SPF oder Sender Policy Framework ist ein E-Mail-Authentifizierungsprotokoll, mit dem die Legitimität von Absendern überprüft werden kann. In Kombination mit DMARC kann SPF dazu beitragen, Cyberangriffe per E-Mail wie Phishing und Direct-Domain-Spoofing zu verhindern.
Durch geringfügige Änderungen der SPF-Datensatzsyntax können E-Mails, bei denen SPF fehlschlägt, auf zwei völlig unterschiedliche Arten behandelt werden! SPF kann so konfiguriert werden, dass entweder ein Hardfail-Fehler oder ein Softfail-Fehler ausgelöst wird, wenn die Authentifizierung des Absenders fehlschlägt. In diesem Blog werden wir die Unterschiede zwischen SPF Hardfail und Softfail, die Syntax zur Konfiguration beider und ihre Anwendungsfälle diskutieren. Fangen wir also gleich damit an!
Wie funktionieren SPF-Einträge?
Um SPF für Ihre E-Mails zu implementieren, müssen Sie einen SPF-Eintrag im DNS Ihrer Domäne erstellen und veröffentlichen. Ein typisches Beispiel für einen SPF-Eintrag sieht wie folgt aus:
v=spf1 include:_spf.google.com ~all
In diesem SPF-Eintrag genehmigen Sie alle E-Mails, die von IP-Adressen stammen, die im SPF-Eintrag von Google aufgeführt sind. Der Fehler-Mechanismus wird ganz am Ende des Eintrags (~all) definiert, d. h. Softfail.
Ein SPF-Datensatz definiert also die verwendete Protokollversion, die von Ihnen autorisierten Absender und den Fehler-Mechanismus. Wenn Sie diesen Eintrag in Ihrem DNS veröffentlichen, stellen Sie sicher, dass nur autorisierte Absender E-Mails im Namen Ihrer Domäne senden dürfen. Wenn eine nicht autorisierte Quelle versucht, sich als Sie auszugeben, schlägt SPF mit dem in Ihrem Eintrag definierten Fehlermechanismus fehl.
Unterschied zwischen SPF Hardfail und Softfail
Die nachstehende Tabelle erläutert den grundlegenden Unterschied zwischen SPF Hardfail und Softfail.
| SPF-Syntax | Art des Versagens | Status | Entsprechende Maßnahmen des Empfängers |
|---|---|---|---|
| v=spf1 include:domain1.com -all | Hardfail | Absender nicht autorisiert | E-Mail kann abgelehnt werden |
| v=spf1 include:domain1.com ~all | Softfail | Absender ist möglicherweise nicht autorisiert | E-Mail wird zugestellt, aber als verdächtig oder potenziell betrügerisch markiert |
SPF Hardfail vs. Softfail : Wie in RFC definiert
Gemäß RFC 7208:
- Ein "Fail"-Ergebnis für SPF zeigt direkt an, dass der Absender der E-Mail nicht von der sendenden Domäne autorisiert ist. "Fail" ist gleichbedeutend mit dem Hardfail-Ergebnis (-all), das eindeutig auf eine nicht autorisierte Domänennutzung hinweist.
- Ein wesentlich entspannterer Ansatz ist jedoch die Konfiguration von SPF Softfail, das einen "wahrscheinlichen" Hinweis auf eine nicht autorisierte Domänennutzung anzeigt.
Behandlung von Empfängerfehlern bei Hardfail und Softfail
In Abschnitt 8.4definiert der RFC die folgenden Szenarien für die Behandlung von SPF-Hardfail- und SPF-Softfail-Ergebnissen:
1. SPF Hardfail / Fail
Bei einem "Fail"- oder "Hardfail"-Ergebnis kann Ihr Empfängerserver die nicht autorisierte E-Mail zurückweisen. Wenn es sich um eine SMTP-Transaktion handelt, sollte ein Fehlercode 550 5.7.1 mit einer entsprechenden Fehlerbeschreibung zurückgegeben werden.
