SPF-Perror beheben: Überwindung der SPF-Grenze für zu viele DNS-Lookups
von
Lesezeit: 7 min
Sender Policy Framework (SPF) ist eine E-Mail-Authentifizierungsmethode, die dazu beiträgt, Ihre Domäne vor Spoofing zu schützen. Manchmal kann jedoch ein Fehler auftreten, der SPF-Permerror genannt wird - auch bekannt als SPF-Dauerfehler -, der in der Regel durch zu viele DNS-Abfragen in Ihrem SPF-Eintrag verursacht wird.
Warum ist das wichtig? Denn wenn Ihr SPF-Eintrag fehlerhaft ist, können Ihre legitimen E-Mails in Spam-Ordnern landen oder ganz abgewiesen werden. Dies kann auch dazu führen, dass DMARC scheiternund beeinträchtigt so die allgemeine E-Mail-Sicherheit und -Zustellbarkeit Ihrer Domäne.
Sie haben das Limit von 10 Suchanfragen erreicht? Hier ist die Lösung. In diesem Blog erklären wir Ihnen, was diesen Fehler verursacht, und zeigen Ihnen, wie Sie ihn mit einfachen Mitteln beheben können.
Wichtigste Erkenntnisse
- SPF Permerror zeigt an, dass ein grundlegendes Problem mit dem SPF-Datensatz einer Domäne vorliegt, das eine genaue Auswertung verhindert.
- Das Überschreiten der 10 DNS-Lookup-Grenze kann zu schwerwiegenden Problemen führen, wie z. B. der Ablehnung von E-Mails oder der Klassifizierung als Spam.
- Syntaxfehler im SPF-Datensatz können zu Permerror führen und erfordern eine sorgfältige Formatierung und Überprüfung.
- Übergroße SPF-Datensätze können die festgelegten Zeichengrenzen überschreiten, was zu Zustellbarkeitsproblemen und möglichen SPF-Fehlern führt.
- Der Einsatz von SPF-Flattening-Tools kann helfen, Datensätze zu optimieren, um Permerrors zu verhindern und die E-Mail-Authentifizierung zu verbessern.
Was ist SPF Permerror?
Ein SPF-Permerror ist ein permanenter Fehler in Ihrem SPF-Datensatz, d. h. es liegt ein Fehler vor, der verhindert, dass er funktioniert.
Ein Permerror-Ergebnis wird von empfangenden E-Mail-Servern zurückgegeben, wenn Ihr SPF-Datensatz ein kritisches Problem aufweist, das seine Auswertung unmöglich macht, z. B. eine falsche Syntax, zu viele DNS-Abfragen (über die 10er-Grenze hinaus) oder ungültige Mechanismen. Im Gegensatz zu einem regulären SPF "fail" (was bedeutet, dass eine E-Mail die Authentifizierung nicht bestanden hat), zeigt ein Permerror an, dass der SPF-Eintrag selbst fehlerhaft oder falsch konfiguriert ist. Dies beeinträchtigt nicht nur die Zustellbarkeit, sondern kann auch Ihre DMARC Schutz schwächen, wenn SPF der einzige Mechanismus ist, den Sie zum Ausrichten Ihrer E-Mails verwenden.
Hauptunterschiede: SPF Fail vs. SPF Permerror
| SPF-Fehler | SPF Permerror | |
|---|---|---|
| Was es bedeutet | Der SPF-Eintrag wurde gefunden und ausgewertet, aber der Absender ist nicht autorisiert | Der SPF-Eintrag konnte aufgrund eines Fehlers oder einer Fehlkonfiguration nicht ausgewertet werden |
| Ursache | Absender-IP nicht im SPF-Eintrag der Domäne aufgeführt | Fehlerhafte SPF-Syntax, zu viele DNS-Lookups oder andere kritische Probleme |
| Art der Ausgabe | Vorübergehendes Problem (E-Mail nicht autorisiert) | Permanenter Fehler (SPF-Datensatz ist ungültig oder unlesbar) |
| Auswirkungen | Die E-Mail wird möglicherweise abgelehnt oder als Spam markiert. | E-Mails können abgelehnt werden oder ohne SPF-Validierung durchgelassen werden |
| DMARC-Abgleich | Kann zum Scheitern von DMARC führen, wenn SPF nicht angepasst ist | Kann DMARC brechen, insbesondere wenn SPF Ihr einziger angepasster Mechanismus ist |
| Fix | Gehen Sie Ihre Absenderliste durch, um legitime Absender zuzulassen | Erfordert die Reparatur des SPF-Eintrags zur Wiederherstellung der Funktionalität |
Warum hat SPF ein Limit von 10 DNS-Lookups?
