SPF-Perror beheben: Überwindung der SPF-Grenze für zu viele DNS-Lookups

Blog

Erfahren Sie, wie Sie SPF-Permerror beheben können, indem Sie DNS-Lookups reduzieren, SPF-Einträge optimieren und häufige Fehler wie das Überschreiten der 10-DNS-Lookup-Grenze vermeiden.

von Maitham Al Lawati

Lesezeit: 9 min
SPF-Perror beheben: Überwindung der SPF-Grenze für zu viele DNS-Lookups
Inhaltsverzeichnis-

SPF (Sender Policy Framework) ist ein E-Mail-Authentifizierungsprotokoll, das Ihre E-Mail-Absender verifiziert, um deren Legitimität zu bestätigen. Ohne SPF-Einträge kann jeder E-Mails im Namen Ihrer Domäne versenden! Es fungiert als Sicherheitskontrolle und prüft, ob Sie einen Absender autorisiert haben, E-Mails von Ihrer Domäne zu senden, oder ob ein Betrüger versucht, Ihren Domänennamen zu missbrauchen. 

SPF ist jedoch nicht perfekt! SPF ist mit einer Reihe von Regeln und Einschränkungen verbunden, deren Einhaltung über Erfolg oder Misserfolg Ihres SPF-Protokolls entscheiden kann! Eine dieser Einschränkungen ist die 10-DNS-Lookup-Grenze, die die Anzahl der zulässigen SPF-Lookups auf 10 pro Authentifizierungssitzung beschränkt. Wird dies nicht beachtet, führt dies zu permanenten SPF-Fehlern - im Volksmund als SPF-Permerror bekannt.

Wichtigste Erkenntnisse

  • SPF Permerror zeigt an, dass ein grundlegendes Problem mit dem SPF-Datensatz einer Domain besteht, das eine genaue Auswertung verhindert.
  • Das Überschreiten der 10 DNS-Lookup-Grenze kann zu schwerwiegenden Problemen führen, wie z. B. der Ablehnung von E-Mails oder der Klassifizierung als Spam.
  • Syntaxfehler im SPF-Datensatz können zu Permerror führen und erfordern eine sorgfältige Formatierung und Überprüfung.
  • Übergroße SPF-Datensätze können die festgelegten Zeichengrenzen überschreiten, was zu Zustellbarkeitsproblemen und möglichen SPF-Fehlern führt.
  • Der Einsatz von SPF-Flattening-Tools kann helfen, Datensätze zu optimieren, um Permerrors zu verhindern und die E-Mail-Authentifizierung zu verbessern.

Was ist SPF Permerror?

Ein SPF-PermError (permanenter Fehler) tritt auf, wenn ein kritisches Problem mit dem SPF-Datensatz (Sender Policy Framework) vorliegt, das dessen ordnungsgemäße Auswertung verhindert. Dieser Fehler bedeutet normalerweise, dass der SPF-Datensatz ungültig oder falsch konfiguriert ist. Im Gegensatz zu SPF "fail" (ein vorübergehender Authentifizierungsfehler) weist Permerror auf eine dauerhafte Fehlkonfiguration hin.

Ein SPF-Fehler kann sich negativ auf die Zustellbarkeit Ihrer E-Mails auswirken und zu Ablehnungen und Spam führen. Es kann auch die Wirksamkeit von DMARC verringern, wenn Sie sich bei Ihrer DMARC-Einrichtung ausschließlich auf SPF verlassen haben.

Vereinfachen Sie SPF Permerror mit PowerDMARC!

Was ist der Unterschied zwischen SPF fail und Permerror?

Der Unterschied zwischen SPF fail und Permerror liegt in den Fehlern, die bei der SPF-Authentifizierung auftreten:

1. SPF-Fehlschlag: Wenn ein E-Mail-Server den SPF-Eintrag der Domäne eines Absenders überprüft und feststellt, dass der sendende Server nicht berechtigt ist, E-Mails im Namen dieser Domäne zu versenden, führt dies zu einem SPF-Fail.

Fehler-Typ: Vorübergehender Fehler

Die Ursache: Die IP-Adresse oder Domäne des Absenders ist nicht im SPF-Eintrag aufgeführt.

Beispielszenario: Ein unbefugter Dritter versucht, E-Mails im Namen Ihrer Domäne zu versenden.

Mögliche Korrekturen: Stellen Sie sicher, dass die IP des sendenden Servers im SPF-Eintrag enthalten ist.

