„SPF PermError“, verursacht durch zu viele DNS-Abfragen, ist ein häufiger Fehler, der bei vielen Sender Policy Framework-Implementierungen auftritt. Wenn SPF mehr als 10 DNS-Abfragen durchführt, tritt ein „PermError“ auf, der auch als SPF-Dauerfehler bezeichnet wird und zu einer Verringerung der Zustellbarkeit von E-Mails führen kann.
- Was bedeutet die Fehlermeldung „SPF zuviele DNS-Abfragen“?
- Warum gibt es eine Begrenzung für SPF-DNS-Eintragsabfragen?
- Wie behebe ich „SPF zu viele DNS-Abfragen“?
Was bedeutet die Fehlermeldung „SPF zuviele DNS-Abfragen“?
Da ein SPF PermError von DMARC als FAIL gewertet wird, steigt die Wahrscheinlichkeit, dass der Empfänger Ihre E-Mail als „Junk“ markiert. Daher wird dringend empfohlen, die DNS-Abfragemechanismen/Modifikatoren Ihres SPF-Eintrags bei oder unter 10 zu halten.
Das Tool zur SPF-Eintragsabfrage von EasyDMARC kann verwendet werden, um SPF-Einträge für Ihre Domain zu überprüfen.
Warum gibt es eine Begrenzung für SPF-DNS-Eintragsabfragen?
Die Begrenzung auf 10 DNS-Abfragen ist notwendig, um sich vor Bedrohungen wie DDoS-Angriffen zu schützen. Das folgende Beispiel soll dies verdeutlichen.
Auf einer bestimmten Domain, „baddomain.com“, veröffentlicht ein böswilliger Akteur einen SPF-Eintrag mit mehreren Verweisen (z. B. mit dem „include“-Mechanismus) auf eine andere Domain, z. B. „yourdomain.com“.
Sie senden eine große Anzahl von E-Mails von der E-Mail-Adresse „baddomain.com“ an Postfächer, die von verschiedenen E-Mail-Dienstanbietern (ESPs) mit aktiviertem SPF gehostet werden. Wenn ESPs diese E-Mails erhalten, überprüfen sie die DNS-Einträge von „yourdomain.com“, um den SPF-Eintrag des bösen Absenders zu bestätigen.
Er verstärkt den Datenverkehr und wird zu einem DDoS-Angriff auf die Domain „yourdomain.com“, da er viele ESPs in den Prozess der Überprüfung der DNS-Einträge der Domain einbezieht.
Die eigentliche Quelle des Angriffs ist in der gesamten Transaktionskette verborgen. So können Sie sehen, wie ein böswilliger Akteur die E-Mail-Authentifizierung ausnutzt. Die Begrenzung der maximalen Anzahl von DNS-Abfragen pro Prüfung durch den ESP hilft also, das Risiko zu minimieren.
Wie behebe ich „SPF zu viele DNS-Abfragen“?
Bei der Erstellung eines SPF-Eintrags sind die folgenden Praktiken üblich, die es Ihnen ermöglichen, die Grenze von 10 DNS-Abfragen einzuhalten:
1. Unnötige „include“-Anweisungen entfernen
Eine DNS-Abfrage wird auf den SPF-Eintrag einer anderen Domain umgeleitet, um alle genehmigten IPs mit einer „include“-Anweisung zu überprüfen. Die 10-Einträge-Grenze wird auf jede „include“-Anweisung im ursprünglichen SPF-Eintrag sowie auf alle umgeleiteten SPF-Einträge angewendet.
Stellen Sie sicher, dass jede „include“-Anweisung in Ihrem SPF-Eintrag erforderlich ist und nicht durch einen Mechanismus ersetzt werden kann, der nicht auf das Limit angerechnet wird.
Die Mechanismen „all“, „ip4“ und „ip6“ sowie der Modifikator „exp“ führen während der SPF-Bewertung keine DNS-Abfragen durch. Der „exp“-Modifikator führt später eine Abfrage durch, und ihre Verwendung ist von der Begrenzung auf 10 DNS-Abfragen ausgenommen.
Beispiel
Dieser Eintrag wird als defekt betrachtet, und die Anzahl der gesamten Suchabfragen/Modifikatoren sollte reduziert werden, um ihn zu reparieren.
Die SPF-Eintragsabfrage wird nach dem Löschen unnötiger „include“-Anweisungen korrekt zurückgegeben:
Beispiel
Jetzt scheint Ihr SPF-Eintrag in Ordnung zu sein.
Vergessen Sie nicht, unser Tool zur Überprüfung von SPF-Einträgen zu verwenden, um nach dem Vorhandensein von mehreren SPF-Einträgen im DNS zu suchen, was zu einem „Permerror“ führen kann.
2. ip4- und ip6-Methoden verwenden
Verwenden Sie bei Bedarf den ip4- oder ip6-Mechanismus anstelle der Anweisung „include“. In Ihrem SPF-Eintrag werden die Mechanismen ip4 und ip6 verwendet, um eine statische IP-Gruppe aufzulisten.