Wenn der Empfängerserver die E-Mail während der SMTP-Transaktion nicht zurückweist, empfiehlt der RFC den Empfängern, die SPF-Ergebnisse im Received-SPF- oder Authentication-Results-Header zu speichern.
2. SPF Softfail
Als flexiblere Richtlinie zeigt Softfail an, dass die administrative Verwaltungsdomäne die E-Mail zwar als unberechtigt einstuft, sie aber nicht rundweg ablehnen möchte. In diesem Fall wird die Nachricht zugestellt, jedoch mit einer Warnung zur weiteren Überprüfung.
SPF Softfail vs. Hardfail: Was empfehlen wir?
Bei der Weiterleitung von SMTP-E-Mails können Sie SPF Softfail als sicherere Methode gegenüber Hardfail betrachten. Lassen Sie uns herausfinden, wie:
SMTP-E-Mail-Relaying ist die automatische Weiterleitung von Nachrichten von einem Server zu einem anderen. Das bedeutet, dass die E-Mail an einen Server weitergeleitet wird, dessen IP-Adresse nicht im SPF-Eintrag Ihrer Domäne aufgeführt ist. Dies macht ihn zu einem nicht autorisierten Absender für Ihre E-Mails, obwohl er in der Praxis legitim ist.
Haben Sie irgendeine Kontrolle über diesen Vorgang? Die Antwort ist nein, da die E-Mail automatisch auf der Seite des Empfängers weitergeleitet wird. Unter diesen Umständen wird SPF für die weitergeleiteten E-Mails fehlschlagen.
Hier können Sie mit einer SPF-Hardfail-Richtlinie in Schwierigkeiten geraten! Wie wir bereits wissen, können die Hardfail-Mechanismen zur Ablehnung von fehlgeschlagenen Nachrichten führen. Folglich können diese weitergeleiteten E-Mails nicht zugestellt werden, wenn Ihre Domäne mit einer Hardfail-Richtlinie konfiguriert ist.
Das Schlimmste daran? Die von der SPF-Fehlerbehandlungsrichtlinie ergriffenen Maßnahmen setzen die Ergebnisse der DMARC- und DKIM-Authentifizierung außer Kraft. Selbst wenn DKIM und anschließend DMARC erfolgreich sind, kann die E-Mail trotzdem nicht zugestellt werden.
Wie unter RFC 7489 Abschnitt 10.1 wenn SPF-Prüfungen vor DMARC-Vorgängen durchgeführt werden, könnte das Vorhandensein eines "-"-Präfixes im SPF-Mechanismus eines Absenders wie "-all" zu einer sofortigen Zurückweisung von E-Mails führen. Diese Ablehnung erfolgt zu einem frühen Zeitpunkt im E-Mail-Bearbeitungsprozess, noch bevor eine DMARC-Verarbeitung stattfindet.
Wenn also die SPF-Richtlinie eines E-Mail-Absenders einen "-all"-Mechanismus enthält, der eine strikte Richtlinie zur Zurückweisung von E-Mails, die SPF-Prüfungen nicht bestehen, anzeigt, kann dies zu einer Zurückweisung der Nachricht führen, bevor irgendwelche DMARC-Richtlinien oder eine Verarbeitung stattfinden. Diese frühzeitige Ablehnung kann unabhängig davon erfolgen, ob die E-Mail letztendlich die DMARC-Authentifizierung besteht.
Unter diesen Umständen triumphiert SPF Softfail über den Hardfail-Mechanismus. Es handelt sich um einen risikoarmen Ansatz, der Raum für eine Überprüfung lässt, indem er autorisierte E-Mails einfach kennzeichnet, anstatt sie abzulehnen.
