Wie behebt man " SPF Softfail Domain Does Not Designate IP as Permitted Sender "?

Blog

Unternehmen sollten die IP-Adressen, die zum Versenden von E-Mails in ihrem Namen verwendet werden, im SPF-Datensatz ordnungsgemäß als zulässige Absender angeben, um den Fehler "SPF softfail domain does not designate IP as permitted sender" zu beheben.

von YunesTarada

Lesezeit: 6 min
Wie behebt man " SPF Softfail Domain Does Not Designate IP as Permitted Sender "?
Inhaltsverzeichnis-

Wenn Ihr Unternehmen eigene Domains und Domain-Handling-E-Mails verwendet, ist die Wahrscheinlichkeit groß, dass es zu E-Mail-Problemen kommt und der Fehler "SPF Softfail Domain Does Not Designate IP as Permitted Sender" auftritt. Es ist von entscheidender Bedeutung, dass Unternehmen die IP-Adressen, die zum Versenden von E-Mails in ihrem Namen verwendet werden, im SPF-Eintrag als zulässige Absender angeben.

Wichtigste Erkenntnisse

  1. Die korrekte Angabe von IP-Adressen im SPF-Eintrag ist wichtig, um E-Mail-Spoofing zu verhindern und eine zuverlässige E-Mail-Kommunikation zu gewährleisten.
  2. Die Überprüfung der E-Mail-Header kann dabei helfen, festzustellen, ob die IP-Adresse, die zum Senden von E-Mails verwendet wird, im SPF-Eintrag zugelassen ist.
  3. Jeder Domäneninhaber sollte eine Liste aller gültigen Sendequellen, einschließlich der Dienste Dritter, führen, um die Einhaltung der SPF-Anforderungen zu gewährleisten.
  4. Die Einbindung von DMARC zusammen mit SPF und DKIM erhöht die E-Mail-Sicherheit und liefert Rückmeldungen über fehlgeschlagene Authentifizierungen.
  5. DMARC ermöglicht es Domäneninhabern, den Umgang mit nicht authentifizierten E-Mails zu kontrollieren, was zum Schutz vor Phishing und Betrug beiträgt.

Was ist SPF?

SPF oder Sender Policy Framework ist ein E-Mail-Authentifizierungsstandard, der Unternehmen vor Imitationen schützt. Ein Angreifer kann die Domäne und den Markennamen eines Unternehmens verwenden, um gefälschte Nachrichten an seine Kunden zu senden. Diese Phishing-E-Mails wirken authentisch genug, um die Kunden zu überzeugen und sie dazu zu bringen, auf einen Internet-Betrug im Namen des Unternehmens hereinzufallen. Dies schadet der Glaubwürdigkeit der Marke eines Unternehmens und beeinträchtigt sein öffentliches Image. SPF kann man sich als eine sichere Liste von vertrauenswürdigen Domänen eines Unternehmens vorstellen, von denen authentische Kommunikation ausgehen kann.

Wie prüft man, ob die eigene Domäne ein zugelassener Absender ist?

Der erste Schritt zur Behebung des "SPF Softfail Domain Does Not Designate IP as Permitted Sender" zu beheben, müssen Sie Ihre Absenderautorität überprüfen. Tun Sie dies:

Schritt 1: Melden Sie sich beim E-Mail-Konto der Unternehmensdomäne an, z. B. [email protected].

Schritt 2: Senden Sie eine E-Mail an ein anderes E-Mail-Konto, auf das Sie Zugriff haben; dies kann eine externe Domain wie Gmail, Yahoo, Hotmail oder andere sein.

Schritt 3: Melden Sie sich bei dem E-Mail-Konto an, von dem aus Sie die erste E-Mail gesendet haben, und sehen Sie sich die Kopfzeilen dieser E-Mail an. Sie wird als "Original anzeigen" markiert sein.

Dann sehen Sie etwas Ähnliches wie das hier. Beachten Sie die SPF-Softfail-Meldung.

-Originalnachricht -

X-Empfang: ...

