Tag Archiv für: SPF-Eintrag

Was ist ein SPF-Eintrag im DNS?

Jede 39 Sekunden lang findet weltweit ein Cyberangriff stattDie meisten dieser Angriffe werden über E-Mail verübt. SPF hilft bei der Autorisierung Ihrer Absender, damit Ihre Domäne nicht von einem nicht autorisierten E-Mail-Absender missbraucht werden kann. Um SPF im DNS einzurichten, müssen Sie zunächst wissen, was ein SPF-Eintrag im DNS ist.

SPF oder Sender Policy Framework ist ein E-Mail-Authentifizierungsprotokoll, das es nur bestimmten IPs erlaubt, E-Mails unter Verwendung eines Domänennamens zu versenden. Jede IP-Adresse außerhalb der Liste erreicht das Postfach des Empfängers nicht, da sie zu einem SPF-Fehler führt.

Es schützt Ihre E-Mail-Domänen vor Hackern, um Phishing-, Spamming- und E-Mail-Spoofing-Angriffe abzuwehren. E-Mail-Authentifizierungstechniken wie SPF sind ideal, um Ihre E-Mail-Domäne zu schützen. Seine Struktur besteht aus 3 Hauptkomponenten: Mechanismus, Modifikatoren und Qualifikatoren. 

In diesem Blog wird erörtert, was ein SPF-Eintrag im DNS ist und mehr.

Was ist ein SPF-Eintrag im DNS?

SPF ist die Abkürzung für Sender Policy Framework, ein DNS-TXT-Eintrag mit einer Liste von Servern, die E-Mails von einer bestimmten Domäne senden dürfen. Es funktioniert, wenn Domänenbesitzer beliebige Texte im DNS oder Domain Name System aktualisieren, um die jeweiligen Domänennamen zu verfolgen und zu regulieren. 

Um den DNS SPF-Eintrag zu verstehen , müssen wir uns kurz ansehen, was DNS ist.

Es handelt sich um ein System, das den Hostnamen eines Computers in eine IP-Adresse im Internet umwandelt. Alle internetfähigen Geräte haben ihre IP-Adressen, die anderen Geräten helfen, sie zu finden. 

Kommen wir zurück zur Hauptfrage: "Was ist ein SPF-Eintrag?". Wenn Ihr Unternehmen verschiedene Sende-IPs verwendet, können Sie mit PowerDMARC's kostenlosem SPF-Datensatz-Generator verwenden, um ein Verzeichnis der zugelassenen IPs in Form eines TXT-Dokuments namens SPF-Record zu erstellen, um die echten IPs zu authentifizieren, die Ihren Domänennamen verwenden dürfen.

Wie funktionieren SPF-Einträge?

Bisher haben wir besprochen , was ein SPF-Eintrag im DNS ist, jetzt ist es an der Zeit zu verstehen, wie er funktioniert. Der Authentifizierungsprozess beginnt, nachdem Sie einen SPF-Eintrag für Ihre Domäne erstellt haben. Die Rückweg-E-Mail-Adresse wird auf der Empfängerseite gegengeprüft. Im E-Mail-Header wird eine Rückweg-E-Mail-Adresse angegeben, die definiert, wie mit abgelehnten E-Mails verfahren werden soll. Es wird überprüft, ob die Absender-E-Mail-Adresse in den SPF-Einträgen hinterlegt ist oder nicht.

Wenn die Genehmigung positiv ausfällt, werden die E-Mails an den Posteingang gesendet; andernfalls kann es zu folgenden Problemen kommen SPF-Fehler.

SPF-Datensatzstruktur und Komponenten

Der DNS SPF-Datensatz macht Ihre Domäne glaubwürdig und vertrauenswürdig und trägt somit zum Image Ihres Unternehmens bei. Es gibt eine geeignete SPF-Datensatzstruktur, die bei der einfachen Verwaltung hilft. SPF-Datensätze haben einen TXT-Datensatztyp, der eine einzelne Textzeichenfolge ist.

Ein DNS SPF-Eintrag beginnt mit dem Element "v=", das die verwendete Version angibt. SPF1" ist die gebräuchlichste Version, die von Mail-Austauschstellen verstanden wird. Die folgenden Begriffe bestimmen die Mechanismen, mit denen überprüft wird, ob eine Domäne E-Mails senden kann oder nicht.

