• Einloggen
  • Anmelden
  • Kontakt
PowerDMARC
  • Merkmale
    • PowerDMARC
    • Gehostetes DKIM
    • PowerSPF
    • PowerBIMI
    • PowerMTA-STS
    • PowerTLS-RPT
    • PowerAlerts
  • Dienste
    • Bereitstellungsdienste
    • Verwaltete Dienste
    • Support-Dienstleistungen
    • Serviceleistungen
  • Preisgestaltung
  • Power-Werkzeugkasten
  • Partner
    • Wiederverkäufer-Programm
    • MSSP-Programm
    • Technologie-Partner
    • Industrie-Partner
    • Einen Partner finden
    • Partner werden
  • Ressourcen
    • DMARC: Was ist es und wie funktioniert es?
    • Datenblätter
    • Fallstudien
    • DMARC in Ihrem Land
    • DMARC nach Branche
    • Unterstützung
    • Blog
    • DMARC-Schulung
  • Über
    • Unser Unternehmen
    • Kunden
    • Kontakt
    • Demo buchen
    • Veranstaltungen
  • Menü Menü

Warum SPF nicht gut genug ist, um Spoofing zu stoppen

Blogs
spf limitation blog

Als Anbieter von DMARC-Diensten wird uns diese Frage oft gestellt: "Wenn DMARC nur SPF- und DKIM-Authentifizierung verwendet, warum sollten wir uns dann mit DMARC beschäftigen? Ist das nicht einfach unnötig?"

Oberflächlich betrachtet mag es den Anschein haben, dass es kaum einen Unterschied macht, aber die Realität ist ganz anders. DMARC ist nicht nur eine Kombination aus SPF- und DKIM-Technologien, sondern ein völlig neues, eigenständiges Protokoll. Es hat mehrere Funktionen, die es zu einem der fortschrittlichsten E-Mail-Authentifizierungsstandards der Welt und zu einer absoluten Notwendigkeit für Unternehmen machen.

Aber warten Sie einen Moment. Wir haben noch nicht genau beantwortet, warum Sie DMARC brauchen. Was bietet es, was SPF und DKIM nicht können? Nun, das ist eine ziemlich lange Antwort; zu lang für nur einen Blogbeitrag. Lassen Sie uns also aufteilen und zuerst über SPF sprechen. Für den Fall, dass Sie damit nicht vertraut sind, hier eine kurze Einführung.

Was ist SPF?

SPF, oder Sender Policy Framework, ist ein E-Mail-Authentifizierungsprotokoll, das den E-Mail-Empfänger vor gefälschten E-Mails schützt. Es handelt sich im Wesentlichen um eine Liste aller IP-Adressen, die berechtigt sind, E-Mails über Ihre Kanäle (die des Domaininhabers) zu versenden. Wenn der empfangende Server eine Nachricht von Ihrer Domain sieht, überprüft er den SPF-Eintrag, der in Ihrem DNS veröffentlicht ist. Wenn die IP des Absenders in dieser "Liste" enthalten ist, wird die E-Mail zugestellt. Wenn nicht, lehnt der Server die E-Mail ab.

Mehr lesen

Wie Sie sehen können, leistet SPF eine ziemlich gute Arbeit, um viele unappetitliche E-Mails fernzuhalten, die Ihrem Gerät schaden oder die Sicherheitssysteme Ihres Unternehmens gefährden könnten. Aber SPF ist nicht annähernd so gut, wie manche Leute vielleicht denken. Das liegt daran, dass es einige sehr große Nachteile hat. Lassen Sie uns über einige dieser Probleme sprechen.

Einschränkungen des SPF

SPF-Einträge gelten nicht für die Von-Adresse

E-Mails haben mehrere Adressen, um ihren Absender zu identifizieren: die Absenderadresse, die Sie normalerweise sehen, und die Rücksprungadresse, die versteckt ist und einen oder zwei Klicks erfordert, um sie anzuzeigen. Wenn SPF aktiviert ist, schaut der empfangende E-Mail-Server auf den Return Path und prüft die SPF-Einträge der Domain von dieser Adresse.

Das Problem dabei ist, dass Angreifer dies ausnutzen können, indem sie eine gefälschte Domäne in ihrer Return Path-Adresse und eine legitime (oder legitim aussehende) E-Mail-Adresse im From-Abschnitt verwenden. Selbst wenn der Empfänger die E-Mail-ID des Absenders überprüfen würde, würde er zuerst die Absenderadresse sehen und sich normalerweise nicht die Mühe machen, den Rückweg zu überprüfen. Tatsächlich wissen die meisten Leute nicht einmal, dass es so etwas wie eine Return Path-Adresse gibt.

