Beiträge

Das Erlernen und Umsetzen der SPF-Konzepte ist für technologieorientierte Unternehmen wichtig. Es kann sie vor den potenziellen Risiken von Phishing und Spamming schützen, BEC-Angriffeusw. SPF oder Sender Policy Framework funktioniert durch die Verwendung eines SPF Datensatz, der die SPF-Syntax enthält.

In diesem Blog wird allgemein über die SPF-Syntaxtabelle, SPF-Mechanismen, SPF-Qualifikatoren und SPF-Modifikatoren gesprochen, die alle notwendig sind, um das Konzept der E-Mail-Authentifizierung mit technischen Protokollen zu verstehen. 

SPF-Syntax für Benginner 

Ein SPF-Eintrag ist ein DNS-Eintrag, der eine Liste aller IP-Adressen enthält, die E-Mails unter Ihrem offiziellen Domänennamen versenden dürfen. Wenn ein Server außerhalb dieser Liste eine E-Mail unter Verwendung der Domäne sendet, wird sie als nicht autorisiert behandelt. Die Mailbox des Empfängers lehnt den Eintrag daher ab. Dies schützt den Namen Ihres Unternehmens davor, in bösartige Aktivitäten von Hackern verwickelt zu werden. 

Unternehmen sollten erstellen und SPF-Einträge überprüfen erstellen, um sich vor Phishing-Angriffen zu schützen, die unter Verwendung ihrer eigenen Domänennamen versucht werden. Über 255 Millionen Phishing-Angriffe wurden allein in der ersten Hälfte des Jahres 2022 verzeichnet! Stellen Sie sich vor, wie wichtig es geworden ist, SPF zu implementieren und sich mit der SPF-Syntax vertraut zu machen.

Ein SPF-Eintrag enthält Anweisungen, die den Server des Empfängers anweisen, die von Ihrer Domäne empfangenen E-Mails zu prüfen und zu validieren. Er gibt auch an, was mit denjenigen zu tun ist, deren Authentifizierung fehlschlägt. Eine bestimmte Komponente stellt alle Anweisungen dar.  

Lassen Sie uns die einzelnen Elemente anhand eines SPF-Datensatzes aufschlüsseln. So sieht eine SPF-Syntax aus.

v=spf1 ip4:123.1.5.0 ip4:100.5.2.1 include:exampledomain.com ~all

Die Funktion der einzelnen Elemente ist wie folgt:

  • v=spf1 gibt dem empfangenden Server an, dass es sich um einen SPF-Eintrag handelt. Alle SPF-Einträge müssen wie folgt beginnen.
  • Im nächsten Abschnitt dieser SPF-Syntax werden die IP-Adressen angegeben, die E-Mails über Ihre Domäne senden dürfen. Im obigen Beispiel haben wir ip4:123.1.5.0 und ip4:100.5.2.1
  • Der Abschnitt 'include:exampledomain.com' Abschnitt des obigen Beispiels gibt die Drittparteien an, die E-Mails über die Domäne senden dürfen. Das "include"-Tag weist die Empfängerserver darauf hin, den SPF-Eintrag der eingeschlossenen Domäne (exampledomain.com) auf ebenfalls zugelassene IP-Adressen zu überprüfen. Sie können mehrere Domänen innerhalb eines SPF-Eintrags hinzufügen; sie müssen jedoch gültig sein.
  • Das Element -all Element weist empfangende Server an, E-Mails als NOT PASS für SPF zu markieren, wenn sie von einer Domain oder IP-Adresse außerhalb der im SPF-Eintrag angegebenen Liste gesendet werden

Erweiterte SPF-Syntax

Eine SPF-Syntaxtabelle wird durch einen DNS-TXT-Eintrag mit einer einzigen Textzeichenfolge definiert. Sie beginnt immer mit dem Element "v=", das die verwendete SPF-Version angibt, und derzeit gibt es nur eine Version.

Alle SPF-Datensätze haben ihre spezifischen Bedingungen, die als Regeln dafür dienen, welche Hosts Nachrichten mit der offiziellen Domäne austauschen dürfen, und sie können auch einige zusätzliche Informationen anzeigen. 

In der fortgeschrittenen SPF-Syntax werden wir die folgenden SPF-Mechanismen, SPF-Qualifizierer und SPF-Modifizierer.