Man könnte meinen, dass die Begrenzung auf 10 DNS-Abfragen in SPF restriktiv ist, aber es gibt einen sehr guten Grund dafür.
Gemäß RFC 7208dient diese Begrenzung in erster Linie der Sicherheit und Leistung. Insbesondere hilft es, empfangende Mailserver zu schützen vor Denial-of-Service (DoS) Angriffen zu schützen, die durch übermäßige DNS-Anfragen verursacht werden.
So könnte sie missbraucht werden:
Ein Bedrohungsakteur könnte einen bösartigen SPF-Eintrag erstellen, der Hunderte von DNS-Abfragen auslöst, indem er auf mehrere Domänen oder Includes verweist. Dies könnte mit einer gefälschten Domäne verbunden sein, die vorgibt, ein vertrauenswürdiges Unternehmen zu sein. Jedes Mal, wenn ein Empfangsserver versucht, eine solche E-Mail zu validieren, wäre er gezwungen, all diese Suchvorgänge aufzulösen, was den Server verlangsamt oder ihn sogar zum Absturz bringt.
Durch die Begrenzung der DNS-Abfragen auf 10 hilft SPF:
- Aufrechterhaltung der E-Mail-Verarbeitungsleistung
- Schutz vor Angriffen auf die Ressourcenerschöpfung
- Verbesserung der Zuverlässigkeit beim Schutz vor Spoofing durch die Förderung einer besseren Gestaltung der SPF-Einträge
Was verursacht SPF-Permerror?
Ein SPF-Permerror kann durch verschiedene Probleme ausgelöst werden, z. B. durch übermäßige DNS-Abfragen, Syntaxfehler, falsch konfigurierte Datensätze oder sogar zu große SPF-Einträge. Schauen wir uns die häufigsten Ursachen an:
1. SPF-Syntax-Fehler
Falsche Formatierung oder ungültige Syntax im SPF-Datensatz kann zu einem Permerror führen, der eine korrekte Auswertung verhindert.
Häufige Ursachen:
- Fehlende oder falsch gesetzte Zeichen (z. B. Anführungszeichen " oder Doppelpunkte 🙂
- Ungültige oder fehlerhafte Mechanismen oder Qualifizierer (z. B. Verwendung von include_spf.example.com anstelle von include:spf.example.com)
- Falsche Makrodefinitionen oder nicht unterstützte Makros
Beispiele:
❌ v=spf1 include_spf.example.com -all → fehlender Doppelpunkt in include
❌ v=spf1 +mx a:mail.example.com -all → + Qualifier ist unnötig und wird oft falsch verwendet
2. Probleme mit der DNS-Konfiguration
Dabei handelt es sich um Probleme mit der DNS-Einrichtung im Zusammenhang mit Ihrem SPF-Eintrag.
Allgemeine Probleme:
- SPF-Datensatz, der auf nicht existierende oder falsch konfigurierte Domänen verweist
- Fehlende SPF-Einträge auf referenzierten Domänen
- Ungültige oder veraltete DNS-Datentypen (z. B. Verwendung von SPF-Datensätzen anstelle von TXT)
Beispiel:
Ihre Domain verweist auf include:spf.partner.com, aber spf.partner.com existiert nicht oder hat keinen TXT-Eintrag, was zu einem SPF-Auswertungsfehler führt.
3. Zu viele DNS-Suchvorgänge
SPF erlaubt nur 10 DNS-Lookups während der Datensatzbewertung, wie in RFC 7208, Abschnitt 4.6.4 definiert. Dies ist eine Sicherheitsmaßnahme, um Missbrauch (z. B. Denial-of-Service-Angriffe) zu verhindern und die Auswertungen schlank zu halten.
Was als Nachschlagen gilt:
- einschließen.
- a, mx, ptr
- existiert, umleiten
Ungültige Suchanfragen (Abfragen, die keine DNS-Daten zurückgeben) sind ebenfalls begrenzt auf 2.
Gemeinsame Ursache:
Ein SPF-Datensatz mit vielen "Include"-Mechanismen oder verschachtelten "Includes", die zusammen die Grenze von 10 Suchvorgängen überschreiten.
4. Kreisförmig Umfasst
Zirkuläre Einschlüsse treten auf, wenn SPF-Datensätze in einer Schleife aufeinander verweisen, wodurch unendliche Auflösungszyklen entstehen.
