In diesem Artikel gehen wir auf SPF-Eintr\u00e4ge ein und erkl\u00e4ren, warum es wichtig ist, diese Technik f\u00fcr die E-Mail-Sicherheit<\/a> einzusetzen. Bevor wir uns ansehen, was ein SPF-Datensatz ist, sollten wir SPF erst einmal verstehen.<\/p>\n Das Sender Policy Framework (SPF) ist eine Methode zur Authentifizierung von E-Mails, mit der gef\u00e4lschte Absenderadressen bei der E-Mail-Zustellung erkannt werden sollen.<\/p>\n Angreifer f\u00e4lschen oft Absenderadressen<\/a> und lassen sie so echt aussehen wie die Adresse eines normalen Nutzers. SPF kann dabei helfen, diese Nachrichten zu erkennen und unter Quarant\u00e4ne zu stellen, um sie von ihren Angriffen abzuhalten.<\/p>\n Mit SPF kann der Server auf der Empf\u00e4ngerseite \u00fcberpr\u00fcfen, ob eine E-Mail, die von einer bestimmten Domain zu kommen scheint, tats\u00e4chlich von einer autorisierten IP-Adresse dieser Domain stammt. Die Liste mit allen autorisierten IP-Adressen und Hosts f\u00fcr eine bestimmte Domain ist in den DNS-Eintr\u00e4gen<\/a> dieser Domain zu finden.<\/p>\n\n Ein SPF-Record ist eine Art TXT-Record<\/a>, der in einer DNS-Zonendatei ver\u00f6ffentlicht wird und eine Liste aller autorisierten Mailserver enth\u00e4lt, die E-Mails im Namen deiner Domain versenden d\u00fcrfen. Es handelt sich um eine Implementierung von SPF, die zu deinem DNS<\/a> hinzugef\u00fcgt werden muss, um Spammer zu identifizieren und davon abzuhalten, b\u00f6sartige E-Mails mit gef\u00e4lschten Adressen im Namen deiner Domain zu versenden.<\/p>\n Spammer nutzen E-Mail-Spoofing, indem sie eine E-Mail mit gef\u00e4lschten Absenderadressen erstellen, da die meisten E-Mail-Server keine Authentifizierung durchf\u00fchren. Dann bearbeiten sie die Absenderadresse einer E-Mail, indem sie die E-Mail-Kopfzeilen<\/a> f\u00e4lschen, so dass es so aussieht, als ob die E-Mails von deiner Domain gesendet werden.<\/p>\n Dieser Vorgang wird Spoofing genannt und erm\u00f6glicht es den Spammern, die Nutzer\/innen zu betr\u00fcgen, an ihre privaten Daten zu gelangen und ihren Ruf zu sch\u00e4digen.<\/p>\n Heutzutage tragen fast alle b\u00f6sartigen E-Mails gef\u00e4lschte Adressen. Die Folge ist, dass die Personen, deren E-Mail-Adressen die Angreifer gestohlen haben, einen Rufschaden erleiden, Zeit damit verschwenden, unzustellbare Nachrichten zu reparieren, ihre IP-Adressen auf eine schwarze Liste setzen lassen, usw.<\/p>\n Daher ist die Einrichtung von SPF-Eintr\u00e4gen notwendig, um die Zustellbarkeit<\/a> und Sicherheit deiner E-Mails<\/a> zu verbessern.<\/p>\n Im Allgemeinen wird ein SPF-Datensatz durch einen TXT-Datensatz definiert (nicht zu verwechseln mit dem alten SPF-Datensatz vom Typ Datei).<\/p>\n Ein SPF-Eintrag beginnt mit einem „v“, das die verwendete SPF-Version angibt. Derzeit muss diese Version „spf1“ sein, da sie von den meisten Mail-Exchange-Servern erkannt wird.<\/p>\n Danach folgen weitere Begriffe, die die Regeln f\u00fcr Hosts definieren, die E-Mails von der angegebenen Domain senden. Diese Begriffe k\u00f6nnen auch weitere Informationen f\u00fcr die Verarbeitung des SPF-Eintrags liefern.<\/p>\n Hier siehst du, wie ein SPF-Eintrag aussieht und was die einzelnen Teile bedeuten:<\/p>\n Jeder Computer kann E-Mails verschicken, die vorgeben, von einer beliebigen Adresse zu stammen, wie es das SMTP-System<\/a> erlaubt. Angreifer und Betr\u00fcger machen sich dies zunutze, indem sie gef\u00e4lschte Adressen verwenden, die schwer zu verfolgen sind.<\/p>\n Eine \u00e4hnliche Technik wird bei Phishing-Angriffen verwendet, bei denen die Angreifer Nutzer\/innen dazu bringen, ihre pers\u00f6nlichen oder gesch\u00e4ftlichen Daten preiszugeben, indem sie eine echte Website oder einen echten Dienst imitieren, den die Nutzer\/innen h\u00e4ufig nutzen.<\/p>\n Um dem entgegenzuwirken, erm\u00f6glicht SPF dem Eigent\u00fcmer einer Domain, mithilfe von DNS-Eintr\u00e4gen festzulegen, welche Computer die Berechtigung haben, E-Mails von dieser Domain zu versenden. Au\u00dferdem k\u00f6nnen die Empf\u00e4nger eine E-Mail von einer nicht autorisierten Quelle zur\u00fcckweisen, nachdem sie deren Adresse anhand der SPF-Eintr\u00e4ge \u00fcberpr\u00fcft haben, bevor sie den Inhalt der E-Mail erhalten.<\/p>\n Wie wir im obigen Beispiel gesehen haben, hat ein SPF-Eintrag die Form eines TXT-Eintrags, in dem alle IP-Adressen von autorisierten E-Mail-Servern f\u00fcr dich aufgelistet sind. Du kannst in einem SPF-Eintrag eine oder mehrere autorisierte IP-Adressen zum Versenden von E-Mails einrichten lassen.