SPF-Mechanismen

  1. ALLE: Er passt immer und ist der letzte Mechanismus, der am Ende eines SPF-Eintrags hinzugefügt wird. Er zeigt Standardergebnisse wie "-all" für nicht übereinstimmende IPs an.
  2. A: Es bezeichnet einen Domänennamen mit einem AAAA- oder A-Eintrag als Übereinstimmung an, da er die Adresse des Absenders aussortiert. Die aktuelle Domäne wird verwendet, wenn die Syntax dieses DNS SPF-Eintrags nicht angegeben ist.
  3. ip4: Eine Übereinstimmung ist positiv, wenn ein Absender mit dem angegebenen ipv4-Adressbereich im SPF-Eintrag verbunden ist. Sie fügen dies mit einem Präfix hinzu, das die Länge des Bereichs angibt. /32 wird verwendet, wenn es kein Präfix gibt.
  4. ip6: Eine Übereinstimmung ist positiv, wenn der Absender mit dem angegebenen ipv6-Adressbereich verbunden ist. Er wird mit der ip4-Direktive und einem Präfix, das die Bereichslänge angibt, hinzugefügt. /128 wird verwendet, wenn es kein Präfix gibt.
  5. MX: Er lässt Absender mit einer IP-Adresse zu, die mit der im angegebenen MX-Eintrag enthaltenen Adresse übereinstimmt. MX-Einträge bestehen aus einer IP-Adresse und einem Prioritätswert für jeden Server, der Nachrichten annehmen soll.
  6. PTR: Sie gibt die autorisierte Domäne an, um die Auflösung von IP-Adressen in Subdomänen oder Domänen zu unterstützen. Für alle exakt übereinstimmenden Domains oder Subdomains wird ein Forward Lookup durchgeführt, um die IP-Adresse zu erhalten.

Dieser Mechanismus gilt als zeitaufwändig und unzuverlässig, da er mehrere Suchvorgänge erfordert. Er wird nicht empfohlen gemäß den RFC 7208-Richtlinien.

  1. EXISTS: Es wird eine DNS A-Eintragssuche für die eingegebene Domäne durchgeführt. Eine Übereinstimmung ist erfolgreich, wenn ein gültiger A-Eintrag gefunden wird, unabhängig vom tatsächlichen Suchergebnis.
  2. INCLUDE: Es autorisiert E-Mail-Absender von Drittanbietern, indem es deren Domänen angibt. Ein Absender wird nur dann zugelassen, wenn seine IP-Adresse mit den IP-Adressen oder Domänen übereinstimmt, die im SPF-Eintrag der aufgeführten Domäne angegeben sind.

SPF-Qualifikatoren

Wenn ein Mechanismus keinen Qualifier hat und es trotzdem eine erfolgreiche Übereinstimmung gibt, ist die SPF-Authentifizierung erfolgreich. Jeder der 8 Mechanismen ist mit einem der vier unten genannten Qualifier gekoppelt.

Qualifier Ergebnis Vom empfangenden Server ergriffene Maßnahmen 
+ Pass Die E-Mail hat die SPF-Authentifizierung erfolgreich bestanden, und der Server kann E-Mails austauschen. Die E-Mails werden als echt markiert. Dies ist die Standardaktion, die angewendet wird, wenn kein Qualifier vorhanden ist.
- Fail Die Authentifizierung der E-Mail schlägt fehl, weil der sendende Server nicht in der Liste enthalten ist. Die E-Mail wird möglicherweise von der Mailbox des Empfängers zurückgewiesen.
~ SoftFail Die Mailbox des Empfängers nimmt die Nachricht an, sie wird jedoch als verdächtig markiert und landet im Spam-Ordner.
? Neutral Die E-Mail-Nachricht hat die Authentifizierung weder bestanden noch nicht bestanden. Die ergriffene Aktion ist nicht spezifiziert und die E-Mail wird vom Empfänger akzeptiert.

SPF-Modifikatoren

SPD-Modifikatoren sind für die Bestimmung der Arbeitsparameter einer SPF-Syntax zuständig. Sie enthalten durch das Symbol "=" getrennte Namens- oder Wertepaare, die zusätzliche Details und gegebenenfalls Ausnahmen von den Regeln enthalten.

Modifikatoren erscheinen nur einmal und nur im letzten Abschnitt eines SPF-Datensatzes. Alle nicht identifizierten Modifikatoren werden bei diesem Prozess ignoriert. Der Modifikator "redirect" wird verwendet, um andere SPF-Datensätze zur Authentifizierung weiterzuleiten. Er wird verwendet, wenn mehr als eine Domäne denselben SPF-Datensatzinhalt haben soll.

