SPF existiert im DNS Ihrer Domain als TXT-Eintrag mit einer Reihe von Mechanismen und Modifikatoren, die für bestimmte Anweisungen stehen. Der SPF-All-Mechanismus befindet sich am rechten Ende eines SPF-Eintrags, dem ein "-" oder "~" vorangestellt ist. Schauen wir uns den Unterschied zwischen den SPF-Mechanismen "-all" und "~all" an, um festzustellen, wann Sie sie konfigurieren sollten.

SPF -all vs ~all

Sowohl der SPF-Mechanismus -all als auch ~all bedeuten "NOT PASS" für die SPF-Authentifizierung. In letzter Zeit gibt es bei den meisten E-Mail-Diensteanbietern keinen Unterschied mehr zwischen den Mechanismen -all und ~all, und es wird das gleiche Ergebnis zurückgegeben. Dies war jedoch vor einigen Jahren noch nicht der Fall.

Wie funktionierte der SPF All (Softfail vs. Fail) Mechanismus vor DMARC?

DMARC wurde lange Zeit, nachdem SPF bereits als Standardprotokoll zur E-Mail-Authentifizierung auf dem Markt war, entwickelt. Zu dieser Zeit funktionierte der SPF-All-Softfail-Mechanismus folgendermaßen: 

Nehmen wir an, Ihr SPF-Eintrag lautet: 

v=spf1 include:spf.domain.com ~all (wobei ~all für SPF Softfail steht)

Der E-Mail-Server des Empfängers hätte eine DNS-Abfrage durchgeführt, um den SPF-Eintrag des Absenders zu ermitteln. Wenn die Return-path-Domäne der E-Mail nicht im Datensatz des Absenders aufgeführt war, hätte der Empfangsserver ein SPF-Ergebnis "NOT PASS" zurückgegeben, aber hätte die E-Mail in den Posteingang des Empfängers zugestellt.

Nehmen wir nun an, Ihr SPF-Eintrag lautet: 

v=spf1 include:spf.domain.com -all (wobei -all für SPF Fail steht)

Der E-Mail-Server des Empfängers hätte eine DNS-Abfrage durchgeführt, um den SPF-Eintrag des Absenders zu ermitteln. Wenn die Return-path-Domain der E-Mail nicht im Eintrag des Absenders aufgeführt wäre, hätte der empfangende Server ein SPF-Ergebnis "NOT PASS" zurückgegeben, aber in diesem Fall wäre die E-Mail gewesen zurückgewiesen und nicht in den Posteingang des Empfängers zugestellt.

Lesen Sie mehr über die Geschichte des Sender Policy Framework. 

Wie handhaben E-Mail-Diensteanbieter jetzt den SPF-Mechanismus -all vs. ~all?

Zwar können Sie derzeit bei den meisten Mailbox-Anbietern SPF -all oder ~all verwenden, ohne sich um Zustellungsfehler bei legitimen E-Mails sorgen zu müssen, kann eine Situation entstehen, in der ein Server Ihre E-Mail im Falle des Attributs -all zurückweist.

Um auf der sicheren Seite zu sein, können Sie bei der Erstellung Ihres SPF-Eintrags die Verwendung des SPF-Hard-Fail-All-Mechanismus vermeiden. So machen Sie es:

• Öffnen Sie den PowerDMARC SPF-Datensatz-Generator um mit der kostenlosen Erstellung eines Eintrags zu beginnen
• Nachdem Sie die IP-Adressen und Domänen Ihrer E-Mail-Absender eingegeben haben, scrollen Sie zum letzten Abschnitt, der den E-Mail-Servern vorschreibt, wie streng sie bei der Überprüfung Ihrer E-Mails sein sollen
• Wählen Sie die Option "Soft-fail", bevor Sie auf die Schaltfläche "SPF-Datensatz generieren" klicken.

Was empfehlen wir? SPF -all oder SPF ~all

Die Probleme mit der Zustellbarkeit von E-Mails, die mit dem SPF-All-Mechanismus zusammenhängen, können in sehr seltenen Fällen auftreten. Es handelt sich nicht um ein wiederkehrendes Problem, auf das Sie häufig stoßen werden. Um sicherzustellen, dass dieses Problem nie auftritt, können Sie die folgenden Schritte unternehmen:

• Konfigurieren Sie DMARC für Ihre E-Mails, und aktivieren Sie DMARC-Berichte
• Setzen Sie Ihre DMARC-Richtlinie auf Überwachung und prüfen Sie Ihre SPF-Authentifizierungsergebnisse genau, um Unstimmigkeiten bei der Zustellbarkeit von E-Mails zu erkennen.
• Wenn alles in Ordnung ist, können Sie den Mechanismus -all in Ihrem SPF-Eintrag verwenden. Wir empfehlen die Verwendung des Hard-Fail-Attributs, da es bestätigt, dass Sie von der Authentizität Ihrer E-Mails überzeugt sind, was den Ruf Ihrer Domain verbessern kann

Wenn Sie noch unsicher sind, ob Sie SPF -all verwenden sollen, können Sie die folgenden Schritte ausführen:

• Einrichten eines SPF-Eintrags unter Verwendung des ~all-Mechanismus
• Konfigurieren Sie DMARC für Ihre E-Mails, und aktivieren Sie DMARC-Berichte
• Setzen Sie Ihre DMARC-Richtlinie auf Ablehnung

Fehlersuche bei anderen SPF-Fehlern

Bei der Verwendung von Online-Tools stoßen Sie oft auf die Meldung "Kein SPF-Eintrag gefunden"Dies ist eine häufige Fehlermeldung, die durch ein Nullergebnis entsteht, wenn ein Server den SPF-Eintrag Ihrer Domäne nachschlägt. Wir haben einen ausführlichen Artikel zu diesem Problem verfasst, der den Nutzern hilft, es zu lösen. Klicken Sie auf den verlinkten Text, um mehr zu erfahren!

Wenn Sie zusätzlich zu SPF DMARC für Ihre Domäne eingerichtet haben, überprüfen die E-Mail-Server die DMARC-Richtlinie Ihrer Domäne, um festzulegen, wie E-Mails behandelt werden sollen, deren Authentifizierung fehlschlägt. Diese DMARC-Richtlinie bestimmt, ob Ihre E-Mails zugestellt, unter Quarantäne gestellt oder zurückgewiesen werden. 

Die DMARC-Ablehnung schützt Ihre Domain vor einer Vielzahl von Imitationsangriffen wie Spoofing, Phishing und Ransomware.