Mechanismen

Hier sind die acht Mechanismen

  1. ALL: Stimmt immer überein. Dies zeigt Standardergebnisse wie '-all' für nicht übereinstimmende IPs.
  2. A: Domänenname mit A- oder AAAA-Adressdatensatz passt, da er in die Adresse des Absenders aufgelöst werden kann.
  3. IP4: Der Abgleich ist erfolgreich, wenn der Absender mit dem angegebenen IPv4-Adressbereich verbunden ist.
  4. IP6: Der Abgleich ist erfolgreich, wenn der Absender zu dem angegebenen IPv6-Adressbereich gehört.
  5. MX: Die E-Mail-Adresse des Absenders ist autorisiert, wenn ihr Domänenname einen MX-Eintrag zur Auflösung enthält.
  6. PTR: Die Übereinstimmung wird überprüft, wenn der PTR-Eintrag mit einer bestimmten Domain verknüpft ist, die zur Adresse des Kunden aufgelöst wird. Dies wird nicht empfohlen, da es alle E-Mails blockieren kann, die über Ihre Domäne gesendet werden.
  7. EXISTS: Es funktioniert, wenn der angegebene Domänenname validiert ist. Dieser SPF-Mechanismus funktioniert mit allen aufgelösten Adressen.
  8. INCLUDE: Sie verweist auf andere Domänenrichtlinien. Wenn sie also erfolgreich ist, wird sie automatisch akzeptiert. Wenn die eingeschlossene Richtlinie jedoch fehlschlägt, wird die Verarbeitung fortgesetzt.

Modifikatoren

Modifikatoren bestimmen die Arbeitsparameter des DNS SPF-Eintrags. Sie bestehen aus Namens- oder Wertepaaren, die durch das Symbol "=" getrennt sind und auf zusätzliche Informationen hinweisen. Sie werden mehrmals am Ende des SPF-Datensatzes aufgeführt, und alle nicht erkannten Modifikatoren werden dabei ignoriert.

Der Modifikator "redirect" verweist auf andere SPF-Einträge, die für ein effizientes Funktionieren verantwortlich sind. Experten verwenden sie immer dann, wenn mehr als eine Domäne mit demselben SPF-Eintrag verknüpft ist. Dieser Modifikator muss verwendet werden, wenn ein einziges Unternehmen alle Domänen kontrolliert, andernfalls wird der Modifikator "include" verwendet.

Qualifikanten

Jeder Mechanismus kann mit einem von vier Merkmalen kombiniert werden.

'+' für PASS-Ergebnis

'?' für ein NEUTRALES Ergebnis, das wie die Politik NONE interpretiert wird.

'~' für SOFTFAIL. Normalerweise werden Nachrichten, die ein SOFTFAIL zurückgeben, akzeptiert, aber markiert.

'-' für FAIL, wird die E-Mail abgelehnt.

Warum werden SPF-Einträge verwendet?

Im Folgenden finden Sie die wichtigsten Gründe, warum Sie wissen sollten, was ein SPF-Eintrag im DNS ist und wie er verwendet wird.

Abwendung von Cyberangriffen

Böswillige Akteure versenden nicht authentifizierte und betrügerische E-Mails unter Ihrem Domänennamen, um das Vertrauen Ihrer Kunden, Interessenten, Interessengruppen usw. zu gewinnen. Sie erstellen geschäftliche E-Mail-Adressen unter Ihrer Domain, um Phishing, Spamming, E-Mail-Spoofing und andere Cyberangriffe zu versuchen. 

Wenn Sie jedoch den Konfigurationsprozess des Protokolls verstehen verstehen und für Ihr Unternehmen erstellen, wird es für Bedrohungsakteure relativ schwierig und zeitaufwändig sein, Ihre Domäne auszunutzen. Dadurch sinkt die Wahrscheinlichkeit, dass sie unter ihr Radar geraten.

Verbesserung der Zustellbarkeit von E-Mails

Bei Domänen ohne DNS-SPF-Einträge ist die Wahrscheinlichkeit groß, dass ihre E-Mails zurückgeschickt oder als "Spam" eingestuft werden. Wenn dies andauert, wird die Fähigkeit, die Mailbox zu erreichen, beeinträchtigt. Das bedeutet, dass die meisten E-Mails, die über Ihren Domänennamen gesendet werden, den Empfänger nicht erreichen, was sich auf Ihr Geschäft auswirkt.

DMARC-Einhaltung

DMARC steht für Domain-based Message Authentication, Reporting, and Conformance. Es ist eine weitere E-Mail-Authentifizierungstechnik, die Spamming, Phishing und E-Mail-Spoofing verhindert.

Sie stellt sicher, dass nur zugelassene Stellen E-Mails über eine bestimmte Domäne senden können. Sie basiert auf der SPF- und DKIM-Prüfung (eine weitere E-Mail-Authentifizierungsrichtlinie) und gibt der Mailbox des Empfängers vor, wie jede von Ihrer Domäne empfangene E-Mail zu behandeln ist. Auf dieser Grundlage werden sie als "Spam", "abgelehnt" oder "normal zugestellt" gekennzeichnet. 

Darüber hinaus können Domain-Administratoren Berichte zur Registrierung ihrer E-Mail-Aktivitäten prüfen und ihre DMARC-Richtlinie entsprechend ändern. PowerDMARC macht es Ihrem Unternehmen leicht, die DMARC-Richtlinie zu übernehmen, indem es sie regelmäßig überwacht und je nach Anforderung anpasst. 

