SPF-Fehler: Was es bedeutet und wie man es behebt

Blog

Erfahren Sie, was "SPF fail" bei der E-Mail-Authentifizierung bedeutet, warum es passiert und welche Schritte Sie unternehmen können, um das Problem zu beheben und Ihre E-Mails zu schützen.

von Maitham Al Lawati

Zuletzt aktualisiert:
Lesezeit: 8 min
SPF-Fehler: Was es bedeutet und wie man es behebt
Inhaltsverzeichnis-

Wichtigste Erkenntnisse

  1. SPF-Fehler können durch Probleme wie falsche Syntax, Überschreitung der DNS-Lookup-Grenzen und mehrere SPF-Einträge für dieselbe Domäne entstehen.
  2. Der SPF-Mechanismus kann verschiedene Ergebnisse zurückgeben, darunter "Pass", "Fail", "Softfail", "Neutral" und "Temporary Error", die jeweils eine andere Stufe des Authentifizierungserfolgs anzeigen.
  3. Die Kombination mehrerer SPF-Datensätze zu einem einzigen unter Verwendung des "include"-Mechanismus ist unerlässlich, um die Ungültigkeit der SPF-Implementierung zu vermeiden.
  4. Eine regelmäßige Überwachung der DMARC-Berichte kann dazu beitragen, die Ursachen von SPF-Fehlern zu ermitteln und rechtzeitige Lösungen zu erleichtern.
  5. Die Umsetzung der SPF-Best-Practices ist entscheidend, um die Zustellbarkeit von E-Mails zu gewährleisten und die Wahrscheinlichkeit von Authentifizierungsfehlern zu verringern.

Sender Policy Framework (SPF) ist ein E-Mail-Authentifizierungsprotokoll, das E-Mail-Spoofing verhindern soll, indem es überprüft, ob Nachrichten von autorisierten E-Mail-Servern gesendet werden. Wenn SPF richtig konfiguriert ist, hilft es, Spam- und Phishing-Versuche zu reduzieren, indem es den empfangenden E-Mail-Servern ermöglicht zu überprüfen, ob eine E-Mail von einer legitimen Quelle stammt.

Wenn jedoch bei der Einrichtung oder während des Überprüfungsprozesses etwas schief geht, kann es zu einem SPF-Fail kommen. Ein SPF-Fehler bedeutet, dass der Server des Empfängers die Autorisierung des Absenders nicht bestätigen konnte, was häufig dazu führt, dass E-Mails als Spam gekennzeichnet oder ganz abgewiesen werden.

In diesem Beitrag gehen wir auf die häufigsten Ursachen für SPF-Fehler ein und zeigen, wie man sie beheben kann.

Was bedeutet SPF bei der E-Mail-Authentifizierung?

Sender Policy Framework (SPF) ist eine E-Mail-Authentifizierungsmethode, mit der überprüft werden kann, ob eine E-Mail von einem autorisierten Mailserver gesendet wurde. Man kann es sich als eine Liste von "zugelassenen Absendern" vorstellen, die in den DNS-Einträgen einer Domäne veröffentlicht wird.

Die Hauptaufgabe von SPF besteht darin, E-Mail-Spoofing zu verhindern, bei dem böswillige Akteure die "Von"-Adresse fälschen, um den Empfängern vorzugaukeln, die E-Mail sei legitim. Durch die Überprüfung von SPF-Einträgen können empfangende Mailserver bestätigen, ob eine Nachricht wirklich von der Domäne stammt, die sie zu repräsentieren vorgibt.

So funktioniert SPF bei der E-Mail-Zustellung:

  • Die sendende Domäne veröffentlicht einen SPF-Eintrag in ihrem DNS, der angibt, welche Mailserver in ihrem Namen E-Mails versenden dürfen.
  • Wenn eine E-Mail empfangen wird, sucht der Mailserver des Empfängers nach dem SPF-Eintrag der Domäne.
  • Der Server prüft, ob die IP-Adresse des sendenden Servers mit den aufgeführten autorisierten Quellen übereinstimmt.
  • Anhand des Ergebnisses entscheidet der Server, ob er die E-Mail annimmt, kennzeichnet oder ablehnt.

