Beiträge

E-Mail-Authentifizierungsstandards: SPF, DKIM und DMARC sind vielversprechend, um E-Mail-Spoofing-Versuche einzudämmen und die Zustellbarkeit von E-Mails zu verbessern. Während Spoofing-E-Mails (gefälschte E-Mails) von legitimen E-Mails unterschieden werden, gehen E-Mail-Authentifizierungsstandards bei der Unterscheidung, ob eine E-Mail legitim ist, noch weiter, indem sie die Identität des Absenders verifizieren.

Je mehr Unternehmen diese Standards übernehmen, desto mehr Vertrauen und Autorität wird sich in der E-Mail-Kommunikation durchsetzen. Jedes Unternehmen, das auf E-Mail-Marketing, Projektanfragen, Finanztransaktionen und den allgemeinen Informationsaustausch innerhalb oder zwischen Unternehmen angewiesen ist, muss die Grundlagen dessen verstehen, was diese Lösungen leisten sollen und welchen Nutzen sie daraus ziehen können.

Was ist E-Mail-Spoofing?

E-Mail-Spoofing ist ein häufiges Cybersecurity-Problem, mit dem Unternehmen heute konfrontiert sind. In diesem Artikel werden wir verstehen, wie Spoofing funktioniert und die verschiedenen Methoden zu seiner Bekämpfung. Wir lernen die drei Authentifizierungsstandards kennen, die von E-Mail-Anbietern verwendet werden - SPF, DKIM und DMARC, um dies zu verhindern.

E-Mail-Spoofing kann als fortgeschrittener Social-Engineering-Angriff eingestuft werden, der eine Kombination aus ausgeklügelten Techniken verwendet, um die Messaging-Umgebung zu manipulieren und legitime Funktionen von E-Mails auszunutzen. Diese E-Mails erscheinen oft völlig legitim, sind aber mit der Absicht entworfen, Zugang zu Ihren Informationen und/oder Ressourcen zu erhalten. E-Mail-Spoofing wird für eine Vielzahl von Zwecken eingesetzt, von Betrugsversuchen über Sicherheitsverletzungen bis hin zu Versuchen, Zugang zu vertraulichen Geschäftsinformationen zu erlangen. Als eine sehr beliebte Form der E-Mail-Fälschung zielen Spoofing-Angriffe darauf ab, den Empfängern vorzugaukeln, dass eine E-Mail von einem Unternehmen gesendet wurde, das sie nutzen und dem sie vertrauen können, und nicht vom tatsächlichen Absender. Da E-Mails zunehmend in großen Mengen versendet und empfangen werden, hat diese bösartige Form des E-Mail-Betrugs in den letzten Jahren dramatisch zugenommen.

Wie kann die E-Mail-Authentifizierung Spoofing verhindern?

Die E-Mail-Authentifizierung hilft Ihnen dabei, E-Mail-Sendequellen mit Protokollen wie SPF, DKIM und DMARC zu verifizieren, um Angreifer daran zu hindern, Domänennamen zu fälschen und Spoofing-Angriffe zu starten, um ahnungslose Benutzer zu täuschen. Sie liefert überprüfbare Informationen über E-Mail-Absender, die zum Nachweis ihrer Legitimität verwendet werden können, und legt für empfangende MTAs fest, was mit E-Mails zu tun ist, die die Authentifizierung nicht bestehen.

Um also die verschiedenen Vorteile der E-Mail-Authentifizierung aufzuzählen, können wir bestätigen, dass SPF, DKIM und DMARC dabei helfen:

  • Schützen Sie Ihre Domain vor Phishing-Angriffen, Domain-Spoofing und BEC
  • Bereitstellung granularer Informationen und Einblicke in E-Mail-Versandquellen
  • Verbesserung der Domain-Reputation und der E-Mail-Zustellbarkeitsraten
  • Verhindern, dass Ihre legitimen E-Mails als Spam markiert werden

Wie arbeiten SPF, DKIM und DMARC zusammen, um Spoofing zu stoppen?

Rahmen der Senderichtlinie

SPF ist eine E-Mail-Authentifizierungstechnik, die dazu dient, Spammer daran zu hindern, Nachrichten im Namen Ihrer Domain zu versenden. Mit ihr können Sie autorisierte Mailserver veröffentlichen und so festlegen, welche E-Mail-Server im Namen Ihrer Domain E-Mails versenden dürfen. Ein SPF-Eintrag wird im DNS gespeichert und listet alle IP-Adressen auf, die berechtigt sind, E-Mails für Ihre Organisation zu versenden.

Wenn Sie SPF so nutzen möchten, dass es ordnungsgemäß funktioniert, müssen Sie sicherstellen, dass SPF für Ihre E-Mails nicht unterbrochen wird. Dies könnte passieren, wenn Sie das Limit von 10 DNS-Lookups überschreiten, was zu SPF-Permerror führt. SPF-Flattening kann Ihnen helfen, unter dem Limit zu bleiben und Ihre E-Mails nahtlos zu authentifizieren.

