Beiträge

Die SPF (Sender Policy Framework) Redirect ist ein Datensatzmodifikator, der auf einen separaten Domainnamen verweist, der einen SPF-Eintrag enthält. Domänenbesitzer können mehrere Domänen so konfigurieren, dass sie einen einzigen SPF-Eintrag nutzen, der auf einer Domäne gehostet wird, indem sie SPF-Redirect verwenden. Obwohl dies in mancher Hinsicht vorteilhaft zu sein scheint, raten wir davon ab. Lesen Sie weiter, um herauszufinden, warum!

Einführung in SPF und den Redirect Modifier

SPF ist der E-Mail-Authentifizierungsstandard, der Ihr Unternehmen durch die Aufzeichnung der autorisierten Parteien vor Imitationen und Spam schützt. 

Der SPF-Redirect-Modifikator ist zwar optional und darf nur einmal pro SPF-Eintrag verwendet werden. Es gibt bestimmte Voraussetzungen für die Verwendung von SPF redirect. Diese sind wie folgt:

  • Es ist nur sinnvoll, wenn eine Organisation mit mehreren Bereichen arbeitet 
  • Alle diese Domänen müssen die gleiche E-Mail-Infrastruktur nutzen
  • Die zweite Domain, die umgeleitet wird, muss über einen gültigen SPF-Eintrag verfügen
  • Um SPF-Redirect zu verwenden, muss die Kontrolle über alle an der Redirect-Kette beteiligten Domains beim Domaininhaber liegen

Wie funktioniert der SPF Redirect Modifier?

Um die Funktionsweise der SPF-Umleitung besser zu verstehen, sehen wir uns das folgende Beispiel an: 

Wenn domain_test.com einen SPF-Eintrag wie folgt hat:
v=spf1 redirect=domain_test2.com

Dies bedeutet, dass der SPF-Eintrag für "domain_test2.com" anstelle von "domain_test" verwendet werden sollte. Die Mails von domain_test würden dann über "domain_test2" umgeleitet.

Wann können Sie den SPF-Redirect-Modifikator verwenden?

1. Wenn ein einziger Datensatz für mehrere Domänen verwendet werden soll

Zum Beispiel,

delaware.example.com. TXT "v=spf1 redirect=_spf.example1.com"
austin.example.com TXT "v=spf1 redirect=_spf.example1.com"
washington.beispiel.de TXT "v=spf1 redirect=_spf.beispiel1.de"
_spf.example.com. TXT "v=spf1 mx:example1.com -all"

In diesem Beispiel wird jede E-Mail von den drei oben genannten Domänen durch denselben Eintrag beschrieben, in diesem Fall "_spf.example1.com", was den Benutzern einen administrativen Vorteil verschafft.

2. Wenn der Name der Domäne geändert werden muss.

Für alle Mechanismen sind die Werte "a", "mx" und "ptr" optional. Wenn keine spezifischen Werte angegeben werden, werden sie auf die aktuelle Domäne gesetzt. Wenn jedoch ein "redirect" verwendet wird, verweisen die Mechanismen "a", "mx" und "ptr" auf die umgeleitete Domäne.

Betrachten Sie das folgende Beispiel:
powerdmarc.com "v=spf1 a -all"

Hier hat der Mechanismus "a" keinen bestimmten Wert, so dass er auf den DNS-'A'-Eintrag von "powerdmarc.com" verweist, da der SPF-Eintrag dort gehostet wird, wie im Beispiel angegeben.

Betrachten Sie nun das folgende Beispiel:
powerdmarc.com "v=spf1 redirect=_spf.powerdmarc.com"
_spf.powerdmarc.com "v=spf1 a -all"

Im obigen Beispiel verweist der "a"-Mechanismus auf den DNS-"A"-Eintrag von "_spf.powerdmarc.com", obwohl die Root-Domäne "powerdmarc.com" ihn weiterleitet.

Dies ist eine der häufigsten Ursachen für SPF-Validierungsprobleme und ist schwer zu beheben. Wenn Ihr Unternehmen einen SPF-"Redirect" verwendet, beachten Sie, dass ein "a"-, "mx"- oder "ptr"-Mechanismus ohne explizit definierten Domänennamen in Ihrem umgeleiteten SPF-Eintrag nur auf die umgeleitete Domäne verweist.

