Beiträge

SPF existiert im DNS Ihrer Domain als TXT-Eintrag mit einer Reihe von Mechanismen und Modifikatoren, die für bestimmte Anweisungen stehen. Der SPF-All-Mechanismus befindet sich am rechten Ende eines SPF-Eintrags, dem ein "-" oder "~" vorangestellt ist. Schauen wir uns den Unterschied zwischen den SPF-Mechanismen "-all" und "~all" an, um festzustellen, wann Sie sie konfigurieren sollten.

SPF -all vs ~all

Sowohl der SPF-Mechanismus -all als auch ~all bedeuten "NOT PASS" für die SPF-Authentifizierung. In letzter Zeit gibt es bei den meisten E-Mail-Diensteanbietern keinen Unterschied mehr zwischen den Mechanismen -all und ~all, und es wird das gleiche Ergebnis zurückgegeben. Dies war jedoch vor einigen Jahren noch nicht der Fall.

Wie funktionierte der SPF All (Softfail vs. Fail) Mechanismus vor DMARC?

DMARC wurde lange Zeit, nachdem SPF bereits als Standardprotokoll zur E-Mail-Authentifizierung auf dem Markt war, entwickelt. Zu dieser Zeit funktionierte der SPF-All-Softfail-Mechanismus folgendermaßen: 

Nehmen wir an, Ihr SPF-Eintrag lautet: 

v=spf1 include:spf.domain.com ~all (wobei ~all für SPF Softfail steht)

Der E-Mail-Server des Empfängers hätte eine DNS-Abfrage durchgeführt, um den SPF-Eintrag des Absenders zu ermitteln. Wenn die Return-path-Domäne der E-Mail nicht im Datensatz des Absenders aufgeführt war, hätte der Empfangsserver ein SPF-Ergebnis "NOT PASS" zurückgegeben, aber hätte die E-Mail in den Posteingang des Empfängers zugestellt.

Nehmen wir nun an, Ihr SPF-Eintrag lautet: 

v=spf1 include:spf.domain.com -all (wobei -all für SPF Fail steht)

Der E-Mail-Server des Empfängers hätte eine DNS-Abfrage durchgeführt, um den SPF-Eintrag des Absenders zu ermitteln. Wenn die Return-path-Domain der E-Mail nicht im Eintrag des Absenders aufgeführt wäre, hätte der empfangende Server ein SPF-Ergebnis "NOT PASS" zurückgegeben, aber in diesem Fall wäre die E-Mail gewesen zurückgewiesen und nicht in den Posteingang des Empfängers zugestellt.

Lesen Sie mehr über die Geschichte des Sender Policy Framework

Wie handhaben E-Mail-Diensteanbieter jetzt den SPF-Mechanismus -all vs. ~all?

Zwar können Sie derzeit bei den meisten Mailbox-Anbietern SPF -all oder ~all verwenden, ohne sich um Zustellungsfehler bei legitimen E-Mails sorgen zu müssen, kann eine Situation entstehen, in der ein Server Ihre E-Mail im Falle des Attributs -all zurückweist.

Um auf der sicheren Seite zu sein, können Sie bei der Erstellung Ihres SPF-Eintrags die Verwendung des SPF-Hard-Fail-All-Mechanismus vermeiden. So machen Sie es:

  • Öffnen Sie den PowerDMARC SPF-Datensatz-Generator um mit der kostenlosen Erstellung eines Eintrags zu beginnen
  • Nachdem Sie die IP-Adressen und Domänen Ihrer E-Mail-Absender eingegeben haben, scrollen Sie zum letzten Abschnitt, der den E-Mail-Servern vorschreibt, wie streng sie bei der Überprüfung Ihrer E-Mails sein sollen
  • Wählen Sie die Option "Soft-fail", bevor Sie auf die Schaltfläche "SPF-Datensatz generieren" klicken.