<\/p>\n Wenn ein\/e autorisierte\/r Nutzer\/in eine E-Mail mit aktiviertem SPF-Eintrag sendet, f\u00fchrt der Mailserver des Empf\u00e4ngers einen DNS-Lookup durch, um den TXT-Eintrag zu erkennen und festzustellen, ob die IP-Adresse<\/a> des\/der Absenders\/in autorisiert ist.<\/p>\n Wenn er keinen SPF-Eintrag findet, sendet er eine „Hard Fail“- oder „Soft Fail“-Nachricht an den Absender.<\/p>\n Wenn der Server des Empf\u00e4ngers diese Domain ablehnt, muss der unberechtigte Nutzer oder Client eine Ablehnungsnachricht erhalten („hard fail“). Handelt es sich bei dem Client jedoch um einen Message Transfer Agent (MTA), wird in diesem Fall eine Bounce-E-Mail an die tats\u00e4chliche Absenderadresse generiert („soft fail“).<\/p>\n SPF-Datens\u00e4tze bestehen aus verschiedenen Bestandteilen, angefangen mit der Versionsnummer.<\/p>\n Alle SPF-Datens\u00e4tze beginnen mit einer Versionsnummer, die durch Mechanismen, die g\u00fcltige Absender definieren, autorisiert sein muss. Auf die SPF-Versionsnummer, z. B. spf1, folgt eine Zeichenkette mit Mechanismen, Quantifizierern und Modifizierern.<\/p>\n Mechanismen beschreiben die Hosts, die als autorisierte Absender f\u00fcr eine bestimmte Domain bestimmt sind. Ein SPF-Eintrag kann null oder mehrere Mechanismen enthalten. Einige der \u00fcblichen Mechanismen in SPF-Eintr\u00e4gen sind:<\/p>\n Diese definieren alle IP-Adressen, die berechtigt sind, E-Mails von der Domain zu versenden.<\/p>\n Mechanismen haben einen Quantifizierer, um zu definieren, wie sie eine \u00dcbereinstimmung behandeln k\u00f6nnen.<\/p>\n Ein E-Mail-Server vergleicht die IP-Adresse des Absenders mit der Liste der autorisierten IP-Adressen in den Mechanismen. Wenn er eine \u00dcbereinstimmung f\u00fcr die IP-Adresse in einem der SPF-Mechanismen findet, implementiert er die Regel f\u00fcr die Ergebnisbehandlung. Die Standardregel daf\u00fcr ist Die vier Quantifizierer lauten wie folgt:<\/p>\n Wenn du keinen Quantifizierer in einem SPF-Datensatz siehst, bedeutet das, dass der Mit Modifikatoren kannst du den Rahmen erweitern. Sie sind Werte- oder Namenspaare, die durch das Zeichen Die beiden am h\u00e4ufigsten verwendeten Modifikatoren sind:<\/p>\n Wenn deine Domain einen SPF-Eintrag hat, verringert sich die Wahrscheinlichkeit, dass du b\u00f6swillige, gef\u00e4lschte E-Mails erh\u00e4ltst, was deine E-Mail-Sicherheit erh\u00f6ht und dich vor Cyberangriffen und Spammern sch\u00fctzt<\/a>.<\/p>\n Ein SPF-Eintrag erh\u00f6ht au\u00dferdem die Glaubw\u00fcrdigkeit deiner Domain und verringert die Wahrscheinlichkeit, dass sie von den Spam-Filtern ausgelistet wird. So finden legitime E-Mails schneller ihren Weg zu dir.<\/p>\n Au\u00dferdem wird das Hinzuf\u00fcgen von SPF-Eintr\u00e4gen in deiner Domain immer wichtiger, um zu \u00fcberpr\u00fcfen, welche Absender E-Mails im Namen deiner Domain senden d\u00fcrfen. Es bietet viele Vorteile, die wir im Folgenden n\u00e4her erl\u00e4utern.<\/p>\n SPF-Eintr\u00e4ge erh\u00f6hen die E-Mail-Sicherheit f\u00fcr Privatpersonen und Unternehmen gleicherma\u00dfen. Im Zeitalter der Cybersecurity, in dem Nutzer\/innen auf der ganzen Welt von Cyberkriminalit\u00e4t betroffen sind, musst du Ma\u00dfnahmen ergreifen, um deinen Posteingang zu sch\u00fctzen.<\/p>\n Das Hinzuf\u00fcgen von SPF-Eintr\u00e4gen ist eine M\u00f6glichkeit, genau das zu tun. Dadurch, dass es f\u00fcr E-Mail-Angreifer\/innen schwieriger wird, in deinen Posteingang einzudringen, ist die Wahrscheinlichkeit geringer, dass Spam-Nachrichten in deinem Posteingang landen; das erh\u00f6ht deine E-Mail-Sicherheit.<\/p>\n Wenn eine Domain keinen SPF-Eintrag hat, k\u00f6nnen ihre E-Mails versagen oder von Servern als Spam markiert werden. Wenn dies wiederholt passiert, sinkt die F\u00e4higkeit, E-Mails erfolgreich an die Empf\u00e4nger\/innen zu versenden (auch Zustellbarkeit genannt).<\/p>\n Dies wird zu einem Hindernis f\u00fcr Einzelpersonen und Unternehmen, die solche Domains nutzen, um ihre Zielkunden, Mitarbeiter\/innen, Verk\u00e4ufer\/innen und andere Personen zu erreichen.<\/p>\n Wenn deine Nutzer st\u00e4ndig E-Mails von Angreifern<\/a> erhalten, die sich als dein Unternehmen<\/a> ausgeben, ist die Glaubw\u00fcrdigkeit deiner Domain in Gefahr. B\u00f6sewichte k\u00f6nnen auch deinen Kunden und Mitarbeitern schaden, indem sie ihre pers\u00f6nlichen Daten preisgeben, was deinem Ruf weiter schadet<\/a>.<\/p>\n Deshalb ist es wichtig, deine Domain mit Hilfe von SPF-Eintr\u00e4gen vor solchen Vorf\u00e4llen zu sch\u00fctzen. Indem du den Versand von E-Mails auf die in den Eintr\u00e4gen aufgef\u00fchrten autorisierten IP-Adressen beschr\u00e4nkst, verhinderst du Spam-Nachrichten und reduzierst die Wahrscheinlichkeit solcher Angriffe.<\/p>\n Das E-Mail-Verifizierungssystem DMARC stellt sicher, dass nur autorisierte Nutzer\/innen E-Mails im Namen deiner Domain versenden.