Nachteile der Verwendung von SPF Redirect

1. Der Modifikator "redirect" erhöht die Anzahl der DNS-Lookups

Bei der SPF-E-Mail-Authentifizierung führt der E-Mail-Server des Empfängers jedes Mal, wenn eine E-Mail von einer Domäne an die Domäne des Empfängers gesendet wird, DNS-Abfrageanfragen, auch DNS-Lookups genannt, durch, um nach bestehenden autorisierten IP-Adressen in Ihrem DNS zu suchen und sie mit der IP-Adresse im Return-Path-Header der empfangenen E-Mail zu vergleichen. SPF RFC7208 begrenzt die maximale Anzahl dieser Abfragen auf 10. 

Die Verwendung des Modifikators "redirect" erhöht diese Zahl ebenfalls. Ihr Unternehmen muss also vorsichtig sein, wenn es einen "redirect"-Modifikator verwendet, da die Grenze von 10 DNS-Suchvorgängen überschritten werden kann. Dies kann dazu führen, dass SPF nicht mehr funktioniert und die Authentifizierung fehlschlägt.

Bei PowerDMARC konfigurieren unsere Benutzer PowerSPF, ein effektives SPF-Flattening-Tool, um die Anzahl der Lookups zu begrenzen und ein fehlerfreies SPF zu erhalten.

2. Es wird ein fehlerhaftes Ergebnis zurückgegeben, wenn keine SPF-Richtlinie in Domänen mit "redirect" definiert ist.

Wenn Sie eine Domäne einbeziehen, die keinen SPF-Eintrag enthält oder einen ungültigen hat, wird ein Softfail-Ergebnis (none) zurückgegeben, das den Verifizierungsprozess nicht beeinflusst. 

Wenn die umgeleitete Domäne jedoch einen ungültigen oder fehlenden SPF-Datensatz enthält, wird bei der Verwendung des SPF-Redirect-Modifikators ein SPF-Permerror-Ergebnis zurückgegeben, was ein schwerwiegender Fehler ist und zum Abbruch von SPF führen kann.

Verwendung des SPF-Include-Mechanismus anstelle des SPF-Redirect-Modifikators

Wir empfehlen die Verwendung des SPF-Include-Mechanismus anstelle des Redirect-Modifikators, um einige häufige Komplikationen zu vermeiden:

  • Wenn ein Redirect-Mechanismus verwendet wird, bedeutet dies das Ende des Datensatzes und es können keine weiteren Änderungen vorgenommen werden. Wenn Sie hingegen einen SPF-Include verwenden, können Sie Änderungen an Ihrem Datensatz vornehmen und nach Belieben weitere Includes, a- oder mx-Datensätze hinzufügen, was mehr Flexibilität bietet.
  • Der Include-Mechanismus kann helfen, Ihren SPF-Eintrag so zu kürzen, dass er unter der SPF-Zeichenlängenbegrenzung liegt. Sie können jeweils einen SPF-TXT-Eintrag für spfrecord1.xyz.com und spfrecord2.abc.com erstellen, indem Sie den ursprünglich einzigen, langen SPF-Eintrag aufteilen und beide Domänen in den TXT-Eintrag für eine der Domänen (z. B. xyz.com) aufnehmen.
  • Falls es eine kein SPF-Eintrag gefunden In einer umgeleiteten Domäne kann die oben erwähnte Beibehaltung des Fehlerstatus (Permerror-Wert) für die Umleitung auch umgangen werden, indem der Include-Mechanismus verwendet wird, der stattdessen ein Softfail-Ergebnis zurückgibt, wobei Ihre E-Mails weiterhin zugestellt werden.
  • Im Gegensatz zu SPF include, das keine Auswirkungen auf den All-Mechanismus hat, weist der SPF redirect modifier den Server an, die SPF ~all für die Root-Domäne unter Verwendung der Umleitung wie im folgenden Fall:
    domain1.com "v=spf1 redirect=_spf.domain2.com"
    _spf.domain2.com "v=spf1 ip4:164.100.226.127 ~all
    Der Grund dafür ist, dass für jeden Datensatz, der eine Weiterleitung verwendet, der "all"-Mechanismus von vornherein fehlt, der bei der Verwendung von Include-Mechanismen koexistieren kann. Daher wird der "~all"-Satz für die umgeleitete Subdomain auch auf die Root-Domain angewandt.

