Inhalt des Artikels
- Die SPF-Übereinstimmung ist eine DMARC Prüfung, bei der überprüft wird, ob die durch SPF authentifizierte Domain mit der Domain in der sichtbaren „Von“-Adresse übereinstimmt.
- SPF selbst wird anhand der „Mail From“-Domäne gemäß RFC 5321 bewertet, die auch als „Return Path“ oder „Envelope-From“ bezeichnet wird, und nicht anhand von – der sichtbaren „From“-Domäne, die Nutzer im Posteingang sehen.
- Im Rahmen einer flexiblen Ausrichtung können sich Unterdomänen an die Organisationsdomäne anpassen. Bei einer exakten Übereinstimmung müssen die Domänen genau übereinstimmen. Der Standardmodus für die SPF-Abgleichung bei DMARC ist „relaxed“.
- Eine Nachricht kann den SPF-Test bestehen und dennoch die SPF-Übereinstimmung nicht erfüllen, wenn die authentifizierte Rücksendedomäne nicht mit der sichtbaren „From“-Domäne übereinstimmt.
- Die Korrektur der SPF-Übereinstimmung umfasst in der Regel die Identifizierung des nicht übereinstimmenden Absenders, die Anpassung des Rückweges oder der Konfiguration der Absender- sowie die Überprüfung der Änderung anhand der Header und der DMARC-Berichte. Die DKIM-Anpassung kann zudem einen weiteren Weg zum Bestehen des DMARC-Tests bieten.
SPF kann die Prüfung bestehen und dennoch ein DMARC-Problem verursachen. Dies geschieht in der Regel, wenn die durch SPF authentifizierte Domain nicht mit der Domain übereinstimmt, die in der sichtbaren Absenderadresse angezeigt wird. In diesem Leitfaden wird erläutert, was SPF-Abgleich ist, warum er unter fehlschlägt und wie Sie die Absenderquellen korrigieren können, die immer wieder das Vertrauen in die Domain untergraben.
Was versteht man unter SPF-Ausrichtung?
Eine Nachricht kann die Authentifizierung bestehen und dennoch die DMARC-Prüfung nicht bestehen, wenn die authentifizierte Domäne nicht mit der sichtbaren Absenderadresse „ “ übereinstimmt. Um zu verstehen, warum das so ist, ist es hilfreich, die SPF-Prüfungen der Domain von der Domain zu trennen, die der Empfänger tatsächlich sieht.
Wie sich die SPF-Abgleichung in DMARC einfügt
Die SPF-Abgleichung ist Teil von DMARC. Es wird überprüft, ob die durch SPF authentifizierte Domain mit der Domain übereinstimmt, die im sichtbaren „From“-Header von angegeben ist. Sofern die Domains der aktiven DMARC-Richtlinie unter entsprechen, kann SPF dazu beitragen, dass die Nachricht die DMARC-Prüfung besteht. Ist dies nicht der Fall, kann SPF die Nachricht zwar weiterhin authentifizieren, erfüllt jedoch nicht die DMARC-Anforderungen von .
Welche Domäne überprüft SPF tatsächlich?
Genau hier beginnt oft die Verwirrung. Die SPF-Authentifizierung wird anhand der „Mail From“-Domäne gemäß RFC 5321 überprüft, die auch als „Return Path“ oder „Envelope-From“ bezeichnet wird. Standardmäßig wird keine Überprüfung anhand der in RFC 5322 definierten „visible From“-Domäne durchgeführt. „ “ bedeutet, dass sich eine Nachricht für eine bestimmte Domäne erfolgreich authentifizieren kann, während dem Empfänger eine andere Domäne angezeigt wird. In diesem Fall funktioniert die SPF-Authentifizierung zwar, die SPF-Übereinstimmung schlägt jedoch fehl.
Locker vs. strenge SPF-Anpassung
DMARC unterstützt zwei SPF-Abgleichmodi. Auch bei einer lockeren Ausrichtung kann sich eine Subdomain weiterhin an der Organisations -Domain ausrichten. Beispielsweise kann „mail.example.com“ mit „example.com“ abgeglichen werden.
Bei strikter Übereinstimmung muss die SPF-authentifizierte Domäne exakt mit der sichtbaren „From“-Domäne übereinstimmen, ohne Abweichungen wie beispielsweise „ “. Der Standardmodus für die SPF-Anpassung bei DMARC ist „relaxed“, es sei denn, das „aspf“-Tag ist auf „strict“ gesetzt.
SPF in Ausrichtung vs. nicht in Ausrichtung
Der Unterschied wird deutlicher, wenn man sich ansieht, wie übereinstimmende und nicht übereinstimmende Nachrichten in realen Versandszenarien dargestellt werden.