SPF kann mit diesem einfachen Trick recht leicht umgangen werden und macht selbst mit SPF gesicherte Domains weitgehend angreifbar.

SPF-Einträge haben ein DNS-Lookup-Limit

SPF-Datensätze enthalten eine Liste aller IP-Adressen, die vom Domain-Besitzer autorisiert sind, E-Mails zu versenden. Sie haben jedoch einen entscheidenden Nachteil. Der empfangende Server muss den Datensatz überprüfen, um festzustellen, ob der Absender autorisiert ist. Um die Belastung des Servers zu reduzieren, haben SPF-Datensätze ein Limit von 10 DNS-Lookups.

Das bedeutet, dass, wenn Ihre Organisation mehrere Drittanbieter verwendet, die E-Mails über Ihre Domain senden, der SPF-Eintrag am Ende dieses Limit überschreiten kann. Wenn sie nicht richtig optimiert sind (was nicht einfach selbst zu machen ist), haben SPF-Einträge eine sehr restriktive Grenze. Wenn Sie diese Grenze überschreiten, wird die SPF-Implementierung als ungültig betrachtet und Ihre E-Mail schlägt bei SPF fehl. Dies kann Ihre E-Mail-Zustellungsraten möglicherweise beeinträchtigen.

Mehr erfahren

 

SPF funktioniert nicht immer, wenn die E-Mail weitergeleitet wird

SPF hat einen weiteren kritischen Fehlerpunkt, der die Zustellbarkeit Ihrer E-Mails beeinträchtigen kann. Wenn Sie SPF auf Ihrer Domain implementiert haben und jemand Ihre E-Mail weiterleitet, kann die weitergeleitete E-Mail aufgrund Ihrer SPF-Richtlinie zurückgewiesen werden.

Das liegt daran, dass die weitergeleitete Nachricht den Empfänger der E-Mail geändert hat, die Adresse des E-Mail-Absenders aber gleich geblieben ist. Dies wird zu einem Problem, weil die Nachricht die Absenderadresse des ursprünglichen Absenders enthält, der empfangende Server aber eine andere IP sieht. Die IP-Adresse des weiterleitenden E-Mail-Servers ist nicht im SPF-Eintrag der Domain des ursprünglichen Absenders enthalten. Dies kann dazu führen, dass die E-Mail vom empfangenden Server zurückgewiesen wird.

Wie löst DMARC diese Probleme?

DMARC verwendet eine Kombination aus SPF und DKIM, um E-Mails zu authentifizieren. Eine E-Mail muss entweder SPF oder DKIM passieren, um DMARC zu passieren und erfolgreich zugestellt zu werden. Und es fügt auch eine Schlüsselfunktion hinzu, die es weitaus effektiver macht als SPF oder DKIM allein: Reporting.

Mit dem DMARC-Reporting erhalten Sie tägliches Feedback über den Status Ihrer E-Mail-Kanäle. Dazu gehören Informationen über Ihre DMARC-Ausrichtung, Daten über E-Mails, deren Authentifizierung fehlgeschlagen ist, und Details über mögliche Spoofing-Versuche.

Wenn Sie sich fragen, was Sie tun können, um nicht gespoofed zu werden, lesen Sie unseren praktischen Leitfaden mit den 5 besten Möglichkeiten, um E-Mail-Spoofing zu vermeiden.

SPF

  • Über
  • Neueste Beiträge
Ahona Rudra
Manager für digitales Marketing und Inhaltserstellung bei PowerDMARC
Ahona arbeitet als Digital Marketing and Content Writer Manager bei PowerDMARC. Sie ist eine leidenschaftliche Autorin, Bloggerin und Marketingspezialistin für Cybersicherheit und Informationstechnologie.
Neueste Beiträge von Ahona Rudra (alle anzeigen)
  • Wie Sie Ihre Passwörter vor AI schützen können - 20. September 2023
  • Was sind identitätsbasierte Angriffe und wie kann man sie stoppen? - 20. September 2023
  • Was ist Continuous Threat Exposure Management (CTEM)? - 19. September 2023
1. September 2020/von Ahona Rudra
Tags: Cybersicherheit, DKIM, DMARC, DMARC-Berichterstattung, DNS-Abfrage, E-Mail-Sicherheit, SPF, SPF-Eintrag, Spoofing
Diesen Eintrag teilen
  • Auf Facebook teilen
  • Auf Twitter teilen
  • Auf WhatsApp teilen
  • Auf LinkedIn teilen
  • Teilen per Mail
Das könnte Sie auch interessieren
dmarc shadow it blogWie DMARC die Sicherheitsrisiken der Schatten-IT bekämpft
DKIM SPFKann ich DKIM ohne SPF einrichten?
E-Mail-Sicherheit im Jahr 2021 auf einen Blick mit PowerDMARCE-Mail-Sicherheit im Jahr 2021 auf einen Blick mit PowerDMARC
Authentifizierung erhaltene KetteWas ist ARC?
VersicherungWie Phishing-Betrüger Office 365 nutzen, um Versicherungsunternehmen anzugreifen
Vec-BlogWarum E-Mail-Kompromittierung durch Anbieter so beängstigend ist (und was Sie dagegen tun können)