Der "include"-Mechanismus wird für Domänen von Drittanbietern verwendet, die in Ihrem Namen oder unter Ihrem Firmennamen E-Mails versenden dürfen. Der Modifikator "exp" gibt an, warum der empfangende Server einen Fail SPF Qualifier zurückgegeben hat, wenn ein Mechanismus übereinstimmt.

Richtlinien für SPF-Einträge

Beachten Sie beim Erstellen eines SPF-Datensatzes mithilfe der SPF-Syntaxtabelle die folgenden Punkte.

  • Sie können nicht mehrere SPF-Einträge für eine Domäne ausrichten.
  • Ein SPF-Datensatz darf keine Großbuchstaben enthalten, da sonst Fehler auftreten würden.
  • Es sollten nicht mehr als 255 Zeichen sein. Jede Zeichenfolge, die diese Zahl überschreitet, führt zu einer fehlgeschlagenen Authentifizierung.
  • Löschen, wenn es SPF-Mechanismen gibt, die auf dieselbe Domäne auflösen.
  • Löschen Sie alle ip4- und ip6-SPF-Mechanismen, die nicht verwendet werden. Prüfen Sie auch, ob Sie Adressbereiche zusammenführen können.
  • Sie können Subdomänen erstellen, um SPF-Informationen zu speichern. Dies kann mit "_spf.domain.com" geschehen. Dies wird für große IT-Firmen empfohlen, da sie mehrere IP-Adressen haben, die sie zu einem SPF-Eintrag hinzufügen können.

Sie können E-Mails versenden, ohne SPF zu verwenden oder das SPF-Format zu kennen., aber das wird nicht sicher sein. SPF fügt den Mailbox-Anbietern der Empfänger einen zusätzlichen Vertrauensbeweis hinzu, und alle authentischen E-Mails, die über Ihre Domäne gesendet werden, landen im Posteingang, anstatt als Spam markiert zu werden.

SPF ist keine narrensichere Methode; daher müssen Sie sie mit anderen E-Mail-Authentifizierung Protokollen wie DKIM kombinieren, DMARCund BIMI um die Zustellbarkeit von E-Mails zu verbessern.

Da diese Protokolle für den E-Mail-Authentifizierungsprozess von entscheidender Bedeutung sind und alle E-Mail-gesteuerten Unternehmen sie kennen müssen, konzentrieren wir uns in diesem Blog auf das SPF-Eintragsformat in diesem Blog.

Was ist SPF?

SPF ist die Abkürzung für Sender Policy Framework - eines der gängigsten E-Mail-Authentifizierungsprotokolle. Es arbeitet mit einer Liste von IP-Adressen, die berechtigt sind, E-Mails über Ihren Domänennamen zu versenden. Die Liste enthält in der Regel IP-Adressen Ihrer Mitarbeiter, Aktionäre und Dritter, die Ihre Domäne direkt zum Senden von E-Mails verwenden.

Wenn Sie SPF implementiert haben, wird jede E-Mail, die von einer IP-Adresse außerhalb der Liste gesendet wird, von der Mailbox des Empfängers als nicht autorisiert betrachtet.

Wie wird eine E-Mail mit SPF authentifiziert?

Sie müssen einen gültigen SPF-Eintrag (im TXT-Format ) in Ihrem DNS veröffentlichen, um dieses Protokoll zu implementieren. Wenn eine E-Mail von Ihrer Domäne gesendet wird, vergleicht der Mailserver des Empfängers die IP-Adresse des Absenders mit den SPF-Einträgen in Ihrem DNS. Wenn sie in der Liste steht, wird die Überprüfung bestanden und die E-Mail landet im Posteingang. Steht sie jedoch nicht auf der Liste, schlägt die Authentifizierung fehl, und die E-Mails erreichen ihr Ziel nicht.

Nach der Implementierung müssen Sie die Aktivitäten Ihrer Domäne regelmäßig mit einem SPF-Prüfer um sicherzustellen, dass sie nicht auf dem Radar eines Hackers ist. Dies kann verhindern Speer-Phishing, Scamming und Ransomware-Angriffe, die unter dem Namen Ihres Unternehmens versucht werden.

SPF-Format

Der SPF-Datensatz ist kompliziert und hat ein typisches Format, das schwer zu verstehen ist. Hier besprechen wir die SPF-Datensatz-Syntax und die SPF-Datensatz-Struktur - den Kopf und das Herz des SPF-Datensatz-Formats.