2. SPF-Permerror: SPF-Permerror, kurz für SPF-Dauerfehler, tritt auf, wenn ein kritisches Problem mit dem SPF-Datensatz vorliegt, das dessen ordnungsgemäße Auswertung verhindert. Ein Permerror zeigt an, dass der SPF-Datensatz nicht korrekt verarbeitet werden kann, so dass es unmöglich ist festzustellen, ob der sendende Server autorisiert ist oder nicht.

Fehler-Typ: Permanenter Fehler

Ursache: Syntaxfehler, zu viele DNS-Lookups, mehrere SPF-Einträge.

Beispielszenario: Überschreitung des Limits von 10 DNS-Lookups für SPF.

Mögliche Korrekturen: Verwendung von SPF-Makros in Ihrem Datensatz oder eines SPF-Flattening-Dienstes.

Was verursacht SPF-Permerror?

SPF-Permerror kann durch eine Vielzahl von Faktoren verursacht werden, wie z. B. zu viele DNS-Lookups, die das SPF-Limit überschreiten, Syntaxfehler und Konfigurationsprobleme. Schauen wir uns an, welche das sind: 

1. SPF-Syntax-Fehler

Falsche Formatierung oder Syntax innerhalb des SPF-Datensatzes kann einen Permerror auslösen. Fehlende oder falsch platzierte Zeichen, wie Anführungszeichen oder Doppelpunkte, können zu Problemen bei der Analyse führen. Diese Fehler können auftreten aufgrund von:

  • Fehlende oder falsch platzierte Zeichen, wie Anführungszeichen (") und Doppelpunkte (:)
  • Falsch formatierte Mechanismen oder Qualifier
  • Ungültige Makrodefinitionen

Beispiele:

Fehlende Doppelpunkte: v=spf1 include_spf.example.com -all

Falsch gesetzte Qualifier: v=spf1 +mx a:mail.example.com -all

2. Probleme mit der DNS-Konfiguration

Bei DNS-Konfigurationsproblemen handelt es sich um Probleme im Zusammenhang mit der Einrichtung des Domain Name System (DNS) für SPF-Einträge. Diese Probleme können umfassen:

  • Falsche oder unvollständige DNS-Konfiguration für die Domäne oder die zugehörigen SPF-Einträge.
  • Ungültige SPF-Datensatzpositionen, z. B. Verweis auf nicht vorhandene oder falsche DNS-Einträge.

Beispiel:

Eine falsche oder unvollständige DNS-Konfiguration, eine ungültige Position des SPF-Datensatzes oder eine falsche Zuordnung zu der entsprechenden Domäne können zu Fehlern bei der Auswertung führen.

3. Zu viele DNS-Suchvorgänge

DNS-Lookup-Limits sind Einschränkungen, die von SPF-Spezifikationen auferlegt werden, um übermäßige DNS-Abfragen während der SPF-Bewertung zu verhindern. Diese Grenzen umfassen:

  • Während der SPF-Bewertung sind maximal 10 DNS-Lookups zulässig.
  • Während der SPF-Auswertung sind maximal 2 "ungültige" Nachforschungen zulässig.

Ein Überschreiten dieser Grenzen führt zu einem Permerror.

Beispiel:

Ein SPF-Eintrag, der mehrere Einschlussmechanismen enthält, die zu mehr als 10 DNS-Abfragen führen.

SPF-Datensätze in Übergröße

Übergroße SPF-Datensätze treten auf, wenn die Größe des SPF-Datensatzes die von der IETF festgelegten Beschränkungen überschreitet, wie in RFC-Dokumenten dargelegt. SPF-Datensätze sind auf 255 Zeichen pro Zeichenfolge beschränkt, während TXT-Datensätze bis zu 512 Byte lang sein dürfen. Ursachen für übergroße SPF-Einträge sind unter anderem:

  • Aufnahme zahlreicher Mechanismen, Qualifizierer oder Modifikatoren, die zu einer übermäßigen Anzahl von Zeichen führen.
  • Redundante oder unnötige Einträge im SPF-Datensatz, die dessen Größe erhöhen.

Beispiel:

Ein einzelner SPF-Datensatz mit umfassender Einbeziehung von IP-Adressen, Netzwerken oder Diensten Dritter.

Wie hoch ist das Limit von 10 DNS-Lookups?

Die Begrenzung auf 10 DNS-Abfragen ist eine Beschränkung für SPF-Einträge (Sender Policy Framework), d. h., wenn ein E-Mail-Server eine eingehende E-Mail empfängt, kann er nur bis zu 10 DNS-Abfragen durchführen, um SPF-Einträge für die sendende Domäne abzurufen.