Sat, 13 März, 2022 11:01:19 IST

Rückgabe-Pfad: [email protected]

Empfangen: von mymy2.spfrecords.com (mymy2.spfrecords.com [60.130.71.223])

von mx.google.com mit ESMTPS-ID 

*id*

Für [email protected]

Empfangener SPF: softfail (google.com: Domain des übergehenden [email protected] bestimmt nicht 60.130.71.223 als erlaubten Absender) client-ip=60.130.71.223; 

Authentifizierungsergebnisse: mx.google.com;

Spf = softfail (google.com: Domäne des übergehenden [email protected] gibt 60.130.71.223 nicht als zulässigen Absender an) client-ip=60.130.71.223; 

*Ende der Kopfnachricht

Hinweis: Wenn Sie in der Kopfzeile "Received-SPF: pass" sehen, dann ist die Domäne, die Sie zum Senden der E-Mails verwenden, authentifiziert und bereits zu Ihrem SPF-Eintrag hinzugefügt, und Sie müssen sich keine Sorgen machen. Wie oben gezeigt, gibt es jedoch ein Softfail-Problem. Wir werden uns nun ansehen, wie das Problem gelöst werden kann.

Vereinfachen Sie SPF mit PowerDMARC!

15-Tage-TestDemo buchen

Was bedeutet "SPF Softfail Domain Does Not Designate IP as Permitted Sender"?

Ihr E-Mail-Absender hat eine Host-IP, die etwa so aussieht:

30.10.323.005

Wenn diese IP-Adresse für die sendende Domäne nicht im SPF-Eintrag Ihrer Domäne enthalten ist, kann der E-Mail-Empfangsserver die angegebene IP-Adresse nicht als zulässigen Absender identifizieren. Der Server interpretiert die Nachricht automatisch so, dass sie von einer nicht autorisierten Quelle stammt. Dies ist ein möglicher Grund, warum SPF für die Nachricht fehlgeschlagen ist. Die Wahrscheinlichkeit eines DMARC-Fehlschlags ist hoch, wenn sich das E-Mail-Authentifizierungssystem bei der Quellenüberprüfung ausschließlich auf SPF (und nicht auf DKIM) verlässt. 

Wenn Ihre Protokollrichtlinie auf Ablehnung eingestellt ist, wird Ihre Nachricht unter diesen Umständen niemals zugestellt! Daher muss der Domänenbesitzer schnelle und umsetzbare Maßnahmen ergreifen, um das Problem "SPF Softfail Domain Does Not Designate IP as Permitted Sender" zu beheben.

Wie kann ich eine IP-Adresse als zulässigen Absender für SPF angeben?

Die Lösung hierfür kann in folgende Schritte unterteilt werden: 

1. Erstellen Sie eine Liste von Sendequellen für Ihre Domain. Sie können eine Liste von E-Mail-Adressen verwenden, die auf Ihrer Domain basiert, sowie Sendequellen von Drittanbietern für E-Mail-Transaktionen.

2. Identifizieren Sie nun die Host-IPs dieser Sendequellen 

Wie findet man IP-Adressen, die mit Ihren E-Mail-Sendequellen verbunden sind?

Das ist ganz einfach! Um die IP-Adresse Ihrer Absenderquelle zu ermitteln, öffnen Sie die E-Mail und sehen Sie sich den vollständigen E-Mail-Header an. Klicken Sie dazu auf die drei Punkte in der oberen rechten Ecke Ihrer E-Mail, um das Dropdown-Menü aufzurufen, und wählen Sie "Original anzeigen".

Blättern Sie in der Originalnachricht nach unten zum Feld Empfangene können Sie die Host-IP-Adresse des ursprünglichen Absenders erkennen, wie unten dargestellt:

3. Benutzen Sie unser SPF-Datensatz-Generator um einen kostenlosen SPF-Eintrag für Ihre Domain zu erstellen.

  • Fügen Sie in den Datensatzgenerator alle IP-Adressen ein, die für den Versand von E-Mails und Kommunikation im Namen des Unternehmens authentifiziert werden sollen.
  • Fügen Sie Server von Drittanbietern oder externe Zustelldienste als autorisierte Sendequelle für Ihre Domain hinzu. Auf diese Weise werden alle über Drittserver gesendeten E-Mails auch die SPF-Authentifizierung bestehen.

