Die SPF (Sender Policy Framework) Redirect ist ein Datensatzmodifikator, der auf einen separaten Domainnamen verweist, der einen SPF-Eintrag enthält. Domänenbesitzer können mehrere Domänen so konfigurieren, dass sie einen einzigen SPF-Eintrag nutzen, der auf einer Domäne gehostet wird, indem sie SPF-Redirect verwenden. Obwohl dies in mancher Hinsicht vorteilhaft zu sein scheint, raten wir davon ab. Lesen Sie weiter, um herauszufinden, warum!

Einführung in SPF und den Redirect Modifier

SPF ist der E-Mail-Authentifizierungsstandard, der Ihr Unternehmen durch die Aufzeichnung der autorisierten Parteien vor Imitationen und Spam schützt. 

Der SPF-Redirect-Modifikator ist zwar optional und darf nur einmal pro SPF-Eintrag verwendet werden. Es gibt bestimmte Voraussetzungen für die Verwendung von SPF redirect. Diese sind wie folgt:

  • Es ist nur sinnvoll, wenn eine Organisation mit mehreren Bereichen arbeitet 
  • Alle diese Domänen müssen die gleiche E-Mail-Infrastruktur nutzen
  • Die zweite Domain, die umgeleitet wird, muss über einen gültigen SPF-Eintrag verfügen
  • Um SPF-Redirect zu verwenden, muss die Kontrolle über alle an der Redirect-Kette beteiligten Domains beim Domaininhaber liegen

Wie funktioniert der SPF Redirect Modifier?

Um die Funktionsweise der SPF-Umleitung besser zu verstehen, sehen wir uns das folgende Beispiel an: 

Wenn domain_test.com einen SPF-Eintrag wie folgt hat:
v=spf1 redirect=domain_test2.com

Dies bedeutet, dass der SPF-Eintrag für "domain_test2.com" anstelle von "domain_test" verwendet werden sollte. Die Mails von domain_test würden dann über "domain_test2" umgeleitet.

Wann können Sie den SPF-Redirect-Modifikator verwenden?

1. Wenn ein einziger Datensatz für mehrere Domänen verwendet werden soll

Zum Beispiel,

delaware.example.com. TXT "v=spf1 redirect=_spf.example1.com"
austin.example.com TXT "v=spf1 redirect=_spf.example1.com"
washington.beispiel.de TXT "v=spf1 redirect=_spf.beispiel1.de"
_spf.example.com. TXT "v=spf1 mx:example1.com -all"

In diesem Beispiel wird jede E-Mail von den drei oben genannten Domänen durch denselben Eintrag beschrieben, in diesem Fall "_spf.example1.com", was den Benutzern einen administrativen Vorteil verschafft.

2. Wenn der Name der Domäne geändert werden muss.

Für alle Mechanismen sind die Werte "a", "mx" und "ptr" optional. Wenn keine spezifischen Werte angegeben werden, werden sie auf die aktuelle Domäne gesetzt. Wenn jedoch ein "redirect" verwendet wird, verweisen die Mechanismen "a", "mx" und "ptr" auf die umgeleitete Domäne.

Betrachten Sie das folgende Beispiel:
powerdmarc.com "v=spf1 a -all"

Hier hat der Mechanismus "a" keinen bestimmten Wert, so dass er auf den DNS-'A'-Eintrag von "powerdmarc.com" verweist, da der SPF-Eintrag dort gehostet wird, wie im Beispiel angegeben.

Betrachten Sie nun das folgende Beispiel:
powerdmarc.com "v=spf1 redirect=_spf.powerdmarc.com"
_spf.powerdmarc.com "v=spf1 a -all"

Im obigen Beispiel verweist der "a"-Mechanismus auf den DNS-"A"-Eintrag von "_spf.powerdmarc.com", obwohl die Root-Domäne "powerdmarc.com" ihn weiterleitet.

Dies ist eine der häufigsten Ursachen für SPF-Validierungsprobleme und ist schwer zu beheben. Wenn Ihr Unternehmen einen SPF-"Redirect" verwendet, beachten Sie, dass ein "a"-, "mx"- oder "ptr"-Mechanismus ohne explizit definierten Domänennamen in Ihrem umgeleiteten SPF-Eintrag nur auf die umgeleitete Domäne verweist.

Nachteile der Verwendung von SPF Redirect

1. Der Modifikator "redirect" erhöht die Anzahl der DNS-Lookups

Bei der SPF-E-Mail-Authentifizierung führt der E-Mail-Server des Empfängers jedes Mal, wenn eine E-Mail von einer Domäne an die Domäne des Empfängers gesendet wird, DNS-Abfrageanfragen, auch DNS-Lookups genannt, durch, um nach bestehenden autorisierten IP-Adressen in Ihrem DNS zu suchen und sie mit der IP-Adresse im Return-Path-Header der empfangenen E-Mail zu vergleichen. SPF RFC7208 begrenzt die maximale Anzahl dieser Abfragen auf 10. 