Abschließende Überlegungen

SPF-geschützte E-Mail-Domänen schrecken böswillige Akteure ab, da es mehr Zeit und Mühe kostet, sie zu kompromittieren, um bösartige Aktivitäten zu versuchen. SPF synchronisiert sich mit DNS, um sicherzustellen, dass nur autorisierte Stellen E-Mails von einer bestimmten Domäne senden können. 

Andernfalls können Cyberangreifer Ihren Markennamen ausnutzen, indem sie betrügerische und Spam-E-Mails versenden und die Empfänger auffordern, auf einen bösartigen Link zu klicken, eine beschädigte Datei herunterzuladen oder vertrauliche Daten weiterzugeben. In vielen Fällen bitten sie sogar um eine direkte Geldüberweisung im Namen Ihres Unternehmens. 

Sobald Sie Ihren DNS-Eintrag für SPF eingerichtet haben, vergessen Sie nicht, ihn mit unserem kostenlosen SPF-Prüfer Tool auf seine Gültigkeit zu überprüfen!

Was ist ein SPF-Eintrag im DNS?

/von

Wie behebt man zu viele DNS-Lookups?

Ein sehr häufiges Problem, mit dem SPF-Benutzer täglich konfrontiert werden, ist das Risiko, zu viele DNS-Lookups zu generieren, wodurch sie leicht das SPF-Hardlimit überschreiten können. Dies führt zu einem SPF-PermError-Ergebnis, wenn die DMARC-Überwachung aktiviert ist, und verursacht Probleme bei der E-Mail-Zustellbarkeit. Da Branchenexperten Lösungen wie SPF-Flattening-Services anbieten, um dieses Problem zu entschärfen, hält PowerSPF tatsächlich, was es verspricht und übertrifft die Erwartungen. Lesen Sie weiter, um zu erfahren, wie!

Zu viele DNS-Lookups: Warum passiert das?

Das erste, was Sie verstehen sollten, ist, warum Sie überhaupt zu viele DNS-Abfragen erzeugen. Das liegt daran, dass, egal welche E-Mail-Exchanger-Lösung Sie verwenden, Ihr Dienstanbieter mehr Mechanismen zu Ihrem Eintrag hinzufügt, was zu mehr Suchvorgängen führt.

Wenn Sie beispielsweise den E-Mail-Exchanger von Google, also Gmail, verwenden, erzeugt ein SPF-Eintrag wie v=spf1 include:[email protected] -all tatsächlich insgesamt 4 DNS-Lookups. Verschachtelte Includes initiieren ebenfalls mehr Lookups und wenn Sie mehrere Drittanbieter verwenden, um E-Mails über Ihre Domain zu versenden, können Sie das Limit von 10 DNS-Lookups leicht überschreiten.

Ist SPF-Abflachung die Lösung? Nein!

Die Antwort ist nein. Manuelles SPF-Flattening kann Ihnen helfen, unter dem SPF-Lookup-Limit von 10 zu bleiben, aber es hat seine eigenen Einschränkungen und Herausforderungen. Wenn Sie Ihr SPF manuell flatten, ersetzen Sie einfach die Include-Anweisungen in Ihrem SPF-Eintrag durch die entsprechenden IP-Adressen, um die Notwendigkeit von Lookups zu eliminieren. Dies stellt sicher, dass Sie nicht zu viele DNS-Lookups generieren und hilft Ihnen so, unter dem SPF-Limit von 10 Lookups zu bleiben und Permerror zu vermeiden. Aber Probleme mit manuellen SPF-Flattening-Lösungen sind:

  • Die Länge des SPF-Eintrags kann zu lang sein (mehr als 255 Zeichen)
  • Ihr E-Mail-Dienstanbieter kann seine IP-Adressen ändern oder ergänzen, ohne Sie darüber zu informieren
  • Es gibt kein Dashboard, um den E-Mail-Fluss zu überwachen, Ihre Domains und Mechanismen zu ändern oder zu aktualisieren und Aktivitäten zu verfolgen
  • Sie müssen ständig Änderungen an Ihrem DNS vornehmen, um Ihren SPF-Eintrag zu aktualisieren
  • Ihre E-Mail-Zustellbarkeit kann durch die häufigen IP-Wechsel beeinträchtigt werden

Wie wirken sich diese auf Sie aus? Nun, wenn Ihr SPF-Eintrag auf den neuen IP-Adressen, die Ihre E-Mail-Dienstleister verwenden, nicht aktualisiert wird, werden Ihre E-Mails hin und wieder, wenn diese IP-Adressen verwendet werden, unweigerlich SPF auf der Seite des Empfängers fehlschlagen.

