SPF-Fehler: Häufige Ursachen und wie man sie behebt

Blog

Wir möchten Ihnen die vielen Ursachen für SPF-Fehlschläge erläutern. In diesem Artikel werden die verschiedenen Arten von Fehlern untersucht und bewährte Verfahren zur Vermeidung künftiger SPF-Fehler erläutert.

von Maitham Al Lawati

Lesezeit: 6 min
SPF-Fehler: Häufige Ursachen und wie man sie behebt
Inhaltsverzeichnis-

Sender Policy Framework (SPF) ist eines der E-Mail-Authentifizierungsprotokolle, die Unternehmen seit Jahren in ihren E-Mail-Systemen verwenden, um Spam zu reduzieren und Sendequellen zu autorisieren. Es kommt jedoch häufig vor, dass verschiedene Fehler auftreten, die zu einem SPF-Fehler führen. In diesem Beitrag erörtern wir, was zu einem SPF-Fehler führen kann und wie man ihn beheben kann.

Hier sind einige häufige Gründe, die zu SPF-Misserfolgen führen: 

  • SPF-Datensatz-Syntaxfehler 
  • SPF-Datensatz-Konfigurationsfehler 
  • Überschreitung der DNS-Lookup-Grenzen für SPF
  • Weiterleitung von E-Mails 
  • Unvollständige Sendequellenautorisierung

Wichtigste Erkenntnisse

  1. SPF-Fehler können durch Probleme wie falsche Syntax, Überschreitung der DNS-Lookup-Grenzen und mehrere SPF-Einträge für dieselbe Domäne entstehen.
  2. Der SPF-Mechanismus kann verschiedene Ergebnisse zurückgeben, darunter "Pass", "Fail", "Softfail", "Neutral" und "Temporary Error", die jeweils eine andere Stufe des Authentifizierungserfolgs anzeigen.
  3. Die Kombination mehrerer SPF-Datensätze zu einem einzigen unter Verwendung des "include"-Mechanismus ist unerlässlich, um die Ungültigkeit der SPF-Implementierung zu vermeiden.
  4. Eine regelmäßige Überwachung der DMARC-Berichte kann dazu beitragen, die Ursachen von SPF-Fehlern zu ermitteln und rechtzeitige Lösungen zu erleichtern.
  5. Die Umsetzung der SPF-Best-Practices ist entscheidend, um die Zustellbarkeit von E-Mails zu gewährleisten und die Wahrscheinlichkeit von Authentifizierungsfehlern zu verringern.

Warum kommt es zu SPF-Misserfolgen? 

SPF-Fehler können aus den folgenden Gründen auftreten:

  • Der empfangende MTA kann keinen in Ihrem DNS veröffentlichten SPF-Eintrag finden.
  • Sie haben mehr als einen SPF-Eintrag für dieselbe Domäne konfiguriert. 
  • Ihre E-Mail-Dienstanbieter haben IP-Adressen geändert oder neue hinzugefügt, die Sie nicht in Ihren SPF-Eintrag aufgenommen haben.
  • Sie haben die Grenze von 10 DNS-Lookups für SPF überschritten.
  • Sie überschreiten die zulässige Höchstzahl von 2 ungültigen Suchanfragen.
  • Die Länge Ihres SPF-Datensatzes überschreitet die Grenze von 255 SPF-Zeichen.

Wenn SPF für Ihre E-Mail fehlschlägt, sollten Sie als Nächstes den Grund dafür ermitteln, damit Sie das Problem beheben können. Dies ist durch regelmäßige Überwachung der DMARC-Berichte möglich. PowerDMARC hilft Ihnen, Berichte über fehlgeschlagene SPF-Authentifizierungen einfach mit unserem DMARC-Analysator.

Stoppen Sie SPF-Fehlschläge mit PowerDMARC!

15-Tage-TestDemo buchen

Arten von SPF-Fehlern

Die folgenden Arten von SPF-Fail Qualifikatoren, die jeweils als Präfix vor dem SPF-Mechanismus hinzugefügt werden:

"+" "Bestanden"
"-" "Nicht bestanden"
"~" "Softfail"
"?" "Neutral"

Welche Bedeutung haben sie? Wenn Ihre E-Mail abgelehnt wird, können Sie wählen, wie streng die Empfänger die Nachricht behandeln sollen. Sie können einen Qualifier angeben, um Nachrichten "durchzulassen die einen SPF erhalten haben "Nicht zustellen" oder "Neutral" (nichts tun).