SPF-Eintrag: Grundlegende Syntax

Ein SPF-Datensatz ist ein DNS-Datensatz, der alle IP-Adressen auflistet, die E-Mails über Ihre E-Mail-Domäne versenden dürfen. So sieht die Syntax eines SPF-Eintrags aus:

v=spf1 ip4=193.0.1.0 ip4=193.0.1.1 include:samplesender.net -all

Schauen wir uns die darin enthaltenen Elemente an.

  • v=spf1- Sie teilt dem Server mit, dass es sich um einen SPF-Eintrag handelt. Jeder SPF-Eintrag muss mit dieser Zeichenfolge beginnen.
  • ip4=193.0.1.0 ip4=193.0.1.1- Gibt die IP-Adressen an, die für den Versand von E-Mails über eine bestimmte Domain zugelassen sind.
  • Include:examplesender.net: Es teilt Dritten mit, dass sie berechtigt sind, E-Mails zu versenden. Das "include"-Tag weist die Empfängerserver an, den SPF-Eintrag der eingeschlossenen Domäne (hier samplesender.net) zu überprüfen. Sie können mehrere Domänen in einen SPF-Eintrag aufnehmen.
  • -all: weist die Empfängerserver an, E-Mails abzulehnen, die von nicht autorisierten IP-Adressen stammen, d. h. von solchen, die nicht in der Liste enthalten sind. 

SPF-Eintrag: Erweiterte Syntax

Gemäß dem SPF-Datensatzformat für Syntaxen beginnt er immer mit dem Element "v=". Es gibt die SPF-Version an; derzeit gibt es nur eine Version, so dass alle SPF-Datensatzformate wie folgt beginnen.

Die Syntax des SPF-Datensatzes besteht aus drei Hauptelementen: SPF-Mechanismus, SPF-Qualifizierer und SPF-Modifizierer. Schauen wir uns an, was sie sind.

Mechanismen

Hier sind die acht Mechanismen

  1. ALL: Dies bedeutet, dass es immer eine Übereinstimmung gibt. Für nicht übereinstimmende IPs werden Standardergebnisse wie "-all" angezeigt.
  2. A: Domänenname mit A- oder AAAA-Adressdatensatz passt, da er in die Adresse des Absenders aufgelöst werden kann.
  3. IP4: Die Übereinstimmung ist gültig, wenn der Absender mit dem angegebenen IPv4-Adressbereich verbunden ist.
  4. IP6: Die Übereinstimmung ist gültig, wenn der Absender mit dem angegebenen IPv6-Adressbereich verbunden ist.
  5. MX: Die E-Mail-Adresse des Absenders wird nur validiert, wenn der Domänenname einen MX-Eintrag zur Auflösung enthält.
  6. PTR: Die Übereinstimmung wird genehmigt, wenn der PTR-Eintrag zu einer bestimmten Domäne gehört, die zur Adresse des Kunden aufgelöst wird. Experten raten von der Verwendung ab, da dadurch alle E-Mails, die über Ihre Domäne gesendet werden, blockiert werden könnten.
  7. EXISTS: Es funktioniert, wenn der angegebene Domänenname validiert ist. Dieser SPF-Mechanismus funktioniert mit allen aufgelösten Adressen. 
  8. INCLUDE: Sie verweist auf andere Domänenrichtlinien. Wenn sie also erfolgreich ist, wird sie automatisch akzeptiert. Wenn die eingeschlossene Richtlinie jedoch fehlschlägt, wird die Verarbeitung fortgesetzt. 

Modifikatoren

Modifikatoren bestimmen den Funktionsrahmen eines SPF-Datensatzes. Sie bestehen aus Namens- oder Wertepaaren, die durch das Symbol "=" getrennt sind und auf zusätzliche Informationen hinweisen. Sie sind am Ende des SPF-Datensatzes mehrfach zu sehen, und alle nicht erkannten Modifikatoren werden dabei ignoriert.

Der Modifikator "redirect" verweist auf andere SPF-Datensätze, die für ein effizientes Funktionieren verantwortlich sind. Experten verwenden ihn immer dann, wenn mehr als eine Domäne mit demselben SPF-Eintrag verbunden ist. Dieser Modifikator muss verwendet werden, wenn ein einziges Unternehmen alle Domänen kontrolliert; andernfalls wird der Modifikator "include" verwendet.

