Der SPF-Include-Mechanismus enthält Referenzen oder Bedingungen - innerhalb eines SPF-Datensatzes -, die für jeden bestimmten Server erfüllt sein müssen, um die Zustellbarkeit von E-Mails zu verbessern. Wenn Sie es versehentlich versäumen, die Include-Anweisungen für Ihre Drittanbieter in Ihren SPF-Datensatz einzufügen, kann dies zu Problemen für Ihre Empfänger führen, z. B. zu nicht zustellbaren E-Mails, und Ihre allgemeine Absprungrate kann in die Höhe schnellen.
Erfahren Sie, was der "Include"-Mechanismus in den SPF-Records ist und wie Sie SPF Include-Anweisungen für Ihre Bedürfnisse optimieren können.
Was bedeutet SPF einschließen?
In Ihrer SPF-Datensatzsyntax gibt der "include"-Mechanismus Datensätze an, die Ihrem E-Mail-Server mitteilen, dass er nach den Datensätzen suchen soll, die mit der in der "include"-Zeile angegebenen Domäne übereinstimmen.
SPF "include" verweist auf eine Domäne, deren SPF-Einträge abgefragt werden, wenn geprüft wird, ob die sendende IP-Adresse zulässig ist oder nicht. Wenn die sendende IP-Adresse in einer von SPF definierten "Include"-Liste enthalten ist, führt dies zu einer Übereinstimmung und SPF wird akzeptiert.
Bedeutung des SPF-Mechanismus für die Mehrfachaufnahme
SPF ist wichtig, weil:
Er gibt an, dass Sie durch SPF-Einträge für jede in Ihrem "Include"-Block aufgeführte Domäne geschützt werden möchten.
➜ Sie fügt Regeln hinzu, die für eine Domäne spezifisch sind.
Sie können den SPF-Include-Mechanismus verwenden, um weitere allgemeine Filterregeln einzubinden, die für alle Domänen innerhalb derselben Klasse gelten. Das bedeutet, dass Sie, wenn Ihre Anwendung mehrere Klassen von E-Mail-Adressen unterstützt, Include-Anweisungen verwenden können, um eine komplexere Filterung auf der Grundlage der Klasse der Empfängeradresse zu ermöglichen.
Wie funktioniert die Einbeziehung des SPF?
Der SPF-Include-Mechanismus ermöglicht es einem Domäneninhaber, die Verantwortung für den Versand von E-Mails an eine andere Domäne zu delegieren. Er wird üblicherweise verwendet, wenn ein Domäneninhaber einen Drittdienst oder -anbieter ermächtigen möchte, in seinem Namen E-Mails zu versenden.
So funktioniert der SPF-Einschlussmechanismus:
- Der Domaininhaber veröffentlicht einen SPF-Eintrag
- Der Include-Mechanismus im SPF-Eintrag gibt eine andere Domäne oder IP-Adresse an, die berechtigt ist, in ihrem Namen E-Mails zu versenden.
- Während des Suchvorgangs wird der SPF-Eintrag aus dem DNS der Absenderdomäne abgerufen.
- Der empfangende E-Mail-Server wertet den SPF-Eintrag aus, um festzustellen, ob der sendende Server berechtigt ist, E-Mails für diese Domäne zu versenden. Wenn der SPF-Eintrag einen "Include"-Mechanismus enthält, prüft der empfangende Server auch den SPF-Eintrag der eingeschlossenen Domäne.
- Der empfangende Server führt eine rekursive Suche durch, indem er das DNS nach dem SPF-Eintrag der eingeschlossenen Domäne abfragt. Dieser Prozess wird fortgesetzt, wenn es mehrere Ebenen von Einschlussmechanismen gibt.
SPF Include Beispiel
Zum Beispiel: Wenn Sie "include:_spf.google.com" in Ihrem SPF-Datensatz haben und E-Mails von einer Google-IP-Adresse gesendet werden, wird diese als autorisierter E-Mail-Absender betrachtet, da die IP-Adresse des Absenders im SPF-Datensatz dieser Domäne im "include"-Mechanismus enthalten ist. Infolgedessen durchläuft die E-Mail erfolgreich den Server, bevor sie den vorgesehenen Empfänger erreicht.