<\/p>\n Seine Richtlinien geben den Servern auch vor, wie sie mit E-Mails umgehen sollen, deren DKIM- und SPF-Pr\u00fcfung fehlgeschlagen ist. DMARC schreibt vor, dass solche E-Mails als abgelehnt, als Spam oder als zugestellt markiert werden m\u00fcssen.<\/p>\n Au\u00dferdem k\u00f6nnen Domain-Administratoren Berichte \u00fcber die E-Mail-Aktivit\u00e4ten erhalten und ihre Richtlinien entsprechend anpassen.<\/p>\n Du musst einen SPF-Eintrag f\u00fcr deine Domain<\/a> einrichten, wenn du kommerzielle und transaktionsbezogene E-Mails an deine Kunden, Mitarbeiter oder Lieferanten versendest. Die Verwendung verschiedener E-Mail-Sicherheitsl\u00f6sungen erh\u00f6ht die Zustellbarkeit und Sicherheit deiner E-Mails.<\/p>\n Wenn du also m\u00f6chtest, dass deine E-Mails das gew\u00fcnschte Ziel erreichen, kannst du dies mit SPF-Eintr\u00e4gen sicherstellen und deine Domains und E-Mails besser sch\u00fctzen. Er filtert gef\u00e4lschte E-Mails von Phishern und Spammern und sch\u00fctzt deinen Ruf.<\/p>\n Hier erf\u00e4hrst du, wie du deine SPF-Eintr\u00e4ge hinzuf\u00fcgen, erstellen und bearbeiten kannst.<\/p>\n Bevor du einen SPF-Eintrag erstellst, musst du wissen, ob dein E-Mail-Versand dies \u00fcberhaupt erfordert.<\/p>\n Verstehe also zuerst den Return Path. Bei SPF geht es um die Domain, die im Return-Path verwendet wird, und nicht um die FROM-Domain. Finde daher zun\u00e4chst heraus, welchen Return-Path du f\u00fcr deinen E-Mail-Versand verwendest.<\/p>\n Au\u00dferdem k\u00f6nnen bestimmte E-Mail-Versanddienste (ESPs) wie Google deinen Domainnamen in ihrem Return-Path verwenden. Daf\u00fcr musst du einen eigenen SPF-Eintrag f\u00fcr deine Domain erstellen.<\/p>\n Andere ESPs, wie z. B. Postmark, k\u00f6nnen jedoch ihre Domain im Return-Path verwenden, ohne dass du selbst einen SPF-Eintrag erstellen musst; das muss stattdessen dein ESP tun.<\/p>\n Da du nun wei\u00dft, warum du einen SPF-Eintrag einrichten musst, gehen wir nun Schritt f\u00fcr Schritt vor, wie das geht.<\/p>\n Unternehmen k\u00f6nnen von mehreren Orten aus E-Mails verschicken. Im ersten Schritt zur Erstellung eines SPF-Eintrags musst du also feststellen, welche IP-Adressen du von deiner Domain aus zum Versenden von E-Mails verwendest. Listen Sie alle IP-Adressen und die entsprechenden Mailserver in einem Textdokument oder einer Tabelle auf.<\/p>\n Au\u00dferdem musst du herausfinden, \u00fcber welche Wege E-Mails im Namen deiner Marke versendet werden. Das kann ein Webserver, ein b\u00fcrointerner E-Mail-Server wie Microsoft Exchange, der Mailserver deines ESP, ein Mailserver des Mailbox-Anbieters deines Kunden oder ein Mailserver eines Drittanbieters<\/a> sein.<\/p>\n Wenn du dir nicht sicher bist, welche IP-Adressen du hast, kannst du dich an deinen ESP wenden und eine vollst\u00e4ndige Liste mit allen IP-Adressen deines Kontos erhalten. Eine andere M\u00f6glichkeit w\u00e4re, mit deinem Systemadministrator zu sprechen. Er kann dir eine Liste mit allen IP-Adressen geben, die in deinem Unternehmen verwendet werden.<\/p>\n Ein Unternehmen kann viele Domains besitzen. Davon k\u00f6nnen sie einige Domains f\u00fcr den E-Mail-Versand nutzen und andere f\u00fcr andere Zwecke.<\/p>\n In Schritt Nummer 2 musst du f\u00fcr jede Domain, die du besitzt, einen SPF-Eintrag erstellen, unabh\u00e4ngig davon, ob die Domains f\u00fcr E-Mails oder f\u00fcr einen anderen Zweck verwendet werden oder nicht.<\/p>\n Denn Cyberkriminelle k\u00f6nnten versuchen, andere Domains zu f\u00e4lschen, die du nicht zum Versenden von E-Mails verwendest, da sie nicht mit SPF gesch\u00fctzt sind, w\u00e4hrend andere Domains zum Versenden von E-Mails verwendet werden.<\/p>\n SPF vergleicht die IP-Adresse des Absender-Mailservers mit einer Liste autorisierter Absender-IP-Adressen, die der Absender in seinem DNS-Eintrag<\/a> ver\u00f6ffentlicht hat, um die Identit\u00e4t des Absenders zu \u00fcberpr\u00fcfen und deine E-Mails zu sch\u00fctzen.<\/p>\n Um einen SPF-Eintrag zu erstellen, musst du ein F\u00fcr den Fall, dass du eine Drittanbieterl\u00f6sung nutzt, um E-Mails im Namen deiner Domain zu versenden:<\/p>\n Dann k\u00f6nnte dein SPF etwa so aussehen:<\/p>\n Das ist f\u00fcr deine Domains, die berechtigt sind, in deinem Namen E-Mails zu versenden. F\u00fcr deine anderen Domains musst du die Modifikatoren (au\u00dfer So k\u00f6nnte dein SPF-Eintrag f\u00fcr Domains aussehen, die du nicht zum Versenden von E-Mails verwendest So kannst du deinen SPF-Eintrag erstellen. Danach musst du ihn nur noch ver\u00f6ffentlichen.