4. Sobald Sie den SPF Record Generator verwendet haben, um den SPF Record für Ihre Domäne zu erstellen und alle vertrauenswürdigen Domänen und IP-Adressen hinzuzufügen, müssen Sie nur noch SPF implementieren, indem Sie ihn in Ihrem DNS veröffentlichen. Hier sehen Sie, wie Sie das erreichen können:

  • Melden Sie sich bei Ihrer DNS-Verwaltungskonsole an
  • Navigieren Sie dann zur gewünschten Domain (die Domain, für die Sie den SPF-Eintrag hinzufügen/ändern möchten)
  • Geben Sie Ihren Ressourcentyp als 'TXT' an
  • Geben Sie den Hostnamen als "_spf" an.
  • Fügen Sie den Wert Ihres generierten SPF-Eintrags ein 
  • Änderungen speichern, um SPF für Ihre Domain zu konfigurieren

Hinweis: Die oben genannten Namen oder Kopfzeilen können je nach der DNS-Verwaltungskonsole, die Sie für Ihr Unternehmen verwenden, variieren.

Auf diese Weise können die Domäneninhaber sicherstellen, dass alle ihre vertrauenswürdigen IP-Adressen und Domänen, die sie möglicherweise zum Senden von Mitteilungen im Namen des Unternehmens verwenden, dem Server hinzugefügt werden, und ein ähnlicher Fehler, bei dem die SPF-Softfail-Domäne keine IP als zulässigen Absender angibt, wird nicht auftreten. 

Wie kann man die SPF-Norm effektiv nutzen?

Die einzige Möglichkeit, die SPF-Technologie eines Unternehmens zu festigen, besteht darin, sie mit DMARC. Dies bringt folgende Vorteile mit sich,

1. DMARC = SPF + DKIM

E-Mail-Authentifizierungsprotokolle wie DMARC werden durch Hinzufügen eines TXT-Eintrags zu Ihrem DNS konfiguriert. Neben der Konfiguration einer Richtlinie für die E-Mails Ihrer Domäne können Sie DMARC auch nutzen, um einen Berichtsmechanismus zu aktivieren, der Ihnen eine Fülle von Informationen über Ihre Domänen, Anbieter und E-Mail-Quellen liefert.

DMARC kann Ihnen dabei helfen, die Technologien SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) gemeinsam zu nutzen, um Ihre Domain noch besser vor Spoofing zu schützen.

Hinweis: Dies wird empfohlen, ist aber nicht zwingend erforderlich. DMARC kann entweder mit SPF- oder DKIM-Identifikatorabgleich funktionieren.

2. Berichterstattung und Feedback mit PowerDMARC

Weder SPF noch DKIM geben dem Domäneninhaber Rückmeldung über E-Mails, die nicht authentifiziert werden können. DMARC sendet detaillierte Berichte direkt an Sie, die von der PowerDMARC-Plattform in leicht lesbare Diagramme und Tabellen umgewandelt werden.

3. Kontrolle, was mit nicht authentifizierten E-Mails geschieht 

Mit DMARC können Sie als Domäneninhaber entscheiden, ob eine E-Mail, die die Validierung nicht besteht, in den Posteingang oder als Spam verschickt oder zurückgewiesen wird. Mit PowerDMARC müssen Sie nur auf eine Schaltfläche klicken, um Ihre DMARC-Richtlinie festzulegen - so einfach ist das.

Nicht autorisierte Absender können eine gefährliche Bedrohung für die Sicherheit Ihrer Kunden und das Image und den Markenwert Ihres Unternehmens darstellen. Schützen Sie Ihre Kunden vor Phishing und Betrug, indem Sie DMARC in Ihrem Unternehmen einführen und nur Mails von authentifizierten Absendern zu ihnen durchlassen.

Neueste Beiträge von Yunes Tarada (alle anzeigen)
Was ist ein "Ice Phishing"-Angriff?Eis-Phishing-AngriffSocial-Engineering-AngriffeArten von Social Engineering-Angriffen im Jahr 2022