Schlussfolgerung

Bei der Verwendung eines "Redirect"-Modifizierers wie dem Limit von 10 DNS-Lookups sind viele Dinge zu beachten, daher muss Ihre Organisation bei der Einrichtung Ihres SPF-Datensatzes vorsichtig sein. Ihr Unternehmen muss die SPF-Einträge von Zeit zu Zeit optimieren, um sicherzustellen, dass die DNS-Abfragen innerhalb des Limits liegen. Für alle SPF-bezogenen Abfragen Ihrer Organisation, besuchen Sie PowerSPF. Es führt eine automatische Verflachung durch und aktualisiert die Netblocks automatisch, um sicherzustellen, dass die autorisierten IPs immer aktuell und sicher sind. Darüber hinaus müssen Sie sich keine Sorgen über Fehler oder das Überschreiten von DNS-Lookup-Grenzen machen.

Der beste Weg, um Ihre E-Mails mit SPF zu sichern, ist die Implementierung mit DKIM und kostenlosem DMARC. Dadurch wird Ihr Unternehmen vor Spam-Mails und möglichen Spear-Phishing-Versuchen geschützt. Informieren Sie sich über PowerDMARC und stellen Sie sicher, dass Ihr Unternehmen einen aktiven DMARC-Anbieter mit Anti-Spoofing-Technologie verwendet.

In diesem Artikel werden wir untersuchen, wie Sie den SPF-Eintrag für Ihre Domain einfach optimieren können. Sowohl Unternehmen als auch kleine Betriebe, die eine E-Mail-Domain zum Senden und Empfangen von Nachrichten unter ihren Kunden, Partnern und Mitarbeitern besitzen, haben mit hoher Wahrscheinlichkeit einen SPF-Eintrag, der von Ihrem Posteingangsdienstanbieter standardmäßig eingerichtet wurde. Unabhängig davon, ob Sie einen bereits existierenden SPF-Eintrag haben oder einen neuen erstellen müssen, müssen Sie Ihren SPF-Eintrag korrekt für Ihre Domain optimieren, um sicherzustellen, dass er keine Probleme bei der E-Mail-Zustellung verursacht.

Einige E-Mail-Empfänger verlangen unbedingt SPF, was bedeutet, dass Ihre E-Mails im Posteingang des Empfängers als Spam markiert werden können, wenn Sie keinen SPF-Eintrag für Ihre Domain veröffentlicht haben. Außerdem hilft SPF bei der Erkennung von nicht autorisierten Quellen, die E-Mails im Namen Ihrer Domain senden.

Lassen Sie uns zunächst verstehen, was SPF ist und warum Sie ihn brauchen?

Sender Policy Framework (SPF)

SPF ist im Wesentlichen ein Standard-E-Mail-Authentifizierungsprotokoll, das die IP-Adressen angibt, die berechtigt sind, E-Mails von Ihrer Domain zu senden. Es arbeitet, indem es Absenderadressen mit der Liste der autorisierten sendenden Hosts und IP-Adressen für eine bestimmte Domain vergleicht, die im DNS für diese Domain veröffentlicht ist.

SPF dient zusammen mit DMARC (Domain-based Message Authentication, Reporting and Conformance) dazu, gefälschte Absenderadressen bei der E-Mail-Zustellung zu erkennen und Spoofing-Angriffe, Phishing und E-Mail-Betrug zu verhindern.