Kurz gesagt, SPF fungiert als Kontrollpunkt, um betrügerische E-Mails aus den Posteingängen fernzuhalten.

Was bedeutet "SPF Fail"?

Ein SPF-Fail tritt auf, wenn der Mailserver des Empfängers feststellt, dass der sendende Server nicht berechtigt ist, E-Mails im Namen der Domäne zu versenden. Dies geschieht, wenn die IP-Adresse des sendenden Servers nicht mit den im SPF-Eintrag der Domäne aufgeführten Quellen übereinstimmt.

E-Mail-Server interpretieren SPF-Ergebnisse anhand von Mechanismen, die in der SPF-Richtlinie festgelegt sind. Zu den wichtigsten Ergebnissen gehören:

  • Bestanden: Die E-Mail stammt von einem autorisierten Server.
  • Scheitern: Die E-Mail ist ausdrücklich nicht autorisiert und wird oft zurückgewiesen.
  • Softfail: Der Server steht nicht auf der Liste, aber der Domäneninhaber lässt die Nachricht mit Misstrauen passieren (oft als Spam markiert).
  • Neutral: Es gibt keine klaren Richtlinien, so dass der Server keine strenge Entscheidung trifft.

Wenn SPF versagt, lehnen viele E-Mail-Anbieter die E-Mail entweder ganz ab oder leiten sie an den Spam-Ordner weiter, was die Zustellbarkeit erheblich beeinträchtigt.

Stoppen Sie SPF-Fehlschläge mit PowerDMARC!

15-Tage-TestDemo buchen

Warum kommt es zu SPF-Misserfolgen? 

SPF-Fehler können aus den folgenden Gründen auftreten:

  • Der empfangende MTA kann keinen in Ihrem DNS veröffentlichten SPF-Eintrag finden.
  • Sie haben mehr als einen SPF-Eintrag für dieselbe Domain konfiguriert. 
  • Ihre E-Mail-Dienstanbieter haben IP-Adressen geändert oder neue hinzugefügt, die Sie nicht in Ihren SPF-Eintrag aufgenommen haben.
  • Sie haben die Grenze von 10 DNS-Lookups für SPF überschritten.
  • Sie überschreiten die zulässige Höchstzahl von 2 ungültigen Suchanfragen.
  • Die Länge Ihres SPF-Datensatzes überschreitet die Grenze von 255 SPF-Zeichen.

Wenn SPF für Ihre E-Mail fehlschlägt, sollten Sie als Nächstes den Grund dafür ermitteln, damit Sie das Problem beheben können. Dies ist durch regelmäßige Überwachung der DMARC-Berichte möglich. PowerDMARC hilft Ihnen, Berichte über fehlgeschlagene SPF-Authentifizierungen einfach mit unserem DMARC-Analysator zu analysieren.

Arten von SPF-Fehlern

Die folgenden Arten von SPF-Fail Qualifikatoren, die jeweils als Präfix vor dem SPF-Mechanismus hinzugefügt werden:

"+" "Bestanden"
"-" "Nicht bestanden"
"~" "Softfail"
"?" "Neutral"

Welche Bedeutung haben sie? Wenn Ihre E-Mail abgelehnt wird, können Sie wählen, wie streng die Empfänger die Nachricht behandeln sollen. Sie können einen Qualifier angeben, um Nachrichten "durchzulassen, die einen SPF erhalten haben, "nicht zuzustellen" oder "neutral" zu behandeln (nichts zu tun).

1. SPF Kein Ergebnis zurückgegeben

Im ersten Fall, wenn der empfangende E-Mail-Server eine DNS-Suche durchführt und den Domänennamen im DNS nicht finden kann, wird ein "none"-Ergebnis zurückgegeben. Keines wird auch zurückgegeben, wenn kein SPF-Eintrag im DNS des Absenders gefunden wird, was bedeutet, dass der Absender keine SPF-Authentifizierung für diese Domain konfiguriert hat. In diesem Fall schlägt die SPF-Authentifizierung für Ihre E-Mails fehl, was durch "-all" gekennzeichnet ist.

