Ich bin für eine Domäne verantwortlich, die über einen SPF-Eintrag verfügt, wie von verschiedenen anderen Diensten empfohlen, die E-Mails im Namen dieser Domäne senden.
Als ich Mailchimp einrichtete, war ich überrascht, keine Dokumentation zu Mailchimps empfohlener SPF-Einrichtung zu finden. Als ich den Support kontaktierte, wurde mir gesagt, dass Mailchimp SPF grundsätzlich als veraltet betrachtet, SPF seit über 6 Monaten nicht mehr verwendet und der Meinung ist, dass der Eintrag weder hilft noch behindert. Sie gingen sogar so weit, mir vorzuschlagen, unseren SPF-Eintrag ganz zu löschen.
Ich bezweifle nicht, dass Mailchimp unendlich viel mehr über die Zustellbarkeit von E-Mails weiß als ich. Aber ich finde es überraschend, dass Mailchimp keine Erklärung zu dieser Entscheidung veröffentlicht hat, insbesondere wenn man bedenkt, dass jeder andere Anbieter, der in unserem Namen E-Mails versendet, weiterhin die Verwendung von SPF empfiehlt, einschließlich G-Suite.
Was ist also los? Ist SPF im Jahr 2020 nutzlos? Muss ich mir Sorgen machen, dass die Server von Mailchimp nicht in unserem SPF-Eintrag enthalten sind? Sollte ich in Erwägung ziehen, den SPF-Eintrag ganz zu löschen?
Antwort1
Als @jornaneweist darauf hin, Mailchimp verwendet ihre eigene Domain alsUmschlag Absender, wodurch der SPF-Eintrag der Kundendomäne für deren Lieferschema irrelevant wird. Dies macht die DKIM-Signierung für eine ordnungsgemäße DMARC-Anpassung unverzichtbar, da von der SPF-Seite keine Anpassung erfolgen würde.
Allerdings ist die Aussage, dass SPF veraltet ist, eine seltsame Aussage, wenn man bedenkt, dass sie SPF für ihre eigene Domain eingerichtet haben mailchimp.com. Obwohl sie es nicht selbst dokumentiert haben, heißt es in DMARCLYs Artikel überSo richten Sie SPF und DKIM für Mailchimp ein(aktualisiert am 9. Dezember 2020) Der richtige SPF-Include für Mailchimp wäre:
include:servers.mcsv.net
Dieser SPF-Eintrag ist immer noch vorhanden und enthält vermutlich die von ihnen verwendeten IP-Adressen:
"v=spf1 ip4:205.201.128.0/20 ip4:198.2.128.0/18 ip4:148.105.8.0/21 ?all"
Ich denke, diese Aussage könnte auf die voreingenommene Sichtweise der E-Mail-Zustellungsbranche in Bezug auf SPF, DKIM und DMARC zurückzuführen sein. In ihrer Rhetorik geht es bei diesen Technologien nur um einen besseren Ruf oder eine optimierte Zustellung. Sie sehen sie nur als Werkzeuge, um die Nachricht in den Posteingang zu bringen, aber nicht als die andere Seite der Medaille, die verhindert, dass andere E-Mails von Ihrer Domain fälschen. Das ist fast immer der Fall, wenn ein solches Unternehmen versucht, die Vorteile dieser Technologien zu erklären. Aber das sind nicht die wirklichen Vorteile und auch nicht der Grund, warum sie überhaupt erfunden wurden!
Mailchimp hat diese Denkweise vielleicht noch weiter getrieben: „Wenn SPF uns nicht dabei hilft, unsere E-Mails zuzustellen, müssen sie nutzlos sein.“ Meiner Meinung nach haben sie keine Ahnung, ob sie das wirklich gesagt haben. Diese Denkweise ist schädlich, da sie ihre Kunden möglicherweise sogar davon abhalten könnte, eine strengere DMARC-Richtlinie einzuführen. Dies ließ sich besser durch die Beobachtung erklären, dass Mailchimp seine eigene Domäne als Umschlagabsender verwendet.
Antwort2
Aufgrund der Geschichte von SPF ist es etwas kompliziert, aber:
- MailChimp hat technisch gesehen recht, was die
SPFaufzeichnenselbst (im Gegensatz zur Bereitstellung einesTXTDatensatzes mit einer SPF-Richtlinie). - Sie schlagen mit ziemlicher Sicherheit nicht vor, dass Sie die Verwendung von SPF vollständig einstellen.
