten E-Mail-Infrastrukturen müssen möglicherweise eine Reihe von SPF-Mechanismen einbauen, die am besten mit SPF-Makros optimiert werden. Diese Makros bieten eine Möglichkeit, Verweise auf Mechanismen zu definieren, um sicherzustellen, dass der Datensatz nicht zu lang wird und unter den RFC-spezifizierten Länge von 512 Oktetten bleibt.
Dienstleistungen von Drittanbietern
Unternehmen, die mehrere E-Mail-Drittanbieter nutzen, können sich jetzt darauf verlassen, dass SPF nicht verletzt wird, da SPF-Makros eine einfache Optimierung der Drittanbieter-Includes ermöglichen und gleichzeitig sicherstellen, dass Ihr Datensatz die zulässigen Grenzen für DNS und ungültige Lookups nicht überschreitet.
Unternehmen lösen SPF-Herausforderungen mit SPF-Makros
Sie können mehrere SPF-Makros in einen Datensatz einfügen und häufige Probleme beseitigen, die bei manuellen SPF-Prüfungen oder bei der Verwendung eines SPF-Prüfer. Hier ist, was Sie potenziell tun können:
1. Verhindern Sie lange SPF-Einträge, die Temperror verursachen
Wenn Ihr SPF-Eintrag mehrere include: Anweisungen enthält, kann dies verhindern, dass Ihr Datensatz zu lang wird. Dies ist jedoch keine dauerhafte Lösung. Durch die Verwendung von SPF-Makros in der SPF-Einrichtung Ihrer Domäne vermeiden Sie, dass Ihr Eintrag die vom RFC für DNS-TXT-Einträge festgelegte Längenbegrenzung (512 Zeichen) überschreitet.
2. Begrenzung von DNS- und Void-Lookups und Abschwächung von Permerror
Unternehmen, die mehrere Drittanbieterquellen und E-Mail-Anbieter verwenden, sind anfällig für die Überschreitung der in RFC festgelegten Beschränkungen für DNS-Abfragen. Das liegt daran, dass jeder Anbieter mindestens eine oder mehrere Abfragen hinzufügt. Dies kann sich häufen und dazu führen, dass Ihr SPF-Eintrag nicht mehr funktioniert, was zu SPF-Fehler.
Durch die Verwendung von SPF-Makros zum Hinzufügen von Verweisen auf IP-Adressen oder Domänen dieser externen Anbieter können Sie nicht autorisierte Quellen einschränken und gleichzeitig sicherstellen, dass Sie unter den Abfragegrenzen bleiben.
Nutzen Sie die Vorteile von Makros in Ihrem SPF-Setup mit PowerSPF
SPF-Makros werden von MTAs umfassend unterstützt, um Dynamik und Skalierbarkeit in Bezug auf SPF-Authentifizierung, Datensatzerstellung und -verwaltung zu ermöglichen. PowerSPF integriert SPF-Makros nahtlos, so dass unsere Kunden SPF-Datensätze mit erhöhter Flexibilität erzeugen können.
Warum reicht es nicht aus, Ihren SPF-Eintrag zu reduzieren?
Die traditionelle SPF-Flattening-Methode erweist sich in den meisten Fällen als effektiv, wenn es sich um kleine bis mittelgroße Organisationen mit einfacheren Strukturen und einer geringeren Anzahl von SPF-Mechanismen handelt. Mit zunehmender Anzahl von Mechanismen können die Dinge jedoch zunehmend schwieriger werden, was zu den folgenden ungünstigen Situationen führt:
- Die Anzahl der DNS-Lookups kann bis zu 10 betragen.
- Die Länge des letzten DNS-Eintrags kann 512 Zeichen überschreiten (maximal zulässige Größe für TXT-DNS-Eintrag)
- Autorisierte IPs und Sendequellen sind öffentlich sichtbar, was Bedenken hinsichtlich des Datenschutzes aufwirft
SPF-Makros - eine bessere Herangehensweise
Makros in SPF wurden mit Blick auf Unternehmen mit komplexen SPF-Setups entwickelt, sind aber auch für kleine und mittlere Organisationen gleichermaßen effektiv. Sie helfen Ihnen, Ihre Datensätze zu optimieren und effizienter zu verwalten als mit dem typischen Flattening-Ansatz. So geht's:
- Makros in SPF begrenzen Ihre DNS- und Void-Lookups so, dass sie unter den Höchstgrenzen von 10 bzw. 2 bleiben
- Die Zeichenlänge Ihres Datensatzes wird beibehalten, um sicherzustellen, dass er nicht über die Grenze von 512 Zeichen
- Zugelassene IPs und Sendequellen werden durch Charakterreferenzen ersetzt, wodurch sie vor der Öffentlichkeit verborgen werden
SPF-Abflachung vs. SPF-Makros
| Erster SPF-Eintrag (5 Abfragen) | SPF-Makros (1 Nachschlag) | SPF-Abflachung (2 Suchvorgänge) |
| v=spf1 include:_spf.google.com include:zcsend.net -all | v=spf1 exists:%{i}.abcde12345.macrospf.powerspf.com -all | abcde12345.powerspf.com:
v=spf1 ip6:2c0f:fb50:4000::/36 ip6:2a00:1450:4000::/36 ip6:2800:3f0:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2404:6800:4000::/36 ip6:2001:4860:4000::/36 ip4:74.125.0.0/16 ip4:35.191.0.0/16 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:72.14.192.0/18 ip4:64.233.160.0/19 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ip4:172.217.192.0/19 ip4:172.217.128.0/19 ip4:172.217.0.0/19 ip4:108.177.96.0/19 ip4:66.249.80.0/20 ip4:66.102.0.0/20 ip4:172.253.112.0/20 ip4:172.217.32.0/20 include:_s1.abcde12345.powerspf.com -all _s1.abcde12345.powerspf.com: v=spf1 ip4:172.217.160.0/20 ip4:172.253.56.0/21 ip4:108.177.8.0/21 ip4:130.211.0.0/22 ip4:136.143.160.0/23 ip4:135.84.82.0/23 ip4:35.190.247.0/24 ip4:165.173.128.0/24 ip4:135.84.81.0/24 -all |
Testen Sie unsere SPF-Lösungen noch heute - kontaktieren Sie uns für eine persönliche Demo mit einem erfahrenen Domain- und E-Mail-Sicherheitsexperten!
- SPF-Perror beheben: Überwindung der SPF-Grenze für zu viele DNS-Lookups - April 26, 2024
- Wie veröffentlicht man einen DMARC-Datensatz in 3 Schritten? - 2. April 2024
- Warum funktioniert DMARC nicht? Behebung von DMARC-Fehlern im Jahr 2024 - 2. April 2024