Was ist SPF Include?

Blog

Erfahren Sie, was SPF Include ist und wie Sie SPF Include verwenden, um mehrere Hosts und IP-Adressen fehlerfrei zu Ihrem SPF-Eintrag hinzuzufügen.

von YunesTarada

Zuletzt aktualisiert:
Lesezeit: 6 min
Was ist SPF Include?
Inhaltsverzeichnis-

Der SPF-Include-Mechanismus enthält Referenzen oder Bedingungen - innerhalb eines SPF-Datensatzes -, die für jeden bestimmten Server erfüllt sein müssen, um die Zustellbarkeit von E-Mails zu verbessern. Wenn Sie es versehentlich versäumen, die Include-Anweisungen für Ihre Drittanbieter in Ihren SPF-Datensatz einzufügen, kann dies zu Problemen für Ihre Empfänger führen, z. B. zu nicht zustellbaren E-Mails, und Ihre allgemeine Absprungrate kann in die Höhe schnellen.

Erfahren Sie, was der "Include"-Mechanismus in den SPF-Records ist und wie Sie SPF Include-Anweisungen für Ihre Bedürfnisse optimieren können.

Wichtigste Erkenntnisse

  1. Der SPF-Include-Mechanismus verbessert die Zustellbarkeit von E-Mails durch die Angabe von autorisierten Absenderdomänen oder IP-Adressen.
  2. Die Aufnahme der Include-Anweisungen in SPF-Datensätze ist von entscheidender Bedeutung, um unzustellbare E-Mails von Drittanbietern zu verhindern.
  3. Jeder SPF-Datensatz muss einer bestimmten Struktur folgen, einschließlich Erklärungen, zulässige Domänen und IP-Adressen.
  4. Die Verwendung mehrerer SPF-Einträge kann zu Verwirrung bei den empfangenden E-Mail-Servern führen, was möglicherweise zu Fehlern bei der E-Mail-Zustellung führt.
  5. Richtig optimierte SPF-Einträge mit Includes können die Verwaltung vereinfachen und die E-Mail-Authentifizierungsprozesse verbessern.

Was bedeutet SPF Include?

In Ihrer SPF-Datensatzsyntax gibt der "include"-Mechanismus Datensätze an, die an Ihren E-Mail-Server übermittelt werden sollen, um die Datensätze zu überprüfen, die mit der in der "include"-Zeile angegebenen Domain übereinstimmen. 

SPF "include" verweist auf eine Domain, deren SPF-Einträge abgefragt werden, wenn geprüft wird, ob die sendende IP-Adresse zulässig ist oder nicht. Wenn die sendende IP-Adresse in einer von SPF definierten "Include"-Liste enthalten ist, führt dies zu einer Übereinstimmung und SPF wird akzeptiert.

Bedeutung des SPF-Mechanismus für die Mehrfachaufnahme

 SPF ist wichtig, weil:

Er gibt an, dass Sie durch SPF-Einträge für jede in Ihrem "Include"-Block aufgeführte Domain geschützt werden möchten.

➜ Er fügt Regeln hinzu, die für eine Domain spezifisch sind.

Sie können den SPF-Include-Mechanismus verwenden, um weitere allgemeine Filterregeln einzubinden, die für alle Domänen innerhalb derselben Klasse gelten. Das bedeutet, dass Sie, wenn Ihre Anwendung mehrere Klassen von E-Mail-Adressen unterstützt, Include-Anweisungen verwenden können, um eine komplexere Filterung auf der Grundlage der Klasse der Empfängeradresse zu ermöglichen.

Wie funktioniert die Einbeziehung des SPF?

Der SPF-Include-Mechanismus ermöglicht es einem Domäneninhaber, die Verantwortung für den Versand von E-Mails an eine andere Domain zu delegieren. Er wird üblicherweise verwendet, wenn ein Domäneninhaber einen Drittdienst oder -anbieter ermächtigen möchte, in seinem Namen E-Mails zu versenden.

So funktioniert der SPF-Einschlussmechanismus:

  • Der Domaininhaber veröffentlicht einen SPF-Eintrag
  • Der Include-Mechanismus im SPF-Eintrag gibt eine andere Domäne oder IP-Adresse an, die berechtigt ist, in ihrem Namen E-Mails zu versenden.
  • Während des Suchvorgangs wird der SPF-Eintrag aus dem DNS der Absenderdomain abgerufen.
  • Der empfangende E-Mail-Server wertet den SPF-Eintrag aus, um festzustellen, ob der sendende Server berechtigt ist, E-Mails für diese Domain zu versenden. Wenn der SPF-Eintrag einen "Include"-Mechanismus enthält, prüft der empfangende Server auch den SPF-Eintrag der eingeschlossenen Domain.
  • Der empfangende Server führt eine rekursive Suche durch, indem er das DNS nach dem SPF-Eintrag der eingeschlossenen Domain abfragt. Dieser Prozess wird fortgesetzt, wenn es mehrere Ebenen von Einschlussmechanismen gibt.