Dynamische SPF-Abflachung, um zu viele DNS-Lookups aufzulösen

Eine intelligentere Lösung, um dem DNS-Lookup-Fehler Adieu zu sagen, ist PowerSPF, Ihr automatischer SPF-Record-Flattener. PowerSPF ist Ihre Echtzeit-SPF-Flattening-Lösung, die Ihnen hilft:

  • Einfaches Konfigurieren von SPF für Ihre Domain mit nur wenigen Klicks
  • Ein-Klick-Sofort-SPF-Record-Flattening mit einer einzigen Include-Anweisung, um die automatische SPF-Include-Verwaltung zu nutzen
  • Bleiben Sie immer unter dem Limit von 10 DNS-Lookups
  • Automatische Aktualisierung des Netblocks und ständige Überprüfung auf geänderte IP-Adressen, um Ihren SPF-Eintrag auf dem neuesten Stand zu halten
  • Pflegen Sie ein benutzerfreundliches Dashboard, in dem Sie Änderungen an Ihren Richtlinien einfach aktualisieren, Domains und Mechanismen hinzufügen und den E-Mail-Fluss überwachen können.

Warum sollten Sie sich auf SPF-Komprimierungstools verlassen, die temporäre Ergebnisse mit zugrundeliegenden Einschränkungen liefern können? Optimieren Sie Ihren SPF-Datensatz und entschärfen Sie das SPF-Hardlimit mit Automatic SPF noch heute! Sich jetzt für PowerSPF anmelden?

Was ist ein SPF-Eintrag im DNS?

/von

Gründe für die Vermeidung von SPF-Flattening

Gründe für die Vermeidung von SPF-Flattening

Sender Policy Framework (SPF) ist ein weithin anerkanntes E-Mail-Authentifizierungsprotokoll, das Ihre Nachrichten validiert, indem es sie anhand aller autorisierten IP-Adressen authentifiziert, die für Ihre Domain in Ihrem SPF-Eintrag registriert sind. Um E-Mails zu validieren, gibt SPF dem empfangenden Mailserver vor, DNS-Abfragen durchzuführen, um nach autorisierten IPs zu suchen, was zu DNS-Lookups führt.

Ihr SPF-Eintrag existiert als DNS-TXT-Eintrag, der aus einer Ansammlung verschiedener Mechanismen gebildet wird. Die meisten dieser Mechanismen (z. B. include, a, mx, redirect, exists, ptr) erzeugen DNS-Lookups. Die maximale Anzahl der DNS-Lookups für die SPF-Authentifizierung ist jedoch auf 10 begrenzt. Wenn Sie verschiedene Drittanbieter verwenden, um E-Mails über Ihre Domain zu versenden, können Sie das SPF-Hardlimit leicht überschreiten.

Sie fragen sich vielleicht, was passiert, wenn Sie dieses Limit überschreiten? Das Überschreiten des Limits von 10 DNS-Lookups führt zu einem SPF-Fehler und macht sogar legitime Nachrichten ungültig, die von Ihrer Domain gesendet werden. In solchen Fällen sendet der empfangende Mailserver einen SPF-PermError-Bericht an Ihre Domain zurück, wenn Sie die DMARC-Überwachung aktiviert haben.Damit kommen wir zum Hauptthema dieses Blogs: SPF-Flattening.

Was ist die SPF-Abflachung?

SPF-Record-Flattening ist eine der beliebten Methoden, die von Branchenexperten verwendet werden, um Ihren SPF-Record zu optimieren und die Überschreitung des SPF-Hard-Limits zu vermeiden. Die Vorgehensweise beim SPF-Flattening ist recht einfach. Beim Flattening Ihres SPF-Eintrags werden alle Include-Mechanismen durch ihre jeweiligen IP-Adressen ersetzt, um die Notwendigkeit der Durchführung von DNS-Lookups zu eliminieren.

Wenn Ihr SPF-Eintrag zum Beispiel ursprünglich so aussah:

v=spf1 include:spf.domain.com -all

Ein abgeflachter SPF-Eintrag sieht etwa so aus:

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Dieser abgeflachte Datensatz erzeugt nur einen DNS-Lookup, anstatt mehrere Lookups durchzuführen. Die Verringerung der Anzahl der DNS-Abfragen, die vom empfangenden Server während der E-Mail-Authentifizierung durchgeführt werden, hilft zwar, unter dem Limit von 10 DNS-Lookups zu bleiben, hat aber auch seine eigenen Probleme.

Das Problem mit der SPF-Abflachung

Abgesehen davon, dass Ihr manuell abgeflachter SPF-Eintrag zu lang werden kann, um im DNS Ihrer Domain veröffentlicht zu werden (Überschreitung der 255-Zeichen-Grenze), müssen Sie berücksichtigen, dass Ihr E-Mail-Dienstanbieter seine IP-Adressen ändern oder ergänzen kann, ohne Sie als Benutzer zu benachrichtigen. Wenn Ihr Provider hin und wieder Änderungen an seiner Infrastruktur vornimmt, werden diese Änderungen nicht in Ihrem SPF-Eintrag berücksichtigt. Wenn also diese geänderten oder neuen IP-Adressen von Ihrem Mailserver verwendet werden, schlägt die E-Mail auf der Empfängerseite mit SPF fehl.