<\/p>\n Sobald du den SPF-Eintrag erstellt hast, musst du ihn in deinem DNS ver\u00f6ffentlichen. Hierf\u00fcr gibt es zwei Methoden:<\/p>\n So k\u00f6nnen die Mailbox-Empf\u00e4nger wie Gmail<\/a>, Hotmail, Mailbird usw. den SPF-Eintrag anfordern.<\/p>\n Wenn du au\u00dferdem die DNS-Eintr\u00e4ge aktualisieren willst:<\/p>\n Nachdem du deinen SPF-Eintrag erstellt und ver\u00f6ffentlicht hast, kannst du ihn mit einem SPF-Eintragspr\u00fcfer testen. Auf dem Markt gibt es viele M\u00f6glichkeiten, SPF-Eintr\u00e4ge zu pr\u00fcfen, z. B. Dmarcian, Agari, Mimecast usw.<\/p>\n Wenn du einen Test durchf\u00fchrst, kannst du die G\u00fcltigkeit deines SPF-Eintrags \u00fcberpr\u00fcfen und die Liste mit allen autorisierten Servern sehen, die E-Mails im Namen deiner Domain versenden d\u00fcrfen. Wenn du keine legitime IP-Adresse in der Liste findest, kannst du die Absender-IP-Adresse links einf\u00fcgen und deinen Eintrag aktualisieren.<\/p>\n Du musst auf das DNS-Kontrollpanel deiner Domain zugreifen, um einen SPF-Eintrag hinzuzuf\u00fcgen. Wenn du einen Webhosting-Anbieter wie Kinsta nutzt, ist es einfacher, einen SPF-Eintrag zu deinem DNS hinzuzuf\u00fcgen. Du kannst dich auf die Dokumentation beziehen und den Schritten folgen, die dort beschrieben sind.<\/p>\n In der Regel ver\u00f6ffentlichen E-Mail-Dienstleister SPF-Eintr\u00e4ge, um den Versand von E-Mails von deinen Domains zu erm\u00f6glichen. Wenn du aber keine Ahnung davon hast oder dein ISP deine DNS-Eintr\u00e4ge verwaltet, kannst du dich an deine IT-Abteilung wenden.<\/p>\n Obwohl das Hinzuf\u00fcgen von SPF-Eintr\u00e4gen Vorteile in Bezug auf die E-Mail-Sicherheit, die Zustellbarkeit<\/a> und vieles mehr bietet, gibt es bestimmte Einschr\u00e4nkungen. Lass uns \u00fcber diese Einschr\u00e4nkungen sprechen.<\/p>\n In fr\u00fcheren SPF-Versionen wurden die Einstellungen in den DNS-TXT-Eintr\u00e4gen der Absenderdomains \u00fcberpr\u00fcft, um eine schnellere Bereitstellung und Pr\u00fcfung zu erm\u00f6glichen. DNS TXT-Datens\u00e4tze wurden als Freiformtext ohne jegliche Semantik entworfen.<\/p>\n Im Jahr 2005 wurde SPF jedoch von der IANA ein Typ-99-Ressourceneintrag zugewiesen. Dies f\u00fchrte zu einer geringeren Nutzung von SPF, da die Nutzer\/innen mit den beiden f\u00fcr sie verwirrenden Mechanismen \u00fcberfordert waren. Im Jahr 2014 wurde es eingestellt.<\/p>\n SPF wurde urspr\u00fcnglich entwickelt, um Angreifer daran zu hindern, die Absenderadresse einer E-Mail zu f\u00e4lschen. Aber viele tun dies jetzt nur noch im „Von“-Feld des E-Mail-Headers, das f\u00fcr die Empf\u00e4nger\/innen sichtbar ist, anstatt von ihrem MTA verarbeitet zu werden. Das erh\u00f6ht das Risiko von Spoofing.<\/p>\n Obwohl du SPF mit DMARC verwenden kannst, um das Absenderfeld des Mailheaders zu pr\u00fcfen, brauchst du m\u00f6glicherweise eine fortschrittlichere, st\u00e4rkere L\u00f6sung als SPF, um dich vor Spoofing mit Anzeigenamen zu sch\u00fctzen.<\/p>\n Au\u00dferdem ist es schwierig, SPF-Eintr\u00e4ge zu aktualisieren, wenn du E-Mail-Streams hinzuf\u00fcgst oder deinen ISP wechselst. SPF-Eintr\u00e4ge k\u00f6nnen auch die Weiterleitung einer einfachen Nachricht unterbrechen und garantieren keine E-Mail-Authentifizierung.<\/p>\n Bevor wir uns mit den Best Practises f\u00fcr die Erstellung und Pflege von SPF-Eintr\u00e4gen besch\u00e4ftigen, wollen wir zun\u00e4chst einige allgemeine Praktiken erl\u00e4utern.<\/p>\n Im Anschluss an diese allgemeinen Praktiken gehen wir auf einige der besten Praktiken f\u00fcr SPF-Eintr\u00e4ge ein.<\/p>\n SPF enth\u00e4lt viele leistungsstarke und komplexe Mechanismen, aber es ist nicht notwendig, sie alle in deinen SPF-Eintr\u00e4gen zu verwenden. Halte deine SPF-Eintr\u00e4ge einfach und definiere nur die ben\u00f6tigte Anzahl von SPF-Eintr\u00e4gen, nicht mehr als das.<\/p>\n Das gilt auch f\u00fcr den F\u00fcge die Bereiche in CIDR-Schreibweise hinzu, denn ein einziger Fehler kann den Wert dramatisch ver\u00e4ndern. Wenn es einem Angreifer also gelingt, einige deiner Systeme zu kompromittieren und eines davon die IP-Adresse dieses Bereichs besitzt, k\u00f6nnte das fatal sein. Sie k\u00f6nnen die ordnungsgem\u00e4\u00df authentifizierte IP-Adresse missbrauchen, um Spam-E-Mails zu versenden. Das k\u00f6nnte deinem Ruf schaden, zu Datenverlust f\u00fchren und dazu f\u00fchren, dass deine Domain von Mail-Providern als Spam gekennzeichnet<\/a> wird.<\/p>\n Da diese Gefahr sehr gro\u00df ist, sind die Mailanbieter wachsam geworden und blockieren Domains, die ihnen verd\u00e4chtig vorkommen, um solche Vorf\u00e4lle zu verhindern. Sie begrenzen die zul\u00e4ssigen CIDR-Gr\u00f6\u00dfenbereiche, die in SPF-Eintr\u00e4gen als g\u00fcltig angesehen werden.