Es ist wichtig zu wissen, dass, obwohl der von Ihrem Hosting-Provider in Ihre Domain integrierte Standard-SPF sicherstellt, dass E-Mails, die von Ihrer Domain aus gesendet werden, anhand von SPF authentifiziert werden, wenn Sie mehrere Drittanbieter haben, die E-Mails von Ihrer Domain aus senden, muss dieser bereits vorhandene SPF-Eintrag an Ihre Anforderungen angepasst und geändert werden. Wie können Sie das tun? Lassen Sie uns zwei der gängigsten Möglichkeiten untersuchen:

  • Erstellen eines brandneuen SPF-Eintrags
  • Optimieren eines vorhandenen SPF-Eintrags

Anleitung zum Optimieren des SPF-Eintrags

Einen brandneuen SPF-Eintrag erstellen

Das Erstellen eines SPF-Eintrags ist einfach das Veröffentlichen eines TXT-Eintrags im DNS Ihrer Domain, um SPF für Ihre Domain zu konfigurieren. Dies ist ein obligatorischer Schritt, bevor Sie damit beginnen, wie Sie den SPF-Eintrag optimieren können. Wenn Sie gerade erst mit der Authentifizierung beginnen und sich über die Syntax unsicher sind, können Sie unseren kostenlosen Online-SPF-Eintragsgenerator verwenden, um einen SPF-Eintrag für Ihre Domain zu erstellen.

Ein SPF-Record-Eintrag mit korrekter Syntax sieht etwa so aus:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Gibt die verwendete Version von SPF an
ip4/ip6Dieser Mechanismus legt die gültigen IP-Adressen fest, die berechtigt sind, E-Mails von Ihrer Domain zu senden.
einschließen.Dieser Mechanismus weist die empfangenden Server an, die Werte für den SPF-Eintrag der angegebenen Domäne aufzunehmen.
-alleDieser Mechanismus legt fest, dass E-Mails, die nicht SPF-konform sind, zurückgewiesen werden. Dies ist das empfohlene Tag, das Sie beim Veröffentlichen Ihres SPF-Eintrags verwenden können. Es kann jedoch durch ~ für SPF Soft Fail ersetzt werden (nicht konforme E-Mails werden als Soft Fail markiert, aber trotzdem akzeptiert) oder durch +, das angibt, dass jeder Server E-Mails im Namen Ihrer Domain senden darf, wovon dringend abgeraten wird.

Wenn Sie SPF bereits für Ihre Domain konfiguriert haben, können Sie auch unseren kostenlosen SPF-Datensatz-Checker verwenden, um Ihren SPF-Datensatz nachzuschlagen und zu validieren und Probleme zu erkennen.

Häufige Herausforderungen und Fehler beim Konfigurieren von SPF

1) 10 DNS-Lookup-Limit 

Die häufigste Herausforderung, mit der sich Domain-Besitzer bei der Konfiguration und Übernahme des SPF-Authentifizierungsprotokolls für ihre Domain konfrontiert sehen, besteht darin, dass SPF mit einem Limit für die Anzahl der DNS-Lookups versehen ist, das 10 nicht überschreiten darf. Für Domains, die sich auf mehrere Drittanbieter verlassen, wird das Limit von 10 DNS-Lookups leicht überschritten, was wiederum SPF bricht und einen SPF PermError zurückgibt. Der empfangende Server macht in solchen Fällen Ihren SPF-Eintrag automatisch ungültig und blockiert ihn.

Mechanismen, die DNS-Lookups initiieren: MX, A, INCLUDE, REDIRECT Modifier

2) SPF Void Lookup 

Void-Lookups beziehen sich auf DNS-Lookups, die entweder eine NOERROR-Antwort oder eine NXDOMAIN-Antwort (void answer) zurückgeben. Bei der Implementierung von SPF wird empfohlen, sicherzustellen, dass DNS-Lookups nicht von vornherein eine ungültige Antwort zurückgeben.

3) SPF Rekursive Schleife

Dieser Fehler zeigt an, dass der SPF-Eintrag für Ihre angegebene Domain rekursive Probleme mit einem oder mehreren der INCLUDE-Mechanismen enthält. Dies geschieht, wenn eine der im INCLUDE-Tag angegebenen Domains eine Domain enthält, deren SPF-Eintrag das INCLUDE-Tag der ursprünglichen Domain enthält. Dies führt zu einer Endlosschleife, die E-Mail-Server dazu veranlasst, ständig DNS-Lookups für die SPF-Records durchzuführen. Dies führt letztendlich dazu, dass das Limit von 10 DNS-Lookups überschritten wird, was dazu führt, dass E-Mails die SPF-Prüfung nicht bestehen.