DomainKeys Identifizierte Mail

Das Imitieren eines vertrauenswürdigen Absenders kann dazu verwendet werden, Ihren Empfänger auszutricksen, damit er unvorsichtig wird. DKIM ist eine E-Mail-Sicherheitslösung, die jeder Nachricht, die aus dem Posteingang Ihres Kunden kommt, eine digitale Signatur hinzufügt, mit der der Empfänger überprüfen kann, ob sie tatsächlich von Ihrer Domain autorisiert wurde und in die Liste der vertrauenswürdigen Absender Ihrer Website aufgenommen wurde.

DKIM versieht jede ausgehende E-Mail-Nachricht mit einem eindeutigen Hash-Wert, der mit einem Domain-Namen verknüpft ist, so dass der Empfänger überprüfen kann, ob eine E-Mail, die behauptet, von einer bestimmten Domain zu stammen, tatsächlich vom Eigentümer dieser Domain autorisiert wurde oder nicht. Dies hilft letztlich dabei, Spoofing-Versuche zu erkennen.

Domänenbasierte Nachrichtenauthentifizierung, Reporting und Konformität

Die einfache Implementierung von SPF und DKIM kann helfen, die Absender zu verifizieren, ist aber nicht effektiv genug, um Spoofing allein zu stoppen. Um Cyberkriminelle daran zu hindern, Ihren Empfängern gefälschte E-Mails zuzustellen, müssen Sie heute DMARC implementieren. DMARC hilft Ihnen, E-Mail-Header abzugleichen, um E-Mail-Absenderadressen zu verifizieren und Spoofing-Versuche und die betrügerische Verwendung von Domainnamen zu entlarven. Darüber hinaus gibt es Domain-Besitzern die Möglichkeit, den E-Mail-Empfangsservern mitzuteilen, wie sie auf E-Mails reagieren sollen, die die SPF- und DKIM-Authentifizierung nicht bestehen. Domain-Besitzer können wählen, ob sie gefälschte E-Mails zustellen, unter Quarantäne stellen oder zurückweisen wollen, je nach dem Grad der DMARC-Durchsetzung, den sie benötigen.

Hinweis: Nur mit einer DMARC-Richtlinie von " reject" können Sie Spoofing unterbinden.

Darüber hinaus bietet DMARC auch einen Berichtsmechanismus, um Domain-Besitzern einen Überblick über ihre E-Mail-Kanäle und Authentifizierungsergebnisse zu geben. Durch die Konfiguration Ihres DMARC-Report-Analyzers können Sie Ihre E-Mail-Domains regelmäßig mit detaillierten Informationen zu E-Mail-Sendequellen, E-Mail-Authentifizierungsergebnissen, Geolokationen von betrügerischen IP-Adressen und der Gesamtleistung Ihrer E-Mails überwachen. Es hilft Ihnen, Ihre DMARC-Daten in einem organisierten und lesbaren Format zu analysieren und schneller Maßnahmen gegen Angreifer zu ergreifen.

Letztendlich können SPF, DKIM und DMARC zusammenarbeiten, um die E-Mail-Sicherheit Ihres Unternehmens in neue Höhen zu katapultieren und Angreifer davon abzuhalten, Ihren Domainnamen zu fälschen, um den Ruf und die Glaubwürdigkeit Ihres Unternehmens zu schützen.

Wenn Sie sich auf dieser Seite befinden und diesen Blog lesen, ist es wahrscheinlich, dass Sie auf eines der folgenden Prompts gestoßen sind:

  • Kein SPF-Eintrag gefunden
  • SPF-Eintrag fehlt
  • Kein SPF-Eintrag
  • SPF-Datensatz nicht gefunden
  • Kein SPF-Eintrag veröffentlicht
  • SPF-Datensatz kann nicht gefunden werden

Die Aufforderung bedeutet einfach, dass Ihre Domain nicht mit dem SPF-E-Mail-Authentifizierungsstandard konfiguriert ist. Ein SPF-Eintrag ist ein DNS-TXT-Eintrag, der im DNS Ihrer Domain veröffentlicht wird, um Nachrichten zu authentifizieren, indem sie mit den autorisierten IP-Adressen abgeglichen werden, die E-Mails im Namen Ihrer Domain senden dürfen und in Ihrem SPF-Eintrag enthalten sind. Wenn Ihre Domain also nicht mit dem SPF-Protokoll authentifiziert ist, kann es natürlich sein, dass Sie die Meldung "No SPF record found" erhalten.

Was ist Sender Policy Framework (SPF)?