<\/p>\n Vermeide es, die Anweisung Die Anweisung In der Regel haben Domains nur einen SPF-Eintrag, das hei\u00dft, sie k\u00f6nnen nur einen TXT-Eintrag speichern, der mit der Anweisung Diese SPF-Beschr\u00e4nkung wird h\u00e4ufig missachtet. Viele versuchen, mehrere Eintr\u00e4ge hinzuzuf\u00fcgen, weil sie vielleicht verschiedene Dienste in ihrer Domain eingerichtet haben und jeder Dienstanbieter von ihnen verlangt, dass sie einen SPF-Eintrag f\u00fcr ihre Domain erstellen und hinzuf\u00fcgen.<\/p>\n Doppelte Eintr\u00e4ge schaden deiner E-Mail-Zustellbarkeit, f\u00fchren zu Sicherheitsrisiken und k\u00f6nnen deinen Ruf sch\u00e4digen. Gro\u00dfe E-Mail-Anbieter wie Google und Microsoft haben Techniken, um solche Sch\u00e4den zu begrenzen und doppelte Eintr\u00e4ge automatisch zu korrigieren. Bei kleineren E-Mail-Systemen ist das jedoch nicht der Fall.<\/p>\n Wenn du doppelte SPF-Datens\u00e4tze feststellst, musst du dich sofort um das Problem k\u00fcmmern, was relativ einfach zu beheben ist. Unternehmen mit mehreren SPF-Eintr\u00e4gen k\u00f6nnen diese zu einem einzigen zusammenfassen. Durch das Zusammenf\u00fchren zweier SPF-Datens\u00e4tze wird sichergestellt, dass SPF-Datens\u00e4tze k\u00f6nnen laut RFC bis zu 255 Zeichen f\u00fcr eine einzelne Zeichenfolge enthalten. Diese Begrenzung gilt f\u00fcr alle TXT-Eintr\u00e4ge in einem DNS.<\/p>\n Wie bereits erl\u00e4utert, k\u00f6nnen SPF-Datens\u00e4tze, die diese Richtlinie nicht einhalten, zu dauerhaften oder vor\u00fcbergehenden Fehlern in den Mailsystemen der Empf\u00e4nger f\u00fchren. Auch wenn dein DNS-Manager dich daran hindert, \u00fcber diese Grenze hinauszugehen, kann es zu Problemen kommen, wenn du l\u00e4ngere Eintr\u00e4ge speicherst.<\/p>\n Auch wenn die Datens\u00e4tze nur 255 Zeichen lang sein d\u00fcrfen, gibt es die M\u00f6glichkeit, mehrere Zeichenketten in einem DNS-Eintrag zu erstellen. Wenn also ein Empf\u00e4nger-Mailserver den SPF-Datensatz analysiert und mehrere Zeichenfolgen in einem Datensatz findet, kombiniert er sie in einer bestimmten Reihenfolge ohne Leerzeichen.<\/p>\n Sobald dies geschehen ist, pr\u00fcft der Mailserver den Inhalt. Beachte, dass die Gesamtzahl der Zeichen in deinem Eintrag begrenzt ist, auch wenn du mehrere Zeichenfolgen hinzuf\u00fcgen kannst. Dieses Limit zu verstehen, k\u00f6nnte schwierig sein, aber es stellt sicher, dass die DNS-Pakete 512 Bytes nicht \u00fcberschreiten, was die empfohlene UDP-Paketl\u00e4nge ist.<\/p>\n Wenn dein SPF-Datensatz diese Grenze jedoch \u00fcberschreitet, solltest du Unterdatens\u00e4tze erstellen und einen einzelnen Datensatz in mehrere Datens\u00e4tze aufteilen, um Probleme bei der SPF-\u00dcberpr\u00fcfung zu vermeiden. Wenn du deine SPF-Datens\u00e4tze aufteilst, f\u00fcge jeden Unterdatensatz in den Hauptteil ein. Sei vorsichtig, da dies zu einer \u00fcberw\u00e4ltigenden Anzahl von DNS-Anfragen f\u00fchren kann, was ein Sicherheitsproblem darstellt, das behoben werden muss.<\/p>\n Du musst nicht nur 255 Zeichen in einer Zeichenkette einhalten, sondern auch die Anzahl der DNS-Lookups begrenzen. Die RFC-Spezifikationen schreiben vor, nicht mehr als 10 DNS-Lookups in einem Eintrag durchzuf\u00fchren. Das hilft, Probleme wie endlose DNS-Schleifen und DDoS-Angriffe (Distributed Denial of Service)<\/a> zu verhindern.<\/p>\n Aber was passiert wirklich, wenn du mehr als 10 Suchvorg\u00e4nge in deinem Eintrag durchf\u00fchrst?<\/p>\n Es f\u00fchrt zu einem permanenten Fehler bei der SPF-Authentifizierung. SPF-Mechanismen – Die Mechanismen – Achte au\u00dferdem auf verschachtelte Include-Anweisungen, wie z. B. Sub-Records, die dazu verwendet werden, einen gr\u00f6\u00dferen Record aufzul\u00f6sen. Dies kann dazu f\u00fchren, dass dein SPF-Eintrag mehr DNS-Abfragen erzeugt. Wenn du also einen Drittanbieterdienst nutzt, achte darauf, dass dieser keine \u00fcberm\u00e4\u00dfigen DNS-Abfragen in SPF-Eintr\u00e4gen verwendet.<\/p>\n Alle SPF-Eintr\u00e4ge werden auf ein Subnetz oder eine IP-Adresse aufgel\u00f6st.<\/p>\n Beim Erstellen einer Liste von IP-Adressen und Systemen, die E-Mails versenden d\u00fcrfen, k\u00f6nnen leicht doppelte Subnetze und IP-Adressen entstehen. Das kann passieren, wenn du die Anweisung Wenn sich die IP-Adresse des Servers nur selten \u00e4ndert, ist es am besten, die Schreibweise ip4 oder ipv6 zu verwenden. So k\u00f6nnen die Empf\u00e4nger DNS-Abfragen vermeiden. Au\u00dferdem kannst du einen IP-Adressbereich angeben, wenn du eine lange Liste mit ausgehenden E-Mail-Servern hast, da die DNS-Abfragen f\u00fcr jeden SPF-Eintrag auf zehn begrenzt sind.