Was empfehlen wir? SPF -all oder SPF ~all

Die Probleme mit der Zustellbarkeit von E-Mails, die mit dem SPF-All-Mechanismus zusammenhängen, können in sehr seltenen Fällen auftreten. Es handelt sich nicht um ein wiederkehrendes Problem, auf das Sie häufig stoßen werden. Um sicherzustellen, dass dieses Problem nie auftritt, können Sie die folgenden Schritte unternehmen:

  • Konfigurieren Sie DMARC für Ihre E-Mails, und aktivieren Sie DMARC-Berichte
  • Setzen Sie Ihre DMARC-Richtlinie auf Überwachung und prüfen Sie Ihre SPF-Authentifizierungsergebnisse genau, um Unstimmigkeiten bei der Zustellbarkeit von E-Mails zu erkennen.
  • Wenn alles in Ordnung ist, können Sie den Mechanismus -all in Ihrem SPF-Eintrag verwenden. Wir empfehlen die Verwendung des Hard-Fail-Attributs, da es bestätigt, dass Sie von der Authentizität Ihrer E-Mails überzeugt sind, was den Ruf Ihrer Domain verbessern kann

Wenn Sie noch unsicher sind, ob Sie SPF -all verwenden sollen, können Sie die folgenden Schritte ausführen:

  • Einrichten eines SPF-Eintrags unter Verwendung des ~all-Mechanismus
  • Konfigurieren Sie DMARC für Ihre E-Mails, und aktivieren Sie DMARC-Berichte
  • Setzen Sie Ihre DMARC-Richtlinie auf Ablehnung

Fehlersuche bei anderen SPF-Fehlern

Bei der Verwendung von Online-Tools stoßen Sie oft auf die Meldung "Kein SPF-Eintrag gefunden"Dies ist eine häufige Fehlermeldung, die durch ein Nullergebnis entsteht, wenn ein Server den SPF-Eintrag Ihrer Domäne nachschlägt. Wir haben einen ausführlichen Artikel zu diesem Problem verfasst, der den Nutzern hilft, es zu lösen. Klicken Sie auf den verlinkten Text, um mehr zu erfahren!

Wenn Sie zusätzlich zu SPF DMARC für Ihre Domäne eingerichtet haben, überprüfen die E-Mail-Server die DMARC-Richtlinie Ihrer Domäne, um festzulegen, wie E-Mails behandelt werden sollen, deren Authentifizierung fehlschlägt. Diese DMARC-Richtlinie bestimmt, ob Ihre E-Mails zugestellt, unter Quarantäne gestellt oder zurückgewiesen werden. 

Die DMARC-Ablehnung schützt Ihre Domain vor einer Vielzahl von Imitationsangriffen wie Spoofing, Phishing und Ransomware.

Haben Sie jemals eine E-Mail gesehen, die SPF nicht bestanden hat? Wenn ja, dann werde ich Ihnen jetzt genau erklären, warum die SPF-Authentifizierung fehlschlägt. Sender Policy Framework, oder SPF, ist einer der E-Mail-Überprüfungsstandards, die wir alle seit Jahren verwenden, um Spam zu stoppen. Selbst wenn Sie sich dessen nicht bewusst wären, würde ich wetten, wenn ich die Einstellungen Ihres Anmeldekontos bei Facebook überprüfen würde, würde dort wahrscheinlich die Option "Nur E-Mails von Freunden" angezeigt. Das ist im Grunde das Gleiche wie SPF.

Was ist SPF-Authentifizierung?

SPF ist ein E-Mail-Authentifizierungsprotokoll, mit dem überprüft wird, ob der E-Mail-Absender mit seinem Domänennamen im Feld "Von:" der Nachricht übereinstimmt. Der sendende MTA verwendet DNS, um eine vorkonfigurierte Liste von SPF-Servern abzufragen, um zu prüfen, ob die sendende IP berechtigt ist, E-Mails für diese Domäne zu senden. Es kann zu Unstimmigkeiten bei der Einrichtung von SPF-Einträgen kommen. Dies ist wichtig, um zu verstehen, warum E-Mails die SPF-Prüfung nicht bestehen können, und welche Rolle Sie spielen können, um sicherzustellen, dass bei Ihren eigenen E-Mail-Marketingbemühungen keine Probleme auftreten.

