Syntax für SPF-Datensätze
Oktober 11, 2023 | 3 Min. Lesezeit
Ein SPF-Datensatz besteht aus mehreren Teilen. Der erste Teil sollte immer die Versionsnummer sein, danach können Sie gültige Absender mit einem oder mehreren Mechanismen definieren. Die Syntax der SPF-Einträge ist detailliert in RFC 7208 definiert.
Das Folgende ist eine Zusammenfassung der Syntax:
Der SPF-Eintrag ist ein Texteintrag, der in den TXT-DNS-Eintrag für eine Domäne eingefügt wird. Ein SPF-Datensatz besteht aus mehreren Teilen. Der erste Teil sollte immer die Versionsnummer sein, danach können Sie gültige Absender mit einem oder mehreren Mechanismen definieren. Die Mechanismen und Modifikatoren sind durch Leerzeichen getrennt. Jeder Mechanismus beginnt mit einem einzelnen Buchstaben, und jeder Modifikator beginnt mit einem einzelnen Buchstaben, gefolgt von einem Gleichheitszeichen (=).
Mechanismen
Mechanismen erlauben oder verweigern entweder die Verwendung einer IP-Adresse zum Senden von E-Mails von einer bestimmten Domäne. Im Folgenden sind die verfügbaren Mechanismen aufgeführt:
| Mechanismen | Beschreibung | Beispiel |
|---|---|---|
| A | Das A-Qualifikationsmerkmal stimmt mit einer IP-Adresse überein und wird verwendet, um E-Mails von einer bestimmten IP-Adresse zuzulassen / abzulehnen. | v=spf1 a -all |
| IP4 | Das IP4-Qualifikationsmerkmal stimmt mit einer IPv4-Adresse überein und wird verwendet, um E-Mails von einer bestimmten IPv4-Adresse zuzulassen / abzulehnen. | v=spf1 ip4:192.168.0.1 -all |
| IP6 | Das IP6-Qualifikationsmerkmal stimmt mit einer IPv6-Adresse überein und wird verwendet, um E-Mails von einer bestimmten IPv6-Adresse zuzulassen / abzulehnen. | v=spf1 ip6:fe80:: -all |
| PTR (Nicht empfohlen) | Das PTR-Qualifikationsmerkmal stimmt mit einem Hostnamen überein, der über eine Reverse-DNS-Suche gesucht wird. Das PTR-Qualifikationsmerkmal wird verwendet, um E-Mails von einem bestimmten Hostnamen zuzulassen / abzulehnen. | v=spf1 ptr:example.com -all |
| MX | Das MX-Qualifikationsmerkmal stimmt mit einem Hostnamen überein, der über eine DNS-MX-Eintragssuche gesucht wird. Das MX-Qualifikationsmerkmal wird verwendet, um E-Mails vom Mailserver einer Domain zuzulassen / abzulehnen. | Beispiel: v=spf1 mx -all |
| Include | Der Modifikator include wird verwendet, um eine andere SPF-Datensatzsyntax in den SPF-Datensatz aufzunehmen. Der enthaltene SPF-Eintrag wird über DNS gesucht und ausgewertet, als wäre er Teil des SPF-Eintrags. | v=spf1 include:example.com -all |
| exists | Der Modifikator exists wird verwendet, um eine DNS-Suche durchzuführen, und stimmt überein, wenn ein DNS-Eintrag zurückgegeben wird. Der Modifikator exists wird verwendet, um E-Mails basierend auf dem Vorhandensein eines DNS-Eintrags zuzulassen / abzulehnen. | Beispiel: v=spf1 exists:example.com -all |
Modifizierern
Modifikatoren werden durch Leerzeichen getrennt, und jeder Modifikator beginnt mit einem einzelnen Buchstaben, gefolgt von einem Gleichheitszeichen. Modifikatoren werden verwendet, um die Aktion zu ändern, die ausgeführt wird, wenn ein Qualifikationsmerkmal übereinstimmt. Im Folgenden sind die verfügbaren Modifikatoren aufgeführt:
| Modifizierern | Beschreibung | Beispiel |
|---|---|---|
| redirect | Der Umleitungsmodifikator wird verwendet, um eine Abfrage an einen anderen SPF-Datensatz umzuleiten. Der Umleitungsmodifikator wird verwendet, wenn eine Domäne die SPF-Datensatzsyntax an eine andere Domäne delegieren möchte. Der Umleitungsmodifikator wird nur von neueren Versionen von SPF unterstützt. | v=spf1 [redirect=example .com](http://redirect%3Dexample.com/) |
| exp | Der exp-Modifikator wird verwendet, um einen Fehlerzustand zu erklären. Der Modifikator exp wird verwendet, um eine detailliertere Fehlermeldung bereitzustellen, wenn eine Abfrage fehlschlägt. Der exp-Modifikator wird nur von neueren Versionen von SPF unterstützt. | v=spf1 -all exp=badhost |
Aktion
Aktion ist das letzte Element eines SPF-Eintrags. Aktionen werden durch Leerzeichen getrennt und jede Aktion beginnt mit einem einzelnen Buchstaben. Die verfügbaren Aktionen sind:
| Aktion | Bedeutung | Beispiel |
|---|---|---|
| +all | Erlaube allen IPs, E-Mails zu senden (nicht empfohlen) | v=spf1 +all |
| -all | Alle E-Mails verweigern, dies wird verwendet, wenn die Domain überhaupt keine E-Mails sendet | v=spf1 -all |
| ~all | Erlaubt den angegebenen MXs der Domain, E-Mails für die Domain zu senden, verweigert alle anderen | v=spf1 mx ~all |
| ?all | Diese Aktion wird verwendet, um das Ergebnis des SPF-Datensatzes zu neutralisieren. | v=spf1 mx ?all |
Ausführlichere Informationen zu den Ergebnissen des SPF-Ausfalls finden Sie hier
Maximale Anzahl von Lookups
Um zu verhindern, dass DNS-Lookups zu Endlosschleifen werden, führt SPF maximal 10 DNS-Lookups durch. Wenn ein SPF-Eintrag mehr als 10 DNS-Suchvorgänge enthält, wird der SPF-Eintrag als ungültig betrachtet.
Eine DNS-Suche wird durchgeführt, wenn Sie nach einem dieser Mechanismen fragen:
- a
- mx
- ptr
- include
- exists
Bitte beachten Sie, dass die ’nested Lookups‘ wird auch zählen. Wenn eine ‚‘included’‘ Domain eine A- und MX-Suche durchführt, zählen beide auch als Suche für Ihre Domain.
Fazit
Die automatisierte SPF-Software von Skysnag wurde entwickelt, um die Identität eines E-Mail-Absenders zu überprüfen und Ihre Domain vor Phishing-Angriffen zu schützen, während gleichzeitig die Zustellbarkeit Ihrer E-Mails gewährleistet wird. Beginnen Sie mit Skysnag, indem Sie sich noch heute über diesen Link für eine kostenlose Testversion anmelden und eine gesunde Domain pflegen.
You might be interested in reading:
Überprüfen Sie die DMARC-Sicherheitskonformität Ihrer Domain
DMARC, SPF und DKIM in Tagen umsetzen - nicht in Monaten
Skysnag unterstützt vielbeschäftigte Ingenieure bei der Durchsetzung von DMARC, reagiert auf Fehlkonfigurationen bei SPF oder DKIM, was die E-Mail-Zustellbarkeit erhöht und E-Mail-Spoofing sowie Identitätsbetrug eliminiert.