Diese Begrenzung hilft, übermäßige DNS-Abfragen und mögliche Leistungsprobleme bei der E-Mail-Zustellung zu vermeiden. Wenn der SPF-Eintrag einer Domäne die Grenze von 10 DNS-Abfragen überschreitet, behandeln einige E-Mail-Server den SPF-Eintrag möglicherweise als ungültig oder lehnen die E-Mail ganz ab. Daher ist es wichtig, die Anzahl der DNS-Abfragen innerhalb eines SPF-Eintrags sorgfältig zu verwalten und zu optimieren, um eine ordnungsgemäße E-Mail-Zustellung und SPF-Validierung zu gewährleisten.

Warum legt der RFC dieses strenge Limit für SPF-DNS-Lookups für Domänen fest?

Die Begrenzung des SPF-Datensatzes kann zwar als unerwünschte SPF-Beschränkung erscheinen, ist es aber nicht unbedingt. Das Limit für SPF-DNS-Lookups wurde eingeführt, um Denial-of-Service-Angriffe zu verhindern (wie unter RFC 7208).

Beispielsweise erstellt ein Angreifer einen SPF-Eintrag auf einer gefälschten Domäne mit Verweis auf eine legitime Unternehmensdomäne, um E-Mails in Massen an verschiedene Empfangsserver zu senden. Die Begrenzung auf 10 Abfragen verhindert, dass Angreifer die Empfänger mit rekursiven DNS-Abfragen überlasten (z. B. ein bösartiger SPF-Eintrag, der mehr als 100 Abfragen pro E-Mail erzwingt).

Wie wirken sich zu viele DNS-Suchvorgänge auf Ihre E-Mails aus?

Wenn der SPF-Eintrag zu viele DNS-Abfragen enthält, kann dies ungeahnte Auswirkungen auf Ihre E-Mails haben. Zu viele DNS-Abfragen können zu Inkonsistenzen bei der Zustellbarkeit führen und SPF-Permerror auslösen. 

1. Kann zu Lieferverzögerungen führen

Übermäßige DNS-Abfragen können die Zeit, die für die Verarbeitung von SPF-Einträgen benötigt wird, erhöhen. Dies kann zu Verzögerungen bei der E-Mail-Zustellung führen, da der Empfangsserver auf Antworten von mehreren DNS-Servern warten muss.

2. Kann zu Timeout-Fehlern führen 

DNS-Lookups erfordern eine Kommunikation zwischen dem Empfangsserver und den DNS-Servern. Zu viele DNS-Lookups erhöhen die Wahrscheinlichkeit von Timeout-Fehlern, die zu SPF-Bewertungsfehlern oder verlängerten Zustellzeiten führen.

3. Kann das Risiko von SPF-Permerror erhöhen

Wenn der SPF-Datensatz diese Suchgrenzen überschreitet, kann er einen Permerror auslösen, der anzeigt, dass der SPF-Datensatz nicht korrekt verarbeitet werden kann. Die E-Mail kann als verdächtig eingestuft oder möglicherweise zurückgewiesen werden.

4. Kann zu einer unvollständigen SPF-Bewertung führen

Wenn der empfangende Server auf ein DNS-Lookup-Limit oder einen Timeout-Fehler stößt, weil SPF zu viele DNS-Lookups durchführt, kann er die SPF-Auswertung vorzeitig beenden. 

Wie behebt man den SPF-Fehler und überwindet das Limit von 10 DNS-Lookups?

Um den SPF-Permerror zu beheben, stellen Sie eine effiziente Nutzung der Suchvorgänge durch SPF-Flattening sicher, so dass Sie Ihren SPF-Eintrag optimieren können, um während der Prüfungen unter dem Limit von 10 DNS-Suchvorgängen zu bleiben.

1. Behebung des Permerrors durch manuelle Reduzierung der Suchvorgänge

Sie können Ihre SPF-"include"- und/oder "redirect"-Mechanismen durch IP-Adressen ersetzen. Dies behebt zwar SPF-Permerror, ist aber keine ideale Lösung. Der Grund dafür ist, dass die Länge Ihres Datensatzes nach dem Hinzufügen der langen Liste von IPs die Zeichengrenze überschreiten und weitere Fehler auslösen kann. 