DerSPF-Standard zur E-Mail-Authentifizierung ist ein Mechanismus, mit dem verhindert werden soll, dass Spammer E-Mails fälschen. Er verwendet DNS-Einträge, um zu verifizieren, dass der sendende Server E-Mails von dem Domain-Namen senden darf. SPF, was für Sender Policy Framework steht, ermöglicht es Ihnen, erlaubte Absender von E-Mails auf Ihrer Domain zu identifizieren.

SPF ist ein "pfadbasiertes" Authentifizierungssystem, was bedeutet, dass es sich auf den Pfad bezieht, den die E-Mail vom ursprünglich sendenden Server zum empfangenden Server nimmt. SPF ermöglicht es Organisationen nicht nur, IP-Adressen zu autorisieren, ihre Domänennamen beim Versand von E-Mails zu verwenden, sondern bietet auch eine Möglichkeit, dass ein empfangender E-Mail-Server diese Autorisierung überprüfen kann.

Muss ich SPF konfigurieren?

Wahrscheinlich hat man Ihnen schon gesagt, dass Sie eine SPF (Sender Policy Framework) E-Mail-Authentifizierung benötigen. Aber braucht ein Unternehmen das wirklich? Und wenn ja, gibt es weitere Vorteile? Diese Frage wird in der Regel verstanden, wenn das Unternehmen ein großer E-Mail-Austauscher für seine Organisation wird. Mit SPF können Sie das E-Mail-Verhalten verfolgen, um betrügerische Nachrichten zu erkennen und Ihr Unternehmen vor Spam-Problemen, Spoofing und Phishing-Angriffen zu schützen. SPF hilft Ihnen, maximale Zustellbarkeit und Markenschutz zu erreichen, indem es die Identität der Absender verifiziert.

Wie funktioniert der SPF?

  • SPF-Einträge sind speziell formatierte DNS-Einträge (Domain Name System), die von Domänenadministratoren veröffentlicht werden und festlegen, welche Mailserver berechtigt sind, E-Mails im Namen dieser Domäne zu senden.
  • Wenn SPF für Ihre Domain konfiguriert ist, schaut der Mailserver des Empfängers jedes Mal, wenn eine E-Mail von Ihrer Domain gesendet wird, in den Spezifikationen für die Rückweg-Domain im
  • DNS. Anschließend wird versucht, die IP-Adresse des Absenders mit den in Ihrem SPF-Eintrag definierten autorisierten Adressen abzugleichen.
  • Gemäß den SPF-Richtlinienspezifikationen entscheidet der empfangende Server dann, ob er die E-Mail zustellt, zurückweist oder kennzeichnet, falls die Authentifizierung fehlschlägt.

Aufschlüsseln der Syntax eines SPF-Eintrags

Nehmen wir das Beispiel eines SPF-Eintrags für eine Dummy-Domain mit der korrekten Syntax:

v=spf1 ip4:29.337.148 include:domain.com -all

 

Anhalten der Meldung "Kein SPF-Eintrag gefunden"

Wenn Sie die lästige Meldung "No SPF record found" nicht mehr erhalten möchten, müssen Sie lediglich SPF für Ihre Domain konfigurieren, indem Sie einen DNS-TXT-Eintrag veröffentlichen. Sie können unseren kostenlosen SPF-Record-Generator verwenden, um einen sofortigen Record mit der korrekten Syntax zu erstellen, der in Ihrem DNS veröffentlicht wird.

Alles, was Sie tun müssen, ist:

  • Wählen Sie, ob Sie als MX gelisteten Servern erlauben wollen, E-Mails für Ihre Domain zu senden
  • Wählen Sie, ob Sie der aktuellen IP-Adresse der Domain erlauben wollen, E-Mails für diese Domain zu senden
  • Geben Sie die IP-Adressen ein, die berechtigt sind, E-Mails von Ihrer Domain zu senden
  • Fügen Sie alle anderen Server-Hostnamen oder Domains hinzu, die möglicherweise Mails für Ihre Domain zustellen oder weiterleiten
  • Wählen Sie den SPF-Richtlinienmodus oder den Grad der Strenge des empfangenden Servers aus Fail (nicht konforme E-Mails werden zurückgewiesen), Soft-fail (nicht konforme E-Mails werden akzeptiert, aber markiert) und Neutral (E-Mails werden wahrscheinlich akzeptiert)
  • Klicken Sie auf SPF-Eintrag generieren um Ihren Datensatz sofort zu erstellen

Falls Sie SPF bereits für Ihre Domain konfiguriert haben, können Sie auch unseren kostenlosen SPF-Record-Checker verwenden, um Ihren SPF-Record nachzuschlagen und zu validieren und Probleme zu erkennen.

Reicht es aus, einen SPF-Eintrag zu veröffentlichen?