Erzeugen Sie jetzt Ihren fehlerfreien SPF-Eintrag mit unserem kostenlosen SPF-Eintragsgenerator Tool, um dies zu vermeiden.

2. SPF Neutrales Ergebnis zurückgegeben

Wenn Sie bei der Konfiguration von SPF für Ihre Domain Ihren SPF-Eintrag mit einem "?all"-Mechanismus versehen haben, bedeutet dies, dass der empfangende MTA unabhängig vom Ergebnis der SPF-Authentifizierungsprüfungen für Ihre ausgehenden E-Mails ein neutrales Ergebnis zurückgibt. Dies liegt daran, dass Sie bei einem neutralen SPF-Eintrag nicht die IP-Adressen angeben, die berechtigt sind, E-Mails in Ihrem Namen zu versenden, und nicht autorisierten IP-Adressen erlauben, ebenfalls E-Mails zu versenden.

3. SPF Softfail Ergebnis zurückgegeben

Ähnlich wie SPF neutral wird SPF softfail durch den ~all-Mechanismus identifiziert, was bedeutet, dass der empfangende MTA die E-Mail akzeptiert und sie in den Posteingang des Empfängers zustellt, sie aber als Spam markiert wird, falls die IP-Adresse nicht im SPF-Eintrag im DNS aufgeführt ist, was ein Grund sein kann, warum die SPF-Authentifizierung für Ihre E-Mail fehlschlägt. Im Folgenden finden Sie ein Beispiel für einen SPF-Softfail:

 v=spf1 include:spf.google.com ~all

4. SPF Hardfail Ergebnis zurückgegeben

SPF Hardfail bedeutet, dass empfangende MTAs E-Mails verwerfen, die von einer Sendequelle stammen, die nicht in Ihrem SPF-Eintrag aufgeführt ist. Wir empfehlen Ihnen, SPF hardfail in Ihrem SPF-Eintrag zu konfigurieren, wenn Sie sich gegen Domain-Impersonation und E-Mail-Spoofing schützen möchten. 

Beispiel: v=spf1 include:spf.google.com -all

Lernen Sie den spezifischen Unterschied zwischen SPF softfail vs. hardfail

5. SPF Temperror (SPF Vorübergehender Fehler)

Ein häufiger und oft harmloser Grund, warum die SPF-Authentifizierung fehlschlägt, ist SPF Temperror (temporärer Fehler). Dieser wird durch einen DNS-Fehler verursacht, wie z.B. eine DNS-Zeitüberschreitung. Es handelt sich also, wie der Name schon sagt, um einen temporären Fehler, der einen 4xx-Statuscode zurückgibt und einen vorübergehenden SPF-Fehler verursachen kann. Bei einem späteren erneuten Versuch wird das SPF-Ergebnis als bestanden gewertet.

6. SPF Permerror (SPF Dauerhafter Fehler)

Ein weiterer häufiger Fehler, der bei Domänen auftritt, ist ein SPF-Permerror. Dabei handelt es sich um einen Fehler mit einem permanenten Fehler. Dies geschieht, wenn Ihr SPF-Eintrag vom empfangenden MTA für ungültig erklärt wird. Es gibt viele Gründe, warum SPF bei der Durchführung von DNS-Lookups durch den MTA unterbrochen und ungültig gemacht werden kann:

  • Überschreitung der 10 SPF-Lookup-Grenze
  • Falsche SPF-Datensatz-Syntax
  • Mehr als ein SPF-Eintrag für dieselbe Domain
  • Überschreitung der SPF-Datensatz-Längenbegrenzung von 255 Zeichen
  • Wenn Ihr SPF-Eintrag nicht auf dem neuesten Stand ist, weil Ihre ESPs Änderungen vorgenommen haben

Anmerkung: Wenn ein MTA eine SPF-Prüfung für eine E-Mail durchführt, fragt er den DNS ab oder führt einen DNS-Lookup durch, um die Authentizität der E-Mail-Quelle zu überprüfen. Im Idealfall sind bei SPF maximal 10 DNS-Abfragen erlaubt, bei deren Überschreitung SPF abbricht und ein fehlerhaftes Ergebnis liefert. Dies ist ein sehr häufiges Problem, das zum Scheitern von SPF führt.

