SPF-Abfragelimit
SPF erlaubt maximal 10 DNS-Lookups pro Prüfung. Was zum Limit zählt, wie ein permerror entsteht und wie Sie Ihren SPF-Eintrag effizient halten.
Was ist ein Abfragelimit (SPF)?
Das SPF-Abfragelimit bezeichnet die maximale Anzahl an DNS-Lookups, die eine SPF-Auswertung (Sender Policy Framework) durchführen darf. Das Limit liegt bei 10 DNS-Lookups, um übermäßige DNS-Abfragen zu verhindern, die die Nachrichtenzustellung verlangsamen oder Denial-of-Service-Missbrauch (DoS) ermöglichen könnten. Wird das Limit überschritten, schlägt die SPF-Authentifizierung mit einem „permerror“ (permanenter Fehler) fehl, selbst wenn die sendende IP-Adresse gültig ist.
Jeder Mechanismus oder Modifikator in einem SPF-Eintrag, der einen DNS-Lookup auslöst, etwa include, a, mx, exists oder ptr, zählt zu diesem Limit. Ein effizienter Umgang mit SPF-Lookups ist wichtig, um die Authentifizierung zuverlässig zu halten und falsch eingestufte Nachrichten zu verhindern.
So funktioniert das SPF-Abfragelimit
Wenn ein empfangender Mailserver einen SPF-Eintrag validiert, verarbeitet er jeden Mechanismus nacheinander und führt bei Bedarf DNS-Abfragen durch. Zum Beispiel:
v=spf1 include:_spf.google.com include:mailservice.com include:sendgrid.net -allReferenziert jede eingebundene Domain weitere Includes oder Mechanismen, kann die Gesamtzahl der Lookups 10 überschreiten und SPF fehlschlagen lassen, selbst wenn alle IP-Adressen legitim sind.
Mechanismen, die Lookups verbrauchen:
includeamxptrexistsredirect
Statische Mechanismen wie ip4 und ip6 zählen nicht zum Limit.
Best Practices zur Vermeidung von Lookup-Limits
So bleiben Sie innerhalb des SPF-Abfragelimits:
- Nutzen Sie SPF-Flattening, um Includes durch aufgelöste IP-Adressen zu ersetzen
- Konsolidieren oder entfernen Sie ungenutzte Drittanbieter-Includes
- Vermeiden Sie verschachtelte „include“-Ketten mehrerer Anbieter
- Prüfen Sie Ihre SPF-Einträge regelmäßig auf Effizienz
- Achten Sie in DMARC-Berichten auf „permerror“-Ergebnisse
Abfragelimit (SPF) und DMARCeye
DMARCeye erkennt automatisch SPF-Einträge, die sich dem Limit von 10 Abfragen nähern oder es überschreiten. Die visuelle SPF-Analyse hilft Organisationen, redundante Includes, DNS-Rekursion und ineffiziente Konfigurationen zu identifizieren, die Validierungsfehler verursachen könnten.
Indem DMARCeye SPF-Einträge vereinfacht und Authentifizierungsergebnisse überwacht, sichert es eine starke E-Mail-Zustellbarkeit und eine korrekte DMARC-Durchsetzung, ohne die Lookup-Grenzen zu überschreiten.
Verschaffen Sie sich einen vollständigen Überblick darüber, wer E-Mails über Ihre Domain versendet, mit Empfehlungen für den Fall, dass Sie Missbrauch entdecken.
Prüfen Sie Ihren eigenen SPF-Eintrag:
Registrieren Sie sich für die kostenlose Testversion von DMARCeye und schützen Sie Ihre E-Mail-Domain.
Um mehr über DMARC und verwandte Begriffe zu erfahren, besuchen Sie das DMARCeye-Glossar.