PowerSPF: Ihr dynamischer SPF-Datensatz-Generator

Das ultimative Ziel von PowerDMARC war es, eine Lösung zu entwickeln, die Domain-Besitzer davor bewahrt, an das Limit von 10 DNS-Lookups zu stoßen, sowie Ihren SPF-Datensatz so zu optimieren, dass er immer auf den neuesten IP-Adressen bleibt, die Ihre E-Mail-Dienstanbieter verwenden. PowerSPF ist Ihre automatisierte SPF-Flattening-Lösung, die Ihren SPF-Eintrag durchzieht, um eine einzige Include-Anweisung zu erzeugen. PowerSPF hilft Ihnen:

  • Einfaches Hinzufügen oder Entfernen von IPs und Mechanismen
  • Automatische Aktualisierung von Netzsperren, um sicherzustellen, dass Ihre autorisierten IPs immer auf dem neuesten Stand sind
  • Bleiben Sie mit Leichtigkeit unter dem Limit von 10 DNS-Lookups
  • Erhalten Sie einen optimierten SPF-Eintrag mit einem einzigen Klick
  • Permerror" dauerhaft besiegen
  • Fehlerfreies SPF implementieren

Melden Sie sich noch heute bei PowerDMARC an, um eine verbesserte E-Mail-Zustellbarkeit und Authentifizierung zu gewährleisten und gleichzeitig unter dem Limit von 10 DNS SPF-Lookups zu bleiben .

Was ist ein SPF-Eintrag im DNS?

/von

Wie optimiert man den SPF-Eintrag?

In diesem Artikel werden wir untersuchen, wie Sie den SPF-Eintrag für Ihre Domain einfach optimieren können. Sowohl Unternehmen als auch kleine Betriebe, die eine E-Mail-Domain zum Senden und Empfangen von Nachrichten unter ihren Kunden, Partnern und Mitarbeitern besitzen, haben mit hoher Wahrscheinlichkeit einen SPF-Eintrag, der von Ihrem Posteingangsdienstanbieter standardmäßig eingerichtet wurde. Unabhängig davon, ob Sie einen bereits existierenden SPF-Eintrag haben oder einen neuen erstellen müssen, müssen Sie Ihren SPF-Eintrag korrekt für Ihre Domain optimieren, um sicherzustellen, dass er keine Probleme bei der E-Mail-Zustellung verursacht.

Einige E-Mail-Empfänger verlangen unbedingt SPF, was bedeutet, dass Ihre E-Mails im Posteingang des Empfängers als Spam markiert werden können, wenn Sie keinen SPF-Eintrag für Ihre Domain veröffentlicht haben. Außerdem hilft SPF bei der Erkennung von nicht autorisierten Quellen, die E-Mails im Namen Ihrer Domain senden.

Lassen Sie uns zunächst verstehen, was SPF ist und warum Sie ihn brauchen?

Sender Policy Framework (SPF)

SPF ist im Wesentlichen ein Standard-E-Mail-Authentifizierungsprotokoll, das die IP-Adressen angibt, die berechtigt sind, E-Mails von Ihrer Domain zu senden. Es arbeitet, indem es Absenderadressen mit der Liste der autorisierten sendenden Hosts und IP-Adressen für eine bestimmte Domain vergleicht, die im DNS für diese Domain veröffentlicht ist.

SPF dient zusammen mit DMARC (Domain-based Message Authentication, Reporting and Conformance) dazu, gefälschte Absenderadressen bei der E-Mail-Zustellung zu erkennen und Spoofing-Angriffe, Phishing und E-Mail-Betrug zu verhindern.

Es ist wichtig zu wissen, dass, obwohl der von Ihrem Hosting-Provider in Ihre Domain integrierte Standard-SPF sicherstellt, dass E-Mails, die von Ihrer Domain aus gesendet werden, anhand von SPF authentifiziert werden, wenn Sie mehrere Drittanbieter haben, die E-Mails von Ihrer Domain aus senden, muss dieser bereits vorhandene SPF-Eintrag an Ihre Anforderungen angepasst und geändert werden. Wie können Sie das tun? Lassen Sie uns zwei der gängigsten Möglichkeiten untersuchen:

  • Erstellen eines brandneuen SPF-Eintrags
  • Optimieren eines vorhandenen SPF-Eintrags

Anleitung zum Optimieren des SPF-Eintrags

Einen brandneuen SPF-Eintrag erstellen

Das Erstellen eines SPF-Eintrags ist einfach das Veröffentlichen eines TXT-Eintrags im DNS Ihrer Domain, um SPF für Ihre Domain zu konfigurieren. Dies ist ein obligatorischer Schritt, bevor Sie damit beginnen, wie Sie den SPF-Eintrag optimieren können. Wenn Sie gerade erst mit der Authentifizierung beginnen und sich über die Syntax unsicher sind, können Sie unseren kostenlosen Online-SPF-Eintragsgenerator verwenden, um einen SPF-Eintrag für Ihre Domain zu erstellen.

