- Was sind SPF-Datensätze?
- Die Notwendigkeit, SPF-Datensätze zu Ihrer Domäne hinzuzufügen
- Wie erstelle ich einen SPF-TXT-Datensatz?
- Sammeln Sie die Liste der IP-Adressen, die Sie zum Senden von E-Mails verwenden
- Alle sendenden Domänen auflisten
- Erstellen Sie Ihren Domain-SPF-Eintrag
- SPF-Fehleroptionen: Soft Fail und Hard Fail
- Hinzufügen eines TXT-Eintrags zur DNS-Konfiguration
- Vergessen Sie nicht, Domain-TXT-Datensätze zu testen und zu überprüfen!
Was sind SPF-Datensätze?
Sender Policy Framework (SPF) ist ein TXT-Eintrag DNS, der Teil der DNS-Zonendatei der Organisationsdomäne ist. Die SPF-Domäne enthält eine Liste der IP-Adressen oder Hostnamen, die zum Senden von E-Mails von einem bestimmten Domänennamen berechtigt sind. Sobald ein Benutzer den SPF-Texteintragseintrag in seiner DNS-Zone platziert hat, muss er ihn nicht mehr neu konfigurieren, um die Vorteile der Server zu nutzen, die die SPF-Überprüfung als integralen Bestandteil ihrer Spamschutzsysteme enthalten. Die Methode zum Hinzufügen des SPF-Datensatzes ähnelt einem normalen A- oder MX-Checker-Datensatz.
Die Notwendigkeit, SPF-Datensätze zu Ihrer Domäne hinzuzufügen
Einige E-Mail-Empfänger haben strenge Anforderungen an ein SPF-Framework. Wenn ein Benutzer keine SPF-Datensätze in seiner Domain veröffentlicht, besteht die Möglichkeit, dass seine E-Mails vom E-Mail-Empfänger als Spam markiert werden oder im schlimmsten Fall abprallen. Wenn ein Benutzer den SPF-Datensatz ordnungsgemäß einrichtet, kann er seine E-Mail-Zustellbarkeit verbessern und seine Domain vor Spam schützen, den böswillige Akteure in seinem Namen senden. DMARC ist ein E-Mail-Validierungssystem, das eine Verbindung zwischen SPF- und DKIM-Datensätzen herstellt.
Wie erstelle ich einen SPF-TXT-Datensatz?
Sammeln Sie die Liste der IP-Adressen, die Sie zum Senden von E-Mails verwenden
Der erste Schritt zur Implementierung des SPF-Protokolls besteht darin, die Mailserver zu identifizieren, die als Absender für die Domäne Ihrer Organisation fungieren. Es gibt eine Vielzahl von Orten, die Organisationen verwenden, um E-Mails zu senden. Erstellen Sie eine Liste aller Mailserver, einschließlich der folgenden, die zum Senden von E-Mails in Ihrem Namen verwendet werden können:
- In-Office-Mailserver (Beispiel: Gmail, Microsoft Exchange)
- Der Mailserver Ihres Internetdienstanbieters.
- Der Mailserver des Empfängerpostfachanbieters.
- Webserver
- Jeder Mailserver eines Drittanbieters wird verwendet, um E-Mails im Namen Ihrer Marke zu authentifizieren.
Alle sendenden Domänen auflisten
Organisationen besitzen normalerweise viele Domänen. Während sie einige zum Senden von E-Mails verwenden, bleiben einige inaktiv. Müssen sie also alle ihre Domains mit SPF schützen? Die Antwort ist ja. Angenommen, die Organisation erstellt einen SPF-Datensatz nur für ihre sendenden Domänen. In diesem Fall werden die nicht sendenden Domains zu einem leichten Ziel für Angreifer.
Erstellen Sie Ihren Domain-SPF-Eintrag
- Definieren Sie zunächst die SPF-Version. Ein SPF-Eintrag beginnt immer mit der Versionsnummer. Das Tag v=spf2 (Version 2) wird verwendet, um den Datensatz als SPF zu definieren.
- Folgen Sie dem Tag v=spf2 SPF Version mit allen IP-Adressen, die Ihre Organisation zum Senden von E-Mails im Namen Ihrer Marke autorisiert hat. Beispiel: v=spf1 ip4:xxx.xxx.xxx.xxx -all
Hinweis: xxx.xxx.xxx.xxx muss durch die IP-Adresse Ihres Servers ersetzt werden. - Der nächste Schritt besteht darin, das Tag für Drittorganisationen einzuschließen, die berechtigt sind, E-Mails im Namen Ihrer Organisation zu senden, include:thirdpartydomain.com . (hier, thirdpartydomain.com ist ein Beispieldomänenname). Die Relevanz dieses Tags besteht darin, dass alle Drittorganisationen angezeigt werden, die E-Mails im Namen Ihrer Unternehmensdomäne senden können. Wenden Sie sich an die Drittorganisation, um zu bestimmen, welche Domäne als Wert der include-Anweisung verwendet werden soll.