Beispiel:
- Bereich A: v=spf1 include:domainB.com -all
- Bereich B: v=spf1 include:domainA.com -all
Diese zirkuläre Referenz führt dazu, dass die SPF-Auswertung fehlschlägt, was häufig zu einem Permerror führt.
5. Ungültige Mechanismen oder Qualifier
Die Verwendung nicht anerkannter oder veralteter Mechanismen in Ihrem SPF-Eintrag kann zu einem Permerror führen.
Häufige Fehler:
- Tippfehler wie ip6v anstelle von ip6
- Nicht unterstützte Mechanismen wie all:, ptr: falsch verwendet
- Unnötige oder falsche Verwendung von + oder ?
Beispiel:
❌ v=spf1 ptr:mail.example.com -all → entmutigter Mechanismus
❌ v=spf1 ip4v:192.0.2.0/24 -all → ungültiger Mechanismus (ip4v sollte ip4 sein)
6. Übergroße SPF-Datensätze
SPF-Einträge müssen Größenbeschränkungen einhalten:
- Jede Zeichenfolge in einem TXT-Datensatz muss ≤ 255 Zeichen sein.
- Die Gesamtlänge des TXT-Datensatzes sollte 512 Bytes nicht überschreiten.
Ursachen für übergroße Datensätze:
- Zu viele IPs, Includes oder Mechanismen
- Doppelte oder unnötige Einträge
Beispiel:
Ein Eintrag wie v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.0/24 include:spf1.example.com include:spf2.example.com include:spf3.example.com include:spf4.example.com -all kann DNS-Limits oder Größenbeschränkungen überschreiten.
Wie die SPF-Lookup-Überlastung Ihre E-Mails beeinträchtigt
Wenn Ihr SPF-Eintrag mehr als 10 DNS-Lookups auslöst, kann das Ihre E-Mail-Zustellung ernsthaft stören. So kann es passieren:
- Verzögerungen bei der Lieferung: E-Mail-Server können die Verarbeitung verlangsamen, wenn sie versuchen, Ihren SPF-Eintrag zu bewerten, was zu Verzögerungen bei der Zustellung führt.
- Zeitüberschreitungsfehler: Zu viele Suchvorgänge können zu Zeitüberschreitungen während der SPF-Auswertung führen, was dazu führt, dass die Nachrichten nicht angenommen oder verworfen werden.
- Abgelehnte E-Mails: Einige Empfangsserver lehnen E-Mails mit SPF-Permerror ab oder kennzeichnen sie als solche, um ihre Infrastruktur zu schützen.
- DMARC schlägt fehl: Wenn sich Ihre DMARC-Richtlinie auf den SPF-Abgleich stützt, kann eine fehlgeschlagene SPF-Prüfung DMARC gefährden und die Vertrauenswürdigkeit Ihrer Domain verringern.
Behebung des SPF-Fehlers (Schritt für Schritt)
Manuelle Korrekturen
- Ungenutzte Include-Mechanismen entfernen
Gehen Sie alle include: in Ihrem SPF-Eintrag durch und prüfen Sie, ob sie noch notwendig sind. Wenn er mit einem Dienst verknüpft ist, den Sie nicht mehr nutzen, entfernen Sie ihn.
- Ersetzen Sie include durch IP-Adressen (falls statisch)
Wenn ein include: nur auf eine statische IP oder einen kleinen IP-Bereich verweist, ersetzen Sie es direkt durch einen ip4: oder ip6: Mechanismus, um eine DNS-Suche zu vermeiden.
- Abschaffung der PTR-Mechanismen
Von PTR wird in RFC 7208 aufgrund von Leistungs- und Zuverlässigkeitsbedenken abgeraten. Entfernen Sie es vollständig, um Suchvorgänge zu reduzieren und Fehler zu vermeiden.
- Konsolidierung umfasst Domains
Einige Dienste (z. B. E-Mail-Plattformen oder Provider) bieten mehrere SPF-Einträge an. Prüfen Sie deren Dokumentation, da sie oft ein einziges konsolidiertes Include anbieten, das Sie anstelle von mehreren verwenden können.
- Verwenden Sie ip4 / ip6 wo möglich
Wenn Sie die IPs Ihrer sendenden Server kennen, fügen Sie sie direkt mit ip4: oder ip6: hinzu, anstatt sich auf Mechanismen wie MX oder A zu verlassen, die Lookups benötigen.
Beste Praxis: Verwenden Sie ein automatisches SPF-Abflachungstool
Automatische SPF-Verflachung ist der Prozess der dynamischen Umwandlung mehrerer "include"-Anweisungen und anderer DNS-basierter Suchanfragen in eine vereinfachte Liste von IP-Adressen. Dieser Ansatz reduziert die Anzahl der DNS-Abfragen bei SPF-Prüfungen.