Qualifikanten

Jeder Mechanismus kann mit einem von vier Merkmalen kombiniert werden.

'+' für das Ergebnis PASS

'?' für ein NEUTRALES Ergebnis, das wie die Politik NONE interpretiert wird.

'~' für SOFTFAIL. Normalerweise werden Nachrichten, die ein SOFTFAIL zurückgeben, akzeptiert, aber markiert. 

'-' für FAIL, wird die E-Mail abgelehnt.

Schlussfolgerung

SPF verhindert, dass Cyberangriffe den Namen und den Ruf Ihrer Marke missbrauchen. Sie können verhindern, dass E-Mails, die von Hackern über Ihre Domäne verschickt werden, ihr Zielpublikum erreichen. Dies funktioniert, indem Sie nur vertrauenswürdige Unternehmen in die Liste aufnehmen und ihnen erlauben, E-Mails über Ihre Domäne zu versenden. 

Nachdem Sie die Struktur und die Komponenten des SPF-Datensatzformats verstanden haben, können Sie die SPF-Datensatz-Generator wenn Sie das Protokoll noch nicht implementiert haben.

DerSPF-Datensatz (Sender Policy Framework) ist ein wichtiger Bestandteil der Domain-based Message Authentication, Reporting and Conformance (DMARC) Protokolls, das eine Methode zur Verhinderung der Fälschung von Absenderadressen festlegt.

SPF-Datensätze sind kompliziert einzurichten, und es kann zu Implementierungsproblemen kommen, wenn sie nicht richtig konfiguriert sind. Außerdem werden in der SPF-Datensatzsyntax einige spezifische Begriffe verwendet, die auf den ersten Blick verwirrend sein können. In diesem Blog-Beitrag gehen wir daher auf die SPF-Datensatzsyntax ein und erläutern, was Sie bei der Konfiguration beachten müssen.

Was ist ein SPF-Eintrag?

Ein SPF-Eintrag ist eine Art DNS-Eintrag, der angibt, welche Server E-Mails im Namen Ihrer Domäne versenden dürfen. Zu diesem Zweck werden die Server aufgelistet, die berechtigt sind, E-Mails für Ihre Domäne zu versenden. Wenn ein anderer Server versucht, eine E-Mail im Namen Ihrer Domäne zu versenden, wird er als nicht autorisierter Absender zurückgewiesen.

Der Zweck eines SPF-Eintrags besteht darin, böswillige Benutzer daran zu hindern, gefälschte E-Mail-Nachrichten mit Ihrer Domäne im Absenderfeld zu versenden. Dies kann passieren, wenn ein Angreifer massenhaft Spam-E-Mails von Ihrem Server aus versendet, indem er Ihre Domain fälscht oder verfälscht

Wie funktioniert der SPF?

1. Erstellen eines SPF-Eintrags Syntax

Sie erstellen in Ihrem DNS-Server eine SPF-Eintragssyntax, die angibt, welche IP-Adressen E-Mails von Ihrer Domäne senden dürfen. Das bedeutet, dass, wenn jemand versucht, gefälschte E-Mails von Ihrer Domäne zu senden, seine Nachrichten fehlschlagen würden, weil die IP-Adresse seines Mailservers nicht als einer der zugelassenen Server aufgeführt wäre.

Wenn Sie z. B. möchten, dass nur Gmail-Konten in der Lage sind, E-Mails von Ihrem Domänennamen zu senden, nicht aber Outlook-Konten, dann würden Sie die folgende Zeile zu Ihrem SPF-Eintrag hinzufügen:

 v=spf1 a mx include:_spf.google.com ~all

 Damit wird den Servern mitgeteilt, dass alle Nachrichten, die von einem Host gesendet werden, dessen IP-Adresse mit _spf.google.com endet, als gültig (m) betrachtet werden sollen, während alle anderen Nachrichten verworfen werden sollen (a). 

Sie können unseren SPF-Datensatz-Generator Tool verwenden, um jetzt einen kostenlosen Eintrag zu erstellen!

2. DNS-Suche

Wenn ein E-Mail-Absender versucht, eine Nachricht zu versenden, führt der Empfängerserver eine DNS-Abfrage der sendenden Domäne durch, um festzustellen, ob ein SPF-Eintrag vorhanden ist - dies wird als "Authentifizierung" bezeichnet. SPF-Fehlermeldung.