1. SPF Kein Ergebnis zurückgegeben

Im ersten Fall, wenn der empfangende E-Mail-Server eine DNS-Suche durchführt und den Domänennamen im DNS nicht finden kann, wird ein "none"-Ergebnis zurückgegeben. Keines wird auch zurückgegeben, wenn kein SPF-Eintrag im DNS des Absenders gefunden wird, was bedeutet, dass der Absender keine SPF-Authentifizierung für diese Domäne konfiguriert hat. In diesem Fall schlägt die SPF-Authentifizierung für Ihre E-Mails fehl, was durch "-all" gekennzeichnet ist.

Erzeugen Sie jetzt Ihren fehlerfreien SPF-Eintrag mit unserem kostenlosen SPF-Eintragsgenerator Tool, um dies zu vermeiden.

2. SPF Neutrales Ergebnis zurückgegeben

Wenn Sie bei der Konfiguration von SPF für Ihre Domäne Ihren SPF-Eintrag mit einem "?all"-Mechanismus versehen haben, bedeutet dies, dass der empfangende MTA unabhängig vom Ergebnis der SPF-Authentifizierungsprüfungen für Ihre ausgehenden E-Mails ein neutrales Ergebnis zurückgibt. Dies liegt daran, dass Sie bei einem neutralen SPF-Eintrag nicht die IP-Adressen angeben, die berechtigt sind, E-Mails in Ihrem Namen zu versenden, und nicht autorisierten IP-Adressen erlauben, ebenfalls E-Mails zu versenden.

3. SPF Softfail Ergebnis zurückgegeben

Ähnlich wie SPF neutral wird SPF softfail durch den ~all-Mechanismus identifiziert, was bedeutet, dass der empfangende MTA die E-Mail akzeptiert und sie in den Posteingang des Empfängers zustellt, sie aber als Spam markiert wird, falls die IP-Adresse nicht im SPF-Eintrag im DNS aufgeführt ist, was ein Grund sein kann, warum die SPF-Authentifizierung für Ihre E-Mail fehlschlägt. Im Folgenden finden Sie ein Beispiel für einen SPF-Softfail:

 v=spf1 include:spf.google.com ~all

4. SPF Hardfail Ergebnis zurückgegeben

SPF Hardfail bedeutet, dass empfangende MTAs E-Mails verwerfen, die von einer Sendequelle stammen, die nicht in Ihrem SPF-Eintrag aufgeführt ist. Wir empfehlen Ihnen, SPF hardfail in Ihrem SPF-Eintrag zu konfigurieren, wenn Sie sich gegen Domain-Impersonation und E-Mail-Spoofing schützen möchten. 

Beispiel: v=spf1 include:spf.google.com -all

Lernen Sie den spezifischen Unterschied zwischen SPF softfail vs. hardfail

5. SPF Temperror (SPF Vorübergehender Fehler)

Ein häufiger und oft harmloser Grund, warum die SPF-Authentifizierung fehlschlägt, ist SPF Temperror (temporärer Fehler). Dieser wird durch einen DNS-Fehler verursacht, wie z.B. ein DNS-Zeitüberschreitung. Es handelt sich also, wie der Name schon sagt, um einen temporären Fehler, der einen 4xx-Statuscode zurückgibt und einen vorübergehenden SPF-Fehler verursachen kann. Bei einem späteren erneuten Versuch wird das SPF-Ergebnis als bestanden gewertet.

6. SPF Permerror (SPF Dauerhafter Fehler)

Ein weiterer häufiger Fehler, der bei Domänen auftritt, ist ein SPF-Permerror. Dabei handelt es sich um einen Fehler mit einem permanenten Fehler. Dies geschieht, wenn Ihr SPF-Eintrag vom empfangenden MTA für ungültig erklärt wird. Es gibt viele Gründe, warum SPF bei der Durchführung von DNS-Lookups durch den MTA unterbrochen und ungültig gemacht werden kann:

  • Überschreitung der 10 SPF-Lookup-Grenze
  • Falsche SPF-Record-Syntax
  • Mehr als ein SPF-Eintrag für dieselbe Domain
  • Überschreitung der SPF-Datensatz-Längenbegrenzung von 255 Zeichen
  • Wenn Ihr SPF-Eintrag nicht auf dem neuesten Stand ist, weil Ihre ESPs Änderungen vorgenommen haben

Anmerkung: Wenn ein MTA eine SPF-Prüfung für eine E-Mail durchführt, fragt er den DNS ab oder führt einen DNS-Lookup durch, um die Authentizität der E-Mail-Quelle zu überprüfen. Im Idealfall sind bei SPF maximal 10 DNS-Abfragen erlaubt, bei deren Überschreitung SPF abbricht und ein fehlerhaftes Ergebnis liefert. Dies ist ein sehr häufiges Problem, das zum Scheitern von SPF führt.

