Sender Policy Framework oder SPF ist einer der Sicherheitsstandards für die E-Mail-Authentifizierung, auf die sich DMARC (neben DKIM) stützt.
Es ist ein wesentlicher Mechanismus, der für eine ausgehende E-Mail-Quelle erforderlich ist, um DMARC-Konformität zu erreichen. Eine Domain kann nur einen einzigen SPF-Eintrag in ihrer DNS-Zone haben. Er enthält eine Liste aller IP-Adressen, die E-Mails im Namen Ihrer Domain versenden dürfen.
Bevor wir ins Detail gehen, müssen Sie wissen, dass es in jeder E-Mail zwei Absenderadressen gibt.
- Rücksendepfad-Adresse: Sie wird auch als „Bounce-Adresse“, „Umschlagabsender“ oder „Umschlag von“ bezeichnet und wird für Bounce-Zwecke verwendet. Wenn eine E-Mail nicht an das vorgesehene Ziel gelangt, gibt der Rücksendepfad an, wohin Nichtzustellungsbestätigungen (oder Bounce-Nachrichten) gesendet werden sollen.
- Absenderadresse: Von wem eine E-Mail stammt und woher sie kommt. Dies wird in den meisten E-Mail-Programmen als „Von“ angezeigt.
Beim SPF-Abgleich geht es darum, dass die Domain der Absenderadresse mit der Domain des Rücksendepfads übereinstimmt. Wenn beispielsweise die Absenderadresse [email protected] und der Rücksendepfad [email protected] lautet, ist der SPF-Abgleich erreicht. Wenn die IP-Adresse auf der Whitelist steht, wird die E-Mail DMARC-konform.
Im Beispiel unten sehen wir, dass die Absenderdomain „easydmarc.com“ und der Rücksendepfad-Domain (oder mailed-by im Screenshot) „notifications.easydmarc.com“ ist. Der SPF-Abgleich wird standardmäßig erreicht, da der aspf auf „relaxed“ eingestellt ist. Sie können hier mehr über Abgleich-Tags lesen.
Wir können auch die E-Mail-Kopfzeilen analysieren, um die Rücksendepfad- und Absenderadresse zu überprüfen. Im Screenshot unten stimmen beide überein, wie in den grünen Kästchen zu sehen ist. Wir können auch sehen, dass die IP-Adresse auf der Whitelist steht, wodurch diese E-Mail mit SPF übereinstimmt und somit eine DMARC-konforme E-Mail ist.
Fall 1: Fehlgeschlagener Abgleich
In einigen Fällen konfigurieren E-Mail-Dienstleister oder ESPs SPF falsch, indem sie ihre Benutzer anweisen, ihren SPF-Eintrag mit ihren Quell-IPs auf der Whitelist anzuhängen/zu aktualisieren, ohne einen Abgleich mit ihrer Domain/ihren Subdomains zu erreichen.
Denken Sie daran, dass Sie durch das Hinzufügen eines Quell-Servers in Ihrem SPF-Eintrag lediglich IP-Quellen auf die Whitelist setzen, ohne einen Abgleich zu erreichen.
Ein Beispiel: Constant Contact ist eine weithin bekannte E-Mail-Marketinglösung.
Eine einfache Google-Suche nach „Constant Contact SPF“ leitet Sie auf deren Website weiter. Siehe den Screenshot unten:
Die Aktualisierung Ihres SPF-Eintrags mit dem angegebenen „include“ ermöglicht es Constant Contact, die SPF-Authentifizierung zu bestehen, ohne mit Ihrer Domain übereinzustimmen.
Schauen wir uns diese Fehlanpassung anhand der aggregierten DMARC-Berichte genauer an:
- Das blaue Quadrat ist Ihre Domain.
- Das grüne Quadrat ist die DKIM-Domain, signiert und an das blaue Quadrat angeglichen (passend zu Ihrer Domain).
- Das rote Quadrat bedeutet, dass SPF die Authentifizierung bestanden hat. Allerdings stimmt die Rücksendepfad-Adresse (in.constantcontact.com) nicht mit der Domain (easydmarc.com) überein, was für den SPF-Abgleich und damit für die DMARC-Konformität erforderlich ist.
Einige ESPs haben die Möglichkeit, die SPF-Rücksendepfad-Adresse abzugleichen, indem sie nach dem Hinzufügen des SPF-Eintrags „include“ über ihr Portal eine Art Prüfpunkt einrichten. Andere ESPs bieten einen „CNAME“-Eintrag an, der den Prozess vereinfacht, indem er die Ausrichtung auf Domain- oder Subdomain-Ebene ermöglicht.
Aber in einigen Fällen bieten ESPs wie MailChimp, Sendinblue, Constant Contact und viele andere veraltete oder irreführende Informationen, die Sie zu unnötigen Schritten anleiten. Diese ESPs wollen, dass Sie ihre Domain in Ihrem SPF auf die Whitelist setzen, während sie ihre eigene Domain in der Rücksendepfad-Adresse verwenden, um Ihre Bounces zu bearbeiten. Dadurch wird im SPF-Eintrag Platz für die Suche verschwendet.