<\/p>\n Abgesehen davon kannst du noch ein paar weitere Dinge beachten:<\/p>\n DomainKeys Identified Mail (DKIM) bietet einen Verschl\u00fcsselungsschl\u00fcssel und eine digitale Signatur, die nachweisen, dass eine E-Mail-Nachricht nicht gef\u00e4lscht oder ver\u00e4ndert wurde. Da DKIM kryptografische digitale Signaturen verwendet, musst du einige Best Practices befolgen, um deine Domain zu sch\u00fctzen.<\/p>\n Domain-based Message Authentication and Conformance (DMARC) vereint die SPF- und DKIM-Authentifizierungsmechanismen in einem gemeinsamen Rahmen und erm\u00f6glicht es Domaininhabern zu erkl\u00e4ren, wie sie m\u00f6chten, dass eine E-Mail von dieser Domain behandelt wird, wenn sie einen Autorisierungstest nicht besteht.<\/p>\n Die Verwendung von DMARC bringt viele Vorteile mit sich. Es bietet dir eine Berichtsfunktion und erm\u00f6glicht es dir, Mailbox-Service-Providern zu signalisieren, dass sie Nachrichten, die die Authentifizierung nicht bestanden haben und im Namen deiner Domain gesendet werden, blockieren sollen. So kannst du betr\u00fcgerische Nachrichten, die von deiner Domain gesendet werden, identifizieren und blockieren.<\/p>\n Wenn du DMARC noch nicht verwendest, solltest du sofort damit anfangen. Und wenn du es tust, stelle sicher, dass deine Nachrichten einen „Identifier Alignment“ enthalten Diese Ausrichtung ist wichtig, damit eine E-Mail die DMARC-Pr\u00fcfung besteht. Wenn du sie aber bei der Verwendung von DMARC nicht angibst, werden deine E-Mails direkt an die verd\u00e4chtige Liste geschickt.<\/p>\n Du kannst einige Tools verwenden, um SPF-Eintr\u00e4ge zu \u00fcberpr\u00fcfen. Diese Tools sind als SPF-Eintrags\u00fcberpr\u00fcfungsprogramme oder SPF-Eintragspr\u00fcfer bekannt.<\/p>\n Ein SPF-Datensatz-Pr\u00fcfer hilft dabei, die G\u00fcltigkeit eines SPF-Datensatzes sicherzustellen, indem er verschiedene Parameter \u00fcberpr\u00fcft:<\/p>\n Beispiele f\u00fcr SPF-Record-Checker sind unter anderem Dmarcian, Agari und Mimecast.<\/p>\n\n Da sich die Cybersecurity-Risiken weiterentwickeln und sowohl Privatpersonen als auch Unternehmen betreffen, musst du sicherstellen, dass du so viele Sicherheitsschichten wie m\u00f6glich einbaust, um gesch\u00fctzt zu bleiben. Du kannst viele Sicherheitstechniken, Tools, L\u00f6sungen und Dienste nutzen, um deine Daten, dein Netzwerk, deine Anwendungen und Systeme zu sch\u00fctzen.<\/p>\n Das Hinzuf\u00fcgen eines SPF-Eintrags zu deiner Domain ist eine dieser Techniken, die dazu beitragen kann, dein Gesch\u00e4ftsverm\u00f6gen und deine Reputation zu sch\u00fctzen, indem sie Spammer daran hindert, E-Mails im Namen deiner Domain zu versenden.<\/p>\n Die Verwendung eines SPF-Eintrags allein bietet dir m\u00f6glicherweise keinen vollst\u00e4ndigen Schutz; verwende daher DKIM und DMARC zusammen mit deinen SPF-Eintr\u00e4gen. Diese Strategie ist effizienter, wenn es darum geht, Sicherheitsrisiken wie E-Mail-Spoofing zu erkennen, von Servern auf eine schwarze Liste gesetzt zu werden oder als Spam gekennzeichnet zu werden.<\/p>\n Wenn du diese Techniken verwendest, solltest du die oben genannten Best Practices f\u00fcr SPF-Eintr\u00e4ge, DKIM und DMARC befolgen und einen SPF-Eintragschecker verwenden, um die G\u00fcltigkeit deines Eintrags zu pr\u00fcfen.<\/p>\n","protected":false},"excerpt":{"rendered":" Eine Sicherheitstechnologie wie das Sender Policy Framework (SPF) kann sich in einer von Online-Angriffen und Spam-Nachrichten geplagten Welt als unsch\u00e4tzbar erweisen. Cybersicherheit ist ein wichtiges Anliegen …<\/p>\n","protected":false},"author":164,"featured_media":52937,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_kinsta_gated_content":false,"_kinsta_gated_content_redirect":"","footnotes":""},"tags":[49,68,182,819,820],"topic":[978,940],"class_list":["post-52936","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","tag-dns","tag-email","tag-email-deliverability","tag-recor","tag-spf","topic-sicherheitstipps","topic-e-mail-marketing-tipps"],"yoast_head":"\n
\nWas bedeutet SPF?<\/h2>\n
![\"Zeigt](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/spfrecord-1.png\")
Was ist ein SPF-Eintrag?<\/h2>\n
![\"Jede](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/SPF-Record-1.png\")
SPF-Datensatz-Syntax<\/h3>\n
Beispiel f\u00fcr einen SPF-Eintrag<\/h3>\n
<v=\"spf1 a include:_spf.google.com -all\">\n<\/pre>\n
\n
v=spf1<\/code> ist die SPF-Version 1, eine Komponente, die einen TXT-Eintrag als SPF-Eintrag identifiziert.<\/li>\na<\/code> erm\u00e4chtigt den im A-Eintrag der Domain ermittelten Host, die E-Mails zu versenden.<\/li>\ninclude:<\/code> wird verwendet, um E-Mails zu autorisieren, die der Absender im Namen einer Domain (hier google.com) versenden darf.<\/li>\n-all<\/code> teilt dem Server des Empf\u00e4ngers mit, dass die Adressen, die nicht in diesem SPF-Eintrag aufgef\u00fchrt sind, keine E-Mails versenden d\u00fcrfen. Au\u00dferdem werden die Server angewiesen, solche Adressen abzulehnen.<\/li>\n<\/ul>\nWie funktioniert ein SPF-Eintrag?<\/h2>\n