Ein SPF-Record-Eintrag mit korrekter Syntax sieht etwa so aus:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Gibt die verwendete Version von SPF an
ip4/ip6Dieser Mechanismus legt die gültigen IP-Adressen fest, die berechtigt sind, E-Mails von Ihrer Domain zu senden.
einschließen.Dieser Mechanismus weist die empfangenden Server an, die Werte für den SPF-Eintrag der angegebenen Domäne aufzunehmen.
-alleDieser Mechanismus legt fest, dass E-Mails, die nicht SPF-konform sind, zurückgewiesen werden. Dies ist das empfohlene Tag, das Sie beim Veröffentlichen Ihres SPF-Eintrags verwenden können. Es kann jedoch durch ~ für SPF Soft Fail ersetzt werden (nicht konforme E-Mails werden als Soft Fail markiert, aber trotzdem akzeptiert) oder durch +, das angibt, dass jeder Server E-Mails im Namen Ihrer Domain senden darf, wovon dringend abgeraten wird.

Wenn Sie SPF bereits für Ihre Domain konfiguriert haben, können Sie auch unseren kostenlosen SPF-Datensatz-Checker verwenden, um Ihren SPF-Datensatz nachzuschlagen und zu validieren und Probleme zu erkennen.

Häufige Herausforderungen und Fehler beim Konfigurieren von SPF

1) 10 DNS-Lookup-Limit 

Die häufigste Herausforderung, mit der sich Domain-Besitzer bei der Konfiguration und Übernahme des SPF-Authentifizierungsprotokolls für ihre Domain konfrontiert sehen, besteht darin, dass SPF mit einem Limit für die Anzahl der DNS-Lookups versehen ist, das 10 nicht überschreiten darf. Für Domains, die sich auf mehrere Drittanbieter verlassen, wird das Limit von 10 DNS-Lookups leicht überschritten, was wiederum SPF bricht und einen SPF PermError zurückgibt. Der empfangende Server macht in solchen Fällen Ihren SPF-Eintrag automatisch ungültig und blockiert ihn.

Mechanismen, die DNS-Lookups initiieren: MX, A, INCLUDE, REDIRECT Modifier

2) SPF Void Lookup 

Void-Lookups beziehen sich auf DNS-Lookups, die entweder eine NOERROR-Antwort oder eine NXDOMAIN-Antwort (void answer) zurückgeben. Bei der Implementierung von SPF wird empfohlen, sicherzustellen, dass DNS-Lookups nicht von vornherein eine ungültige Antwort zurückgeben.

3) SPF Rekursive Schleife

Dieser Fehler zeigt an, dass der SPF-Eintrag für Ihre angegebene Domain rekursive Probleme mit einem oder mehreren der INCLUDE-Mechanismen enthält. Dies geschieht, wenn eine der im INCLUDE-Tag angegebenen Domains eine Domain enthält, deren SPF-Eintrag das INCLUDE-Tag der ursprünglichen Domain enthält. Dies führt zu einer Endlosschleife, die E-Mail-Server dazu veranlasst, ständig DNS-Lookups für die SPF-Records durchzuführen. Dies führt letztendlich dazu, dass das Limit von 10 DNS-Lookups überschritten wird, was dazu führt, dass E-Mails die SPF-Prüfung nicht bestehen.

4) Syntax-Fehler 

Ein SPF-Eintrag kann im DNS Ihrer Domain vorhanden sein, aber er ist nutzlos, wenn er Syntaxfehler enthält. Wenn Ihr SPF-TXT-Eintrag unnötige Leerzeichen bei der Eingabe des Domainnamens oder des Mechanismusnamens enthält, würde die Zeichenfolge vor dem zusätzlichen Leerzeichen vom empfangenden Server bei der Durchführung eines Lookups vollständig ignoriert werden, wodurch der SPF-Eintrag ungültig wird.

5) Mehrere SPF-Einträge für dieselbe Domain

Eine einzelne Domain kann nur einen SPF-TXT-Eintrag im DNS haben. Wenn Ihre Domain mehr als einen SPF-Eintrag enthält, macht der empfangende Server alle ungültig, was dazu führt, dass E-Mails SPF nicht bestehen.

6) Länge des SPF-Records 

Die maximale Länge eines SPF-Eintrags im DNS ist auf 255 Zeichen begrenzt. Dieses Limit kann jedoch überschritten werden, und ein TXT-Eintrag für SPF kann mehrere aneinandergereihte Zeichenketten enthalten, jedoch nicht über ein Limit von 512 Zeichen hinaus, um in die DNS-Abfrageantwort zu passen (gemäß RFC 4408). Obwohl dies später überarbeitet wurde, waren Empfänger, die sich auf ältere DNS-Versionen verlassen, nicht in der Lage, E-Mails zu validieren, die von Domänen gesendet wurden, die einen langen SPF-Eintrag enthalten.