Um Google als verifizierte Sendequelle zu autorisieren, sollte dies die Syntax Ihres SPF-Eintrags sein:
v=spf1 include:_spf.google.com ~all
Warum sind SPF-Mehrfacheinschlüsse nicht zu empfehlen?
Mehrere SPF-Einträge verwirren den Empfängerserver bei der Frage, welcher TXT-Eintrag bei einer Suche zu berücksichtigen ist, und zu viele SPF-Einträge fügen mehrere DNS-Suchvorgänge hinzu, die schnell das Limit von 10 Suchvorgängen überschreiten.
SPF-Einträge sind TXT-Einträge, die mit der Zeichenkette v=spf1 beginnen und den E-Mail-Servern mitteilen, welche Regeln sie bei der Feststellung, ob eine bestimmte E-Mail Spam ist oder nicht, befolgen sollen. Die Regeln umfassen:
Wenn Sie also zwei separate SPF-TXT-Einträge auf Ihrem Server haben, werden Ihre E-Mails die SPF-Authentifizierung nicht bestehen und einen PermError zurückgeben. Das liegt daran, dass der empfangende E-Mail-Server nicht weiß, welche Regel er befolgen soll - er wird einfach beide TXT-Einträge ignorieren.
Wie kann ich mehrere Domains, Hosts oder IP-Adressen in meinen SPF-Eintrag aufnehmen?
Wenn Sie mehr als 1 SPF-Eintrag einfügen möchten, kann es zu Problemen bei der E-Mail-Zustellung kommen (z. B. Emails als Spam abgewiesen werden). Die Lösung besteht darin, die beanstandeten SPF-Einträge zu löschen und die Domänen- oder Host-Einträge über SPF-Include in einem einzigen Eintrag oder einer einzigen Zeile zusammenzufassen.
Nehmen wir das Beispiel des SPF-Datensatzes mit zahlreichen Hosts und ip4-Adressen, der von einem der weltweit bekanntesten Hersteller von Unterhaltungselektronik, Lenovo.com, verwendet wird.
Bei der Durchführung von SPF-Datensatzabfrage für Lenovo.com haben wir festgestellt, dass es 4 Domains zusammengeführt hat:
- spf.messagelabs.com
- _netblocks.eloqua.com
- spf.schutz.outlook.com
- spf.pfpool.lenovo.com
und 5 IP4-Adressen:
- 72.32.45.225
- 40.65.201.146
- 138.108.60.125
- 138.108.24.107
- 52.247.21.11
in einen einzigen Datensatz wie diesen:
v=spf1 include:spf.messagelabs.com include:_netblocks.eloqua.com include:spf.protection.outlook.com include:spf.pfpool.lenovo.com ip4:72.32.45.225 ip4:40.65.201.146 ip4:138.108.60.125 ip4:138.108.24.107 ip4:52.247.21.11 ~all
Die Semantik des SPF-Datensatzes verstehen
Anhand des obigen Beispiels haben wir gelernt, dass die folgende Regel gilt, wenn mehrere Hosts oder IP4-Adressen in einem einzigen SPF-Eintrag zusammengefasst werden.
Ein SPF-Datensatz sollte drei Abschnitte enthalten, um als gültig zu gelten: die Erklärung (Anfang), den Include-Mechanismus für Domänen und das IP4-Tag für IP-Adressen (Mitte) und eine Durchsetzungsregel (Ende).
➜ Erklärung: Der Datensatz sollte beginnen mit v=spf1 (diese Zeichenfolge darf in der Regel nicht mehr verwendet werden)
➜ Erlaubte Domänen: Hinzufügen eines include: für jede Domäne (Sie müssen den SPF-Include-Mechanismus verwenden, da include: bei jeder Domäne im SPF-Eintrag hinzugefügt wird)
➜ Erlaubte IPs: Hinzufügen einer IP4 Tag für jede IP-Adresse (Sie müssen das IP4-Tag vor jeder IP-Adresse verwenden, die Sie dem SPF-Eintrag hinzufügen)
➜ Durchsetzungsregel: Beende den Satz mit einem ~all Anweisung (verwenden Sie diese Zeichenfolge am Ende und nur einmal)
Ein wichtiger Hinweis zu SPF enthalten
Es ist wichtig, den "include"-Mechanismus in Ihren SPF-Eintrag zu integrieren, da Sie damit andere Domänen und Hosts in Ihren SPF-Eintrag aufnehmen können, was für die Überprüfung der Authentizität Ihrer Nachrichten nützlich sein kann.