![\"Verschiedene](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/SPF-Record-Works-1-1.jpg\")
Bestandteile eines SPF-Datensatzes<\/h2>\n
Versionsnummer<\/h3>\n
Mechanismen<\/h3>\n
\n
a<\/code>:<\/strong> Gibt alle IP-Adressen in einem DNS-A-Eintrag an (Beispiel: v=spf1 a:google.com -all<\/code>). Er wird als letztes verwendet und definiert die Regel f\u00fcr den Umgang mit einer Absender-IP, die keinem der vorherigen Mechanismen entspricht.<\/li>\nmx<\/code>:<\/strong> Definiert alle A-Eintr\u00e4ge in Richtung des MX-Eintrags, der zu jedem Host geh\u00f6rt. Beispiel v=spf1 mx mx:google.com -all<\/code><\/li>\ninclude:<\/code>:<\/strong> Legt andere autorisierte Domains fest (Beispiel: v=spf1 include:outlook.microsoft.com -all<\/code>). Wenn die Richtlinie dieser bestimmten Domain g\u00fcltig ist, ist auch dieser Mechanismus g\u00fcltig. Du brauchst die Redirect-Erweiterung, wenn du eine vollst\u00e4ndige Delegation mit der Richtlinie einer anderen Domain erreichen willst.<\/li>\nptr<\/code>:<\/strong> Sie definiert alle A-Datens\u00e4tze in Richtung des PTR-Datensatzes des jeweiligen Hosts (Beispiel: v=spf1 ptr:domain.com -all<\/code>). Allerdings solltest du diesen Mechanismus nach M\u00f6glichkeit vermeiden.<\/li>\nall<\/code>:<\/strong> Entspricht allen entfernten und lokalen IP-Adressen und wird am Ende des SPF-Records verwendet (Beispiel: v=spf1 +all<\/code>).<\/li>\nexists<\/code>:<\/strong> Damit werden Dommains angegeben, die gem\u00e4\u00df der SPF-Definition als Ausnahme abgemeldet sind. Wenn eine Abfrage auf eine bestimmte Domain ausgef\u00fchrt wird, ist sie eine \u00dcbereinstimmung, wenn sie ein Ergebnis erh\u00e4lt. Sie wird selten verwendet und bietet kompliziertere \u00dcbereinstimmungen wie DNSBL-Abfragen.<\/li>\nip4<\/code>:<\/strong> Wird verwendet, um eine IPv4-Adresse zu definieren, zum Beispiel: v=spf1 ip4:192.0.0.1 -all.<\/li>\nip6<\/code>: Wird verwendet, um eine IPv6-Adresse zu definieren, z. B. v=spf1 ip6:2001:db8::8a2e:370:7334 -all<\/li>\n<\/ul>\nQuantifizierer<\/h3>\n
pass<\/code> oder +<\/code>.<\/p>\n\n
+<\/code><\/strong> stellt das PASS-Ergebnis dar. Wenn die Adresse den Test besteht, muss die Nachricht akzeptiert werden (Beispiel: v=spf1 +all<\/code>). Du kannst es weglassen, weil z. B. +mx<\/code> und mx<\/code> dasselbe sind.<\/li>\n-<\/code><\/strong> steht f\u00fcr HARDFAIL und gibt an, dass die Adresse den Test nicht bestanden hat und die E-Mail abgelehnt werden muss (Beispiel: v=spf1 -all<\/code>).<\/li>\n~<\/code><\/strong> steht f\u00fcr SOFTFAIL und wird wie eine Tilde ausgesprochen. Es bedeutet, dass die Adresse den Test nicht bestanden hat; das Ergebnis ist jedoch nicht endg\u00fcltig. Du kannst eine nicht konforme E-Mail akzeptieren und kennzeichnen (Beispiel: v=spf1 ~all<\/code>).<\/li>\n?<\/code><\/strong> steht f\u00fcr NEUTRAL, d.h. die Adresse hat den Test weder bestanden noch nicht bestanden und du kannst sie annehmen oder ablehnen (Beispiel: v=spf1 ?all<\/code>).<\/li>\n<\/ul>\n+all<\/code> Quantifizierer angewendet wird.<\/p>\nModifikatoren<\/h3>\n
=<\/code> getrennt sind und weitere Informationen liefern. SPF-Datens\u00e4tze k\u00f6nnen auch null, einen oder zwei Modifikatoren haben, aber sie d\u00fcrfen nur einmal, am Ende des Datensatzes, erscheinen.<\/p>\n\n
redirect<\/code>:<\/strong> Wird verwendet, um eine Anfrage an andere Domains zu senden. Dieser Modifikator ist im Vergleich zu anderen Mechanismen und Modifikatoren einfach zu verstehen und wird verwendet, wenn du mehrere Domains hast und \u00fcberall denselben SPF-Eintrag verwenden musst.<\/li>\nexp<\/code>:<\/strong> Wird verwendet, um eine Erkl\u00e4rung abzugeben, wenn ein FAIL-Quantifizierer in einem abgeglichenen Mechanismus enthalten ist. Diese Erkl\u00e4rung wird in das SPF-Protokoll aufgenommen.<\/li>\n<\/ul>\nWarum brauchst du SPF-Eintr\u00e4ge?<\/h2>\n
Erh\u00f6hte E-Mail-Sicherheit<\/h3>\n
![\"Zwei](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/Email-Security.jpg\")
Verbesserte Zustellbarkeit von E-Mails<\/h3>\n
Verbesserte Domain-Reputation<\/h3>\n
![\"Zeigt](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/Domain-Reputation.jpg\")
DMARC-Konformit\u00e4t<\/h3>\n
Wer braucht einen SPF-Eintrag?<\/h2>\n
\n
Wie man SPF-Eintr\u00e4ge erstellt, hinzuf\u00fcgt und bearbeitet<\/h2>\n
So erstellst du einen SPF-Eintrag<\/h3>\n