Die ursprünglichen Implementierungen von SPF suchten TXTin der Domäne selbst nach DNS-Einträgen, die einem bestimmten Format entsprachen (beginnend mit v=spf1einer gültigen SPF-Richtlinie und diese enthaltend). Im Jahr 2005 hat IANA einem bestimmten SPFEintrag den Ressourceneintragstyp 99 zugewiesen, um diesen theoretisch für die Bereitstellung einer SPF-Richtlinie zu ersetzen (mit dem theoretischen Vorteil, dass Sie SPFgezielt nach einem Eintrag suchen können, anstatt nach allen Einträgen suchen TXTund sie dann alle analysieren zu müssen, um zu sehen, ob eine gültige Richtlinie vorliegt).
Aus Kompatibilitätsgründen war die tatsächliche Nutzung des dedizierten SPFDatensatztyps jedoch nie sehr hoch. Netzwerkbetreiber mussten weiterhin einen TXTDatensatz mit der SPF-Richtlinie definieren, damit ältere SPF-Implementierungen weiterhin funktionierten, und Implementierer mussten die Suche nach der SPF-Richtlinie in einem TXTDatensatz unterstützen, um die Kompatibilität mit vorhandenen Netzwerken aufrechtzuerhalten. Daher hatte keine der beiden Seiten einen echten Anreiz, ausschließlich auf die Verwendung des dedizierten Datensatztyps umzusteigen SPF, insbesondere weil die meisten Domänen keine großen Datensatzmengen haben TXTund das Parsen einer Richtlinie aus diesen daher im Allgemeinen ziemlich schnell geht.
Aufgrund dieser geringen Akzeptanz beschloss die SPF-Arbeitsgruppe im Jahr 2014, die Unterstützung für den dedizierten SPFDatensatztyp offiziell einzustellen, da dieser keinen wirklichen Beitrag leistete, nicht wirklich genutzt wurde und in einigen Fällen für Verwirrung sorgte (wie etwa die hier geschilderte).
Und so kam es dass derSPF aufzeichnenist zwar veraltet, aber die Bereitstellung eines SPFPolitikin einem TXTDatensatz wird dennoch dringend empfohlen, auch wenn Ihre Domäne tatsächlich keine E-Mails verarbeitet (in diesem Fall sollten Sie eine Richtlinie von definieren v=spf1 -ALL).
Antwort3
Die Art und Weise, wie MailChimp Mailings versendet, ist nicht mit SPF kompatibel, also ist es sinnvoll, dass sie es ablehnen,im Zusammenhang mit der Art und Weise, wie sie in Ihrem Namen senden.
MailChimp möchte Bounces für Sie verarbeiten, was erfordert, dass sie die Envelope From-Adresse auf ihre eigene Domain setzen, was bedeutet, dass SPF anhand ihrer Domain geprüft werden sollte, nicht anhand Ihrer. Daher ergibt es keinen Sinn, dass sie Sie bitten, sie in Ihrer SPF-Richtlinie zuzulassen. Dies ist auch der Grund, warum einige Clients im Feld „Von“ „via mailchimp“ anzeigen.
SPF ist nicht veraltet, aber für Mailinglisten und ähnliche Fälle nicht geeignet. DKIM arbeitet mit dem From-Header und ist vom Absender kryptografisch signiert, sodass es widerstandsfähiger gegen Weiterleitungen ist und sich leichter an Dritte delegieren lässt. Für MailChimp ist es sinnvoller, sich darauf zu konzentrieren.
Für Ihre eigenen Postausgangsserver sollten Sie SPF, DKIM und DMARC pflegen (das dritte erhalten Sie im Wesentlichen kostenlos, wenn Sie die ersten beiden richtig machen).
Antwort4
Neben den (meist richtigen) anderen Antworten gibt es noch einen weiteren Punkt zum Thema SPF zu beachten.
Wenn Sie externe Dienste zum Senden von E-Mails in Ihrem Namen verwenden oder Ihr E-Mail-Konto in einem Cloud-Dienst eingerichtet haben und SPF eingerichtet ist, müssen Sie die SPF-Einträge dieser Dienste in Ihre eigenen einbinden.
Die meisten dieser Dienste nutzen mittlerweile große Cloud-Anbieter und daher umfassen ihre eigenen SPF-Einträge wirklich riesige IP-Blöcke – im Grunde alle IP-Bereiche dieser riesigen Anbieter.
Das bedeutet im Grunde, dass Sie Milliarden von IP-Adressen ausdrücklich erlauben, in Ihrem Namen E-Mails zu senden, und dass Spammer diese IP-Adressen verwenden (entweder zum Senden von E-Mails von kompromittierten VMs in der Cloud, zum Hacken von M365-E-Mail-Konten oder zum Erstellen temporärer VMs in diesen Diensten).
Damit erlauben Sie Spammern ausdrücklich, in Ihrem Namen E-Mails zu versenden!
Aus diesem Grund ist SPF allein schlechter als kein SPF.
Um diesem Phänomen entgegenzuwirken, ist es jetzt notwendig, DKIM und DMARC zu verwenden.