Fall 2: Weitergabe des Abgleichs auf einer Subdomain-Ebene
Bei einigen ESPs wie Mandrill können Sie den SPF-Abgleich erreichen, indem Sie eine Subdomain mit einem „CNAME“-Eintrag hinzufügen, der auf die Domain mandrillapp.com weiterleitet. Wenn Sie diese Subdomain zu ihrem Portal hinzufügen, haben Sie die Möglichkeit, die Rücksendepfad-Adresse in den Einstellungen zu ändern, was dann den SPF-Abgleich ermöglicht. Siehe den Screenshot unten:
In ähnlichen Fällen müssen Sie den Server von Mandrill nicht auf die Whitelist setzen oder zum SPF-Eintrag Ihrer Root-Domain hinzufügen. Sie müssen lediglich den SPF-Eintrag auf der spezifischen Subdomain hinzufügen, die Sie innerhalb der Rücksendepfad-Domain des Mandrill-Portals erstellt haben (in diesem Fall mandrillsub.easydmarc.me).
Fall 3: Aufnahme von Original-/Root-Domains in Ihren SPF-Eintrag
In einigen Fällen bitten ESPs ihre Nutzer, Domains auf die Whitelist zu setzen, die irrelevante Quell-IPs oder Hosts außerhalb ihres Serverbereichs enthalten. Bluehost und Hostgator fordern ihre Nutzer beispielsweise auf, „include:websitewelcome.com“ in den SPF-Eintrag ihrer Nutzer einzufügen, wo wir sehen können, dass die IP-Adressen von Google Workspace (include:_spf.google.com) und Microsoft 365 (include:spf.protection.outlook.com) ebenfalls auf der Whitelist stehen.
Indem Sie „websitewelcome.com“ auf die Whitelist setzen, setzen Sie technisch gesehen auch Google und Microsoft auf die Whitelist (was höchstwahrscheinlich E-Mail-Dienste sind, die Sie nicht nutzen), da Sie bereits das E-Mail-Dienstprogramm von Bluehost oder Hostgator nutzen. Sie verschwenden einfach eine große Anzahl von SPF-Lookups, während Sie viele Quellen auf die Whitelist setzen, die Sie eigentlich nicht zum Senden von E-Mails verwenden.
Besseres Verständnis durch Analyse von XML-Dateien
Nach der Bereitstellung von DMARC erhalten Sie aggregierte Berichte im XML-Format, die analysiert werden können, um die Quellen und den SPF-, DMARC- und DKIM-Status besser zu verstehen.
Im folgenden Beispiel lautet die Absenderadresse „easydmarc.com“, während der Rücksendepfad oder Umschlagabsender „bnc3.mailjet.com“ ist. Die E-Mail schlägt also beim SPF-Abgleich fehl.
Die wichtigsten Erkenntnisse:
- Einige ESPs behandeln Ihre Bounces mit ihrem Domain-Namen (Mailchimp, Sendinblue, etc.). In diesen Fällen müssen Sie deren Server nicht im SPF-Eintrag Ihrer Domain auf die Whitelist setzen.
- Bei einigen ESPs können Sie einen Abgleich erreichen, indem Sie die Rücksendepfad-Domain auf einer Subdomain-Ebene einrichten (AmazonSES, Sendgrid, Mailgun, Mandrill, etc.). Daher müssen Sie deren Server nicht im SPF-Eintrag Ihrer Root-Domain auf die Whitelist setzen. Implementieren Sie diesen SPF-Eintrag nur auf Ihrer Subdomain.
- Seien Sie vorsichtig, wenn Sie andere Root-Domains in Ihren SPF-Eintrag aufnehmen. Sie könnten Quellen auf die Whitelist setzen, die Sie innerhalb Ihres Unternehmens nicht verwenden.
- Verwenden Sie den SPF-Eintrag-Raw-Checker von EasyDMARC, um jeden SPF-Eintrag für eine fremde Quelle doppelt zu prüfen, bevor Sie versuchen, ihn in den SPF-Eintrag Ihrer eigenen Domain einzufügen.
- Überprüfen Sie das Datum aller offiziellen Informationen, bevor Sie versuchen, den SPF-Eintrag Ihrer Domain zu aktualisieren oder zu ändern. Veraltete Artikel sollten ignoriert werden.
- Prüfen Sie, was die aggregierten DMARC-Berichtsdaten über Ihre Authentifizierungs- und Abgleichprozesse aussagen. Das sind die genauesten Daten, die Sie bei der Optimierung Ihres SPF-Eintrags erhalten können.
Wenden Sie sich an das Support-Team von EasyDMARC, wenn Sie Probleme mit Ihren Quellen haben. Das Support-Paket in unseren Premium- und Enterprise-Plänen soll Ihnen helfen, diese Probleme zu überwinden und Sie durch den Prozess der Bereitstellung und Durchsetzung von DMARC zu führen.
Konvertierung eines Bildes in SVG für BIMI
So erkennen Sie Online-Betrügereien mit der Honigfalle
Salesforce SPF- und DKIM-Authentifizierung