SPF Validierung ist wichtig für eine bessere Zustellbarkeit von E-Mails und zum Schutz Ihrer Domain vor Phishing und Spam Angriffen. Die SPF-Einstellungen sind jedoch kompliziert, und bei ihrer Konfiguration kann man viel falsch machen. Die Behebung und Vermeidung dieser häufigen Fehler stellt sicher, dass es keine falsch positiven Ergebnisse gibt und DMARC Konformität für Ihre E-Mail-Versanddomäne gewährleistet ist.
7 häufige Fehler, die bei der Konfiguration von SPF-Einstellungen vermieden werden sollten
Einige DNS-Mechanismen werden verwendet, um die IPs von Systemen anzugeben, die E-Mails mit einer E-Mail-Rücksprungadresse senden dürfen. Ihre falsche Verwendung führt jedoch zu Fehlern wie - Überschreitung der Größe des SPF-Eintrags, mehr als 10 DNS-Lookups, mehr als 2 ungelöste DNS-Lookups, usw.
Wir haben häufige SPF-Fehler aufgelistet, damit Sie sie bei der Konfiguration der SPF-Einstellungen vermeiden können.
Fehler 1: Mehrere SPF-Einträge
Es sollte einen SPF-Eintrag pro Domäne geben, da die empfangenden Server sonst beide ablehnen. Entfernen Sie SPF-Einträge, die derzeit nicht verwendet werden, z. B. veraltete Dienste mit aktiven SPF-Einträgen.
Sie können diesen SPF-Einstellungsfehler beheben, indem Sie zwei oder mehr Einträge zu einem einzigen zusammenführen. Nehmen wir an, eine Benutzerdomäne hat einen SPF-Eintrag und enthält einen Elastic Email SPF-Eintrag, besteht aber die Verifizierungsprüfungen nicht. Der mögliche Grund dafür ist, dass 2 Einträge auf der Domain vorhanden sind.
v=spf1 a mx include:_sampledomain1.com include:_spf.elasticemail.com ~all
v=spf1 a mx include:_sampledomain2.com ~all
Sie können dieses Problem lösen, indem Sie sie in einem einzigen Datensatz zusammenführen:
v=spf1 a mx include:_sampledomain1.com include:_sampledomain2.com include:_spf.elasticemail.com ~all
Fehler 2: Zu viele DNS-Suchvorgänge
Es gibt eine Obergrenze von 10 "include"-Lookups, d. h. Sie können nicht mehr als 10 Verweise auf andere Domänen erzeugen. Jedes Vorkommen der Parameter "include", "a", "mx", "ptr", "exists" und "redirect" erzeugt einen Lookup. Wenn außerdem eine Domäne, auf die in einem 'include' einen anderen Parameter enthält, wird dieser ebenfalls auf die 10 Nachschlagemöglichkeiten angerechnet. Das Überschreiten des Lookup-Limits ist also einer der häufigsten Fehler, die bei der Konfiguration der SPF-Einstellungen auftreten.
Sie können dies beheben, indem Sie 'enthält' und Verweise auf inaktive Domänen.
Fehler 3: Nachgiebig alle Mechanismus
Ein SPF-Datensatz wird von links nach rechts interpretiert, und das 'alle' Mechanismus wird mit dem 'alle Absender, die nicht auf die vorhergehenden Mechanismen zutreffen. Es wird vorgeschlagen, den 'all' Mechanismus an das Ende Ihres SPF-Eintrags zu setzen und ihn mit dem Präfix ~ (softfail) oder - (fail) zu verwenden. Wenn kein Präfix gesetzt ist, wird standardmäßig das + (pass) verwendet.
Fehler 4: Die Verwendung des ptr Mechanismus
Der SPF 'ptr' Mechanismus wird für die umgekehrte DNS-Suche verwendet, die den Hostnamen zu seiner entsprechenden IP-Adresse zurückführt. Diese Information ist vor allem für B2B-Marken hilfreich. Aber dieser Mechanismus hat Probleme mit der Zuverlässigkeit und belastet die Reverse-DNS-Server und die mit ihnen verbundenen E-Mail-Systeme.
