Haben Sie jemals eine E-Mail gesehen, die SPF nicht bestanden hat? Wenn ja, dann werde ich Ihnen jetzt genau erklären, warum die SPF-Authentifizierung fehlschlägt. Sender Policy Framework, oder SPF, ist einer der E-Mail-Überprüfungsstandards, die wir alle seit Jahren verwenden, um Spam zu stoppen. Selbst wenn Sie sich dessen nicht bewusst wären, würde ich wetten, wenn ich die Einstellungen Ihres Anmeldekontos bei Facebook überprüfen würde, würde dort wahrscheinlich die Option "Nur E-Mails von Freunden" angezeigt. Das ist im Grunde das Gleiche wie SPF.

Was ist SPF-Authentifizierung?

SPF ist ein E-Mail-Authentifizierungsprotokoll, mit dem überprüft wird, ob der E-Mail-Absender mit seinem Domänennamen im Feld "Von:" der Nachricht übereinstimmt. Der sendende MTA verwendet DNS, um eine vorkonfigurierte Liste von SPF-Servern abzufragen, um zu prüfen, ob die sendende IP berechtigt ist, E-Mails für diese Domäne zu senden. Es kann zu Unstimmigkeiten bei der Einrichtung von SPF-Einträgen kommen. Dies ist wichtig, um zu verstehen, warum E-Mails die SPF-Prüfung nicht bestehen können und welche Rolle Sie spielen können, um sicherzustellen, dass bei Ihren eigenen E-Mail-Marketingbemühungen oder beim Versand von Marketing-E-Mails zur Kundengewinnung keine Probleme auftreten.

Warum die SPF-Authentifizierung fehlschlägt : Keine, Neutral, Hardfail, Softfail, TempError und PermError

SPF-Authentifizierungsfehler können aus den folgenden Gründen auftreten:

• Der empfangende MTA kann keinen SPF-Eintrag finden, der in Ihrem DNS veröffentlicht wurde
• Sie haben mehrere SPF-Einträge in Ihrem DNS für dieselbe Domain veröffentlicht
• Ihre ESPs haben ihre IP-Adressen geändert oder hinzugefügt, die nicht in Ihrem SPF-Eintrag aktualisiert wurden
• Wenn Sie das Limit von 10 DNS-Lookups für SPF überschreiten
• Wenn Sie die maximale Anzahl der erlaubten Void-Lookups von 2 überschreiten
• Die Länge Ihres abgeflachten SPF-Datensatzes überschreitet die Grenze von 255 SPF-Zeichen

Oben sind verschiedene Szenarien aufgeführt, warum die SPF-Authentifizierung fehlschlägt. Sie können Ihre Domains mit unserem DMARC-Analysator überwachen, um Berichte über SPF-Authentifizierungsfehler zu erhalten. Wenn Sie die DMARC-Berichterstattung aktiviert haben, gibt der empfangende MTA eines der folgenden SPF-Authentifizierungsfehlerergebnisse für die E-Mail zurück, je nachdem, aus welchem Grund Ihre E-Mail SPF nicht bestanden hat. Lassen Sie uns diese näher kennenlernen:

Arten von SPF-Fail-Qualifikatoren

Die folgenden Typen von SPF-Fail-Qualifikatoren werden jeweils als Präfix vor dem SPF-Fail-Mechanismus hinzugefügt:

"+" "Bestanden"
"-" "Durchgefallen"
"~" "Softfail"
"?" "Neutral"

Was bedeutet das? Wenn Ihre E-Mail die SPF-Prüfung nicht besteht, können Sie wählen, wie streng die Empfänger damit umgehen sollen. Sie können einen Qualifier angeben, um Nachrichten, die die Prüfung nicht bestehen, "durchzulassen" (zuzustellen), "nicht zuzustellen" oder einen "neutralen" Standpunkt einzunehmen (nichts zu tun).

Fall 1: SPF Kein Ergebnis wird zurückgegeben

Im ersten Fall - wenn der empfangende E-Mail-Server eine DNS-Suche durchführt und den Domänennamen im DNS nicht finden kann - wird ein "none"-Ergebnis zurückgegeben. Keines wird auch zurückgegeben, wenn kein SPF-Eintrag im DNS des Absenders gefunden wird, was bedeutet, dass der Absender keine SPF-Authentifizierung für diese Domain konfiguriert hat. In diesem Fall schlägt die SPF-Authentifizierung für Ihre E-Mails fehl.

Generieren Sie jetzt Ihren fehlerfreien SPF-Eintrag mit unserem kostenlosen SPF-Record-Generator-Tool, um dies zu vermeiden.

Fall 2: SPF Neutrales Ergebnis wird zurückgegeben

Wenn Sie bei der Konfiguration von SPF für Ihre Domain Ihren SPF-Eintrag mit einem ?all-Mechanismus versehen haben, bedeutet dies, dass der empfangende MTA ein neutrales Ergebnis zurückgibt, egal, was die SPF-Authentifizierungsprüfungen für Ihre ausgehenden E-Mails ergeben. Dies geschieht, weil Sie, wenn Sie Ihr SPF im neutralen Modus haben, nicht die IP-Adressen angeben, die berechtigt sind, E-Mails in Ihrem Namen zu senden und nicht autorisierten IP-Adressen erlauben, sie ebenfalls zu senden.