Warum die SPF-Authentifizierung fehlschlägt : Keine, Neutral, Hardfail, Softfail, TempError und PermError

SPF-Authentifizierungsfehler können aus den folgenden Gründen auftreten:

  • Der empfangende MTA kann keinen SPF-Eintrag finden, der in Ihrem DNS veröffentlicht wurde
  • Sie haben mehrere SPF-Einträge in Ihrem DNS für dieselbe Domain veröffentlicht
  • Ihre ESPs haben ihre IP-Adressen geändert oder hinzugefügt, die nicht in Ihrem SPF-Eintrag aktualisiert wurden
  • Wenn Sie das Limit von 10 DNS-Lookups für SPF überschreiten
  • Wenn Sie die maximale Anzahl der erlaubten Void-Lookups von 2 überschreiten
  • Die Länge Ihres abgeflachten SPF-Datensatzes überschreitet die Grenze von 255 SPF-Zeichen

Oben sind verschiedene Szenarien angegeben, warum die SPF-Authentifizierung fehlschlägt. Sie können Ihre Domains mit unserem DMARC-Analyzer überwachen, um Berichte über SPF-Authentifizierungsfehler zu erhalten. Wenn Sie das DMARC-Reporting aktiviert haben, gibt der empfangende MTA eines der folgenden SPF-Authentifizierungsfehler-Ergebnisse für die E-Mail zurück, je nachdem, aus welchem Grund Ihre E-Mail SPF nicht bestanden hat. Lassen Sie uns diese besser kennenlernen:

Arten von SPF-Fail-Qualifikatoren

Die folgenden Typen von SPF-Fail-Qualifikatoren werden jeweils als Präfix vor dem SPF-Fail-Mechanismus hinzugefügt:

"+" "Bestanden"
"-" "Durchgefallen"
"~" "Softfail"
"?" "Neutral"

Was bedeutet das? Wenn Ihre E-Mail die SPF-Prüfung nicht besteht, können Sie wählen, wie streng die Empfänger damit umgehen sollen. Sie können einen Qualifier angeben, um Nachrichten, die die Prüfung nicht bestehen, "durchzulassen" (zuzustellen), "nicht zuzustellen" oder einen "neutralen" Standpunkt einzunehmen (nichts zu tun).

Fall 1: SPF Kein Ergebnis wird zurückgegeben

Im ersten Fall - wenn der empfangende E-Mail-Server eine DNS-Suche durchführt und den Domänennamen im DNS nicht finden kann - wird ein "none"-Ergebnis zurückgegeben. Keines wird auch zurückgegeben, wenn kein SPF-Eintrag im DNS des Absenders gefunden wird, was bedeutet, dass der Absender keine SPF-Authentifizierung für diese Domain konfiguriert hat. In diesem Fall schlägt die SPF-Authentifizierung für Ihre E-Mails fehl.

Generieren Sie jetzt Ihren fehlerfreien SPF-Eintrag mit unserem kostenlosen SPF-Record-Generator-Tool, um dies zu vermeiden.

Fall 2: SPF Neutrales Ergebnis wird zurückgegeben

Wenn Sie bei der Konfiguration von SPF für Ihre Domain Ihren SPF-Eintrag mit einem ?all-Mechanismus versehen haben, bedeutet dies, dass der empfangende MTA ein neutrales Ergebnis zurückgibt, egal, was die SPF-Authentifizierungsprüfungen für Ihre ausgehenden E-Mails ergeben. Dies geschieht, weil Sie, wenn Sie Ihr SPF im neutralen Modus haben, nicht die IP-Adressen angeben, die berechtigt sind, E-Mails in Ihrem Namen zu senden und nicht autorisierten IP-Adressen erlauben, sie ebenfalls zu senden.