![\"Anzeige](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/How-to-Create-.jpg\")
Schritt 1: Identifiziere IP-Adressen, die E-Mails senden<\/h4>\n
Schritt 2: Liste der sendenden Domains<\/h4>\n
Schritt 3: Einrichten des SPF-Eintrags<\/h4>\n
v=spf1<\/code> Tag schreiben, gefolgt von den IP-Adressen, die f\u00fcr den Versand von E-Mails zugelassen sind. Beispiel v=spf1 ip4:192.0.0.1 -all<\/code><\/p>\n\n
include<\/code> in den SPF-Eintrag ein, um anzugeben, dass die dritte Partei ein legitimer Absender ist. Du kannst zum Beispiel schreiben include:google.com<\/code><\/li>\n-all<\/code> oder ~all<\/code>. Hier bedeutet der Tag -all<\/code> ein HARD SPF FAIL, w\u00e4hrend der Tag ~all<\/code> ein SOFT SPF FAIL bedeutet. Bei f\u00fchrenden Mailbox-Anbietern f\u00fchren jedoch sowohl -all<\/code> als auch ~all<\/code> zu einem SPF-Fehler. Im Allgemeinen wird -all<\/code> jedoch h\u00e4ufig verwendet, da es sicherer ist.<\/li>\nv=spf1 ip4:192.0.0.1 include:google.com -all<\/code><\/p>\n-all<\/code>) im SPF-Eintrag ausschlie\u00dfen.<\/p>\nv=spf1 \u2013all<\/code><\/p>\nSchritt 4: Ver\u00f6ffentlichen des SPF-Eintrags<\/h4>\n
\n
\n
Schritt 5: Teste den SPF-Eintrag<\/h4>\n
So f\u00fcgst du einen SPF-Eintrag f\u00fcr deine Domain hinzu<\/h3>\n
![\"Anzeige](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/How-to-Add.jpg\")
Beschr\u00e4nkungen von SPF-Eintr\u00e4gen<\/h2>\n
DNS SPF-Eintr\u00e4ge<\/h3>\n
Header-Probleme<\/h3>\n
Best Practices f\u00fcr SPF-Eintr\u00e4ge<\/h2>\n
\n
+all<\/code> ein. Die einzige M\u00f6glichkeit, all<\/code> produktiv zu nutzen, ist in den Mechanismen ~all<\/code> oder -all<\/code>.<\/li>\n<\/ul>\nBegrenzte SPF-Eintr\u00e4ge verwenden<\/h3>\n
include:<\/code> Mechanismus. Verwende ihn in einer begrenzten Anzahl und vermeide verschachtelte Includes, wenn du kannst. So verhinderst du, dass du das Limit von 10 DNS-Lookups \u00fcberschreitest. Du kannst auch eine Vielzahl von IP-Adressen auf einmal hinzuf\u00fcgen, anstatt alles einzeln zu tun. Das vereinfacht den Prozess und spart Zeit.<\/p>\nBereiche in CIDR-Notation angeben<\/h3>\n
Vermeide die Verwendung der +all-Anweisung<\/h3>\n
+all<\/code> in deinen SPF-Datens\u00e4tzen zu verwenden. Sie kann zu freiz\u00fcgig wirken, und es ist schwierig, diese Art von Sicherheitsproblemen zu erkennen, da diese SPF-Datens\u00e4tze syntaktisch g\u00fcltig sind. Selbst Tools und Pr\u00fcfl\u00f6sungen zur \u00dcberpr\u00fcfung der Datens\u00e4tze k\u00f6nnen \u00fcberm\u00e4\u00dfig freiz\u00fcgige Datens\u00e4tze m\u00f6glicherweise nicht erkennen.<\/p>\n+all<\/code> erm\u00f6glicht es dem SPF-Datensatz, buchst\u00e4blich dem gesamten Internet zu erlauben, E-Mails im Namen deiner Dom\u00e4ne zu versenden, einschlie\u00dflich der b\u00f6sartigen. In der Tat haben Domains, die in den Spam-Versand verwickelt sind, oft SPF-Eintr\u00e4ge, die mit +all<\/code> enden. So k\u00f6nnen sie von jeder IP-Adresse aus Spam-E-Mails versenden, die mit Malware infiziert<\/a> sind.<\/p>\nVorsicht vor doppelten Eintr\u00e4gen<\/h3>\n
v=spf1<\/code> beginnt. Wenn du versuchst, mehrere Eintr\u00e4ge in einer Domain hinzuzuf\u00fcgen, kann das zu dauerhaften Fehlern f\u00fchren.<\/p>\n![\"Anzeige,](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/duplicate-data-1-1.jpg\")
v=spf1<\/code> am Anfang des SPF-Datensatzes bleibt und nur einmal erscheint, w\u00e4hrend all<\/code> am Ende bleibt.<\/p>\nZeichenbegrenzung<\/h3>\n
DNS-Abfragen begrenzen<\/h3>\n
include:<\/code>, a<\/code>, PTR<\/code>, mx<\/code>, exists<\/code> und redirect<\/code> – f\u00fchren zu einer DNS-Abfrage.<\/p>\nall<\/code>, ip4<\/code> und ip6<\/code> – z\u00e4hlen jedoch nicht f\u00fcr eine DNS-Abfrage.<\/p>\nVermeide doppelte Subnetze und IP-Adressen<\/h3>\n
![\"Anzeige](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/subnetduplicate-1.jpg\")
include:<\/code> in deinem SPF-Eintrag und in den MX-Eintr\u00e4gen der Domain f\u00fcr den Mailboxdienstanbieter hinzuf\u00fcgst. Diese IPs k\u00f6nnten dieselben sein und zu den einbezogenen Subnetzen geh\u00f6ren.<\/p>\n\n
include:<\/code> Mechanismen und vermeide verschachtelte Includes, wenn du kannst.<\/li>\n~all<\/code> oder -all<\/code> anstelle des Mechanismus +all<\/code>.<\/li>\nexists<\/code> SPF-Mechanismus zu verwenden, denn wenn du ihn nicht richtig einsetzt, k\u00f6nnen Sicherheitsrisiken durch die Fehler, die w\u00e4hrend des Prozesses gemacht werden, durchsickern.<\/li>\nVerwendung von DKIM mit SPF<\/h3>\n
\n
Verwendung von DMARC mit SPF<\/h3>\n
Wie pr\u00fcfe ich SPF-Eintr\u00e4ge?<\/h2>\n
SPF-Datensatz-Pr\u00fcfer<\/h3>\n
![\"Anzeige](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/checkspf.png\")
\n
Zusammenfassung<\/h2>\n