Nehmen wir zum Beispiel den folgenden SPF-Eintrag mit mehreren "include"-Mechanismen:

v=spf1 include:_spf.example.com include:_spf.anotherexample.com -all

Um DNS-Suchvorgänge zu reduzieren, können Sie die "include"-Mechanismen durch IP-Adressen ersetzen:

v=spf1 ip4:192.0.2.1 ip4:203.0.113.5 -all

In diesem Beispiel wurden die Domänen _spf.example.com und _spf.anotherexample.com durch ihre entsprechenden IP-Adressen (192.0.2.1 bzw. 203.0.113.5) ersetzt.

Diese manuelle Reduzierung der DNS-Abfragen kann den SPF-Permerror zwar abmildern, aber es ist wichtig, mögliche Einschränkungen zu berücksichtigen. Ein großes Problem ist die Zeichenbegrenzung von SPF-Einträgen. Das Hinzufügen einer langen Liste von IP-Adressen kann diese Grenze überschreiten, was zu zusätzlichen Fehlern führt. Daher ist eine sorgfältige Planung und Optimierung erforderlich, um sicherzustellen, dass der SPF-Datensatz innerhalb der zulässigen Zeichenanzahl bleibt.

Warnung: Das manuelle Ersetzen von 'include' durch IPs ist nicht sicher - IPs von Drittanbietern ändern sich häufig!

2. Permerror mit einem automatischen SPF-Optimierungstool beheben

Eine effektivere Methode zur Vermeidung von SPF-Fehlern ist der Einsatz eines SPF-Verflachung Werkzeug oder, noch besser, SPF-Makros. Eine Lösung, die beides in einem automatischen, mühelosen, gehosteten Dienst vereint, ist PowerSPF. Damit wird nicht nur sichergestellt, dass Sie die 10 DNS-Lookup-Grenze einhalten, sondern Sie werden auch über alle Änderungen informiert, die von Ihren E-Mail-Dienstleistern und Anbietern vorgenommen werden, die häufig ihre IP-Adressen hinzufügen oder ändern.

Und was noch besser ist: Es sind nur ein paar Klicks nötig! Die Schritte zur Verwendung des Tools sind unten aufgeführt: 

1. Registrieren Sie sich bei PowerDMARC kostenlos

2. Gehen Sie zu Gehostete Dienste > PowerSPF

3. Erstellen Sie Ihren SPF-Eintrag gemäß den Anweisungen des Tools

4. Klicken Sie auf , um die PowerSPF-Schaltfläche zu aktivieren

5. Veröffentlichen Sie den benutzerdefinierten SPF-Eintrag von PowerSPF in Ihrem DNS, woraufhin der Status "ausstehend" in "aktiviert" umgewandelt wird

Und das war's! Dies ist der schnellste, einfachste und effektivste Weg, um SPF-Fehler zu verhindern. PowerSPF automatisiert die Abflachung und gewährleistet die Einhaltung der Vorschriften sowie automatische Aktualisierungen, wenn Anbieter ihre IPs ändern.

Fortgeschrittene Strategien zur SPF-Optimierung

SPF-Abflachung ist der Prozess der Umwandlung mehrerer "include"-Anweisungen und anderer DNS-basierter Abfragen in eine vereinfachte Liste von IP-Adressen. Dieser Ansatz reduziert die Anzahl der DNS-Abfragen während der SPF-Bewertung.

Vorteile und Nachteile der SPF-Abflachung

VorteileBenachteiligungen
Reduzierte DNS-SuchvorgängeIP-Adressänderungen können SPF zerstören
Minimierte SPF-Fehler wie PermerrorEine lange IP-Liste kann das SPF-Längenlimit überschreiten
Bessere Kontrolle und Übersicht über SPF-EinträgeWenn manuelle Aktualisierungen erforderlich sind, kann es schwierig sein, sie zu pflegen.

1. Ungültige oder nicht verwendete Domänenreferenzen entfernen

Jede Include-Anweisung in einem SPF-Datensatz löst eine separate DNS-Abfrage aus. Wenn eine Domäne nicht mehr relevant ist (z. B. ein alter E-Mail-Anbieter, der nicht mehr verwendet wird), werden durch die Beibehaltung der Include-Anweisung unnötig viele Suchvorgänge durchgeführt, was zu SPF-Validierungsfehlern führen kann. Durch das Entfernen dieser Anweisungen wird der Datensatz optimiert und die Effizienz verbessert.