Manuelles SPF-Flattening scheint eine schnelle Lösung zu sein, birgt aber erhebliche Risiken. Wenn Ihr E-Mail-Dienstanbieter seine Sende-IPs ändert, wird Ihr SPF-Datensatz diese Änderung nicht widerspiegeln, es sei denn, Sie aktualisieren ihn manuell. Daher ist eine ständige Überwachung und manuelle Bearbeitung erforderlich, um konform zu bleiben. Eine veraltete IP in Ihrem Flattened Record kann dazu führen, dass SPF fehlschlägt, was die Zustellbarkeit von E-Mails und die DMARC-Anpassung beeinträchtigt.
PowerSPF ist unser gehostetes SPF-Flattening- und Optimierungs-Tool, das den gesamten Prozess automatisiert, so dass Sie sich nie wieder Gedanken über Lookup-Limits oder IP-Änderungen machen müssen.
- Auto-Updates bei IP-Änderungen von Anbietern: Wir halten Ihren SPF-Eintrag in Echtzeit auf dem neuesten Stand.
- Einmalige Einrichtung: Einmal einrichten und vergessen. Keine laufende Wartung.
- Anzahl der Nachforschungen bleibt niedrig: Ihr SPF-Eintrag bleibt schlank und entspricht den RFC-Richtlinien und -Beschränkungen.
FAQs
- Kann SPF bei Bedarf mehr als 10 Abfragen durchführen?
Nein, SPF ist während der Auswertung streng auf 10 DNS-Lookups beschränkt, wie in RFC 7208 definiert. Das Überschreiten dieses Limits führt zu einem Permerror, und Ihre E-Mails können abgelehnt oder als Spam markiert werden.
- Kann ich mehrere SPF-Einträge haben?
Nein. Sie sollten nur einen SPF-Eintrag pro Domain einrichten, der alle Ihre Sendequellen für diese Domain autorisiert. Mehrere Einträge können alle ungültig machen und Fehler verursachen.
- Was ist der sicherste Weg, Permerror zu beheben?
Der sicherste Weg, Permerror zu beheben, ist die Verwendung einer gehosteten SPF-Lösung wie PowerSPF, um SPF dynamisch zu optimieren, wobei Experten-Support rund um die Uhr verfügbar ist.
- Ist Flattening für dynamische IPs sicher?
Wenn Ihr Provider dynamische IPs verwendet, kann das manuelle Flattening schnell veraltet sein und zu SPF-Fehlern führen. Bei dynamischen oder häufig wechselnden IPs ist es am sichersten, eine gehostete Lösung zu verwenden, die IPs automatisch in Ihrem Namen abruft und aktualisiert.
"Großartiges Produkt und tolles Team"
Hakob Sharabkhanyan (CEO von Hacktech)
"Fantastisches Unternehmen, Produkt und MSP-Anbieter "
Bill Barnett (Gründer und Präsident von Clearview IT)
Abschließende Überlegungen
SPF-Permerror kann sich auf Ihre Zustellbarkeit, den Zustand Ihrer Domäne und Ihre Sicherheit auswirken. Einfache Maßnahmen wie das Entfernen redundanter Mechanismen, das Ersetzen von Mechanismen durch IP-Bereiche und die Überwachung der Zustellbarkeit können viel bewirken.
Und für Unternehmen, die diesen Aufwand vermeiden und Zeit sparen möchten, gibt es gehostete Lösungen wie PowerSPF. Möchten Sie erfahren, wie es funktioniert und wie es Ihre Authentifizierungssituation verändern kann? Vereinbaren Sie eine kostenlose Demo mit einem unserer internen Experten!
Cybersecurity-Experte, CEO bei PowerDMARC
Maitham ist ein Tech-Unternehmer, Cybersecurity-Experte, CEO und Gründer von PowerDMARC mit mehr als 15 Jahren Branchenerfahrung. Maitham hat einen Global MBA von der University of Manchester und verschiedene berufliche Zertifizierungen, darunter CISSP, CISM, CRISC und ISC2 CCSP.
Neueste Beiträge von Maitham Al Lawati (alle anzeigen)
- SPF-Fehler: Was es bedeutet und wie man es behebt - 29. September 2025
- Richtlinie zur akzeptablen Nutzung: Schlüsselelemente und Beispiele - September 9, 2025
- Was ist CASB? Cloud Access Security Broker erklärt - 8. September 2025