- SPF-Übereinstimmung – Die durch SPF authentifizierte Domain des Rückweges stimmt mit der sichtbaren „From“-Domain überein oder steht im gelockerten Modus in einem angemessenen Zusammenhang mit .
- Beispiel: Die angezeigte Absenderadresse lautet example.com, und der Rückweg erfolgt über mail.example.com. In einer lockeren Ausrichtung ist eine Übereinstimmung dennoch möglich, da beide denselben Organisationsbereich teilen.
- SPF stimmt nicht überein – Der SPF-Check für die Domain des Rückweges ist erfolgreich, doch diese Domain stimmt für den gewählten DMARC-Abgleichmodus nicht genau genug mit der sichtbaren „From“- -Domain überein.
- Beispiel: Die angezeigte Absenderadresse lautet example.com, Der Rückweg erfolgt jedoch über vendor-mail.com. SPF könnte als vendor-mail.com durchgehen, Dennoch schlägt die Zuordnung fehl, da die authentifizierte Domäne nicht mit der „Von“-Domäne übereinstimmt.
Was führt dazu, dass die SPF-Ausrichtung fehlschlägt?
Die SPF-Abgleichung schlägt in der Regel aus einem von zwei Gründen fehl: Entweder ist die Absenderkonfiguration falsch eingerichtet, oder die Nachricht ist von vornh gar nicht legitim. Die folgenden Fälle behandeln die häufigsten Ursachen und erläutern, warum es zu dem Fehler kommt.
Fall 1: Der SPF-Abgleichmodus ist auf „streng“ eingestellt
Für eine strikte Zuordnung ist eine exakte Übereinstimmung der Domänen erforderlich. Dies kann zu einer Fehlausrichtung führen, wenn für den Pfad der Rück -Adresse Subdomains verwendet werden. Wenn beispielsweise die sichtbare Absenderadresse „example.com“ lautet, der Rückweg jedoch „mail.example.com“ verwendet, SPF-Prüfung kann erfolgreich sein, während die strenge Abgleichprüfung weiterhin fehlschlägt.
Aus diesem Grund funktioniert der Strict-Modus in der Regel am besten in stärker kontrollierten Umgebungen. Dies kann zu einer stärkeren Sicherheits beitragen, erfordert jedoch auch eine diszipliniertere Kontrolle über Domains, Subdomains und E-Mail-Ströme von Drittanbietern. Eine „ “-Absenderkonfiguration, die im „relaxed alignment“-Modus funktioniert, kann im „strict“-Modus schnell zu Fehlern führen.
Fall 2: Die Domain wurde gefälscht
Gefälschte E-Mails sind eine weitere häufige Ursache für Fehler bei der SPF-Abgleichung. Ein Angreifer kann eine legitime Domain in der sichtbaren Absenderadresse „ “ angeben, während er eine nicht autorisierte Domain für den Rückweg sowie eine nicht autorisierte Absender-IP-Adresse verwendet.
In vielen Fällen durchlaufen diese Nachrichten die SPF-Autorisierung überhaupt nicht. Selbst wenn ein Absender andere Teile der „ “-Nachricht manipuliert, prüft DMARC dennoch, ob die SPF-authentifizierte Domäne mit der sichtbaren „From“-Domäne übereinstimmt.
Das bedeutet, dass Fehler bei der SPF-Abgleichung nicht immer auf einen Konfigurationsfehler zurückzuführen sind. Manchmal sind sie genau das Signal, das Sie unter sehen möchten, da sie dabei helfen, gefälschte Nachrichten aufzudecken und DMARC eine durchsetzbare Grundlage für Maßnahmen bieten.
In der Praxis kommt es darauf an, festzustellen, ob der Fehler auf ein Problem mit der Absenderkonfiguration hindeutet oder darauf, dass ein Authentifizierungs ssignal ordnungsgemäß funktioniert. Diese Unterscheidung erleichtert Ihnen die Entscheidung, ob die Korrektur in Ihren E-Mail-Workflow oder in Ihre Strategie zur Durchsetzung der „ “-Richtlinie gehört.
So beheben Sie den Fehler „SPF-Abgleich fehlgeschlagen“
Um die SPF-Übereinstimmung zu beheben, muss in der Regel der genaue Absender ermittelt werden, der die Diskrepanz verursacht, und anschließend die Authentifizierung für diesen E-Mail- -Strom korrigiert werden. Die folgenden Schritte sorgen dafür, dass der Prozess überschaubarer und die Fehlerbehebung einfacher wird.
Schritt 1: Stellen Sie fest, ob das Problem auf die Zuordnung oder die SPF-Autorisierung zurückzuführen ist
Prüfen Sie zunächst, ob es sich bei dem Problem tatsächlich um eine Ausrichtungsstörung oder um ein umfassenderes SPF-Problem handelt. Sollte SPF selbst fehlgeschlagen sein, liegt das Problem möglicherweise im SPF-Eintrag, in den DNS-Einträgen, bei den zugelassenen Absender-IP-Adressen oder in der Syntax des Sender Policy Framework. Sollte SPF erfolgreich sein, DMARC jedoch weiterhin fehlschlagen, deutet dies eher auf eine Diskrepanz zwischen dem Rückweg und der in „ “ angezeigten „From“-Domäne hin.