SPF richtig einrichten mit PowerDMARC!

15-Tage-TestDemo buchen

SPF Include Beispiel

Zum Beispiel: Wenn Sie "include:_spf.google.com" in Ihrem SPF-Datensatz haben und E-Mails von einer Google-IP-Adresse gesendet werden, wird diese als autorisierter E-Mail-Absender betrachtet, da die IP-Adresse des Absenders im SPF-Datensatz dieser Domäne im "include"-Mechanismus enthalten ist. Infolgedessen durchläuft die E-Mail erfolgreich den Server, bevor sie den vorgesehenen Empfänger erreicht.

Um Google als verifizierte Sendequelle zu autorisieren, sollte dies die Syntax Ihres SPF-Eintrags sein: 

v=spf1 include:_spf.google.com ~all

Wie kann ich mehrere Domains, Hosts oder IP-Adressen in meinen SPF-Eintrag aufnehmen? 

Wenn Sie mehr als 1 SPF-Eintrag einfügen möchten, kann es zu Problemen bei der E-Mail-Zustellung kommen (z. B.  können E-Mails als Spam abgewiesen werden). Die Lösung besteht darin, die beanstandeten SPF-Einträge zu löschen und die Domänen- oder Host-Einträge über SPF-Include in einem einzigen Eintrag oder einer einzigen Zeile zusammenzufassen.

Nehmen wir das Beispiel des SPF-Datensatzes mit zahlreichen Hosts und ip4-Adressen, der von einem der weltweit bekanntesten Hersteller von Unterhaltungselektronik, Lenovo.com, verwendet wird.

Bei der Durchführung von SPF-Datensatzabfrage für Lenovo.com haben wir festgestellt, dass es 4 Domains zusammengeführt hat:

  1. spf.messagelabs.com
  2. _netblocks.eloqua.com
  3. spf.schutz.outlook.com
  4. spf.pfpool.lenovo.com

und 5 IP4-Adressen:

  1. 72.32.45.225
  2. 40.65.201.146
  3. 138.108.60.125
  4. 138.108.24.107
  5. 52.247.21.11

in einen einzigen Datensatz wie diesen:

v=spf1 include:spf.messagelabs.com include:_netblocks.eloqua.com include:spf.protection.outlook.com include:spf.pfpool.lenovo.com ip4:72.32.45.225 ip4:40.65.201.146 ip4:138.108.60.125 ip4:138.108.24.107 ip4:52.247.21.11 ~all

Die Semantik des SPF-Datensatzes verstehen

Anhand des obigen Beispiels haben wir gelernt, dass die folgende Regel gilt, wenn mehrere Hosts oder IP4-Adressen in einem einzigen SPF-Eintrag zusammengefasst werden.

Ein SPF-Datensatz sollte drei Abschnitte enthalten, um als gültig zu gelten: die Erklärung (Anfang), den Include-Mechanismus für Domänen und das IP4-Tag für IP-Adressen (Mitte) und eine Durchsetzungsregel (Ende).

Erklärung: Der Datensatz sollte beginnen mit v=spf1 (diese Zeichenfolge darf in der Regel nicht mehr verwendet werden)

Erlaubte Domänen: Hinzufügen eines include: für jede Domain (Sie müssen den SPF-Include-Mechanismus verwenden, da include: bei jeder Domain im SPF-Eintrag hinzugefügt wird)

Erlaubte IPs: Hinzufügen einer IP4 Tag für jede IP-Adresse (Sie müssen das IP4-Tag vor jeder IP-Adresse verwenden, die Sie dem SPF-Eintrag hinzufügen)

Durchsetzungsregel: Beenden Sie den Satz mit einer ~all Anweisung (verwenden Sie diese Zeichenfolge am Ende und nur einmal)

Kann ich mehrere SPF-Einträge haben?

Die Antwort ist nein, denn mehrere SPF-Einträge den Empfängerserver verwirren, welcher TXT-Eintrag bei einer Suche zu berücksichtigen ist, und zu viele SPF-Einträge mehrere DNS-Suchvorgänge hinzufügen, die schnell das Limit von 10 Suchvorgängen überschreiten.

SPF-Einträge sind TXT-Einträge, die mit der Zeichenkette v=spf1 beginnen und den E-Mail-Servern mitteilen, welche Regeln sie bei der Feststellung, ob eine bestimmte E-Mail Spam ist oder nicht, befolgen sollen. Die Regeln umfassen:

  • Ein empfangender Mailserver muss überprüfen, ob die sendende Domain ein autorisierter Empfänger dieser Nachricht ist. Wenn diese Regel erfüllt ist, akzeptiert er die Nachricht und stellt sie dem Benutzer zu.

