{"id":19768,"date":"2024-11-28T10:12:00","date_gmt":"2024-11-28T10:12:00","guid":{"rendered":"https:\/\/easydmarc.com\/blog\/?p=19768"},"modified":"2025-04-23T10:18:01","modified_gmt":"2025-04-23T10:18:01","slug":"spf-permerror-spf-zu-viele-dns-abfragen","status":"publish","type":"post","link":"https:\/\/easydmarc.com\/blog\/de\/spf-permerror-spf-zu-viele-dns-abfragen\/","title":{"rendered":"SPF Permerror \u2013 SPF zu viele DNS-Abfragen"},"content":{"rendered":"
\u201eSPF PermError\u201c, verursacht durch zu viele DNS-Abfragen, ist ein h\u00e4ufiger Fehler, der bei vielen Sender Policy Framework-Implementierungen auftritt. Wenn SPF mehr als 10 DNS-Abfragen durchf\u00fchrt, tritt ein \u201ePermError\u201c auf, der auch als SPF-Dauerfehler bezeichnet wird und zu einer Verringerung der Zustellbarkeit von E-Mails f\u00fchren kann.<\/span><\/p>\n Da ein SPF PermError von DMARC als FAIL gewertet wird, steigt die Wahrscheinlichkeit, dass der Empf\u00e4nger Ihre E-Mail als \u201eJunk\u201c markiert. Daher wird dringend empfohlen, die DNS-Abfragemechanismen\/Modifikatoren Ihres SPF-Eintrags bei oder unter 10 zu halten.<\/span><\/p>\n Das Tool zur <\/span>SPF-Eintragsabfrage<\/span><\/a> von EasyDMARC kann verwendet werden, um SPF-Eintr\u00e4ge f\u00fcr Ihre Domain zu \u00fcberpr\u00fcfen.<\/span><\/p>\n Die Begrenzung auf 10 DNS-Abfragen ist notwendig, um sich vor Bedrohungen wie DDoS-Angriffen zu sch\u00fctzen. Das folgende Beispiel soll dies verdeutlichen.<\/span><\/p>\n Auf einer bestimmten Domain, \u201ebaddomain.com\u201c, ver\u00f6ffentlicht ein b\u00f6swilliger Akteur einen SPF-Eintrag mit mehreren Verweisen (z. B. mit dem \u201einclude\u201c-Mechanismus) auf eine andere Domain, z. B. \u201eyourdomain.com\u201c.<\/span><\/p>\n Sie senden eine gro\u00dfe Anzahl von E-Mails von der E-Mail-Adresse \u201ebaddomain.com\u201c an Postf\u00e4cher, die von verschiedenen E-Mail-Dienstanbietern (ESPs) mit aktiviertem SPF gehostet werden. Wenn ESPs diese E-Mails erhalten, \u00fcberpr\u00fcfen sie die DNS-Eintr\u00e4ge von \u201eyourdomain.com\u201c, um den SPF-Eintrag des b\u00f6sen Absenders zu best\u00e4tigen.<\/span><\/p>\n Er verst\u00e4rkt den Datenverkehr und wird zu einem DDoS-Angriff auf die Domain \u201eyourdomain.com\u201c, da er viele ESPs in den Prozess der \u00dcberpr\u00fcfung der <\/span>DNS<\/span><\/a>-Eintr\u00e4ge der Domain einbezieht.<\/span><\/p>\n Die eigentliche Quelle des Angriffs ist in der gesamten Transaktionskette verborgen. So k\u00f6nnen Sie sehen, wie ein b\u00f6swilliger Akteur die E-Mail-Authentifizierung ausnutzt. Die Begrenzung der maximalen Anzahl von DNS-Abfragen pro Pr\u00fcfung durch den ESP hilft also, das Risiko zu minimieren.<\/span><\/p>\n \u00a0<\/span><\/p>\n Bei der Erstellung eines SPF-Eintrags sind die folgenden Praktiken \u00fcblich, die es Ihnen erm\u00f6glichen, die Grenze von 10 DNS-Abfragen einzuhalten:<\/span><\/p>\n Eine DNS-Abfrage wird auf den SPF-Eintrag einer anderen Domain umgeleitet, um alle genehmigten IPs mit einer \u201einclude\u201c-Anweisung zu \u00fcberpr\u00fcfen. Die 10-Eintr\u00e4ge-Grenze wird auf jede \u201einclude\u201c-Anweisung im urspr\u00fcnglichen SPF-Eintrag sowie auf alle umgeleiteten SPF-Eintr\u00e4ge angewendet.