Für die Verwendung der Anzahl der Lookups pro SPF-Datensatz gilt jedoch die folgende Regel (wie in Abschnitt 10.1 von RFC 4408):
"SPF-Implementierungen MÜSSEN die Anzahl der Mechanismen und Modifikatoren auf höchstens 10 pro SPF-Prüfung begrenzen, einschließlich aller durch die Verwendung des "include"-Mechanismus oder des "redirect"-Modifikators verursachten Suchvorgänge."
Wenn Ihre SPF-Implementierung die Anzahl der Mechanismen und Modifikatoren nicht einschränkt, schläft sie bei Prüfungen für unerreichbare Hosts. Da diese Hosts nie in Ihre Prüfungen einbezogen werden, erhalten sie auch nie Post von Kunden. Dies kann zu ernsthaften Problemen bei der Postzustellung führen.
Der Unterschied zwischen SPF umfasst: und a:
Der SPF-"include"-Mechanismus wird verwendet, um SPF-Datensätze einer anderen Domäne in den SPF-Datensatz der aktuellen Domäne aufzunehmen, während der SPF-"a"-Mechanismus verwendet wird, um einzelne IP-Adressen oder Hostnamen (A-Datensätze) anzugeben, die berechtigt sind, E-Mails für die Domäne zu senden.
SPF enthalten vs. a
Gründe für die Verwendung eines:
- Sie ist praktischer und weniger kompliziert
- Weil Sie SPF auf den betreffenden Domänen nicht aktiviert haben
- Weil SPF nicht richtig konfiguriert ist oder fälschlicherweise andere Server zulässt, die nicht in seinen A-Einträgen stehen
Gründe für die Verwendung sind unter anderem:
- Sie vertrauen darauf, dass der Domainname einer Website einen gültigen SPF-Eintrag hat
- Weil Sie eine einzige Quelle der Wahrheit haben wollen, damit Sie sich nicht wiederholen müssen, und weil der SPF-Bereich komplex ist.
- Sie können Änderungen an Ihren SPF-Einträgen vornehmen, ohne notwendigerweise den DNS für alle Domänen zu bearbeiten, die Ihre Domäne enthalten
Automatisierte Optimierung von SPF Include: für mehrere Domains und IP-Adressen
SPF-Einträge für mehrere Hosts und IP-Adressen sind nichts Neues. Aber wie Sie diese Art von Datensatz erstellen müssen, erfordert entsprechendes Fachwissen, um Folgendes zu vermeiden SPF-Authentifizierungsfehler oder PermError zu vermeiden.
Um einen funktionierenden SPF-Eintrag zu erstellen, müssen Sie den include:-Mechanismus korrekt verwenden. Und damit Ihre SPF-Richtlinie wirksam ist, muss sie auf mehreren Hosts und IP-Adressen richtig implementiert werden.
Bei Verwendung von PowerDMARCs SPF-Abflachung verwenden, generieren wir für Sie einen gültigen SPF-Eintrag, der alle Ihre Hosts und IP-Adressen in einer einzigen Textzeile enthält. Sie können so viele Domains und IPs hinzufügen, wie Sie möchten - trennen Sie sie einfach durch ein Leerzeichen. Wir fügen dies in einen einzigen SPF Einschluss, so dass so dass Sie niemals das Limit für die Suche überschreiten oder Probleme bei der E-Mail-Zustellung und bei Hardfail haben.
- Wie richtet man DMARC in Office 365 ein? Schritt-für-Schritt-Anleitung - 6. Mai 2024
- SMTP Yahoo Fehler Codes erklärt - 1. Mai 2024
- SPF Softfail vs. Hardfail: Was ist der Unterschied? - April 26, 2024