In diesen Artikel erfahren Sie, wie Sie mehrere SPF-Einträge zusammenführen können.
Warum kann es vorkommen, dass ich mehrere SPF-Einträge zusammenführen muss?
Ein SPF-Eintrag wird verwendet, um zu bestätigen, dass die sendende IP das Recht hat, E-Mails zu versenden. Er hilft, die betrügerische Nutzung Ihres Domainnamens zu verhindern, und ist besonders wirksam gegen Phishing-Angriffe.
Eine Domain kann nur einen SPF-Eintrag haben. Wenn mehrere SPF-Einträge vorhanden sind, kann sich dies negativ auf die Reputation Ihrer Domain auswirken und Probleme mit der Zustellbarkeit sowie Betrugsmöglichkeiten nach sich ziehen. Falls Sie mehrere SPF-Einträge für Ihre Domain integrieren müssen, sollten Sie sie in einem einzigen Eintrag zusammenführen.
Syntax eines SPF-Eintrags
Sehen wir uns die verschiedenen Bestandteile eines SPF-Eintrags in folgendem Beispiel an:
Ein SPF-Eintrag beginnt immer mit der Versionsnummer "v=spf1" (Version 1). Dieser Teil definiert den Eintrag als Eintrag vom Typ SPF. Früher gab es eine zweite SPF-Version (genannt "SenderID"), sie wird jedoch nicht mehr genutzt.
Der zweite Teil des SPF-Eintrags umfasst die Mechanismen. Sie spezifizieren verschiedene Regeln für die Überprüfung des SPF und können außerdem ein Präfix enthalten (genannt "Qualifier").
-
ip4 - gibt den IPv4-Adressbereich an, der für den Versand von E-Mails autorisiert ist, z. B. ip4:<ip4-address> oder ip4:<ip4-network>/<prefix-length>.
Wenn keine Präfix-Länge vorgegeben ist, wird /32 als Standard verwendet (was es ermöglicht, eine individuelle Host-Adresse zu isolieren). Bitte geben Sie eine Präfix-Länge von mehr als /16 an, da andernfalls die Lieferung an kleinere Empfänger beeinträchtigt werden könnte.
-
ip4 - gibt den IPv6 -Adressbereich an, der für den Versand von E-Mails autorisiert ist, z. B. ip6:<ip6-address> oder ip6:<ip6-network>/<prefix-length>.
Das Argument für den „ip6“-Mechanismus ist ein IPv6-Adressbereich. Wenn keine Präfix-Länge vorgegeben ist, wird /128 als Standard verwendet (was es ermöglicht, eine individuelle Host-Adresse zu isolieren). -
a - gibt den Domainnamen des Mail-Servers an, der für den Versand von E-Mails autorisiert ist, unter Verweis auf einen A-Eintrag, z. B. a:brevo.com.
Die A-Einträge müssen genau mit der Client-IP übereinstimmen, es sei denn, es wird eine Präfix-Länge angegeben. In diesem Fall wird jede IP-Adresse, die bei der A-Suche gefunden wird, auf ihr entsprechendes CIDR-Präfix erweitert und die Client-IP wird in diesem Subnetz gesucht. -
mx - gibt an, dass der Mail-Server verwendet werden sollte, um E-Mails weiterzuleiten, unter Verweis auf einen MX-Eintrag, z. B. mail.brevo.com.
Die A-Einträge müssen genau mit der Client-IP übereinstimmen, es sei denn, es wird eine Präfix-Länge angegeben. In diesem Fall wird jede IP-Adresse, die bei der A-Suche gefunden wird, auf ihr entsprechendes CIDR-Präfix erweitert und die Client-IP wird in diesem Subnetz gesucht. -
include gibt an, dass der Mail-Server E-Mails im Namen der Domain senden darf (Dritt-Mail-Absender). Es sollte immer in der Mitte eines SPF-Eintrags platziert sein.