Die Antwort ist nein. SPF allein kann nicht verhindern, dass Ihre Marke imitiert wird. Für einen optimalen Schutz vor Direct-Domain-Spoofing, Phishing-Angriffen und BEC müssen Sie DKIM und DMARC für Ihre Domain konfigurieren.

Außerdem hat SPF ein Limit von 10 DNS-Lookups. Wenn Sie dieses Limit überschreiten, bricht Ihr SPF zusammen und die Authentifizierung schlägt sogar bei legitimen E-Mails fehl. Aus diesem Grund benötigen Sie einen dynamischen SPF-Flattener, der Ihnen hilft, unter dem Limit von 10 DNS-Lookups zu bleiben, und der Sie über die Änderungen Ihrer E-Mail-Exchange-Anbieter auf dem Laufenden hält.

Hoffentlich hat Ihnen dieser Blog geholfen, Ihr Problem zu lösen, und Sie müssen sich nie wieder Sorgen über die Meldung "Kein SPF-Eintrag gefunden" machen, die Sie stört. Melden Sie sich noch heute für eine kostenlose Testversion der E-Mail-Authentifizierung an, um Ihre E-Mail-Zustellbarkeit und E-Mail-Sicherheit zu verbessern!

 

Gründe für die Vermeidung von SPF-Flattening

Sender Policy Framework (SPF) ist ein weithin anerkanntes E-Mail-Authentifizierungsprotokoll, das Ihre Nachrichten validiert, indem es sie anhand aller autorisierten IP-Adressen authentifiziert, die für Ihre Domain in Ihrem SPF-Eintrag registriert sind. Um E-Mails zu validieren, gibt SPF dem empfangenden Mailserver vor, DNS-Abfragen durchzuführen, um nach autorisierten IPs zu suchen, was zu DNS-Lookups führt.

Ihr SPF-Eintrag existiert als DNS-TXT-Eintrag, der aus einer Ansammlung verschiedener Mechanismen gebildet wird. Die meisten dieser Mechanismen (z. B. include, a, mx, redirect, exists, ptr) erzeugen DNS-Lookups. Die maximale Anzahl der DNS-Lookups für die SPF-Authentifizierung ist jedoch auf 10 begrenzt. Wenn Sie verschiedene Drittanbieter verwenden, um E-Mails über Ihre Domain zu versenden, können Sie das SPF-Hardlimit leicht überschreiten.

Sie fragen sich vielleicht, was passiert, wenn Sie dieses Limit überschreiten? Das Überschreiten des Limits von 10 DNS-Lookups führt zu einem SPF-Fehler und macht sogar legitime Nachrichten ungültig, die von Ihrer Domain gesendet werden. In solchen Fällen sendet der empfangende Mailserver einen SPF-PermError-Bericht an Ihre Domain zurück, wenn Sie die DMARC-Überwachung aktiviert haben.Damit kommen wir zum Hauptthema dieses Blogs: SPF-Flattening.

Was ist die SPF-Abflachung?

SPF-Record-Flattening ist eine der beliebten Methoden, die von Branchenexperten verwendet werden, um Ihren SPF-Record zu optimieren und die Überschreitung des SPF-Hard-Limits zu vermeiden. Die Vorgehensweise beim SPF-Flattening ist recht einfach. Beim Flattening Ihres SPF-Eintrags werden alle Include-Mechanismen durch ihre jeweiligen IP-Adressen ersetzt, um die Notwendigkeit der Durchführung von DNS-Lookups zu eliminieren.

Wenn Ihr SPF-Eintrag zum Beispiel ursprünglich so aussah:

v=spf1 include:spf.domain.com -all

Ein abgeflachter SPF-Eintrag sieht etwa so aus:

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Dieser abgeflachte Datensatz erzeugt nur einen DNS-Lookup, anstatt mehrere Lookups durchzuführen. Die Verringerung der Anzahl der DNS-Abfragen, die vom empfangenden Server während der E-Mail-Authentifizierung durchgeführt werden, hilft zwar, unter dem Limit von 10 DNS-Lookups zu bleiben, hat aber auch seine eigenen Probleme.

Das Problem mit der SPF-Abflachung

Abgesehen davon, dass Ihr manuell abgeflachter SPF-Eintrag zu lang werden kann, um im DNS Ihrer Domain veröffentlicht zu werden (Überschreitung der 255-Zeichen-Grenze), müssen Sie berücksichtigen, dass Ihr E-Mail-Dienstanbieter seine IP-Adressen ändern oder ergänzen kann, ohne Sie als Benutzer zu benachrichtigen. Wenn Ihr Provider hin und wieder Änderungen an seiner Infrastruktur vornimmt, werden diese Änderungen nicht in Ihrem SPF-Eintrag berücksichtigt. Wenn also diese geänderten oder neuen IP-Adressen von Ihrem Mailserver verwendet werden, schlägt die E-Mail auf der Empfängerseite mit SPF fehl.

