Inhalt des Artikels
- Ein Google Workspace-SPF-Eintrag ist ein DNS-TXT-Eintrag, der den empfangenden Mailservern mitteilt, welche Systeme E-Mails im Namen Ihrer Domain versenden dürfen.
- Für eine reine Google Workspace-Konfiguration lautet der von Google dokumentierte SPF-Basiswert: v=spf1 include:_spf.google.com ~all. Falls auch andere Tools E-Mails für Ihre Domain versenden, müssen diese in denselben SPF-Eintrag aufgenommen werden.
- SPF trägt dazu bei, Spoofing zu reduzieren und die Zustellbarkeit von E-Mails zu verbessern, funktioniert jedoch am besten in Verbindung mit DKIM und DMARC als Teil einer umfassenderen Strategie zur E-Mail-Authentifizierung.
- Eine solide SPF-Konfiguration beginnt mit der Ermittlung aller legitimen Absender für die Domain, einschließlich Plattformen von Drittanbietern, interner Anwendungen, Scanner, Relays und anderer Dienste.
- Syntax, Konsolidierung und Validierung sind von Bedeutung. Doppelte Richtlinien, Formatierungsprobleme und die Begrenzung der SPF-DNS-Abfragen auf 10 können die SPF-Auswertung beeinträchtigen oder den Schutz schwächen.
Was ist ein SPF-Eintrag in Google Workspace?
Ein Google Workspace-SPF-Eintrag ist ein DNS-TXT-Eintrag, der das „“(Sender Policy Framework) nutzt, um empfangenden E-Mail-Servern mitzuteilen, welche Systeme E-Mails im Namen einer Domain versenden dürfen. Einfach ausgedrückt hilft dies einem -Empfangsserver dabei, zu überprüfen, ob die Absender-IP-Adresse berechtigt ist, Ihre Domain im Nachrichtenpfad zu verwenden.
Wie Google Workspace SPF nutzt
In Google Workspace autorisiert der SPF-Eintrag „“ Gmail und alle anderen zugelassenen Versanddienste, E-Mails für die Domain zu versenden. Falls Google Workspace das einzige „ “-System ist, das E-Mails versendet, lautet der von Google dokumentierte Basiswert: v=spf1 include:_spf.google.com ~all.
Das ist die eigentliche SPF-Syntax, die veröffentlicht werden soll. Informelle Versionen wie „include spf1“, „include spfgooglecom“ oder „ vspf1 include spfgooglecom“ sind für sich genommen keine gültigen Live-Werte.
Warum Unternehmen SPF einrichten sollten
Unternehmen sollten SPF in Google Workspace einrichten, da dies dazu beiträgt, Domain-Spoofing zu reduzieren, indem es unbefugten Absendern unter erschwert wird, sich als die Domain auszugeben.
SPF kann zwar nicht jede E-Mail-Bedrohung allein abwehren, hilft den empfangenden Servern jedoch dabei, zu beurteilen, ob eine Absenderquelle erwartet wird. Google empfiehlt außerdem die Verwendung von SPF (),DKIM( ) und DMARC, um die Authentifizierung zu verbessern und eine konsistentere E-Mail-Zustellung zu gewährleisten.
So funktioniert SPF in Google Workspace
SPF vergleicht die Absenderadresse einer Nachricht mit der aktuellen SPF-Richtlinie, die für die jeweilige Domain im DNS veröffentlicht ist. In dieser Richtlinie unter sind die autorisierte E-Mail-Infrastruktur von Google sowie alle anderen zugelassenen Absender aufgeführt, sodass der empfangende Server unter überprüfen kann, ob die Absender-IP-Adresse zugelassen ist.
Bei Google Workspace umfasst die Richtlinie in der Regel die E-Mail-Systeme von Google, darunter include:_spf.google.com sowie und alle anderen zugelassenen Quellen. SPF-Begriffe werden der Reihe nach ausgewertet, daher ist die Struktur des Eintrags ebenso wichtig wie die Absenderliste.
Die üblichen Ergebnisse lauten:
- Bestanden – Die Absender-IP-Adresse ist zum Versenden von E-Mails für die Domain berechtigt.
- Fehler – Die Quelle ist nicht autorisiert, was auf Spoofing oder eine Lücke in den Richtlinien hindeuten kann.
- Softfail – Die Quelle ist nicht autorisiert, doch die Richtlinie schreibt dem Empfänger vor, die Nachricht als verdächtig einzustufen , anstatt sie sofort zurückzuweisen. Die Standardempfehlung von Google für Workspace lautet „~all“, was bei nicht autorisierten Quellen zu einem „Softfail“-Verhalten führt: .
- Neutral – Die Domain enthält keine eindeutige Aussage darüber, ob die Quelle den SPF-Test bestehen oder nicht bestehen sollte.