<\/span><\/p>\n Stellen Sie sicher, dass jede \u201einclude\u201c-Anweisung in Ihrem SPF-Eintrag erforderlich ist und nicht durch einen Mechanismus ersetzt werden kann, der nicht auf das Limit angerechnet wird.<\/span><\/p>\n Die Mechanismen \u201eall\u201c, \u201eip4\u201c und \u201eip6\u201c sowie der Modifikator \u201eexp\u201c f\u00fchren w\u00e4hrend der SPF-Bewertung keine DNS-Abfragen durch. Der \u201eexp\u201c-Modifikator f\u00fchrt sp\u00e4ter eine Abfrage durch, und ihre Verwendung ist von der Begrenzung auf 10 DNS-Abfragen ausgenommen.<\/span><\/p>\n Beispiel<\/b><\/p>\n Dieser Eintrag wird als defekt betrachtet, und die Anzahl der gesamten Suchabfragen\/Modifikatoren sollte reduziert werden, um ihn zu reparieren.<\/span><\/p>\n Die SPF-Eintragsabfrage wird nach dem L\u00f6schen unn\u00f6tiger \u201einclude\u201c-Anweisungen korrekt zur\u00fcckgegeben:<\/span><\/p>\n \u00a0<\/span><\/p>\n Beispiel<\/b><\/p>\n Jetzt scheint Ihr SPF-Eintrag in Ordnung zu sein.<\/span><\/p>\n Vergessen Sie nicht, unser Tool zur <\/span>\u00dcberpr\u00fcfung von SPF-Eintr\u00e4gen<\/span><\/a> zu verwenden, um nach dem Vorhandensein von mehreren SPF-Eintr\u00e4gen im DNS zu suchen, was zu einem \u201ePermerror\u201c f\u00fchren kann.<\/span><\/p>\n Verwenden Sie bei Bedarf den ip4- oder ip6-Mechanismus anstelle der Anweisung \u201einclude\u201c. In Ihrem SPF-Eintrag werden die Mechanismen ip4 und ip6 verwendet, um eine statische IP-Gruppe aufzulisten.<\/span><\/p>\n Ein SPF-Eintrag mit \u201einclude\u201c-Anweisungen:<\/span><\/p>\n \u00a0<\/span><\/p>\n Beispiel<\/b><\/p>\n Der SPF-Eintrag in diesem Beispiel enth\u00e4lt eine Reihe von statischen IP-Bereichen. Die Gesamtzahl der Abfragen verringert sich um 3, wenn die \u201einclude\u201c-Anweisung durch den ip4-Mechanismus ersetzt wird, so dass 10 statt 13 Abfragen erfolgen.<\/span><\/p>\n \u00a0<\/span><\/p>\n Beispiel<\/b><\/p>\n Wenn Sie mehrere \u201einclude\u201c-Anweisungen in Ihrem SPF-Eintrag haben, hilft Ihnen diese Ersetzung, die Anzahl der DNS-Abfragen zu minimieren.<\/span><\/p>\n Dieser SPF-Eintrag bezieht sich sowohl auf die Domain baddomain.com als auch auf yourdomain.com.<\/span><\/p>\n Der SPF-Eintrag f\u00fcr baddomain.com enth\u00e4lt dagegen bereits eine \u201einclude\u201c-Anweisung f\u00fcr yourdomain.net. Daher ist der Mechanismus include:spf.yourdomain.net nicht mehr erforderlich und sollte abgeschafft werden.<\/span><\/p>\n Der „ptr“-Mechanismus ist eine Art von DNS-Eintrag, der eine IP-Adresse mit einer Domain oder einem Hostnamen verkn\u00fcpft. In der SPF-Spezifikation wird die Verwendung des \u201eptr\u201c-Mechanismus im SPF-Eintrag nicht empfohlen, da dies zu einer gro\u00dfen Anzahl von DNS-Abfragen f\u00fchren kann, die den Grenzwert von 10 \u00fcberschreiten.<\/span><\/p>\n Entfernen Sie alle ung\u00fcltigen oder ungenutzten Domain-Verweise. Sie k\u00f6nnen auch \u00fcberpr\u00fcfen, ob alle Domains, die Sie in Ihrem SPF-Eintrag verwenden, auf einen aktiven SPF-Eintrag verweisen. Andernfalls m\u00fcssen sie entfernt werden, um DNS-Suchvorg\u00e4nge zu reduzieren.