Es wird nach einer Übereinstimmung für die angegebene Domain gesucht. Wenn die Suche keinen Treffer oder einen Fehler ergibt, geht die Verarbeitung zur nächsten Direktive über. Wenn die Domain keinen gültigen SPF-Eintrag hat, ist das Ergebnis ein permanenter Fehler. Einige Mail-Empfänger lehnen die E-Mails bei einem permanenten Fehler (PermError) ab.
- all - entspricht allen Mail-Servern und gibt an, wie eine E-Mail behandelt werden soll, wenn ein Absender keinem der vorstehenden Mechanismen entspricht. Es wird mit einem Qualifier verwendet und sollte immer am Ende des SPF-Eintrags platziert werden.
Ein Qualifier ist ein Präfix, das vor einem Mechanismus eingefügt werden kann und angibt, wie mit einer E-Mail umgegangen werden soll, wenn ein Absender keinem der vorstehenden Mechanismen entspricht.
Die folgenden Qualifier sind verfügbar:
- + - ist der Standard-Qualifier und bedeutet Pass (Authentifizierung erfolgreich). Der Server mit einer IP-Adresse oder Domain, die mit einem Mechanismus mit diesem Qualifier übereinstimmt, besteht die SPF-Kontrolle und darf für die Domain senden.
- - - bedeutet Fail (Authentifizierung fehlgeschlagen). Der Server mit einer IP-Adresse oder Domain, die mit einem Mechanismus mit diesem Qualifier übereinstimmt, fällt durch die SPF-Kontrolle durch und darf nicht für die Domain senden.
- ~ - bedeutet Soft Fail (Authentifizierung teilweise fehlgeschlagen). Der Server mit einer IP-Adresse oder Domain-Adresse, die mit einem Mechanismus mit diesem Qualifier übereinstimmt, fällt teilweise durch die SPF-Kontrolle durch und darf vielleicht für die Domain senden. Der Empfänger-Server akzeptiert die E-Mail, markiert sie jedoch als SPF Fail.
- ? - bedeutet Neutral. Der Server mit einer IP-Adresse oder Domain, die mit einem Mechanismus mit diesem Qualifier übereinstimmt, besteht die SPF-Kontrolle weder, noch fällt er durch, da der Eintrag nicht ausdrücklich angibt, ob die IP-Adresse oder Domain für die Domain versenden darf.
Mehrere SPF-Einträge zusammenführen
Um mehrere SPF-Einträge zusammenzuführen, müssen Sie die verschiedenen Teile der Einträge kombinieren. Gehen Sie wie folgt vor, um die folgenden Beispiel-SPF-Einträge für Google Workspace und Brevo zu kombinieren:
v=spf1 include:_spf.google.com ~all
v=spf1 include:spf.brevo.com mx ~all
- Ein SPF-Eintrag beginnt immer mit der Version.
v=spf1
- Dann fügen wir beide "include"-Mechanismen zu unserem neuen Eintrag hinzu.
v=spf1 include:_spf.google.com include:spf.brevo.com
- Der Brevo-SPF-Eintrag enthält einen "mx"-Mechanismus, daher müssen wir diesen ebenfalls in unseren neuen Eintrag aufnehmen.
v=spf1 include:_spf.google.com include:spf.brevo.com mx
- Und schließlich müssen wir definieren, wie mit E-Mail umgegangen wird, wenn ein Absender mit keinem der vorstehenden Mechanismen übereinstimmt. Hierzu verwenden wir den Mechanismus "all".
v=spf1 include:_spf.google.com include:spf.brevo.com mx ~all
Der neue SPF-Eintrag ersetzt nun den alten Eintrag. Sowohl Google Workspace als auch Brevo können nun E-Mails mit Ihrem Domainnamen versenden, alle anderen Absender werden mit "~all" blockiert.
🤔 Sie haben eine Frage?
Wenden Sie sich bei Fragen an unser Support-Team: Erstellen Sie einfach ein Ticket über Ihr Konto. Wenn Sie noch kein Konto haben, können Sie uns hier kontaktieren.
Wenn Sie Unterstützung bei einem Projekt mit Brevo suchen, können wir Sie mit dem richtigen zertifizierten Brevo-Expertenpartner zusammenbringen.