- Kein SPF-Eintrag gefunden – Für diesen Hostnamen ist im DNS keine gültige SPF-Richtlinie verfügbar, sodass dem Empfänger keine SPF- -Hinweise von der Domain vorliegen.
Schritte zur Einrichtung von Google Workspace SPF
Die Einrichtung eines SPF-Eintrags für Google Workspace ist ganz einfach, wenn Sie die richtige Reihenfolge einhalten. Entscheidend ist, zunächst alle zugelassenen Absender unter zu identifizieren und anschließend eine korrekte SPF-Richtlinie zu veröffentlichen und zu validieren.
Schritt 1: Ermitteln Sie alle E-Mail-Absender für Ihre Domain
Beginnen Sie die SPF-Einrichtung mit einer Bestandsaufnahme der Absender, bevor Sie Änderungen an den DNS-Einstellungen vornehmen. Google Workspace ist der Hauptabsender, aber möglicherweise nicht der einzige. Sie müssen außerdem Anbieter berücksichtigen, die E-Mails im Namen Ihrer Domain versenden, darunter:
- Plattformen von Drittanbietern
- Relaisdienste
- Scanner
- Interne Apps
- Webformulare
- Tools für die Ticketverwaltung
Dieser Schritt ist wichtig, da die SPF-Einträge Ihre gesamte Umgebung für den ausgehenden E-Mail-Verkehr widerspiegeln sollten. Sollte auch nur ein einziger legitimer Absender unter fehlen, können Nachrichten aus dieser Quelle die SPF-Prüfung nicht bestehen, als verdächtig markiert werden oder die Zustellbarkeit beeinträchtigen. In komplexeren „ “-Umgebungen empfiehlt es sich, vor der Veröffentlichung einer Änderung sowohl die internen Systeme als auch die externen Anbieter zu überprüfen.
Schritt 2: Erstellen Sie den korrekten SPF-Eintrag für Google Workspace
Erstellen Sie, nachdem Sie alle Absender identifiziert haben, einen zusammengefassten SPF-Eintrag. Falls Google Workspace der einzige autorisierte Absender ist, lautet der von Google empfohlene Wert für „ “ v=spf1 include:_spf.google.com ~all. Dieser Basisdatensatz autorisiert die „ “-Infrastruktur von Google über „include:_spf.google.com“ und wendet bei nicht zugelassenen Absendern einen „Softfail“ an, wodurch er einen sauberen Ausgangspunkt gemäß „ “ für Domains darstellt, die E-Mails ausschließlich über Gmail versenden.
Sollten weitere Absender vorhanden sein, müssen diese derselben SPF-Richtlinie hinzugefügt werden. Die wichtigste Regel lautet: Konsolidierung – eine Domain sollte über eine SPF-Richtlinie pro Hostnamen verfügen und nicht über mehrere SPF-Einträge. Die Veröffentlichung separater, eigenständiger SPF-Einträge für Google Workspace und andere Plattformen kann dazu führen, dass die SPF-Validierung fehlschlägt, da die Empfänger diese nicht als separate, gültige -Richtlinien behandeln.
Schritt 3: Fügen Sie den SPF-Eintrag zu Ihrem DNS hinzu
SPF wird als DNS-TXT-Eintrag über Ihren Domain-Host oder DNS-Anbieter veröffentlicht, nicht über die Google Admin-Konsole. Die genaue Benutzeroberfläche hängt vom Anbieter ab, doch der Ablauf ist im Allgemeinen derselbe: Rufen Sie Ihre DNS-Einstellungen auf, erstellen Sie einen TXT-Eintrag oder bearbeiten Sie diesen, ordnen Sie ihn dem richtigen Hostnamen zu und speichern Sie die Änderung.
Bitte stellen Sie vor der Veröffentlichung sicher, dass Sie die richtige Domain und den richtigen Hostnamen aktualisieren. Eine falsche Platzierung ist eine häufige Ursache für Probleme mit dem SPF- . Es ist außerdem wichtig zu beachten, dass SPF unabhängig von Ihrem MX-Eintrag ist, da der MX-Eintrag das Routing eingehender E-Mails steuert, während SPF festlegt, welche Absender ausgehende E-Mails für die Domain versenden dürfen.
Schritt 4: Kombinieren Sie Google Workspace sorgfältig mit Absendern von Drittanbietern
Viele Unternehmen nutzen Google Workspace für die E-Mail-Kommunikation ihrer Nutzer, greifen jedoch für den Versand ausgehender Nachrichten auf andere Tools zurück. Dazu können Marketingplattformen, Ticketingsysteme, SMTP-Relays, Abrechnungstools, CRM-Plattformen und Multifunktions -Geräte gehören.