<\/span><\/p>\n Unabh\u00e4ngig davon, wie viele Verbesserungen Sie am SPF-Eintrag vorgenommen haben, kann es sein, dass Sie das Limit von 10 DNS-Eintragsabfragen nicht immer einhalten k\u00f6nnen. Daher sollten Sie als Abhilfe einen abgeflachten SPF-Eintrag verwenden. Au\u00dferdem k\u00f6nnen Sie die Anzahl der DNS-Abfragemechanismen\/Modifikatoren auf 1 reduzieren, indem Sie einen abgeflachten SPF-Eintrag verwenden.<\/span><\/p>\n Das Verfahren zum Abflachen von SPF-Eintr\u00e4gen ist wie folgt:<\/span><\/p>\n Die Gesamtzahl der DNS-Abfragen sinkt jedes Mal um eins, wenn ein Mechanismus oder ein Modifikator ersetzt wird. Wenn beide Mechanismen\/Modifikatoren entfernt werden, sinkt die Gesamtzahl auf eins, da nur der oberste SPF-Eintrag eine DNS-Abfrage ben\u00f6tigt.<\/span><\/p>\n Der Vorteil dieses Ansatzes besteht darin, dass Sie mit der SPF-Abflach-Technik einen sehr komplexen SPF-Eintrag mit mehr als 10 DNS-Abfragen in eine IP-Adressenliste umwandeln k\u00f6nnen und dabei sicher bleiben.<\/span><\/p>\n Der Nachteil ist jedoch, dass der abgeflachte SPF-Eintrag die Synchronisierung mit den angegebenen IP-Adressen verliert, was zu falschen SPF-Authentifizierungsergebnissen f\u00fchrt, wenn sich die IP-Adressen \u00e4ndern. Au\u00dferdem m\u00fcssen Sie die IP-Adressen \u00fcberwachen und Ihre SPF-Eintr\u00e4ge st\u00e4ndig manuell aktualisieren.<\/span><\/p>\n Wenn Sie nicht den richtigen SPF-Eintrag haben, nachdem Sie ihn mit den oben genannten Tipps optimiert haben, empfehlen wir als letzten Ausweg die Verwendung eines abgeflachten SPF-Eintrags.<\/span><\/p>\n Eine Alternative zu SPF-Abflachung ist EasyDMARCs EasySPF-Tool, das SPF-Abfragen dynamisch verwaltet und letztlich <\/span>das Problem \u201eZu viele DNS-Abfragen\u201c l\u00f6st<\/span><\/a>. EasySPF erm\u00f6glicht es Ihnen, Ihre E-Mail-Versandquellen automatisch zu autorisieren und das SPF-Problem \u201eZu viele DNS-Abfragen\u201c, das \u201ePermerror\u201c verursacht, zu l\u00f6sen. F\u00fcgen Sie eine gro\u00dfe Anzahl von E-Mail-Dienstanbietern hinzu, l\u00f6schen Sie sie und aktualisieren Sie sie, ohne die Einschr\u00e4nkung der 10 SPF-DNS-Abfragen mit einem einzigen Eintrag in Ihrem SPF-Eintrag.<\/span><\/p>\n Request a Demo<\/span><\/a><\/p>\n Was sind DMARC-Tags?<\/span><\/a><\/p>\n Was ist ein DKIM-Selektor und wie funktioniert er?<\/span><\/a><\/p>\n Was ist eine DMARC-Richtlinie?<\/span><\/a><\/p>\n\n
Was bedeutet die Fehlermeldung \u201eSPF zuviele DNS-Abfragen\u201c?<\/span><\/h2>\n
<\/p>\n
Warum gibt es eine Begrenzung f\u00fcr SPF-DNS-Eintragsabfragen?<\/span><\/h2>\n
Wie behebe ich \u201eSPF zu viele DNS-Abfragen\u201c?<\/span><\/h2>\n
1. Unn\u00f6tige \u201einclude\u201c-Anweisungen entfernen<\/span><\/h3>\n
<\/p>\n
<\/p>\n
2. ip4- und ip6-Methoden verwenden<\/span><\/h3>\n
<\/p>\n
<\/p>\n
3. Mechanismen entfernen, die zur gleichen Domain geh\u00f6ren<\/span><\/h3>\n
4. Alle \u201eptr\u201c-Mechanismen l\u00f6schen<\/span><\/h3>\n
\n<\/span>L\u00f6schen Sie alle \u201einclude\u201c-Anweisungen, die die SPF-Pr\u00fcfung auf eine Domain lenken, die keine E-Mails mehr in Ihrem Namen versendet, wie z. B. Partner- oder Verk\u00e4uferdomains.<\/span><\/p>\n5. Einen abgeflachten SPF-Eintrag verwenden<\/span><\/h3>\n
\n
Fazit<\/b><\/h2>\n