Schritt 2: Ermitteln Sie die Quelle, die die Abweichung verursacht
Ermitteln Sie als Nächstes, welcher E-Mail-Strom dafür verantwortlich ist. In der Praxis hängt das Problem häufig mit einem bestimmten Absender zusammen, wie zum Beispiel:
- Marketingplattform
- Ticketverwaltungssystem
- Cloud-Dienst unter Verwendung eines dem Anbieter gehörenden Rückkanals
Überprüfen Sie die E-Mail-Header- und DMARC-Berichtsdaten, um die betroffene Quelle zu ermitteln, anstatt davon auszugehen, dass die gesamte Domain nicht korrekt konfiguriert ist.
Schritt 3: Passen Sie die Absenderkonfiguration oder den E-Mail-Fluss an
Sobald Sie die Quelle kennen, passen Sie die Konfiguration so an, dass die SPF-authentifizierte Domain mit der sichtbaren „Von“- -Domain übereinstimmt. Dies bedeutet häufig, dass ein benutzerdefinierter Rückweg oder eine benutzerdefinierte Bounce-Domain eingerichtet werden muss, damit sich der Dienst unter Ihrer Domain statt unter der Standarddomain des Anbieters authentifiziert. Der genaue Arbeitsablauf variiert je nach Plattform, doch das Ziel bleibt das : die „Mail From“-Domäne gemäß RFC 5321 mit der sichtbaren „From“-Domäne im gewählten Abgleichmodus abzugleichen.
Schritt 4: Verwenden Sie DKIM-Abgleich, wenn der SPF-Abgleich schwer aufrechtzuerhalten ist
Sollte es bei einem bestimmten Absender schwierig sein, die SPF-Übereinstimmung aufrechtzuerhalten, kann die DKIM-Übereinstimmung einen alternativen Weg zum DMARC-Pass bieten. DMARC setzt nicht voraus, dass sowohl SPF als auch DKIM übereinstimmen. Ein einziges Ergebnis der „One Aligned Authentication“ reicht aus, sodass eine ordnungsgemäß konfigurierte DKIM-Signatur, die mit der richtigen Domain verknüpft ist, DMARC weiterhin unterstützen kann, selbst wenn die SPF-Anpassung schwieriger zu kontrollieren ist.
Schritt 5: Überprüfen Sie die Korrektur
Bestätigen Sie abschließend die Änderung. Überprüfen Sie die Nachrichtenkopfzeilen, um das SPF-Ergebnis und das Verhalten des Rückwegs zu bestätigen, und nutzen Sie anschließend die DMARC-Berichterstellungsfunktion unter , um festzustellen, ob sich die Übereinstimmung in den betroffenen E-Mail-Strömen verbessert. Tools wie die Checker-Workflows von Mimecast ( ) können Teams dabei unterstützen, Probleme bei der SPF-Konformität zu untersuchen, Änderungen zu bestätigen und Fehlkonfigurationen über mehrere Absender -Quellen hinweg zu reduzieren.
Sobald die eigentliche Ursache klar ist, lässt sich die SPF-Anpassung in der Regel leichter beheben, als es zunächst den Anschein hat. Entscheidend ist, den spezifischen E-Mail-Strom zu korrigieren, der die Diskrepanz verursacht, bevor sich daraus eine umfassendere Fehlkonfiguration von DMARC entwickelt.
Die Abstimmung im SPF mit mehr Zuversicht stärken
Die Übereinstimmung mit SPF ist wichtig, da DMARC nicht nur überprüft, ob SPF eine Nachricht authentifiziert. Es wird überprüft, ob die authentifizierte Domäne mit der dem Empfänger angezeigten Identität übereinstimmt. Wenn diese Verbindung unterbrochen wird, leiden sowohl die DMARC-Bestandsquote als auch das Vertrauen in E-Mails darunter.
Die zuverlässigste Lösung besteht darin, die falsch zugeordnete Absenderquelle zu identifizieren, den Rückweg oder die Absenderkonfiguration zu korrigieren, und das Ergebnis anhand der Header und der Berichterstellung zu überprüfen. Für Teams, die einen besseren Überblick über die SPF-, DKIM- und DMARC-Einstellungen von „“ über alle Absenderquellen hinweg benötigen, können die E-Mail-Sicherheits- und Authentifizierungstools von Mimecast dazu beitragen, Fehlkonfigurationen von „ “ zu reduzieren und den Schutz in der gesamten E-Mail-Umgebung zu stärken.