PowerSPF: Ihr dynamischer SPF-Datensatz-Generator

Das ultimative Ziel von PowerDMARC war es, eine Lösung zu entwickeln, die Domain-Besitzer davor bewahrt, an das Limit von 10 DNS-Lookups zu stoßen, sowie Ihren SPF-Datensatz so zu optimieren, dass er immer auf den neuesten IP-Adressen bleibt, die Ihre E-Mail-Dienstanbieter verwenden. PowerSPF ist Ihre automatisierte SPF-Flattening-Lösung, die Ihren SPF-Eintrag durchzieht, um eine einzige Include-Anweisung zu erzeugen. PowerSPF hilft Ihnen:

  • Einfaches Hinzufügen oder Entfernen von IPs und Mechanismen
  • Automatische Aktualisierung von Netzsperren, um sicherzustellen, dass Ihre autorisierten IPs immer auf dem neuesten Stand sind
  • Bleiben Sie mit Leichtigkeit unter dem Limit von 10 DNS-Lookups
  • Erhalten Sie einen optimierten SPF-Eintrag mit einem einzigen Klick
  • Permerror" dauerhaft besiegen
  • Fehlerfreies SPF implementieren

Melden Sie sich noch heute bei PowerDMARC an, um eine verbesserte E-Mail-Zustellbarkeit und Authentifizierung zu gewährleisten und gleichzeitig unter dem Limit von 10 DNS SPF-Lookups zu bleiben .

In diesem Artikel werden wir untersuchen, wie Sie den SPF-Eintrag für Ihre Domain einfach optimieren können. Sowohl Unternehmen als auch kleine Betriebe, die eine E-Mail-Domain zum Senden und Empfangen von Nachrichten unter ihren Kunden, Partnern und Mitarbeitern besitzen, haben mit hoher Wahrscheinlichkeit einen SPF-Eintrag, der von Ihrem Posteingangsdienstanbieter standardmäßig eingerichtet wurde. Unabhängig davon, ob Sie einen bereits existierenden SPF-Eintrag haben oder einen neuen erstellen müssen, müssen Sie Ihren SPF-Eintrag korrekt für Ihre Domain optimieren, um sicherzustellen, dass er keine Probleme bei der E-Mail-Zustellung verursacht.

Einige E-Mail-Empfänger verlangen unbedingt SPF, was bedeutet, dass Ihre E-Mails im Posteingang des Empfängers als Spam markiert werden können, wenn Sie keinen SPF-Eintrag für Ihre Domain veröffentlicht haben. Außerdem hilft SPF bei der Erkennung von nicht autorisierten Quellen, die E-Mails im Namen Ihrer Domain senden.

Lassen Sie uns zunächst verstehen, was SPF ist und warum Sie ihn brauchen?

Sender Policy Framework (SPF)

SPF ist im Wesentlichen ein Standard-E-Mail-Authentifizierungsprotokoll, das die IP-Adressen angibt, die berechtigt sind, E-Mails von Ihrer Domain zu senden. Es arbeitet, indem es Absenderadressen mit der Liste der autorisierten sendenden Hosts und IP-Adressen für eine bestimmte Domain vergleicht, die im DNS für diese Domain veröffentlicht ist.

SPF dient zusammen mit DMARC (Domain-based Message Authentication, Reporting and Conformance) dazu, gefälschte Absenderadressen bei der E-Mail-Zustellung zu erkennen und Spoofing-Angriffe, Phishing und E-Mail-Betrug zu verhindern.

Es ist wichtig zu wissen, dass, obwohl der von Ihrem Hosting-Provider in Ihre Domain integrierte Standard-SPF sicherstellt, dass E-Mails, die von Ihrer Domain aus gesendet werden, anhand von SPF authentifiziert werden, wenn Sie mehrere Drittanbieter haben, die E-Mails von Ihrer Domain aus senden, muss dieser bereits vorhandene SPF-Eintrag an Ihre Anforderungen angepasst und geändert werden. Wie können Sie das tun? Lassen Sie uns zwei der gängigsten Möglichkeiten untersuchen:

  • Erstellen eines brandneuen SPF-Eintrags
  • Optimieren eines vorhandenen SPF-Eintrags

Anleitung zum Optimieren des SPF-Eintrags

Einen brandneuen SPF-Eintrag erstellen

Das Erstellen eines SPF-Eintrags ist einfach das Veröffentlichen eines TXT-Eintrags im DNS Ihrer Domain, um SPF für Ihre Domain zu konfigurieren. Dies ist ein obligatorischer Schritt, bevor Sie damit beginnen, wie Sie den SPF-Eintrag optimieren können. Wenn Sie gerade erst mit der Authentifizierung beginnen und sich über die Syntax unsicher sind, können Sie unseren kostenlosen Online-SPF-Eintragsgenerator verwenden, um einen SPF-Eintrag für Ihre Domain zu erstellen.