Die Verwendung des Modifikators "redirect" erhöht diese Zahl ebenfalls. Ihr Unternehmen muss also vorsichtig sein, wenn es einen "redirect"-Modifikator verwendet, da die Grenze von 10 DNS-Suchvorgängen überschritten werden kann. Dies kann dazu führen, dass SPF nicht mehr funktioniert und die Authentifizierung fehlschlägt.

Bei PowerDMARC konfigurieren unsere Benutzer PowerSPF, ein effektives SPF-Flattening-Tool, um die Anzahl der Lookups zu begrenzen und ein fehlerfreies SPF zu erhalten.

2. Es wird ein fehlerhaftes Ergebnis zurückgegeben, wenn keine SPF-Richtlinie in Domänen mit "redirect" definiert ist.

Wenn Sie eine Domäne einbeziehen, die keinen SPF-Eintrag enthält oder einen ungültigen hat, wird ein Softfail-Ergebnis (none) zurückgegeben, das den Verifizierungsprozess nicht beeinflusst. 

Wenn die umgeleitete Domäne jedoch einen ungültigen oder fehlenden SPF-Datensatz enthält, wird bei der Verwendung des SPF-Redirect-Modifikators ein SPF-Permerror-Ergebnis zurückgegeben, was ein schwerwiegender Fehler ist und zum Abbruch von SPF führen kann.

Verwendung des SPF-Include-Mechanismus anstelle des SPF-Redirect-Modifikators

Wir empfehlen die Verwendung des SPF-Include-Mechanismus anstelle des Redirect-Modifikators, um einige häufige Komplikationen zu vermeiden:

  • Wenn ein Redirect-Mechanismus verwendet wird, bedeutet dies das Ende des Datensatzes und es können keine weiteren Änderungen vorgenommen werden. Wenn Sie hingegen einen SPF-Include verwenden, können Sie Änderungen an Ihrem Datensatz vornehmen und nach Belieben weitere Includes, a- oder mx-Datensätze hinzufügen, was mehr Flexibilität bietet.
  • Der Include-Mechanismus kann helfen, Ihren SPF-Eintrag so zu kürzen, dass er unter der SPF-Zeichenlängenbegrenzung liegt. Sie können jeweils einen SPF-TXT-Eintrag für spfrecord1.xyz.com und spfrecord2.abc.com erstellen, indem Sie den ursprünglich einzigen, langen SPF-Eintrag aufteilen und beide Domänen in den TXT-Eintrag für eine der Domänen (z. B. xyz.com) aufnehmen.
  • Falls es eine kein SPF-Eintrag gefunden In einer umgeleiteten Domäne kann die oben erwähnte Beibehaltung des Fehlerstatus (Permerror-Wert) für die Umleitung auch umgangen werden, indem der Include-Mechanismus verwendet wird, der stattdessen ein Softfail-Ergebnis zurückgibt, wobei Ihre E-Mails weiterhin zugestellt werden.
  • Im Gegensatz zu SPF include, das keine Auswirkungen auf den All-Mechanismus hat, weist der SPF redirect modifier den Server an, die SPF ~all für die Root-Domäne unter Verwendung der Umleitung wie im folgenden Fall:
    domain1.com "v=spf1 redirect=_spf.domain2.com"
    _spf.domain2.com "v=spf1 ip4:164.100.226.127 ~all
    Der Grund dafür ist, dass für jeden Datensatz, der eine Weiterleitung verwendet, der "all"-Mechanismus von vornherein fehlt, der bei der Verwendung von Include-Mechanismen koexistieren kann. Daher wird der "~all"-Satz für die umgeleitete Subdomain auch auf die Root-Domain angewandt.

Schlussfolgerung

Bei der Verwendung eines "Redirect"-Modifizierers wie dem Limit von 10 DNS-Lookups sind viele Dinge zu beachten, daher muss Ihre Organisation bei der Einrichtung Ihres SPF-Datensatzes vorsichtig sein. Ihr Unternehmen muss die SPF-Einträge von Zeit zu Zeit optimieren, um sicherzustellen, dass die DNS-Abfragen innerhalb des Limits liegen. Für alle SPF-bezogenen Abfragen Ihrer Organisation, besuchen Sie PowerSPF. Es führt eine automatische Verflachung durch und aktualisiert die Netblocks automatisch, um sicherzustellen, dass die autorisierten IPs immer aktuell und sicher sind. Darüber hinaus müssen Sie sich keine Sorgen über Fehler oder das Überschreiten von DNS-Lookup-Grenzen machen.

Der beste Weg, um Ihre E-Mails mit SPF zu sichern, ist die Implementierung mit DKIM und kostenlosem DMARC. Dadurch wird Ihr Unternehmen vor Spam-Mails und möglichen Spear-Phishing-Versuchen geschützt. Informieren Sie sich über PowerDMARC und stellen Sie sicher, dass Ihr Unternehmen einen aktiven DMARC-Anbieter mit Anti-Spoofing-Technologie verwendet.