Sichern Sie Ihre E-Mail

Stoppen Sie E-Mail-Spoofing und verbessern Sie die Zustellbarkeit von E-Mails

15 Tage kostenlos testen!


Kategorien

  • Blogs
  • Nachrichten
  • Pressemeldungen

Neueste Blogs

  • Wie-schütze-ich-dein-Passwort-vor-KI
    Wie Sie Ihre Passwörter vor KI schützen können20. September 2023 - 1:12 Uhr
  • Was sind identitätsbasierte Angriffe und wie kann man sie stoppen_
    Was sind identitätsbasierte Angriffe und wie kann man sie stoppen?20. September 2023 - 1:03 Uhr
  • SPF
    Was ist Continuous Threat Exposure Management (CTEM)?19. September 2023 - 11:15 Uhr
  • Was sind DKIM-Angriffe und wie kann man sich vor ihnen schützen
    Was sind DKIM-Replay-Angriffe und wie kann man sich vor ihnen schützen?September 5, 2023 - 11:01 am
Logo Fußzeile powerdmarc
SOC2 GDPR PowerDMARC GDPR-konform Crown Commercial Service
global cyber alliance zertifiziert powerdmarc csa

Wissen

Was ist E-Mail-Authentifizierung?
Was ist DMARC?
Was ist eine DMARC-Richtlinie?
Was ist SPF?
Was ist DKIM?
Was ist BIMI?
Was ist MTA-STS?
Was ist TLS-RPT?
Was ist RUA?
Was ist RUF?
AntiSpam gegenüber DMARC
DMARC-Ausrichtung
DMARC-Einhaltung
DMARC-Durchsetzung
BIMI-Implementierungsleitfaden
Permerror
MTA-STS & TLS-RPT Implementierungsleitfaden

Werkzeuge

Kostenloser DMARC-Datensatz-Generator
Kostenloser DMARC-Datensatz-Prüfer
Kostenloser SPF-Datensatz-Generator
Kostenloses SPF Record Lookup
Kostenloser DKIM-Record-Generator
Kostenlose DKIM-Record-Suche
Kostenloser BIMI-Record-Generator
Kostenlose BIMI-Record-Suche
Kostenlose FCrDNS-Record-Suche
Kostenloses TLS-RPT-Datensatz-Prüfprogramm
Kostenloses MTA-STS-Record-Prüfprogramm
Freier TLS-RPT Datensatz-Generator

Produkt

Produkt-Tour
Merkmale
PowerSPF
PowerBIMI
PowerMTA-STS
PowerTLS-RPT
PowerAlerts
API-Dokumentation
Verwaltete Dienste
Schutz vor E-Mail-Spoofing
Markenschutz
Anti-Phishing
DMARC für Office365
DMARC für Google Mail GSuite
DMARC für Zimbra
Kostenlose DMARC-Schulung

Versuchen Sie uns

Kontakt
Kostenlose Testversion
Demo buchen
Partnerschaft
Preisgestaltung
HÄUFIG GESTELLTE FRAGEN
Unterstützung
Blog
Veranstaltungen
Feature-Anfrage
Änderungsprotokoll
System-Status

  • English
  • Français
  • Dansk
  • Nederlands
  • Русский
  • Polski
  • Español
  • Italiano
  • 日本語
  • 中文 (简体)
  • Português
  • Norsk
  • Svenska
  • 한국어
PowerDMARC ist eine eingetragene Marke.
  • Twitter
  • Youtube
  • LinkedIn
  • Facebook
  • Instagram
  • Kontakt
  • Bedingungen und Konditionen
  • Datenschutzrichtlinie
  • Cookie-Richtlinie
  • Sicherheitspolitik
  • Compliance
  • GDPR-Hinweis
  • Sitemap
Was ist SMTP TLS Reporting?Was ist SMTP-TLS-Reportingceo fraud blogDiese E-Mail war nicht von Ihrem Chef: 6 Wege, um CEO-Betrug zu stoppen
Nach oben blättern