Ein SPF-Record-Eintrag mit korrekter Syntax sieht etwa so aus:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Gibt die verwendete Version von SPF an
ip4/ip6Dieser Mechanismus legt die gültigen IP-Adressen fest, die berechtigt sind, E-Mails von Ihrer Domain zu senden.
einschließen.Dieser Mechanismus weist die empfangenden Server an, die Werte für den SPF-Eintrag der angegebenen Domäne aufzunehmen.
-alleDieser Mechanismus legt fest, dass E-Mails, die nicht SPF-konform sind, zurückgewiesen werden. Dies ist das empfohlene Tag, das Sie beim Veröffentlichen Ihres SPF-Eintrags verwenden können. Es kann jedoch durch ~ für SPF Soft Fail ersetzt werden (nicht konforme E-Mails werden als Soft Fail markiert, aber trotzdem akzeptiert) oder durch +, das angibt, dass jeder Server E-Mails im Namen Ihrer Domain senden darf, wovon dringend abgeraten wird.

Wenn Sie SPF bereits für Ihre Domain konfiguriert haben, können Sie auch unseren kostenlosen SPF-Datensatz-Checker verwenden, um Ihren SPF-Datensatz nachzuschlagen und zu validieren und Probleme zu erkennen.

Häufige Herausforderungen und Fehler beim Konfigurieren von SPF

1) 10 DNS-Lookup-Limit 

Die häufigste Herausforderung, mit der sich Domain-Besitzer bei der Konfiguration und Übernahme des SPF-Authentifizierungsprotokolls für ihre Domain konfrontiert sehen, besteht darin, dass SPF mit einem Limit für die Anzahl der DNS-Lookups versehen ist, das 10 nicht überschreiten darf. Für Domains, die sich auf mehrere Drittanbieter verlassen, wird das Limit von 10 DNS-Lookups leicht überschritten, was wiederum SPF bricht und einen SPF PermError zurückgibt. Der empfangende Server macht in solchen Fällen Ihren SPF-Eintrag automatisch ungültig und blockiert ihn.

Mechanismen, die DNS-Lookups initiieren: MX, A, INCLUDE, REDIRECT Modifier

2) SPF Void Lookup 

Void-Lookups beziehen sich auf DNS-Lookups, die entweder eine NOERROR-Antwort oder eine NXDOMAIN-Antwort (void answer) zurückgeben. Bei der Implementierung von SPF wird empfohlen, sicherzustellen, dass DNS-Lookups nicht von vornherein eine ungültige Antwort zurückgeben.

3) SPF Rekursive Schleife

Dieser Fehler zeigt an, dass der SPF-Eintrag für Ihre angegebene Domain rekursive Probleme mit einem oder mehreren der INCLUDE-Mechanismen enthält. Dies geschieht, wenn eine der im INCLUDE-Tag angegebenen Domains eine Domain enthält, deren SPF-Eintrag das INCLUDE-Tag der ursprünglichen Domain enthält. Dies führt zu einer Endlosschleife, die E-Mail-Server dazu veranlasst, ständig DNS-Lookups für die SPF-Records durchzuführen. Dies führt letztendlich dazu, dass das Limit von 10 DNS-Lookups überschritten wird, was dazu führt, dass E-Mails die SPF-Prüfung nicht bestehen.

4) Syntax-Fehler 

Ein SPF-Eintrag kann im DNS Ihrer Domain vorhanden sein, aber er ist nutzlos, wenn er Syntaxfehler enthält. Wenn Ihr SPF-TXT-Eintrag unnötige Leerzeichen bei der Eingabe des Domainnamens oder des Mechanismusnamens enthält, würde die Zeichenfolge vor dem zusätzlichen Leerzeichen vom empfangenden Server bei der Durchführung eines Lookups vollständig ignoriert werden, wodurch der SPF-Eintrag ungültig wird.

5) Mehrere SPF-Einträge für dieselbe Domain

Eine einzelne Domain kann nur einen SPF-TXT-Eintrag im DNS haben. Wenn Ihre Domain mehr als einen SPF-Eintrag enthält, macht der empfangende Server alle ungültig, was dazu führt, dass E-Mails SPF nicht bestehen.

6) Länge des SPF-Records 

Die maximale Länge eines SPF-Eintrags im DNS ist auf 255 Zeichen begrenzt. Dieses Limit kann jedoch überschritten werden, und ein TXT-Eintrag für SPF kann mehrere aneinandergereihte Zeichenketten enthalten, jedoch nicht über ein Limit von 512 Zeichen hinaus, um in die DNS-Abfrageantwort zu passen (gemäß RFC 4408). Obwohl dies später überarbeitet wurde, waren Empfänger, die sich auf ältere DNS-Versionen verlassen, nicht in der Lage, E-Mails zu validieren, die von Domänen gesendet wurden, die einen langen SPF-Eintrag enthalten.