Schritte zur Identifizierung und Entfernung ungültiger oder nicht verwendeter Domains

  1. Überprüfen Sie Ihren SPF-Eintrag und listen Sie alle Include-Anweisungen zusammen mit den Domänenverweisen auf.
  2. Überprüfen Sie nun die aktive Nutzung, um festzustellen, welche Domänen noch für ausgehende E-Mails verwendet werden.
  3. SPF-Lookup-Tools wie das von PowerDMARC verwenden SPF-Prüfer können helfen zu überprüfen, ob eine eingeschlossene Domäne noch gültig ist.
  4. Wenden Sie sich an Ihren E-Mail-Anbieter, um zu erfahren, welche Einschlussmechanismen für die aktuellen E-Mail-Dienste erforderlich sind.
  5. Entfernen Sie schließlich die nicht verwendeten Include-Anweisungen und überprüfen Sie Ihren SPF-Eintrag erneut, um sicherzustellen, dass er korrekt ist.

2. Umgehung des SPF-"ptr"-Mechanismus

Der ptr-Mechanismus in SPF prüft, ob eine IP-Adresse in einen Domänennamen aufgelöst werden kann, der mit der Domäne des Absenders übereinstimmt. Dieser Ansatz hat jedoch mehrere Nachteile. Zunächst einmal kann die Einbeziehung des PTR-Tags den SPF-Authentifizierungsprozess verlangsamen, da umgekehrte DNS-Abfragen (PTR-Abfragen) zeitaufwändig sind. Es ist auch ziemlich unzuverlässig, da nicht alle E-Mail-Absender die PTR-Einträge richtig konfiguriert haben. Vor allem aber hat die IETF diesen Mechanismus abgelehnt und rät aufgrund von Sicherheitsrisiken und Ineffizienz von seiner Verwendung ab.

3. Abschaffung redundanter Mechanismen

Viele SPF-Einträge enthalten doppelte oder sich überschneidende Mechanismen, wie z. B. mehrere Include-Anweisungen für dieselbe Domäne. Diese Redundanz erhöht die Komplexität von SPF und verschwendet wertvolle DNS-Suchvorgänge. Eine Möglichkeit, dies zu umgehen, besteht darin: 

  • Identifizierung von Duplikaten und Beseitigung redundanter Mechanismen.
  • Konsolidierung und Zusammenführung von Includes, wenn mehrere auf dieselbe Domäne verweisen.
  • Vermeiden Sie die übermäßige Verwendung der Mechanismen "a" und "mx" und verwenden Sie sie nur bei Bedarf.
  • Schließlich sollten Sie Ihren SPF-Eintrag immer auf Gültigkeit prüfen und sicherstellen, dass Ihre Sendequellen aktuell sind. 

4. Verwendung von ip4- und ip6-Mechanismen 

Im Gegensatz zu Include-Mechanismen, die zusätzliche DNS-Abfragen erfordern, listen ip4- und ip6-Mechanismen IP-Adressen direkt im SPF-Datensatz auf. Dadurch werden unnötige DNS-Abfragen vermieden und eine schnellere Authentifizierung gewährleistet.

"Großartiges Produkt und tolles Team"

Hakob Sharabkhanyan (CEO von Hacktech)

"Fantastisches Unternehmen, Produkt und MSP-Anbieter "

Bill Barnett (Gründer und Präsident von Clearview IT)

VorherigeWeiter

SPF-Fehler beheben, um die Zustellbarkeit Ihrer E-Mails zu verbessern

Die Behebung von SPF-Fehlern ist aus mehreren Gründen von größter Bedeutung. Sie hat erhebliche Auswirkungen auf die Zustellbarkeit von E-Mails, da SPF-Fehler dazu führen können, dass legitime E-Mails als Spam markiert oder von den empfangenden E-Mail-Servern zurückgewiesen werden, was die Wahrscheinlichkeit verringert, dass sie die Posteingänge der Empfänger erreichen. Außerdem dient SPF als wichtiger Mechanismus zur Authentifizierung des Absenders, der es den Empfängern ermöglicht, die Legitimität der Domäne des Absenders zu überprüfen. 

Durch die Behebung von SPF-Fehlern stellen Sie sicher, dass Ihre legitimen E-Mails ordnungsgemäß authentifiziert werden, und verringern das Risiko, dass Ihre Domäne für E-Mail-Spoofing oder Phishing-Angriffe missbraucht wird. Die Behebung von SPF-Fehlern trägt dazu bei, den Ruf Ihrer Marke zu schützen, da ständige Zustellungsfehler und Spam-Markierungen der Wahrnehmung der Vertrauenswürdigkeit und Glaubwürdigkeit Ihrer Marke schaden können.

Neueste Beiträge von Maitham Al Lawati (alle anzeigen)
SPF Softfail vs. SPF Hardfail: Was ist der Unterschied?AusfallE-Mail Sicherheit 101 zur Bekämpfung von Krypto-Betrug