Wenn solche Tools vorhanden sind, sollten sie in dieselbe SPF-Richtlinie integriert werden, anstatt als separate SPF-Einträge hinzugefügt zu werden. Dies ist in größeren Organisationen umso wichtiger, in denen möglicherweise verschiedene Teams für unterschiedliche Absender zuständig sind. Ohne eine „ “-Koordination können SPF-Richtlinien unvollständig oder widersprüchlich werden; daher sollte SPF eher als fortlaufende Wartungs -Aufgabe betrachtet werden und nicht als einmalige DNS-Änderung.
Schritt 5: Überprüfung der SPF-Syntax und der Abfragebeschränkungen
Sobald der Datensatz erstellt ist, besteht der nächste Schritt darin, sicherzustellen, dass er korrekt strukturiert ist und ohne Fehler bei der „ “ verarbeitet werden kann. Das bedeutet, dass sowohl die SPF-Syntax als auch die Verwendung der DNS-Abfrage überprüft werden müssen, bevor die Einrichtung als abgeschlossen betrachtet werden kann.
Syntax des SPF-Eintrags überprüfen
Die Syntaxprüfung ist ein obligatorischer Bestandteil der SPF-Einrichtung. Ein Datensatz kann die richtigen Quellen enthalten und dennoch als fehlerhaft gewertet werden, wenn die Formatierung unter falsch ist. Durch die Überprüfung der Syntax von SPF-Einträgen lässt sich sicherstellen, dass die Richtlinie korrekt startet, ausschließlich die unter vorgesehenen Begriffe verwendet und keine Fehler enthält, die die Auswertung beeinträchtigen.
Jeder SPF-Mechanismus muss zudem mit Bedacht eingesetzt werden, da die Struktur des Eintrags Einfluss darauf hat, wie empfangende Server diesen verarbeiten.
DNS-Lookup-Limits überwachen
Die Teams müssen zudem die Nutzung der DNS-Abfragen im Auge behalten. RFC 7208 beschränkt die SPF-Auswertung auf 10 DNS-Abfragemechanismen und Modifikatoren ( ); wird diese Grenze überschritten, kann dies zu einem dauerhaften Fehler führen.
Dies wird häufig zu einem Problem in größeren Umgebungen, in denen mehrere Anbieter verschachtelte Einbindungen hinzufügen. Daher lohnt es sich, den Datensatz zu vereinfachen, alte Absender zu deaktivieren und alle geerbten SPF-Regeln zu überprüfen, die nicht mehr den tatsächlichen E-Mail- sfluss widerspiegeln.
Schritt 6: Überprüfen Sie, ob der SPF-Eintrag korrekt veröffentlicht wurde
Überprüfen Sie nach der Veröffentlichung, ob der aktive SPF-Eintrag im DNS sichtbar ist und genau der vorgesehenen Richtlinie entspricht. Es kann einige Zeit dauern, bis sich Änderungen an der DNS- en durchgesetzt haben; daher bedeutet das Speichern der Aktualisierung nicht immer, dass die Einrichtung abgeschlossen ist.
Für diesen Schritt nutzen Teams häufig einen SPF-Checker von oder Tools aus der Google Admin Toolbox wie „Check MX“ und „Messageheader“. Ziel ist es, zu überprüfen, ob der SPF- -TXT-Eintrag unter dem richtigen Hostnamen erscheint und mit dem Wert übereinstimmt, den Sie veröffentlichen wollten.
Schritt 7: Überprüfen Sie die Authentifizierungsergebnisse und beheben Sie etwaige Probleme
Sobald der Eintrag aktiv ist, überprüfen Sie anhand der Header versendeter Nachrichten oder der E-Mail-Protokolle, ob SPF in der Praxis funktioniert. Die Funktion „Messageheader“ der Google Admin Toolbox kann bei der Analyse von SMTP-Headern helfen und SPF-Ergebnisse in den Zeilen „Authentication-Results“ oder „ “ unter „Received-SPF“ anzeigen.
Sollten Nachrichten nicht wie erwartet weitergeleitet werden, gehen Sie zunächst von den häufigsten Ursachen aus:
- Doppelte Richtlinien
- Syntaxfehler
- Fehlende Absender von Drittanbietern
- Falsche Platzierung der Datensätze
- Fehler bei der DNS-Veröffentlichung
Um einen kontinuierlichen Überblick über die Versandleistung in Bezug auf Gmail zu erhalten, können die Postmaster-Tools ebenfalls hilfreich sein, indem sie Dashboards zu den Spam-Raten bei „ “, zur Reputation, zur Nachrichtenauthentifizierung und zu Zustellungsfehlern anzeigen.
