SPF Softfail vs. SPF Hardfail: Was ist der Unterschied?

Mit SPF (Sender Policy Framework) haben Sie die Möglichkeit, Ihr System so zu konfigurieren, dass es auf eine von zwei Arten auf Authentifizierungsfehler reagiert: Hardfail oder SoftfailIn diesem Blog werden wir die Unterschiede zwischen SPF Hardfail und Softfail, die Syntax für die Konfiguration beider Methoden und ihre Anwendungsfälle diskutieren. Lassen Sie uns also gleich eintauchen!

Der Unterschied zwischen SPF Softfail und Hardfail

Die nachstehende Tabelle erläutert den grundlegenden Unterschied zwischen SPF Hardfail und Softfail. 

SPF Hardfail vs. Softfail : Wie in RFC definiert 

Gemäß RFC 7208:

• Ein "Fail"-Ergebnis für SPF zeigt direkt an, dass der Absender der E-Mail nicht von der sendenden Domäne autorisiert ist. "Fail" ist gleichbedeutend mit dem Hardfail-Ergebnis (-all), das eindeutig auf eine nicht autorisierte Domänennutzung hinweist. 
• Ein wesentlich entspannterer Ansatz ist jedoch die Konfiguration von SPF Softfail, das einen "wahrscheinlichen" Hinweis auf eine nicht autorisierte Domänennutzung anzeigt. 

Vereinfachen Sie SPF mit PowerDMARC!

Behandlung von Empfängerfehlern bei Hardfail und Softfail 

In Abschnitt 8.4definiert der RFC die folgenden Szenarien für die Behandlung von SPF-Hardfail- und SPF-Softfail-Ergebnissen:

1. SPF Hardfail / Fail 

Bei einem "Fail"- oder "Hardfail"-Ergebnis kann Ihr Empfängerserver die nicht autorisierte E-Mail zurückweisen. Wenn es sich um eine SMTP-Transaktion handelt, sollte ein Fehlercode 550 5.7.1 mit einer entsprechenden Fehlerbeschreibung zurückgegeben werden. 

Wenn der Empfängerserver die E-Mail während der SMTP-Transaktion nicht zurückweist, empfiehlt der RFC den Empfängern, die SPF-Ergebnisse im Received-SPF- oder Authentication-Results-Header zu speichern. 

2. SPF Softfail

Als flexiblere Richtlinie zeigt Softfail an, dass die administrative Verwaltungsdomäne die E-Mail zwar als unberechtigt einstuft, sie aber nicht rundweg ablehnen möchte. In diesem Fall wird die Nachricht zugestellt, jedoch mit einer Warnung zur weiteren Überprüfung.  

SPF Softfail vs. Hardfail: Was empfehlen wir?

Bei der Weiterleitung von SMTP-E-Mails können Sie SPF Softfail als sicherere Methode gegenüber Hardfail betrachten. Lassen Sie uns herausfinden, wie: 

SMTP-E-Mail-Relaying ist die automatische Weiterleitung von Nachrichten von einem Server zu einem anderen. Das bedeutet, dass die E-Mail an einen Server weitergeleitet wird, dessen IP-Adresse nicht im SPF-Eintrag Ihrer Domäne aufgeführt ist. Dies macht ihn zu einem nicht autorisierten Absender für Ihre E-Mails, obwohl er in der Praxis legitim ist. 

Haben Sie irgendeine Kontrolle über diesen Vorgang? Die Antwort ist nein, da die E-Mail automatisch auf der Seite des Empfängers weitergeleitet wird. Unter diesen Umständen wird SPF für die weitergeleiteten E-Mails fehlschlagen. 

Hier können Sie mit einer SPF-Hardfail-Richtlinie in Schwierigkeiten geraten! Wie wir bereits wissen, können die Hardfail-Mechanismen zur Ablehnung von fehlgeschlagenen Nachrichten führen. Folglich können diese weitergeleiteten E-Mails nicht zugestellt werden, wenn Ihre Domäne mit einer Hardfail-Richtlinie konfiguriert ist. 