Wenn kein SPF-Eintrag vorhanden ist, schlägt die Authentifizierung fehl und die Nachricht wird nicht zugestellt. Wenn ein SPF-Eintrag vorhanden ist, prüft der SPF-Server die IP-Adressen im TXT-Eintrag auf den im SPF-Eintrag angegebenen Hostnamen.

 Wenn keine IP-Adressen angegeben sind, schlägt die Authentifizierung fehl. Andernfalls wird eine A-Abfrage für jede angegebene IP-Adresse in der Reihenfolge ihres Erscheinens im TXT-Eintrag durchgeführt.

Die IP-Adresse, die einen Ergebniscode von NXDOMAIN oder NOERROR zurückgibt, wird vom SPF-Server als autorisiert betrachtet und ihr Hostname wird zur Liste der autorisierten sendenden Hosts für diese Domain hinzugefügt.

3. Ergebnis der Authentifizierung

Der Mailserver stellt die Nachricht entweder dem Empfänger zu oder markiert sie auf der Grundlage der im SPF-Eintrag angegebenen Regeln zur Ablehnung.

Das Ergebnis der Authentifizierung kann drei Formen annehmen: Bestanden, Neutral oder Fehlgeschlagen.

Pass bedeutet, dass der Mailserver die Nachricht als legitim akzeptiert und ihre Zustellung zulässt. Neutral bedeutet, dass es für diese Domäne im DNS entweder gar keinen oder einen ungültigen Eintrag gibt, so dass nicht festgestellt werden kann, ob es sich um eine legitime Nachricht von dieser Domäne handelt oder nicht. Fail bedeutet, dass etwas an dieser Nachricht nicht authentisch genug war, um zugestellt zu werden.

Ein Beispiel: Ein Mailserver mit der IP-Adresse "234.2.1.2" sendet eine E-Mail von "[email protected]". Der Eingangsserver konsultiert den Domain Name Service(DNS), um festzustellen, ob diese IP-Adresse berechtigt ist, E-Mails im Namen der Domäne "apple.com" zu versenden. Ist dies der Fall, wird die Nachricht zugestellt; andernfalls wird sie verworfen oder als Spam markiert, d. h. entsprechend dem im SPF-Eintrag angegebenen Mechanismus sortiert.

SPF-Datensatz-Syntax

Die Syntax des SPF-Datensatzes besteht aus mehreren Elementen - Direktiven, Qualifizierer und Mechanismen.

Direktiven sind der erste Teil der Syntax eines SPF-Datensatzes. Sie geben an, wie der Rest des Datensatzes zu interpretieren ist. Drei Direktiven können in einem SPF-Datensatz erscheinen: v=spf1, a und mx. Die v-Direktive zeigt an, dass es sich bei diesem Eintrag um einen SPFv1-Eintrag handelt; die a-Direktive zeigt an, dass es sich um einen SPFv2-Authentifizierungsfehlerbericht handelt; die mx-Direktive gibt eine Liste von Mail-Exchange-Servern für eine Domain an.

Qualifier geben an, wo in Ihrer DNS-Zone Sie Ihre SPF-Einträge platzieren möchten: exim4, enduser oder _spf. Diese Qualifier teilen den E-Mail-Empfängern mit, wo sie nach Ihren SPF-Einträgen suchen sollen, wenn sie diese mit ihren DNS-Einträgen abgleichen.

Mit den Mechanismen geben Sie an, wie Sie mit E-Mail-Adressen verfahren wollen, die Ihre SPF-Prüfung nicht bestehen. Sie können zwischen mehreren Mechanismen wählen: alle, keine, softfail, neutralisieren oder ablehnen.

  • alle Mechanismus werden alle E-Mails von Absendern akzeptiert, die Ihre SPF-Prüfung bestanden haben;
  • keine wird alles von Absendern zurückgewiesen, die Ihre SPF-Prüfung bestanden haben;
  • softfail akzeptiert E-Mails von Absendern, die eine SPF-Prüfung nicht bestanden haben, markiert sie aber als verdächtig;
  • neutral besagt, dass Sie Nachrichten, die von Ihrer Domain aus gesendet werden, weder ablehnen noch annehmen - es ist im Wesentlichen eine "keine Meinung" dazu, ob die Nachricht angenommen oder abgelehnt werden sollte;
  • ablehnen weist E-Mails zurück, die die SPF-Prüfung nicht bestanden haben.

