Ein Ticket einreichen Meine Tickets
Willkommen
Anmeldung  Registrieren Sie sich

Was sind SPF-Datensätze?

Sender Policy Framework (SPF) ist ein E-Mail-Authentifizierungsprotokoll, mit dem Domäneninhaber die Server festlegen können, die E-Mails im Namen ihrer Domänen versenden dürfen.

 Wenn eine E-Mail von Ihrer Domäne versendet wird, überprüfen die empfangenden E-Mail-Server Ihren DNS auf einen SPF-Eintrag. Dieser Eintrag enthält eine Liste aller IP-Adressen, die berechtigt sind, E-Mails von Ihrer Domäne zu versenden. Wenn die IP-Adresse des Absenders mit einer der Adressen im SPF-Eintrag übereinstimmt, wird die E-Mail authentifiziert. 


Der SPF-Eintrag ist entscheidend für die Implementierung von SPF in Ihrer Domäne. Er wird als TXT-Eintrag in Ihrem DNS veröffentlicht und kann je nach den Besonderheiten Ihrer Domain geändert werden. Hier ist ein Beispiel für einen SPF-Eintrag:


v=spf1 a mx ip4: 39.72.122.191 include:_spf.google.com ~all


Lassen Sie uns die einzelnen Elemente dieser Aufzeichnung aufschlüsseln, damit wir wissen, was sie bewirken.


Version


Ein SPF-Eintrag beginnt immer mit 'v=', was die verwendete Version von SPF angibt. spf1 ist die am häufigsten verwendete Version von SPF und wird von allen E-Mail-Clients verstanden.


Mechanismus


Mechanismen sind Elemente des SPF-Datensatzes, die den empfangenden Server anweisen, bei der SPF-Authentifizierung bestimmte DNS-Einträge zu prüfen oder bestimmte Protokolle zu verwenden.

  • a - Alle A-Datensätze der Domäne, für die der SPF-Datensatz veröffentlicht wird, werden geprüft. Wenn die IP-Adresse des Absenders mit einer IP-Adresse im A-Eintrag übereinstimmt, ist dieser Mechanismus erfolgreich.

  • ip4 - Gibt einen IPv4-Netzwerkbereich für die IP-Adresse des Absenders an.

  • ip6 - Gibt einen IPv6-Netzwerkbereich für die IP-Adresse des Absenders an.

  • mx - MX-Einträge geben an, welche Server für die Weiterleitung von E-Mails verwendet werden sollen. Wenn die IP-Adresse des Absenders mit einem der MX-Einträge der Domäne übereinstimmt, für die der SPF-Eintrag veröffentlicht wurde, ist dieser Mechanismus erfolgreich.

  • ptr - Der Hostname für die IP des Absenders wird mithilfe von PTR-Abfragen gesucht. Wenn ein Hostname auf eine Domäne endet, die mit derjenigen übereinstimmt, für die der SPF-Eintrag veröffentlicht wurde, ist dieser Mechanismus erfolgreich. PTR-Abfragen sollten so weit wie möglich vermieden werden, um die Anzahl der teuren DNS-Abfragen zu begrenzen.

  • existiert - Führt eine A-Abfrage für den angegebenen Bereich durch. Wenn ein Ergebnis gefunden wird, ist dieser Mechanismus erfolgreich.

  • include - Die angegebene Domäne wird nach einer Übereinstimmung durchsucht. Wenn die Domäne keinen eigenen gültigen SPF-Eintrag hat, führt dies zu einem permanenten Fehler.

  • alle - Dieser Mechanismus passt immer. Er wird mit einem Qualifier verwendet, um alle IPs einzuschließen, mit denen die anderen Mechanismen nicht übereinstimmen. Er wird normalerweise am Ende des SPF-Eintrags hinzugefügt.


Qualifier


"+" - Zulassen. Der SPF-Datensatz gibt die IP-Adresse an, die zum Senden zugelassen werden soll.

"-" - Fehlschlag. Der SPF-Datensatz gibt an, dass die IP-Adresse NICHT zum Senden zugelassen wird.

"~" - SoftFail. Der SPF-Datensatz gibt an, dass die IP-Adresse NICHT zum Senden zugelassen ist, sich aber im Übergang befindet.

"?" - Neutral. Der SPF-Eintrag besagt, dass nichts über die Gültigkeit der IP-Adresse ausgesagt werden kann.


Die Mechanismen sind standardmäßig auf "Pass" eingestellt. 


Im obigen Beispiel wird die Verwendung von 'a' und 'mx' gleichbedeutend mit '+a' und '+mx'. Allerdings ist '~all' sagt uns, dass alle IP-Adressen, die nicht mit 'a' und 'mx' nicht übereinstimmen, gemäß SPF als SoftFail betrachtet werden sollten.


Modifikator


Modifikatoren sind optional und dürfen nur einmal pro Datensatz verwendet werden. 


  • Weiterleitung - Wird verwendet, um auf den SPF-Eintrag einer anderen Domäne zu verweisen. Dies ist sinnvoll, wenn Sie mehrere Domains haben, aber dieselben SPF-Eintragsdaten für alle verwenden möchten. Die zweite Domäne muss einen eigenen gültigen SPF-Eintrag haben. weiterleiten wird nur verwendet, wenn Sie beide Domains kontrollieren, ansonsten einschließen verwendet.

  • exp - Wenn ein Empfangsserver eine Nachricht ablehnt, kann er eine Erklärung dafür abgeben.


Beschränkungen von SPF-Einträgen


Um die Verarbeitungslast auf den empfangenden E-Mail-Servern zu verringern, haben SPF-Einträge bestimmte eingebaute Beschränkungen, die Sie einhalten müssen.


  • Nur 1 SPF-Eintrag pro Domänenname - Um SPF ordnungsgemäß zu implementieren, dürfen Sie nur einen SPF-Eintrag für jede Domäne in Ihrem DNS veröffentlichen. Wenn es mehr als einen gibt, weiß der Empfangsserver nicht, welchen er prüfen soll, und Ihre E-Mail schlägt die SPF-Authentifizierung fehl.

  • Maximal 10 DNS-Abfragen - Ihr SPF-Eintrag darf nicht mehr als 10 Mechanismen enthalten, die zu DNS-Abfragen führen.

  • Maximal 10 MX-Einträge - Bei der Analyse der mx Mechanismus gibt es eine Grenze von 10 MX-Einträgen, die der Server abfragen kann.

  • Maximal 10 PTR-Abfragen - Bei der Analyse der ptr Mechanismus kann der Server nicht mehr als 10 PTR-Abfragen durchführen.


PowerSPF


Wenn Sie die Anzahl von 10 DNS-Lookups für Ihren SPF-Eintrag überschreiten, schlägt die SPF-Authentifizierung automatisch fehl. Um dies zu beheben, hat PowerDMARC eine innovative Funktion entwickelt: PowerSPF. Mit nur einem Klick können Sie die Länge und Anzahl der DNS-Abfragen in Ihrem SPF-Eintrag optimieren und verkürzen. So erhalten Sie maximale Zustellbarkeit mit fast null Aufwand.



P
PowerDMARC ist der Autor dieses Lösungsartikels.

Fanden Sie es hilfreich? Ja Nein

Feedback senden
Tut uns leid, dass wir nicht hilfreich sein konnten. Helfen Sie uns, diesen Artikel mit Ihrem Feedback zu verbessern.