Das Schlimmste daran? Die von der SPF-Fehlerbehandlungsrichtlinie ergriffenen Maßnahmen setzen die Ergebnisse der DMARC- und DKIM-Authentifizierung außer Kraft. Selbst wenn DKIM und anschließend DMARC erfolgreich sind, kann die E-Mail trotzdem nicht zugestellt werden.   

Wie unter RFC 7489 Abschnitt 10.1 wenn SPF-Prüfungen vor DMARC-Vorgängen durchgeführt werden, könnte das Vorhandensein eines "-"-Präfixes im SPF-Mechanismus eines Absenders wie "-all" zu einer sofortigen Zurückweisung von E-Mails führen. Diese Ablehnung erfolgt zu einem frühen Zeitpunkt im E-Mail-Bearbeitungsprozess, noch bevor eine DMARC-Verarbeitung stattfindet.

Wenn also die SPF-Richtlinie eines E-Mail-Absenders einen "-all"-Mechanismus enthält, der eine strikte Richtlinie zur Zurückweisung von E-Mails, die SPF-Prüfungen nicht bestehen, anzeigt, kann dies zu einer Zurückweisung der Nachricht führen, bevor irgendwelche DMARC-Richtlinien oder eine Verarbeitung stattfinden. Diese frühzeitige Ablehnung kann unabhängig davon erfolgen, ob die E-Mail letztendlich die DMARC-Authentifizierung besteht.

Unter diesen Umständen triumphiert SPF Softfail über den Hardfail-Mechanismus. Es handelt sich um einen risikoarmen Ansatz, der Raum für eine Überprüfung lässt, indem er autorisierte E-Mails einfach kennzeichnet, anstatt sie abzulehnen. 

Wie funktionieren SPF-Einträge?

Um SPF für Ihre E-Mails zu implementieren, müssen Sie einen SPF-Eintrag im DNS Ihrer Domäne erstellen und veröffentlichen. Ein typisches Beispiel für einen SPF-Eintrag sieht wie folgt aus:

v=spf1 include:_spf.google.com ~all

In diesem SPF-Eintrag genehmigen Sie alle E-Mails, die von IP-Adressen stammen, die im SPF-Eintrag von Google aufgeführt sind. Der Fehler-Mechanismus wird ganz am Ende des Eintrags (~all) definiert, d. h. Softfail. 

Ein SPF-Datensatz definiert also die verwendete Protokollversion, die von Ihnen autorisierten Absender und den Fehler-Mechanismus. Wenn Sie diesen Eintrag in Ihrem DNS veröffentlichen, stellen Sie sicher, dass nur autorisierte Absender E-Mails im Namen Ihrer Domäne senden dürfen. Wenn eine nicht autorisierte Quelle versucht, sich als Sie auszugeben, schlägt SPF mit dem in Ihrem Eintrag definierten Fehlermechanismus fehl. 

Sichere SPF-Implementierungsstrategien

Eine optimale SPF-Implementierung ist für den Schutz der E-Mail-Kommunikation vor unautorisierten Spoofing- und Phishing-Angriffen unerlässlich. Durch die Befolgung von Best Practices können Unternehmen ihre E-Mail-Sicherheit verbessern und den Ruf ihrer Marke schützen. Im Folgenden finden Sie einige Strategien und Richtlinien für die sichere Implementierung von SPF:

1. Verwenden Sie ein Tool zur Erstellung von SPF-Einträgen

Der SPF-Implementierungsprozess beginnt mit der Erstellung des Datensatzes. Sie können Ihren Datensatz manuell erstellen, wenn Sie die SPF-Tags richtig verstanden haben. Diese Methode ist jedoch anfällig für menschliche Fehler. Idealerweise können Sie unseren automatischen SPF-Generator Werkzeug. Damit können Sie einen fehlerfreien, genauen SPF-Eintrag erstellen, der auf die Bedürfnisse Ihres Unternehmens zugeschnitten ist.