Ein SPF-Eintrag mit „include“-Anweisungen:
Beispiel
Der SPF-Eintrag in diesem Beispiel enthält eine Reihe von statischen IP-Bereichen. Die Gesamtzahl der Abfragen verringert sich um 3, wenn die „include“-Anweisung durch den ip4-Mechanismus ersetzt wird, so dass 10 statt 13 Abfragen erfolgen.
Beispiel
Wenn Sie mehrere „include“-Anweisungen in Ihrem SPF-Eintrag haben, hilft Ihnen diese Ersetzung, die Anzahl der DNS-Abfragen zu minimieren.
3. Mechanismen entfernen, die zur gleichen Domain gehören
Dieser SPF-Eintrag bezieht sich sowohl auf die Domain baddomain.com als auch auf yourdomain.com.
Der SPF-Eintrag für baddomain.com enthält dagegen bereits eine „include“-Anweisung für yourdomain.net. Daher ist der Mechanismus include:spf.yourdomain.net nicht mehr erforderlich und sollte abgeschafft werden.
4. Alle „ptr“-Mechanismen löschen
Der „ptr“-Mechanismus ist eine Art von DNS-Eintrag, der eine IP-Adresse mit einer Domain oder einem Hostnamen verknüpft. In der SPF-Spezifikation wird die Verwendung des „ptr“-Mechanismus im SPF-Eintrag nicht empfohlen, da dies zu einer großen Anzahl von DNS-Abfragen führen kann, die den Grenzwert von 10 überschreiten.
Entfernen Sie alle ungültigen oder ungenutzten Domain-Verweise.
Löschen Sie alle „include“-Anweisungen, die die SPF-Prüfung auf eine Domain lenken, die keine E-Mails mehr in Ihrem Namen versendet, wie z. B. Partner- oder Verkäuferdomains.
Sie können auch überprüfen, ob alle Domains, die Sie in Ihrem SPF-Eintrag verwenden, auf einen aktiven SPF-Eintrag verweisen. Andernfalls müssen sie entfernt werden, um DNS-Suchvorgänge zu reduzieren.
5. Einen abgeflachten SPF-Eintrag verwenden
Unabhängig davon, wie viele Verbesserungen Sie am SPF-Eintrag vorgenommen haben, kann es sein, dass Sie das Limit von 10 DNS-Eintragsabfragen nicht immer einhalten können. Daher sollten Sie als Abhilfe einen abgeflachten SPF-Eintrag verwenden. Außerdem können Sie die Anzahl der DNS-Abfragemechanismen/Modifikatoren auf 1 reduzieren, indem Sie einen abgeflachten SPF-Eintrag verwenden.
Das Verfahren zum Abflachen von SPF-Einträgen ist wie folgt:
- Ermitteln Sie die IP-Adressen für jeden der im Eintrag verwendeten DNS-Abfragemechanismen / Modifikatoren durch Abfrage des DNS.
- Ersetzen Sie den ursprünglichen Mechanismus/Modifikator durch die IP-Adressen.
Die Gesamtzahl der DNS-Abfragen sinkt jedes Mal um eins, wenn ein Mechanismus oder ein Modifikator ersetzt wird. Wenn beide Mechanismen/Modifikatoren entfernt werden, sinkt die Gesamtzahl auf eins, da nur der oberste SPF-Eintrag eine DNS-Abfrage benötigt.
Fazit
Der Vorteil dieses Ansatzes besteht darin, dass Sie mit der SPF-Abflach-Technik einen sehr komplexen SPF-Eintrag mit mehr als 10 DNS-Abfragen in eine IP-Adressenliste umwandeln können und dabei sicher bleiben.
Der Nachteil ist jedoch, dass der abgeflachte SPF-Eintrag die Synchronisierung mit den angegebenen IP-Adressen verliert, was zu falschen SPF-Authentifizierungsergebnissen führt, wenn sich die IP-Adressen ändern. Außerdem müssen Sie die IP-Adressen überwachen und Ihre SPF-Einträge ständig manuell aktualisieren.
Wenn Sie nicht den richtigen SPF-Eintrag haben, nachdem Sie ihn mit den oben genannten Tipps optimiert haben, empfehlen wir als letzten Ausweg die Verwendung eines abgeflachten SPF-Eintrags.
Eine Alternative zu SPF-Abflachung ist EasyDMARCs EasySPF-Tool, das SPF-Abfragen dynamisch verwaltet und letztlich das Problem „Zu viele DNS-Abfragen“ löst. EasySPF ermöglicht es Ihnen, Ihre E-Mail-Versandquellen automatisch zu autorisieren und das SPF-Problem „Zu viele DNS-Abfragen“, das „Permerror“ verursacht, zu lösen. Fügen Sie eine große Anzahl von E-Mail-Dienstanbietern hinzu, löschen Sie sie und aktualisieren Sie sie, ohne die Einschränkung der 10 SPF-DNS-Abfragen mit einem einzigen Eintrag in Ihrem SPF-Eintrag.
Was ist ein DKIM-Selektor und wie funktioniert er?