4) Syntax-Fehler 

Ein SPF-Eintrag kann im DNS Ihrer Domain vorhanden sein, aber er ist nutzlos, wenn er Syntaxfehler enthält. Wenn Ihr SPF-TXT-Eintrag unnötige Leerzeichen bei der Eingabe des Domainnamens oder des Mechanismusnamens enthält, würde die Zeichenfolge vor dem zusätzlichen Leerzeichen vom empfangenden Server bei der Durchführung eines Lookups vollständig ignoriert werden, wodurch der SPF-Eintrag ungültig wird.

5) Mehrere SPF-Einträge für dieselbe Domain

Eine einzelne Domain kann nur einen SPF-TXT-Eintrag im DNS haben. Wenn Ihre Domain mehr als einen SPF-Eintrag enthält, macht der empfangende Server alle ungültig, was dazu führt, dass E-Mails SPF nicht bestehen.

6) Länge des SPF-Records 

Die maximale Länge eines SPF-Eintrags im DNS ist auf 255 Zeichen begrenzt. Dieses Limit kann jedoch überschritten werden, und ein TXT-Eintrag für SPF kann mehrere aneinandergereihte Zeichenketten enthalten, jedoch nicht über ein Limit von 512 Zeichen hinaus, um in die DNS-Abfrageantwort zu passen (gemäß RFC 4408). Obwohl dies später überarbeitet wurde, waren Empfänger, die sich auf ältere DNS-Versionen verlassen, nicht in der Lage, E-Mails zu validieren, die von Domänen gesendet wurden, die einen langen SPF-Eintrag enthalten.

Optimieren Ihres SPF-Eintrags

Um Ihren SPF-Eintrag zeitnah zu ändern, können Sie die folgenden SPF-Best Practices verwenden:

  • Versuchen Sie, Ihre E-Mail-Quellen in abnehmender Reihenfolge ihrer Wichtigkeit von links nach rechts in Ihren SPF-Eintrag einzutragen
  • Entfernen Sie veraltete E-Mail-Quellen aus Ihrem DNS
  • IP4/IP6-Mechanismen anstelle von A und MX verwenden
  • Halten Sie die Anzahl der INCLUDE-Mechanismen so gering wie möglich und vermeiden Sie verschachtelte Includes
  • Veröffentlichen Sie nicht mehr als einen SPF-Eintrag für dieselbe Domain in Ihrem DNS
  • Stellen Sie sicher, dass Ihr SPF-Eintrag keine überflüssigen Leerzeichen oder Syntaxfehler enthält

Hinweis: SPF-Flattening wird nicht empfohlen, da es sich nicht um eine einmalige Sache handelt. Wenn Ihr E-Mail-Dienstanbieter seine Infrastruktur ändert, müssen Sie Ihre SPF-Einträge jedes Mal entsprechend ändern.

Optimierung Ihres SPF-Eintrags leicht gemacht mit PowerSPF

Sie können fortfahren und versuchen, all diese oben genannten Änderungen zu implementieren, um Ihren SPF-Eintrag manuell zu optimieren, oder Sie können den Ärger vergessen und sich auf unser dynamisches PowerSPF verlassen, um all das automatisch für Sie zu tun! PowerSPF hilft Ihnen, Ihren SPF-Eintrag mit einem einzigen Klick zu optimieren, wobei Sie können:

  • Einfaches Hinzufügen oder Entfernen von Sendequellen
  • Einfaches Aktualisieren von Datensätzen, ohne dass Sie manuell Änderungen an Ihrem DNS vornehmen müssen
  • Erhalten Sie einen optimierten automatischen SPF-Eintrag mit nur einem Klick auf eine Schaltfläche
  • Bleiben Sie immer unter dem Limit von 10 DNS-Lookups
  • Erfolgreich PermError entschärfen
  • Vergessen Sie SPF-Record-Syntaxfehler und Konfigurationsprobleme
  • Wir nehmen Ihnen die Last ab, SPF-Einschränkungen in Ihrem Namen zu lösen

Melden Sie sich noch heute bei PowerDMARC an und sagen Sie den SPF-Beschränkungen für immer Adieu!