Fall 3: SPF Softfail Ergebnis

Ähnlich wie SPF neutral wird SPF softfail durch den ~all-Mechanismus identifiziert, was bedeutet, dass der empfangende MTA die E-Mail akzeptiert und sie in den Posteingang des Empfängers zustellt, sie aber als Spam markiert wird, falls die IP-Adresse nicht im SPF-Eintrag im DNS aufgeführt ist, was ein Grund sein kann, warum die SPF-Authentifizierung für Ihre E-Mail fehlschlägt. Im Folgenden finden Sie ein Beispiel für einen SPF-Softfail:

 v=spf1 include:spf.google.com ~all

Fall 4: SPF Hardfail Ergebnis

SPF hardfail, auch SPF fail genannt, bedeutet, dass empfangende MTAs E-Mails verwerfen, die von einer Sendequelle stammen, die nicht in Ihrem SPF-Eintrag aufgeführt ist. Wir empfehlen Ihnen, SPF hardfail in Ihrem SPF-Eintrag zu konfigurieren, wenn Sie sich gegen Domain-Impersonation und E-Mail-Spoofing schützen möchten. Im Folgenden finden Sie ein Beispiel für SPF hardfail:

v=spf1 include:spf.google.com -all

Fall 5: SPF TempError (SPF Temporärer Fehler)

Einer der sehr häufigen und oft harmlosen Gründe, warum die SPF-Authentifizierung fehlschlägt, ist SPF TempError (temporärer Fehler), der durch einen DNS-Fehler wie eine DNS-Zeitüberschreitung verursacht wird, während eine SPF-Authentifizierungsprüfung vom empfangenden MTA durchgeführt wird. Es handelt sich also, wie der Name schon sagt, in der Regel um einen temporären Fehler, der einen 4xx-Statuscode zurückgibt, der zu einem vorübergehenden SPF-Fehler führen kann, der jedoch bei einem späteren Versuch ein SPF-Ergebnis liefert.

Fall 6: SPF PermError (SPF Dauerhafter Fehler)

Ein weiteres häufiges Ergebnis, das bei Domänenfehlern auftritt, ist SPF PermError. Dies ist der Grund, warum die SPF-Authentifizierung in den meisten Fällen fehlschlägt. Dies geschieht, wenn Ihr SPF-Eintrag vom empfangenden MTA ungültig gemacht wird. Es gibt viele Gründe, warum SPF beim Ausführen von DNS-Lookups durch den MTA unterbrochen und ungültig gemacht werden kann:

  • Überschreiten der 10 SPF-Lookup-Grenze
  • Falsche SPF-Record-Syntax
  • Mehr als ein SPF-Eintrag für dieselbe Domain
  • Überschreitung der SPF-Datensatz-Längenbegrenzung von 255 Zeichen
  • Wenn Ihr SPF-Eintrag nicht auf dem neuesten Stand ist, weil Ihre ESPs Änderungen vorgenommen haben

Hinweis: Wenn ein MTA eine SPF-Prüfung für eine E-Mail durchführt, fragt er den DNS ab oder führt einen DNS-Lookup durch, um die Authentizität der E-Mail-Quelle zu prüfen. Im Idealfall sind bei SPF maximal 10 DNS-Lookups erlaubt, bei deren Überschreitung SPF fehlschlägt und ein PermError-Ergebnis liefert.

Wie kann die dynamische SPF-Abflachung den SPF-PermError beheben?

Im Gegensatz zu den anderen SPF-Fehlern ist SPF PermError viel schwieriger und komplizierter zu beheben. PowerSPF hilft Ihnen, ihn mit Hilfe der automatischen SPF-Abflachung leicht zu entschärfen. Es hilft Ihnen:

  • Bleiben Sie unter der SPF-Hartgrenze
  • Sofortige Optimierung Ihres SPF-Eintrags
  • Reduzieren Sie Ihren Datensatz auf eine einzige Include-Anweisung
  • Stellen Sie sicher, dass Ihr SPF-Eintrag bei Änderungen durch Ihre ESPs immer aktualisiert wird

Möchten Sie testen, ob Sie SPF für Ihre Domain richtig konfiguriert haben? Probieren Sie noch heute unser kostenloses SPF-Datensatz-Lookup-Tool aus!