So beheben Sie einen SPF-Fehler bei E-Mails

Um eine reibungslose Zustellung zu gewährleisten, ist es wichtig, dass SPF für Ihre E-Mails nicht fehlschlägt. Um SPF-Fehler zu beheben, können Sie diese Best Practices befolgen: 

1. Innerhalb der SPF-Grenzen bleiben

Wenn Ihre Authentifizierung fehlschlägt, weil die DNS-Lookups die RFC-Grenzwerte überschreiten, sollten Sie versuchen, die Grenzwerte einzuhalten, um den Fehler zu vermeiden. PowerDMARC hilft Kunden, ihre SPF-Einträge mit Hilfe von Makros so zu optimieren, dass sie unter diesen harten Grenzwerten bleiben. Oft sind sie um ein Vielfaches effektiver als dieSPF-Verflachung. Wenn Sie sich jedoch für SPF-Flattening entscheiden,  können SPF-Flattening-Tools den Prozess vereinfachen, obwohl sie immer noch manuelle Aktualisierungen erfordern, wenn Ihr E-Mail-Dienstanbieter seine Infrastruktur ändert. Makros in Ihrem SPF-DNS-Datensatz helfen Ihnen, die Überschreitung von DNS-Lücken und -Lookup-Grenzen jederzeit zu vermeiden.

2. Vermeidung von Syntax- und Konfigurationsfehlern

Die manuelle Implementierung von SPF-Datensätzen führt häufig zu Syntaxfehlern und damit zum Scheitern. Um sicherzustellen, dass Sie die richtige Syntax für SPF verwenden, erstellen Sie Ihren Eintrag mit Hilfe eines automatischen SPF-Datensatz-Generators Werkzeug.

Wenn Sie SPF in Ihrem DNS konfigurieren, verwenden Sie immer den Ressourcentyp "TXT". Wenn Sie einen falschen Ressourcentyp wie "CNAME" oder sogar "SPF" konfigurieren, führt dies zu Konfigurationsfehlern und einem SPF-Fehler. 

3. Alle sendenden Quellen autorisieren

Vergewissern Sie sich, dass Sie alle Ihre Sendequellen, einschließlich Ihrer Drittanbieter, in Ihrem SPF-Eintrag ordnungsgemäß autorisieren. Ihre Anbieter ändern oder ergänzen häufig ihre Liste der sendenden IPs. Sie müssen sicherstellen, dass Sie über solche Änderungen auf dem Laufenden sind und sie in Ihrem eigenen SPF-Eintrag implementieren. Das Fehlen von autorisierten Sendequellen führt oft zu ungerechtfertigten SPF-Fehlschlägen. 

4. Kombinieren Sie mehrere SPF-Einträge 

Mehr als ein SPF-Datensatz für dieselbe Domain kann Ihre SPF-Implementierung ungültig machen und zu einem SPF-Fehler führen. In solchen Fällen ist es besser, mehrere Datensätze in einem einzigen Datensatz zusammenzufassen, indem Sie den "include"-Mechanismus verwenden. 

Bewährte Praktiken zur Vermeidung von SPF-Fehlschlägen

Domaininhaber, die sich an die oben genannten bewährten SPF-Verfahren halten, können die Wahrscheinlichkeit eines ungerechtfertigten SPF-Fehlschlags erheblich verringern. 