Fall 3: SPF Softfail Ergebnis

Ähnlich wie SPF neutral wird SPF softfail durch den ~all-Mechanismus identifiziert, was bedeutet, dass der empfangende MTA die E-Mail akzeptiert und sie in den Posteingang des Empfängers zustellt, sie aber als Spam markiert wird, falls die IP-Adresse nicht im SPF-Eintrag im DNS aufgeführt ist, was ein Grund sein kann, warum die SPF-Authentifizierung für Ihre E-Mail fehlschlägt. Im Folgenden finden Sie ein Beispiel für einen SPF-Softfail:

 v=spf1 include:spf.google.com ~all

Fall 4: SPF Hardfail Ergebnis

SPF hardfail, auch SPF fail genannt, bedeutet, dass empfangende MTAs E-Mails verwerfen, die von einer Sendequelle stammen, die nicht in Ihrem SPF-Eintrag aufgeführt ist. Wir empfehlen Ihnen, SPF hardfail in Ihrem SPF-Eintrag zu konfigurieren, wenn Sie sich gegen Domain-Impersonation und E-Mail-Spoofing schützen möchten. Im Folgenden finden Sie ein Beispiel für SPF hardfail:

v=spf1 include:spf.google.com -all

Fall 5: SPF TempError (SPF Temporärer Fehler)

Einer der sehr häufigen und oft harmlosen Gründe, warum die SPF-Authentifizierung fehlschlägt, ist SPF TempError (temporärer Fehler), der durch einen DNS-Fehler wie eine DNS-Zeitüberschreitung verursacht wird, während eine SPF-Authentifizierungsprüfung vom empfangenden MTA durchgeführt wird. Es handelt sich also, wie der Name schon sagt, in der Regel um einen temporären Fehler, der einen 4xx-Statuscode zurückgibt, der zu einem vorübergehenden SPF-Fehler führen kann, der jedoch bei einem späteren Versuch ein SPF-Ergebnis liefert.

Fall 6: SPF PermError (SPF Dauerhafter Fehler)

Ein weiteres häufiges Ergebnis, das bei Domänenfehlern auftritt, ist SPF PermError. Dies ist der Grund, warum die SPF-Authentifizierung in den meisten Fällen fehlschlägt. Dies geschieht, wenn Ihr SPF-Eintrag vom empfangenden MTA ungültig gemacht wird. Es gibt viele Gründe, warum SPF beim Ausführen von DNS-Lookups durch den MTA unterbrochen und ungültig gemacht werden kann:

• Überschreiten der 10 SPF-Lookup-Grenze
• Falsche SPF-Record-Syntax
• Mehr als ein SPF-Eintrag für dieselbe Domain
• Überschreitung der SPF-Datensatz-Längenbegrenzung von 255 Zeichen
• Wenn Ihr SPF-Eintrag nicht auf dem neuesten Stand ist, weil Ihre ESPs Änderungen vorgenommen haben

Hinweis: Wenn ein MTA eine SPF-Prüfung für eine E-Mail durchführt, fragt er den DNS ab oder führt einen DNS-Lookup durch, um die Authentizität der E-Mail-Quelle zu prüfen. Im Idealfall sind bei SPF maximal 10 DNS-Abfragen erlaubt, bei deren Überschreitung SPF fehlschlägt und ein PermError-Ergebnis zurückgegeben wird.

Wie kann die dynamische SPF-Abflachung den SPF-PermError beheben?

Im Gegensatz zu den anderen SPF-Fehlern ist SPF PermError viel schwieriger und komplizierter zu beheben. PowerSPF hilft Ihnen, ihn mit Hilfe der automatischen SPF-Abflachung leicht zu entschärfen. Es hilft Ihnen:

• Bleiben Sie unter der SPF-Hartgrenze
• Sofortige Optimierung Ihres SPF-Eintrags
• Reduzieren Sie Ihren Datensatz auf eine einzige Include-Anweisung
• Stellen Sie sicher, dass Ihr SPF-Eintrag bei Änderungen durch Ihre ESPs immer aktualisiert wird

Möchten Sie testen, ob Sie SPF für Ihre Domain richtig konfiguriert haben? Probieren Sie noch heute unser kostenloses SPF-Check-Tool aus!

• Über
• Neueste Beiträge

Maitham Al Lawati

Maitham ist ein Tech-Unternehmer, Cybersecurity-Experte, CEO und Gründer von PowerDMARC mit mehr als 15 Jahren Branchenerfahrung. Maitham hat einen Global MBA von der University of Manchester und verschiedene berufliche Zertifizierungen, darunter CISSP, CISM, CRISC und ISC2 CCSP.

Neueste Beiträge von Maitham Al Lawati (alle anzeigen)

• SPF-Perror beheben: Überwindung der SPF-Grenze für zu viele DNS-Lookups - April 26, 2024
• Wie veröffentlicht man einen DMARC-Datensatz in 3 Schritten? - 2. April 2024
• Warum funktioniert DMARC nicht? Behebung von DMARC-Fehlern im Jahr 2024 - 2. April 2024