  • Ein empfangender Mailserver muss überprüfen, ob die IP-Adresse der sendenden Domain mit einer autorisierten IP-Adresse für diese Domain übereinstimmt und ob die IP-Adresse zu einem autorisierten Absender gehört. Wenn diese Bedingungen erfüllt sind, wird die Nachricht dem Benutzer zugestellt.

Wenn Sie also zwei separate SPF-TXT-Einträge auf Ihrem Server haben, werden Ihre E-Mails die SPF-Authentifizierung nicht bestehen und einen PermError zurückgeben. Das liegt daran, dass der empfangende E-Mail-Server nicht weiß, welche Regel er befolgen soll - er wird einfach beide TXT-Einträge ignorieren.

Ein wichtiger Hinweis zu SPF Include

Es ist wichtig, den "include"-Mechanismus in Ihren SPF-Eintrag zu integrieren, da Sie damit andere Domänen und Hosts in Ihren SPF-Eintrag aufnehmen können, was für die Überprüfung der Authentizität Ihrer Nachrichten nützlich sein kann.

Für die Verwendung der Anzahl der Lookups pro SPF-Datensatz gilt jedoch die folgende Regel (wie in Abschnitt 10.1 von RFC 4408):

"SPF-Implementierungen MÜSSEN die Anzahl der Mechanismen und Modifikatoren auf höchstens 10 pro SPF-Prüfung begrenzen, einschließlich aller durch die Verwendung des "include"-Mechanismus oder des "redirect"-Modifikators verursachten Suchvorgänge."

Wenn Ihre SPF-Implementierung die Anzahl der Mechanismen und Modifikatoren nicht einschränkt, schläft sie bei Prüfungen für unerreichbare Hosts. Da diese Hosts nie in Ihre Prüfungen einbezogen werden, erhalten sie auch nie Post von Kunden. Dies kann zu ernsthaften Problemen bei der Postzustellung führen.

Der Unterschied zwischen SPF umfasst: und a:

Der SPF-"include"-Mechanismus wird verwendet, um SPF-Datensätze einer anderen Domain in den SPF-Datensatz der aktuellen Domain aufzunehmen, während der SPF-"a"-Mechanismus verwendet wird, um einzelne IP-Adressen oder Hostnamen (A-Datensätze) anzugeben, die berechtigt sind, E-Mails für die Domain zu senden.

SPF enthalten vs. a

Gründe für die Verwendung sind:

  • Sie ist praktischer und weniger kompliziert
  • Weil Sie SPF auf den betreffenden Domänen nicht aktiviert haben
  • Weil SPF nicht richtig konfiguriert ist oder fälschlicherweise andere Server zulässt, die nicht in seinen A-Einträgen stehen

Gründe für die Verwendung sind unter anderem:

  • Sie vertrauen darauf, dass der Domainname einer Website einen gültigen SPF-Eintrag hat
  • Weil Sie eine einzige Quelle der Wahrheit haben wollen, damit Sie sich nicht wiederholen müssen, und weil der SPF-Bereich komplex ist.
  • Sie können Änderungen an Ihren SPF-Einträgen vornehmen, ohne notwendigerweise den DNS für alle Domänen zu bearbeiten, die Ihre Domain enthalten

Automatisierte Optimierung von SPF Include: für mehrere Domains und IP-Adressen

SPF-Einträge für mehrere Hosts und IP-Adressen sind nichts Neues. Die Erstellung dieser Art von Datensätzen erfordert entsprechende Fachkenntnisse, SPF-Authentifizierungsfehler oder PermError zu vermeiden.

Um einen funktionierenden SPF-Eintrag zu erstellen, müssen Sie den Include-Mechanismus korrekt verwenden. Und damit Ihre SPF-Richtlinie wirksam ist, muss sie auf mehreren Hosts und IP-Adressen richtig implementiert werden.

Bei Verwendung von PowerDMARCs SPF-Abflachung, generieren wir für Sie einen gültigen SPF-Eintrag, der alle Ihre Hosts und IP-Adressen in einer einzigen Textzeile enthält. Sie können so viele Domains und IPs hinzufügen, wie Sie möchten - trennen Sie sie einfach durch ein Leerzeichen. Wir fügen dies in einen einzigen SPF Einschluss, so dass Sie niemals das Limit für die Suche überschreiten oder Probleme bei der E-Mail-Zustellung und bei Hardfail haben.

 

Neueste Beiträge von Yunes Tarada (alle anzeigen)
Zuletzt aktualisiert:
Was ist ADSP? Praktiken der Autorendomänensignierung in DKIMWas ist ADSP?Was ist IP-Spoofing?Was ist IP-Spoofing?