2. Geeignete SPF-Mechanismen verwenden

Verwenden Sie SPF-Mechanismen wie "include", "a" und "IP4", um die zulässigen Sendequellen anzugeben. Wählen Sie die Mechanismen entsprechend Ihrer E-Mail-Infrastruktur aus und stellen Sie sicher, dass sie Ihre E-Mail-Versandpraktiken korrekt widerspiegeln.

3. Pflegen und optimieren Sie Ihren SPF-Eintrag

Ihr Sender Policy Framework-Datensatz muss gepflegt und optimiert werden, um Fehlfunktionen zu vermeiden. SPF neigt dazu, nicht mehr zu funktionieren, wenn Ihre autorisierten Absender das Limit von 10 DNS-Lookups auf der Seite des Empfängers überschreiten. Um ein optimales Lookup-Limit zu erhalten, ist unser gehostete SPF Lösung Ihre beste Wahl! Wir helfen Domain-Besitzern, SPF mit einem einzigen Klick zu optimieren, um unter dem Lookup- und Void-Limit zu bleiben und SPF fehlerfrei zu halten.

4. Kombinieren Sie SPF mit DMARC

Bereitstellung von DMARC (Domain-based Message Authentication, Reporting, and Conformance) bietet neben SPF eine zusätzliche (aber wichtige) Sicherheitsebene. DMARC ermöglicht es Domänenbesitzern, Richtlinien für die E-Mail-Behandlung festzulegen, einschließlich der Maßnahmen, die bei E-Mails ergriffen werden sollen, die SPF nicht erfüllen.

DMARC hat nachweislich dazu beigetragen, E-Mail-Betrug, Kompromittierung und Angriffe durch Nachahmung zu minimieren. 

5. Strenge SPF-Fehlerbehandlungsrichtlinien implementieren

Konfigurieren Sie Ihren Datensatz für die Behandlung von SPF-Authentifizierungsfehlern mit strengen Richtlinien zu behandeln, wie z. B. das Ablehnen oder Markieren von E-Mails von Domänen mit Fehlern. Dazu können Sie entweder SPF hardfail oder SPF softfail anstelle einer neutralen Richtlinie implementieren.

6. SPF-Authentifizierungsergebnisse überwachen

Implementierung DMARC-Berichte zur Überwachung von SPF-Authentifizierungsergebnissen, wie z. B. SPF bestanden und fehlgeschlagen, sowie von Ausrichtungsfehlern. A DMARC-Analysator Tool kann Ihnen dabei helfen, SPF-Authentifizierungsdaten in einer organisierten, für den Menschen lesbaren Weise zu analysieren und zu analysieren.

Letzte Worte

Es gibt keine direkte Antwort auf die Frage "Was ist besser? SPF hardfail oder softfail". Das Hardfail-Tag kann Ihnen zwar mehr Sicherheit bieten, aber die Wahl der richtigen Lösung für die Überwachung Ihrer Sendequellen ist entscheidend. 

Die fortschrittliche Domain-Authentifizierungs- und Berichtsplattform von PowerDMARC bietet umfassende SPF- und DMARC-Lösungen für Unternehmen jeder Größe. Registrieren Sie sich noch heute für eine kostenlose Testversion!

• Über
• Neueste Beiträge

Yunes Tarada

Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC

Yunes ist Operations Team Lead bei PowerDMARC und verfügt über Expertenwissen im Bereich E-Mail-Authentifizierung und -Sicherheit. Yunes ist ein Microsoft-zertifizierter Azure Administrator Associate mit Zertifizierungen in CompTIA A+ und vielen mehr.

Neueste Beiträge von Yunes Tarada (alle anzeigen)

• E-Mail-Salting-Angriffe: Wie versteckter Text die Sicherheit umgeht - 26. Februar 2025
• SPF-Abflachung: Was ist das und warum brauchen Sie es? - Februar 26, 2025
• DMARC vs. DKIM: Die wichtigsten Unterschiede und wie sie zusammenarbeiten - 16. Februar 2025