So beheben Sie einen SPF-Fehler bei E-Mails

Um eine reibungslose Zustellung zu gewährleisten, ist es wichtig, dass SPF für Ihre E-Mails nicht fehlschlägt. Um SPF-Fehler zu beheben, können Sie diese Best Practices befolgen: 

1. Innerhalb der SPF-Grenzen bleiben

Wenn Ihre Authentifizierung fehlschlägt, weil die DNS-Lookups die RFC-Grenzwerte überschreiten, sollten Sie versuchen, die Grenzwerte einzuhalten, um den Fehler zu vermeiden. PowerDMARC hilft Kunden, ihre SPF-Einträge mit Hilfe von Makros so zu optimieren, dass sie unter diesen harten Grenzwerten bleiben. Oft sind sie um ein Vielfaches effektiver als SPF-Verflachung. Wenn Sie sich jedoch für SPF-Flattening entscheiden, SPF-Flattening-Tools den Prozess vereinfachen, obwohl sie immer noch manuelle Aktualisierungen erfordern, wenn Ihr E-Mail-Dienstanbieter seine Infrastruktur ändert. Makros in Ihrem SPF-DNS-Datensatz helfen Ihnen, die Überschreitung von DNS-Lücken und -Lookup-Grenzen jederzeit zu vermeiden.

2. Vermeidung von Syntax- und Konfigurationsfehlern

Die manuelle Implementierung von SPF-Datensätzen führt häufig zu Syntaxfehlern und damit zum Scheitern. Um sicherzustellen, dass Sie die richtige Syntax für SPF verwenden, erstellen Sie Ihren Eintrag mit Hilfe eines automatischen SPF-Datensatz-Generators Werkzeug.

Wenn Sie SPF in Ihrem DNS konfigurieren, verwenden Sie immer den Ressourcentyp "TXT". Wenn Sie einen falschen Ressourcentyp wie "CNAME" oder sogar "SPF" konfigurieren, führt dies zu Konfigurationsfehlern und einem SPF-Fehler. 

3. Alle sendenden Quellen autorisieren

Vergewissern Sie sich, dass Sie alle Ihre Sendequellen, einschließlich Ihrer Drittanbieter, in Ihrem SPF-Eintrag ordnungsgemäß autorisieren. Ihre Anbieter ändern oder ergänzen häufig ihre Liste der sendenden IPs. Sie müssen sicherstellen, dass Sie über solche Änderungen auf dem Laufenden sind und sie in Ihrem eigenen SPF-Eintrag implementieren. Das Fehlen von autorisierten Sendequellen führt oft zu ungerechtfertigten SPF-Fehlschlägen. 

4. Kombinieren Sie mehrere SPF-Einträge 

Mehr als ein SPF-Datensatz für dieselbe Domäne kann Ihre SPF-Implementierung ungültig machen und zu einem SPF-Fehler führen. In solchen Fällen ist es besser, mehrere Datensätze in einem einzigen Datensatz zusammenzufassen, indem Sie den "include"-Mechanismus verwenden. 

SPF Bewährte Praktiken

Domaininhaber, die sich an die oben genannten bewährten SPF-Verfahren halten, können die Wahrscheinlichkeit eines ungerechtfertigten SPF-Fehlschlags erheblich verringern. Im Folgenden finden Sie einige weitere bewährte Verfahren, die Unternehmen generell anwenden können, um ihre E-Mail-Sicherheit weiter zu verbessern: 

  • Verwenden Sie DKIM, um SPF-Fehler bei weitergeleiteten E-Mails zu vermeiden. 
  • Verwenden Sie DMARC und DKIM, so dass DMARC auch dann gültig ist, wenn SPF fehlschlägt und DKIM gültig ist. 
  • Aktivieren Sie DMARC-Berichte, um SPF-Fehler und deren Ursachen zu überwachen. 

Fehler bei der E-Mail-Authentifizierung sind nie gut für den Ruf und die Glaubwürdigkeit Ihrer Domain. Um sicherzustellen, dass Ihre Zustellbarkeit nicht beeinträchtigt wird, müssen Sie jetzt Maßnahmen ergreifen, um zu verhindern, dass Ihr SPF fehlschlägt. Möchten Sie testen, ob SPF für Ihre Domain richtig konfiguriert ist? Probieren Sie unseren kostenlosen SPF-Prüfer Tool noch heute aus!

Neueste Beiträge von Maitham Al Lawati (alle anzeigen)
Was ist E-Mail-Authentifizierung? Prüfen und authentifizieren Sie Ihre E-MailsUnternehmer im Bereich CybersicherheitWie Unternehmer ihre Unternehmen vor Cyberangriffen schützen können