Optimieren Ihres SPF-Eintrags

Um Ihren SPF-Eintrag zeitnah zu ändern, können Sie die folgenden SPF-Best Practices verwenden:

  • Versuchen Sie, Ihre E-Mail-Quellen in abnehmender Reihenfolge ihrer Wichtigkeit von links nach rechts in Ihren SPF-Eintrag einzutragen
  • Entfernen Sie veraltete E-Mail-Quellen aus Ihrem DNS
  • IP4/IP6-Mechanismen anstelle von A und MX verwenden
  • Halten Sie die Anzahl der INCLUDE-Mechanismen so gering wie möglich und vermeiden Sie verschachtelte Includes
  • Veröffentlichen Sie nicht mehr als einen SPF-Eintrag für dieselbe Domain in Ihrem DNS
  • Stellen Sie sicher, dass Ihr SPF-Eintrag keine überflüssigen Leerzeichen oder Syntaxfehler enthält

Hinweis: SPF-Flattening wird nicht empfohlen, da es sich nicht um eine einmalige Sache handelt. Wenn Ihr E-Mail-Dienstanbieter seine Infrastruktur ändert, müssen Sie Ihre SPF-Einträge jedes Mal entsprechend ändern.

Optimierung Ihres SPF-Eintrags leicht gemacht mit PowerSPF

Sie können fortfahren und versuchen, all diese oben genannten Änderungen zu implementieren, um Ihren SPF-Eintrag manuell zu optimieren, oder Sie können den Ärger vergessen und sich auf unser dynamisches PowerSPF verlassen, um all das automatisch für Sie zu tun! PowerSPF hilft Ihnen, Ihren SPF-Eintrag mit einem einzigen Klick zu optimieren, wobei Sie können:

  • Einfaches Hinzufügen oder Entfernen von Sendequellen
  • Einfaches Aktualisieren von Datensätzen, ohne dass Sie manuell Änderungen an Ihrem DNS vornehmen müssen
  • Erhalten Sie einen optimierten automatischen SPF-Eintrag mit nur einem Klick auf eine Schaltfläche
  • Bleiben Sie immer unter dem Limit von 10 DNS-Lookups
  • Erfolgreich PermError entschärfen
  • Vergessen Sie SPF-Record-Syntaxfehler und Konfigurationsprobleme
  • Wir nehmen Ihnen die Last ab, SPF-Einschränkungen in Ihrem Namen zu lösen

Melden Sie sich noch heute bei PowerDMARC an und sagen Sie den SPF-Beschränkungen für immer Adieu!  

Was ist ein SPF-Eintrag im DNS?

/von

Warum SPF nicht gut genug ist, um Spoofing zu stoppen

Als Anbieter von DMARC-Diensten wird uns diese Frage oft gestellt: "Wenn DMARC nur SPF- und DKIM-Authentifizierung verwendet, warum sollten wir uns dann mit DMARC beschäftigen? Ist das nicht einfach unnötig?"

Oberflächlich betrachtet mag es den Anschein haben, dass es kaum einen Unterschied macht, aber die Realität ist ganz anders. DMARC ist nicht nur eine Kombination aus SPF- und DKIM-Technologien, sondern ein völlig neues, eigenständiges Protokoll. Es hat mehrere Funktionen, die es zu einem der fortschrittlichsten E-Mail-Authentifizierungsstandards der Welt und zu einer absoluten Notwendigkeit für Unternehmen machen.

Aber warten Sie einen Moment. Wir haben noch nicht genau beantwortet, warum Sie DMARC brauchen. Was bietet es, was SPF und DKIM nicht können? Nun, das ist eine ziemlich lange Antwort; zu lang für nur einen Blogbeitrag. Lassen Sie uns also aufteilen und zuerst über SPF sprechen. Für den Fall, dass Sie damit nicht vertraut sind, hier eine kurze Einführung.

Was ist SPF?

SPF, oder Sender Policy Framework, ist ein E-Mail-Authentifizierungsprotokoll, das den E-Mail-Empfänger vor gefälschten E-Mails schützt. Es handelt sich im Wesentlichen um eine Liste aller IP-Adressen, die berechtigt sind, E-Mails über Ihre Kanäle (die des Domaininhabers) zu versenden. Wenn der empfangende Server eine Nachricht von Ihrer Domain sieht, überprüft er den SPF-Eintrag, der in Ihrem DNS veröffentlicht ist. Wenn die IP des Absenders in dieser "Liste" enthalten ist, wird die E-Mail zugestellt. Wenn nicht, lehnt der Server die E-Mail ab.