Darüber hinaus gibt es einige empfohlene Praktiken, die Unternehmen befolgen sollten, um ihre allgemeine E-Mail-Sicherheitslage zu verbessern:

  • Verwenden Sie DKIM, um SPF-Fehler bei weitergeleiteten E-Mails zu vermeiden: Die Weiterleitung bricht oft SPF, aber DomainKeys Identified Mail (DKIM) kann helfen, die Authentifizierung zu erhalten.
  • Verwenden Sie DMARC und DKIM gemeinsam: Selbst wenn SPF fehlschlägt, DKIM aber erfolgreich ist, kann DMARC (Domain-based Message Authentication, Reporting, and Conformance) die E-Mail dennoch validieren.
  • DMARC-Berichterstattung einschalten: Überwachen Sie SPF-Fehler und identifizieren Sie deren Ursachen durch detaillierte DMARC-Berichte.
  • Halten Sie SPF-Einträge auf dem neuesten Stand: Überprüfen und aktualisieren Sie Ihren SPF-Eintrag, wenn Sie E-Mail-Dienste von Drittanbietern hinzufügen oder entfernen.
  • Regelmäßige Prüfung und Test von DNS-Einträgen: Planen Sie regelmäßige Überprüfungen, um sicherzustellen, dass Ihre DNS-Einträge korrekt und konsistent sind und die SPF-Lookup-Grenzen nicht überschreiten.

Fehler bei der E-Mail-Authentifizierung sind nie gut für den Ruf und die Glaubwürdigkeit Ihrer Domain. Die Befolgung dieser Praktiken hilft, das Risiko von SPF-Fehlern zu minimieren und eine bessere Zustellbarkeit von E-Mails zu gewährleisten.

Schlussfolgerung

Die Behebung von SPF-Fehlern ist entscheidend für die Aufrechterhaltung des Vertrauens, den Schutz des Rufs Ihrer Marke und die Gewährleistung einer zuverlässigen E-Mail-Zustellung. Ohne ordnungsgemäße SPF-Konfigurationen werden Ihre E-Mails mit größerer Wahrscheinlichkeit als Spam gekennzeichnet, zurückgewiesen oder von Angreifern für Spoofing missbraucht.

Am besten ist es, proaktiv vorzugehen: Überwachen Sie Ihre Domäne regelmäßig, halten Sie SPF-Einträge auf dem neuesten Stand und verwenden Sie mehrere E-Mail-Authentifizierungsprotokolle wie SPF, DKIM und DMARC zusammen. Diese mehrschichtige Verteidigung verbessert Ihre Chancen, Authentifizierungsprüfungen zu bestehen und Ihren E-Mail-Kanal zu sichern, erheblich.

Möchten Sie sicherstellen, dass Ihr SPF korrekt konfiguriert ist, und kostspielige Fehler vermeiden? Testen Sie noch heute die Funktionen von PowerDMARC, um Ihre E-Mail-Sicherheit zu verbessern und Ihre Domain vor Missbrauch zu schützen.

Häufig gestellte Fragen

Wie erkenne ich, ob meine E-Mails SPF-fehlerhaft sind?

Sie können die E-Mail-Kopfzeilen auf SPF-Ergebnisse überprüfen oder Tools wie DMARC-Berichte und SPF-Prüfprogramme verwenden. Diese zeigen, ob Ihre Nachrichten die SPF-Validierung bestehen oder nicht.

Kann ein SPF-Fehler dazu führen, dass E-Mails versandt werden?

Ja. Wenn SPF mit einem "hard fail"-Ergebnis fehlschlägt, lehnen die Empfangsserver die Nachricht oft vollständig ab, was zu Bounces führt. In anderen Fällen akzeptieren sie die Nachricht zwar, leiten sie aber an den Spam-Ordner weiter.

Brauche ich DKIM und DMARC, wenn ich SPF habe?

Unbedingt. SPF allein kann weitergeleitete E-Mails nicht schützen oder Berichte auf Domänenebene liefern. DKIM stellt die Integrität von E-Mails sicher, und DMARC verbindet SPF und DKIM miteinander, wodurch Sie Transparenz und einen stärkeren Schutz gegen Spoofing erhalten.

Neueste Beiträge von Maitham Al Lawati (alle anzeigen)
Zuletzt aktualisiert:
DNS TXT-Eintrag: Definition, Verwendungszwecke und Anleitung zur EinrichtungWas ist ein DNS-TXT-Eintrag?Wie lange dauert die DNS-Verbreitung? Tipps und Überprüfungen