SPF-Datensatz-Syntax-Bezeichner

Die "Qualifizierer" in der Syntax eines SPF-Datensatzes dienen zur Angabe des Geltungsbereichs des SPF-Datensatzes. Sie werden in erster Linie verwendet, um anzugeben, ob eine bestimmte IP-Adresse berechtigt ist, E-Mails im Namen Ihrer Domäne zu versenden oder nicht.

Qualifier Ergebnis Code Erläuterung
+ Pass ist der einzige Qualifier ohne negative Konnotation. Er zeigt an, dass der Sicherheitseintrag des Domänennamens keine Fehler oder Warnungen enthält und als sicher gilt.
- Fail zeigt an, dass der Sicherheitsdatensatz des Domänennamens Fehler oder Warnungen enthält, die verhindern, dass er als sicher angesehen wird.

 

~ Softfail zeigt an, dass der Sicherheitsdatensatz des Domänennamens Fehler oder Warnungen enthält, die nicht verhindern, dass er als sicher gilt, aber auf Probleme mit der DNS-Auflösung oder andere Probleme im Zusammenhang mit DNS-Vertrauensankern hinweisen können.
? Neutral Zeigt an, dass die Domäne keinen SPF-Eintrag hat oder dass ihr Eintrag syntaktisch korrekt war, aber bei der Überprüfung mit einem (oder mehreren) sendenden Servern in Ihrer Liste vertrauenswürdiger IP-Adressen für diese Domäne nicht übereinstimmte.

SPF-Datensatz-Syntax-Mechanismen 

Mechanismen werden in der Syntax des SPF-Datensatzes verwendet, um dem empfangenden Server mitzuteilen, welche Art von Authentifizierungsmechanismus verwendet werden soll. Es gibt zwei Arten von Mechanismen: 

  • der Absender kann eine bestimmte Anzahl von Mechanismen angeben;
  • Oder er kann festlegen, dass alle Mechanismen erlaubt sind.
Mechanismus Zweck Die Richtlinie findet Anwendung, wenn Umsetzung
a definiert den DNS-A-Eintrag der Domäne als autorisiert. Wenn diese Direktive nicht angegeben ist, wird die aktuelle Domäne verwendet.

 

 

kann angewendet werden, wenn nach einem A- oder AAAA-Eintrag in einer Domäne gefragt wird, die die IP-Adresse des Absenders enthält. a

a/<prefix-length>

a:<domain>

a:<domain>/<prefix-length>

alle Die all-Direktive wird immer abgeglichen und definiert die Richtlinie für alle anderen Quellen. Dieser Mechanismus sollte immer angewendet werden, und dieser Mechanismus passt immer. alle
existiert Prüft, ob ein A-Eintrag für eine bestimmte Domäne gültig ist oder nicht. Dazu werden alle A-Einträge für diese Domäne überprüft, um festzustellen, ob einer von ihnen den in Ihrem SPF-Eintrag festgelegten Kriterien entspricht. Gilt, wenn es einen A-Eintrag auf dieser Domäne gibt oder wenn andere Kriterien gemäß RFC7208 genehmigt wurden. exists:<domain>
einschließen. Der Zweck dieses Mechanismus besteht darin, die Domäne anzugeben und nach einer Übereinstimmung zu suchen sowie einen permanenten Fehler zurückzugeben, wenn die Domäne keinen gültigen SPF-Eintrag hat. Der "Include"-Mechanismus in SPF-Datensätzen kann verwendet werden, um andere SPF-Datensätze in den Datensatz einer Domäne aufzunehmen. Wenn eine Domäne keinen SPF-Datensatz hat, eine andere Domäne aber schon und diese andere Domäne eine IP-Adresse hat, die mit der IP-Adresse des Absenders übereinstimmt, dann bewirkt der "include"-Mechanismus, dass die Domäne mit der übereinstimmenden IP-Adresse für die Autorisierung verwendet wird.

 

include:<domain>
ip4 Sie können einen IPv4-Bereich mit der Direktive "ip4" angeben, zusammen mit einem Präfix, das die Länge des Bereichs angibt. Wenn kein Präfix angegeben wird, wird /32 angenommen. Der "ip4"-Mechanismus wird angewendet, wenn eine dieser Bedingungen erfüllt ist:

 

- Die angegebene IPv4-Adresse stimmt mit einer IP-Adresse in Ihrem SPF-Eintrag überein.