Aus diesem Grund rät RFC7208 von der Verwendung der 'ptr' Mechanismus ab. In den meisten Fällen können Sie ihn durch den 'a' Mechanismus ersetzen.
Fehler 5: Die Verwendung von mx Mechanismus
Verwendung mx' bei Domänennamen und nicht bei Mailserver-Namen. Angabe von mx:mailserver.beispiel.com gilt als nicht korrekt, es sei denn, Sie benötigen tatsächlich eine SPF-Validierung, um alle Hosts zu ermitteln, die Post für die Domäne "mailserver.sample.com" annehmen. In den meisten Fällen wird es solche Hosts nicht geben, da "mailserver.sample.com" selbst ein Host und keine Domäne ist.
Es handelt sich dabei nicht um einen Syntaxfehler, aber es wird auch nicht einfach irgendetwas übereinstimmen.
Der korrekte Weg für die Validierung des MX-Eintrags für "sample.com" ist mx:beispiel.com. Wenn Sie den Hostnamen oder die IP-Adresse eines bestimmten Mailservers angeben müssen, sollte a:mailserver.sample.com oder ip4:x.x.x.x verwendet werden
Fehler 6: Erstellen eines SPF-Eintrags ohne gründliche Recherche
Dies gilt insbesondere für Internetanbieter. Erstellen Sie keine Einträge mit halben Informationen über die Domäne, ihren Besitzer und die Marke, zu der sie gehört. Recherchieren Sie, welchen E-Mail-Server er verwendet, sonst könnten Sie den Pfad für die Zustellung ausgehender E-Mails von seinem internen E-Mail-Server blockieren.
Fehler 7: Tippfehler
Vermeiden Sie häufige Fehler bei der Konfiguration der SPF-Einstellungen, indem Sie den SPF-Eintrag zweimal auf Tippfehler überprüfen. Sie können "inlcude" statt "include" eingeben. Dadurch kann der gesamte Datensatz ungültig werden.
Fehler 8: Keine Veröffentlichung von SPF-Einträgen für HELO-Namen, die von Ihren E-Mail-Servern verwendet werden
Verifying HELO or EHLO names is encouraged by the SPF RFC. HELO or its developed version EHLO is used when Mail from is <> despite the recipient’s failure in doing 100% HELO checking.
Die Veröffentlichung eines HELO-Protokolls beinhaltet die Erstellung eines SPF-Eintrags, der dem von Ihrem Mailserver verwendeten HELO-FQDN entspricht. Zum Beispiel: mailserver.sample1.com
Im Allgemeinen sollte es sich um eine völlig andere SPF-Regel handeln als diejenige, die die Absenderadresse in Ihrer mit "sample1.com" verknüpften Domäne überprüft.
Fehler 9: Inhalt des TXT-Datensatzes wird nicht in doppelten Anführungszeichen angezeigt
Der Inhalt eines DNS-TXT-Eintrags steht immer in doppelten Anführungszeichen ("-"), die jedoch nie Teil des eigentlichen DNS-Eintrags sein sollten. Diese Anführungszeichen dienen nur der Anzeige, da sie den Anfang und das Ende des Inhalts eines TXT-Eintrags voneinander trennen.
Ein SPF-Eintrag sollte beginnen mit v=spf1 aber wenn er beginnt mit "v=spf1beginnt, wird er überhaupt nicht erkannt.
Immer noch ein Problem?
Jede Änderung der SPF-Einstellungen benötigt einige Zeit, um sich im Internet zu verbreiten. Es kann auch bis zu 72 Stunden dauern. Sollten Sie dennoch Probleme haben, nutzen Sie unseren kostenlosen SPF-Datensatz-Prüfung Tool oder wenden Sie sich an unser Expertenteam unter support@powerdmarc.com.