Mehr lesen

Wie Sie sehen können, leistet SPF eine ziemlich gute Arbeit, um viele unappetitliche E-Mails fernzuhalten, die Ihrem Gerät schaden oder die Sicherheitssysteme Ihres Unternehmens gefährden könnten. Aber SPF ist nicht annähernd so gut, wie manche Leute vielleicht denken. Das liegt daran, dass es einige sehr große Nachteile hat. Lassen Sie uns über einige dieser Probleme sprechen.

Einschränkungen des SPF

SPF-Einträge gelten nicht für die Von-Adresse

E-Mails haben mehrere Adressen, um ihren Absender zu identifizieren: die Absenderadresse, die Sie normalerweise sehen, und die Rücksprungadresse, die versteckt ist und einen oder zwei Klicks erfordert, um sie anzuzeigen. Wenn SPF aktiviert ist, schaut der empfangende E-Mail-Server auf den Return Path und prüft die SPF-Einträge der Domain von dieser Adresse.

Das Problem dabei ist, dass Angreifer dies ausnutzen können, indem sie eine gefälschte Domäne in ihrer Return Path-Adresse und eine legitime (oder legitim aussehende) E-Mail-Adresse im From-Abschnitt verwenden. Selbst wenn der Empfänger die E-Mail-ID des Absenders überprüfen würde, würde er zuerst die Absenderadresse sehen und sich normalerweise nicht die Mühe machen, den Rückweg zu überprüfen. Tatsächlich wissen die meisten Leute nicht einmal, dass es so etwas wie eine Return Path-Adresse gibt.

SPF kann mit diesem einfachen Trick recht leicht umgangen werden und macht selbst mit SPF gesicherte Domains weitgehend angreifbar.

SPF-Einträge haben ein DNS-Lookup-Limit

SPF-Datensätze enthalten eine Liste aller IP-Adressen, die vom Domain-Besitzer autorisiert sind, E-Mails zu versenden. Sie haben jedoch einen entscheidenden Nachteil. Der empfangende Server muss den Datensatz überprüfen, um festzustellen, ob der Absender autorisiert ist. Um die Belastung des Servers zu reduzieren, haben SPF-Datensätze ein Limit von 10 DNS-Lookups.

Das bedeutet, dass, wenn Ihre Organisation mehrere Drittanbieter verwendet, die E-Mails über Ihre Domain senden, der SPF-Eintrag am Ende dieses Limit überschreiten kann. Wenn sie nicht richtig optimiert sind (was nicht einfach selbst zu machen ist), haben SPF-Einträge eine sehr restriktive Grenze. Wenn Sie diese Grenze überschreiten, wird die SPF-Implementierung als ungültig betrachtet und Ihre E-Mail schlägt bei SPF fehl. Dies kann Ihre E-Mail-Zustellungsraten möglicherweise beeinträchtigen.

Mehr erfahren

 

SPF funktioniert nicht immer, wenn die E-Mail weitergeleitet wird

SPF hat einen weiteren kritischen Fehlerpunkt, der die Zustellbarkeit Ihrer E-Mails beeinträchtigen kann. Wenn Sie SPF auf Ihrer Domain implementiert haben und jemand Ihre E-Mail weiterleitet, kann die weitergeleitete E-Mail aufgrund Ihrer SPF-Richtlinie zurückgewiesen werden.

Das liegt daran, dass die weitergeleitete Nachricht den Empfänger der E-Mail geändert hat, die Adresse des E-Mail-Absenders aber gleich geblieben ist. Dies wird zu einem Problem, weil die Nachricht die Absenderadresse des ursprünglichen Absenders enthält, der empfangende Server aber eine andere IP sieht. Die IP-Adresse des weiterleitenden E-Mail-Servers ist nicht im SPF-Eintrag der Domain des ursprünglichen Absenders enthalten. Dies kann dazu führen, dass die E-Mail vom empfangenden Server zurückgewiesen wird.

Wie löst DMARC diese Probleme?

DMARC verwendet eine Kombination aus SPF und DKIM, um E-Mails zu authentifizieren. Eine E-Mail muss entweder SPF oder DKIM passieren, um DMARC zu passieren und erfolgreich zugestellt zu werden. Und es fügt auch eine Schlüsselfunktion hinzu, die es weitaus effektiver macht als SPF oder DKIM allein: Reporting.

Mit der DMARC-Berichterstattung erhalten Sie tägliches Feedback über den Status Ihrer E-Mail-Kanäle. Dazu gehören Informationen über Ihre DMARC-Ausrichtung, Daten über E-Mails, deren Authentifizierung fehlgeschlagen ist, und Details über mögliche Spoofing-Versuche.

Wenn Sie sich fragen, was Sie tun können, um nicht gespoofed zu werden, lesen Sie unseren praktischen Leitfaden mit den 5 besten Möglichkeiten, um E-Mail-Spoofing zu vermeiden.

Was ist ein SPF-Eintrag im DNS?

/von