 

- Das angegebene IPv4-Subnetz enthält die IP-Adresse des Absenders.

ip4:<ip4-address>

ip4:<ip4-network>/<prefix-length>

ip6 Sie können einen IPv6-Bereich mit der Direktive "ip4" angeben, zusammen mit einem Präfix, das die Länge des Bereichs angibt. Wenn kein Präfix angegeben wird, wird /128 angenommen. Der "ip6"-Mechanismus wird angewendet, wenn eine dieser Bedingungen erfüllt ist:

 

- Die angegebene IPv6-Adresse stimmt mit einer IP-Adresse in Ihrem SPF-Eintrag überein.

 

- Das angegebene IPv6-Subnetz enthält die IP-Adresse des Absenders.

ip6:<ip6-address>

ip6:<ip6-network>/<prefix-length>

mx Der "mx"-Mechanismus, wie er im SPF-Datensatz definiert ist, definiert den Domain Name System (DNS) Mail Exchanger (MX)-Datensatz einer Domain als autorisiert. Der DNS MX-Eintrag bestimmt, welcher Server für die Annahme von E-Mail-Nachrichten im Namen der Domäne zuständig ist. Der DNS MX-Eintrag enthält eine IP-Adresse und einen Prioritätswert für jeden Server, der für die Annahme von Nachrichten verwendet werden kann.

 

Wenn ein MX-Eintrag einer Domäne eine IP-Adresse enthält, die mit der IP-Adresse des Absenders übereinstimmt, bedeutet dies, dass dieser Absender berechtigt ist, E-Mails im Namen dieser Domäne zu versenden.

mx

mx/<prefix-length>

mx:<domain>

mx:<domain>/<prefix-length>

ptr Der ptr-Mechanismus verwendet den umgekehrten Hostnamen oder die Subdomain der sendenden IP-Adresse, um den Zieldomainnamen zu definieren. Gilt nur, wenn es mindestens einen MX-Eintrag für die abgefragte oder angegebene Domain gibt und dieser MX-Eintrag einen PTR-Eintrag mit einem FQDN für die IP-Adresse des Absenders enthält. ptr

ptr:<domain>

SPF-Datensatz-Syntaxmodifikatoren

In der SPF-Datensatzsyntax können Modifikatoren verwendet werden, um das Standardverhalten eines SPF-Datensatzes zu ändern. Modifikatoren können verwendet werden, um Ausnahmen von den Regeln festzulegen, oder sie können verwendet werden, um dem Empfänger zusätzliche Informationen zu liefern.

Modifikator Zweck Umsetzung
exp Der Modifikator "exp" ist ein Wert, der eine Erklärung dafür angibt, warum eine Nachricht abgelehnt wurde. Er soll Absendern helfen, bestimmte Probleme zu vermeiden, und kann verwendet werden, um sie über den spezifischen Grund zu informieren, warum ihre Nachricht vom empfangenden Server nicht akzeptiert wurde. exp=<domain>
umleiten Der Umleitungsmodifikator ist eine Zeichenfolge, die den gesamten Domänennamen im SPF-Eintrag ersetzt. Der Zweck dieses Modifikators besteht darin, alle an die Domäne gesendeten E-Mails an einen anderen Server umzuleiten. Dies kann für Domänen mit mehreren MX-Einträgen oder für Domänen nützlich sein, die einem anderen Unternehmen neu zugewiesen wurden, aber immer noch die gleichen E-Mail-Adressen verwenden. redirect=<domain>

Einpacken

Der SPF-Eintrag ist ein wichtiger Bestandteil der DNS-Einträge Ihrer Domäne. Er teilt anderen E-Mail-Servern mit, wie sie Nachrichten authentifizieren können, die behaupten, von Ihnen zu stammen. Das bedeutet, dass es wichtig ist, dass Sie einen ordnungsgemäß konfigurierten SPF-Eintrag haben. Stellen Sie jedoch sicher, dass Sie SPF mit DMARC koppeln, um einen besseren Schutz gegen E-Mail-Kompromittierung und Spoofing zu gewährleisten. 

Das SPF-Datensatz-Nachschlagetool kann Ihnen genau dabei helfen. Das Lookup-Tool gibt Ihnen einen schnellen Überblick darüber, wie Ihr aktueller SPF-Datensatz aussieht, einschließlich der Frage, ob irgendwelche erforderlichen Felder fehlen, und mit dem Generator können Sie eine SPF-Datensatzsyntax von Grund auf neu erstellen, komplett mit allen erforderlichen Feldern, so dass sie sofort zu Ihren DNS-Datensätzen hinzugefügt werden kann.