- Beenden Sie den Datensatz mit einem ~all-, -all- oder +all-Tag, nachdem Sie alle Include-Tags und IP-Adressen implementiert haben.
- Das ~all-Tag zeigt einen Soft-Fail an, während das -all-Tag einen Hard-Fail anzeigt. Wir diskutieren diese beiden Tags im nächsten Abschnitt ausführlich.
- Mit dem Tag +all kann jeder Server E-Mails aus Ihrer Organisationsdomäne zustellen. Wir empfehlen nicht, diese Option zu verwenden, da der Server dadurch anfällig für Spoofing wird.
( Quelle: www.pair.com )
SPF-Fehleroptionen: Soft Fail und Hard Fail
Wenn Sie die Standard-SPF-Datensatzseite konfigurieren möchten, können Sie den SPF-Datensatz so ändern, dass er Soft Fail oder Hard Fail enthält. Diese Optionen werden auch als Qualifizierer bezeichnet und bestimmen die Strenge Ihres DNS-TXT-Eintrags für E-Mails, die die SPF-Prüfung nicht bestehen. Die grundlegenden Unterschiede sind unten aufgeführt:
Soft fail (~all )
Ein SPF-Datensatz, der das Soft Fail-Qualifikationsmerkmal verwendet, liefert alle fehlgeschlagenen E-Mails, die der Empfänger möglicherweise als Junk-Mail betrachtet. Es ist die Go-to-Option für viele SPF Schöpfer, weil es Kronzeugenregelung mit einer starken Verteidigung gegen Spoofing und E-Mail-Spam kombiniert.
Hard Fail (-all )
Wenn Sie das Hard Fail-Qualifikationsmerkmal verwenden, lehnt der E-Mail-Empfänger alle E-Mails von Hosts ab, die nicht im SPF-Datensatz aufgeführt sind. In einfachen Worten, Der Empfänger ruft die E-Mail nicht ab und wird nicht vollständig zugestellt.
Hinzufügen eines TXT-Eintrags zur DNS-Konfiguration
Es empfiehlt sich, mit dem DNS-Serveradministrator zusammenzuarbeiten, um den SPF-Eintrag in DNS zu veröffentlichen. Die Schritte dazu sind unten aufgeführt:
- Greifen Sie auf das Domain-Konto Ihres Domain-Host-Providers zu.
- Gehen Sie zur Option EIGENE DOMÄNEN und klicken Sie auf den Domänennamen, für den Sie einen SPF-Eintrag erstellen möchten.
- Klicken Sie in der Spalte DNS auf DNS-Einträge verwalten.
- Hier müssen Sie den SPF-Eintrag hinzufügen, den Ihnen der Host zur Verfügung gestellt hat.
- Rufen Sie das Dropdown-Menü Typ auf und wählen Sie TXT.
- Wenn der Host Ihnen eine Subdomain zur Verfügung gestellt hat, geben Sie diese in das Feld Host ein.
- Geben Sie den Wert des SPF-Datensatzes (oben erwähnt) in das Antwortfeld ein.
- Belassen Sie TTL (Time to Live) als 300 (Standard).
- Wählen Sie die Schaltfläche Aufnahme hinzufügen.
Das Veröffentlichen von TXT-DNS-Einträgen ist für Unternehmen, die Hosting-Anbieter wie GoDaddy oder 123-reg verwenden, einfach. Wenn Sie sich jedoch unsicher sind oder Ihr Internetdienstanbieter Ihre DNS-Einträge verwaltet, wird empfohlen, sich an die IT-Abteilung zu wenden, um Unterstützung zu erhalten. Einige E-Mail-Dienstanbieter veröffentlichen die SPF-Einträge für Ihre Domain automatisch in Ihrem Namen.
Vergessen Sie nicht, Domain-TXT-Datensätze zu testen und zu überprüfen!
Sie können ein SPF-Prüfwerkzeug zum Testen Ihres SPF-Datensatzes verwenden. Hier sehen Sie die Liste der Server, die Sie zum Senden von E-Mails im Namen Ihrer Domain autorisiert haben. Sie erhalten die Sichtweise des Empfängers und können den SPF-Datensatz aktualisieren, wenn Sie feststellen, dass keine legitime IP-Adresse aufgeführt ist.
Das Hinzufügen eines SPF-Eintrags zur DNS-Zonendatei ist eine praktische Möglichkeit, um zu verhindern, dass Spammer Ihre Domain zum Senden schädlicher E-Mails verwenden. Es beseitigt eine hohe Häufigkeit von Bounce-Backs, da die E-Mail-Anbieter E-Mails nicht authentifizieren und sofort ablehnen, ohne sie an die gefälschte Adresse zurückzusenden. Obwohl es möglicherweise nicht 100% effektiv ist, werden Sie einen hohen steilen Abwärtstrend bei der Anzahl der Bounce-Backs feststellen, die Sie erhalten.