Optimieren Ihres SPF-Eintrags

Um Ihren SPF-Eintrag zeitnah zu ändern, können Sie die folgenden SPF-Best Practices verwenden:

  • Versuchen Sie, Ihre E-Mail-Quellen in abnehmender Reihenfolge ihrer Wichtigkeit von links nach rechts in Ihren SPF-Eintrag einzutragen
  • Entfernen Sie veraltete E-Mail-Quellen aus Ihrem DNS
  • IP4/IP6-Mechanismen anstelle von A und MX verwenden
  • Halten Sie die Anzahl der INCLUDE-Mechanismen so gering wie möglich und vermeiden Sie verschachtelte Includes
  • Veröffentlichen Sie nicht mehr als einen SPF-Eintrag für dieselbe Domain in Ihrem DNS
  • Stellen Sie sicher, dass Ihr SPF-Eintrag keine überflüssigen Leerzeichen oder Syntaxfehler enthält

Hinweis: SPF-Flattening wird nicht empfohlen, da es sich nicht um eine einmalige Sache handelt. Wenn Ihr E-Mail-Dienstanbieter seine Infrastruktur ändert, müssen Sie Ihre SPF-Einträge jedes Mal entsprechend ändern.

Optimierung Ihres SPF-Eintrags leicht gemacht mit PowerSPF

Sie können fortfahren und versuchen, all diese oben genannten Änderungen zu implementieren, um Ihren SPF-Eintrag manuell zu optimieren, oder Sie können den Ärger vergessen und sich auf unser dynamisches PowerSPF verlassen, um all das automatisch für Sie zu tun! PowerSPF hilft Ihnen, Ihren SPF-Eintrag mit einem einzigen Klick zu optimieren, wobei Sie können:

  • Einfaches Hinzufügen oder Entfernen von Sendequellen
  • Einfaches Aktualisieren von Datensätzen, ohne dass Sie manuell Änderungen an Ihrem DNS vornehmen müssen
  • Erhalten Sie einen optimierten automatischen SPF-Eintrag mit nur einem Klick auf eine Schaltfläche
  • Bleiben Sie immer unter dem Limit von 10 DNS-Lookups
  • Erfolgreich PermError entschärfen
  • Vergessen Sie SPF-Record-Syntaxfehler und Konfigurationsprobleme
  • Wir nehmen Ihnen die Last ab, SPF-Einschränkungen in Ihrem Namen zu lösen

Melden Sie sich noch heute bei PowerDMARC an und sagen Sie den SPF-Beschränkungen für immer Adieu!  

Als Anbieter von DMARC-Diensten wird uns diese Frage oft gestellt: "Wenn DMARC nur SPF- und DKIM-Authentifizierung verwendet, warum sollten wir uns dann mit DMARC beschäftigen? Ist das nicht einfach unnötig?"

Oberflächlich betrachtet mag es den Anschein haben, dass es kaum einen Unterschied macht, aber die Realität ist ganz anders. DMARC ist nicht nur eine Kombination aus SPF- und DKIM-Technologien, sondern ein völlig neues, eigenständiges Protokoll. Es hat mehrere Funktionen, die es zu einem der fortschrittlichsten E-Mail-Authentifizierungsstandards der Welt und zu einer absoluten Notwendigkeit für Unternehmen machen.

Aber warten Sie einen Moment. Wir haben noch nicht genau beantwortet, warum Sie DMARC brauchen. Was bietet es, was SPF und DKIM nicht können? Nun, das ist eine ziemlich lange Antwort; zu lang für nur einen Blogbeitrag. Lassen Sie uns also aufteilen und zuerst über SPF sprechen. Für den Fall, dass Sie damit nicht vertraut sind, hier eine kurze Einführung.

Was ist SPF?

SPF, oder Sender Policy Framework, ist ein E-Mail-Authentifizierungsprotokoll, das den E-Mail-Empfänger vor gefälschten E-Mails schützt. Es handelt sich im Wesentlichen um eine Liste aller IP-Adressen, die berechtigt sind, E-Mails über Ihre Kanäle (die des Domaininhabers) zu versenden. Wenn der empfangende Server eine Nachricht von Ihrer Domain sieht, überprüft er den SPF-Eintrag, der in Ihrem DNS veröffentlicht ist. Wenn die IP des Absenders in dieser "Liste" enthalten ist, wird die E-Mail zugestellt. Wenn nicht, lehnt der Server die E-Mail ab.