Sichere SPF-Implementierungsstrategien
Eine optimale SPF-Implementierung ist für den Schutz der E-Mail-Kommunikation vor unautorisierten Spoofing- und Phishing-Angriffen unerlässlich. Durch die Befolgung von Best Practices können Unternehmen ihre E-Mail-Sicherheit verbessern und den Ruf ihrer Marke schützen. Im Folgenden finden Sie einige Strategien und Richtlinien für die sichere Implementierung von SPF:
1. Verwenden Sie ein Tool zur Erstellung von SPF-Einträgen
Der SPF-Implementierungsprozess beginnt mit der Erstellung des Datensatzes. Sie können Ihren Datensatz manuell erstellen, wenn Sie die SPF-Tags richtig verstanden haben. Diese Methode ist jedoch anfällig für menschliche Fehler. Idealerweise können Sie unseren automatischen SPF-Generator Werkzeug. Damit können Sie einen fehlerfreien, genauen SPF-Eintrag erstellen, der auf die Bedürfnisse Ihres Unternehmens zugeschnitten ist.
2. Geeignete SPF-Mechanismen verwenden
Verwenden Sie SPF-Mechanismen wie "include", "a" und "IP4", um die zulässigen Sendequellen anzugeben. Wählen Sie die Mechanismen entsprechend Ihrer E-Mail-Infrastruktur aus und stellen Sie sicher, dass sie Ihre E-Mail-Versandpraktiken korrekt widerspiegeln.
3. Pflegen und optimieren Sie Ihren SPF-Eintrag
Ihr Sender Policy Framework-Datensatz muss gepflegt und optimiert werden, um Fehlfunktionen zu vermeiden. SPF neigt dazu, nicht mehr zu funktionieren, wenn Ihre autorisierten Absender das Limit von 10 DNS-Lookups auf der Seite des Empfängers überschreiten. Um ein optimales Lookup-Limit zu erhalten, kann unser gehostete SPF Lösung Ihre beste Wahl! Wir helfen Domain-Besitzern, SPF mit einem einzigen Klick zu optimieren, um unter dem Lookup- und Void-Limit zu bleiben und SPF fehlerfrei zu halten.
4. Kombinieren Sie SPF mit DMARC
Bereitstellung von DMARC (Domain-based Message Authentication, Reporting, and Conformance) bietet neben SPF eine zusätzliche (aber wichtige) Sicherheitsebene. DMARC ermöglicht es Domänenbesitzern, Richtlinien für die E-Mail-Behandlung festzulegen, einschließlich der Maßnahmen, die bei E-Mails ergriffen werden sollen, die SPF nicht erfüllen.
DMARC hat nachweislich dazu beigetragen, E-Mail-Betrug, Kompromittierung und Angriffe durch Nachahmung zu minimieren.
5. Strenge SPF-Fehlerbehandlungsrichtlinien implementieren
Konfigurieren Sie Ihren Datensatz für die Behandlung von SPF-Authentifizierungsfehlern mit strengen Richtlinien zu behandeln, wie z. B. das Ablehnen oder Markieren von E-Mails von Domänen mit Fehlern. Dazu können Sie entweder SPF hardfail oder SPF softfail anstelle einer neutralen Richtlinie implementieren.
6. SPF-Authentifizierungsergebnisse überwachen
Implementierung DMARC-Berichte zur Überwachung von SPF-Authentifizierungsergebnissen, wie z. B. SPF bestanden und fehlgeschlagen, sowie von Ausrichtungsfehlern. A DMARC-Analysator Tool kann Ihnen dabei helfen, SPF-Authentifizierungsdaten in einer organisierten, für den Menschen lesbaren Weise zu analysieren und zu analysieren.
Letzte Worte
Es gibt keine direkte Antwort auf die Frage "Was ist besser? SPF hardfail oder softfail". Das Hardfail-Tag kann Ihnen zwar mehr Sicherheit bieten, aber die Wahl der richtigen Lösung für die Überwachung Ihrer Sendequellen ist entscheidend.
Die fortschrittliche Domain-Authentifizierungs- und Berichtsplattform von PowerDMARC bietet umfassende SPF- und DMARC-Lösungen für Unternehmen jeder Größe. Registrieren Sie sich noch heute für eine kostenlose Testversion!
- Wie richtet man DMARC in Office 365 ein? Schritt-für-Schritt-Anleitung - 6. Mai 2024
- SMTP Yahoo Fehler Codes erklärt - 1. Mai 2024
- SPF Softfail vs. Hardfail: Was ist der Unterschied? - April 26, 2024