Häufige Fehler bei SPF-Einträgen, die Sie bei Google Workspace vermeiden sollten
Bei der korrekten Einrichtung von SPF geht es nicht nur darum, einen DNS-Eintrag hinzuzufügen. Darüber hinaus sind ein vollständiges Absenderverzeichnis, eine klare Struktur der Richtlinien zur „ “ sowie eine fortlaufende Überprüfung im Zuge der Veränderungen in Ihrer E-Mail-Umgebung erforderlich.
Auslassung legitimer Absenderquellen
Ein häufiger Fehler besteht darin, dass nicht alle genehmigten Absenderquellen angegeben werden. Eine Domain verfügt möglicherweise über Google Workspace unter , es fehlt ihr jedoch möglicherweise noch eine Ticketplattform, ein Marketing-Tool, ein Scanner, ein Relay oder eine App, die unter dieser Domain versendet. Eine solche Lücke kann zu SPF-Fehlern führen, selbst wenn die Konfiguration des Haupt-Workspaces korrekt erscheint.
Verwendung mehrerer SPF-Einträge
Ein weiteres häufiges Problem ist die Veröffentlichung mehrerer SPF-Einträge anstelle einer einzigen, zusammengefassten TXT-Richtlinie. Die Google Admin Toolbox unter Check MX weist darauf hin, dass nicht mehr als ein SPF-Eintrag vorhanden sein darf. Wenn eine Domain mehrere separate Richtlinien veröffentlicht, kann die SPF- -Auswertung fehlschlagen.
Syntax- und Formatierungsfehler erzeugen
Auch Syntaxprobleme treten häufig auf. Dazu gehören fehlerhafte Formatierungen, falsche Qualifizierer, ungültige Mechanismen, eine falsche Platzierung des Hostnamens „ “ oder der Versuch, neue Einträge an einen veralteten bestehenden SPF-Eintrag anzuhängen, ohne diesen zuvor zu bereinigen. Selbst kleine Fehler in der Syntax des SPF-Eintrags oder eine falsche Anwendung des SPF-Mechanismus können die Authentifizierung beeinträchtigen.
Zulassung einer zu weit gefassten Richtlinie
Ein weiteres Risiko sind zu weit gefasste Richtlinien. Die Zulassung zu vieler Quellen mag zwar praktisch erscheinen, schwächt jedoch den Schutz durch , da dies das Spoofing erleichtert, falls eine autorisierte Quelle kompromittiert oder missbraucht wird.
SPF sollte nur die Systeme widerspiegeln, die tatsächlich im Namen der Domain E-Mails versenden müssen. Dies ist umso wichtiger, wenn Sie zudem einen DMARC-Eintrag verwalten, da eine fehlerhafte DMARC-Konfiguration zu Problemen bei der Authentifizierung und Zustellung in nachgelagerten Systemen führen kann.
Ignorieren von Suchbeschränkungen und Randfällen
Zudem müssen technische Einschränkungen und betriebliche Sonderfälle berücksichtigt werden. Das Limit von 10 SPF-Abfragen kann zu Problemen bei der Auswertung von „ “ führen, wenn zu viele verschachtelte Einbindungen aufeinander gestapelt sind. Auch die Weiterleitung kann zu einer Verletzung der SPF-Regeln führen, selbst wenn der ursprüngliche Absender ordnungsgemäß konfiguriert war, da SPF den bei der endgültigen Zustellung verwendeten Pfad berücksichtigt und nicht allein die ursprüngliche Absicht .
SPF als einmalige Aufgabe betrachten
SPF-Einträge sollten regelmäßig überprüft werden. Anbieter wechseln, neue Tools kommen hinzu und alte Dienste werden eingestellt. In den „ “-Richtlinien von Google wird ausdrücklich darauf hingewiesen, dass die Richtlinie aktualisiert werden muss, wenn neue Mailserver oder Absender von Drittanbietern eingeführt werden. Diese fortlaufende Überprüfung von „ “ trägt dazu bei, sowohl die Zustellbarkeit als auch die Authentifizierung von E-Mails zu gewährleisten, während sich die Umgebung verändert.
Die richtige Einrichtung von SPF für Google Workspace
Ein SPF-Eintrag in Google Workspace ist nur so sicher wie die dahinter stehende Absenderbasis. Die Identifizierung aller zugelassenen E-Mail- -Quellen vor der Vornahme von DNS-Änderungen trägt dazu bei, Lücken zu vermeiden, die zu SPF-Fehlern, einer verdächtigen Behandlung von Nachrichten oder einer inkonsistenten Zustellbarkeit führen können.
Für Unternehmen, die sich einen besseren Überblick über die Absenderquellen, eine strengere Überwachung der Richtlinien und mehr Unterstützung bei der Reduzierung von E-Mail-bedingten Risiken wünschen, kann Mimecast dazu beitragen, die Kontrolle über die standardmäßigen Einstellungen hinaus auszuweiten.