Wie Sie sehen können, leistet SPF eine ziemlich gute Arbeit, um viele unappetitliche E-Mails fernzuhalten, die Ihrem Gerät schaden oder die Sicherheitssysteme Ihres Unternehmens gefährden könnten. Aber SPF ist nicht annähernd so gut, wie manche Leute vielleicht denken. Das liegt daran, dass es einige sehr große Nachteile hat. Lassen Sie uns über einige dieser Probleme sprechen.

Einschränkungen des SPF

SPF-Einträge gelten nicht für die Von-Adresse

E-Mails haben mehrere Adressen, um ihren Absender zu identifizieren: die Absenderadresse, die Sie normalerweise sehen, und die Rücksprungadresse, die versteckt ist und einen oder zwei Klicks erfordert, um sie anzuzeigen. Wenn SPF aktiviert ist, schaut der empfangende E-Mail-Server auf den Return Path und prüft die SPF-Einträge der Domain von dieser Adresse.

Das Problem dabei ist, dass Angreifer dies ausnutzen können, indem sie eine gefälschte Domäne in ihrer Return Path-Adresse und eine legitime (oder legitim aussehende) E-Mail-Adresse im From-Abschnitt verwenden. Selbst wenn der Empfänger die E-Mail-ID des Absenders überprüfen würde, würde er zuerst die Absenderadresse sehen und sich normalerweise nicht die Mühe machen, den Rückweg zu überprüfen. Tatsächlich wissen die meisten Leute nicht einmal, dass es so etwas wie eine Return Path-Adresse gibt.

SPF kann mit diesem einfachen Trick recht leicht umgangen werden und macht selbst mit SPF gesicherte Domains weitgehend angreifbar.

SPF-Einträge haben ein DNS-Lookup-Limit

SPF-Datensätze enthalten eine Liste aller IP-Adressen, die vom Domain-Besitzer autorisiert sind, E-Mails zu versenden. Sie haben jedoch einen entscheidenden Nachteil. Der empfangende Server muss den Datensatz überprüfen, um festzustellen, ob der Absender autorisiert ist. Um die Belastung des Servers zu reduzieren, haben SPF-Datensätze ein Limit von 10 DNS-Lookups.

Das bedeutet, dass, wenn Ihre Organisation mehrere Drittanbieter verwendet, die E-Mails über Ihre Domain senden, der SPF-Eintrag am Ende dieses Limit überschreiten kann. Wenn sie nicht richtig optimiert sind (was nicht einfach selbst zu machen ist), haben SPF-Einträge eine sehr restriktive Grenze. Wenn Sie diese Grenze überschreiten, wird die SPF-Implementierung als ungültig betrachtet und Ihre E-Mail schlägt bei SPF fehl. Dies kann Ihre E-Mail-Zustellungsraten möglicherweise beeinträchtigen.

 

SPF funktioniert nicht immer, wenn die E-Mail weitergeleitet wird

SPF hat einen weiteren kritischen Fehlerpunkt, der die Zustellbarkeit Ihrer E-Mails beeinträchtigen kann. Wenn Sie SPF auf Ihrer Domain implementiert haben und jemand Ihre E-Mail weiterleitet, kann die weitergeleitete E-Mail aufgrund Ihrer SPF-Richtlinie zurückgewiesen werden.

Das liegt daran, dass die weitergeleitete Nachricht den Empfänger der E-Mail geändert hat, die Adresse des E-Mail-Absenders aber gleich geblieben ist. Dies wird zu einem Problem, weil die Nachricht die Absenderadresse des ursprünglichen Absenders enthält, der empfangende Server aber eine andere IP sieht. Die IP-Adresse des weiterleitenden E-Mail-Servers ist nicht im SPF-Eintrag der Domain des ursprünglichen Absenders enthalten. Dies kann dazu führen, dass die E-Mail vom empfangenden Server zurückgewiesen wird.

Wie löst DMARC diese Probleme?

DMARC verwendet eine Kombination aus SPF und DKIM, um E-Mails zu authentifizieren. Eine E-Mail muss entweder SPF oder DKIM passieren, um DMARC zu passieren und erfolgreich zugestellt zu werden. Und es fügt auch eine Schlüsselfunktion hinzu, die es weitaus effektiver macht als SPF oder DKIM allein: Reporting.

Mit dem DMARC-Reporting erhalten Sie tägliches Feedback über den Status Ihrer E-Mail-Kanäle. Dazu gehören Informationen über Ihre DMARC-Ausrichtung, Daten über E-Mails, deren Authentifizierung fehlgeschlagen ist, und Details über mögliche Spoofing-Versuche.

Wenn Sie sich fragen, was Sie tun können, um nicht gespoofed zu werden, lesen Sie unseren praktischen Leitfaden mit den 5 besten Möglichkeiten, um E-Mail-Spoofing zu vermeiden.