SPF Record bei Netcup Fehlerhaft oder nicht?

[Falc410]

Ich bin vor ein paar Monaten zu Netcup gezogen mit ein paar externen Domains und nutze dort ein kleines Webhosting, hauptsächlich für die Mails.

Netcup hat mir gesagt ich soll folgenden SPF Record eintragen bei den Domains:
v=spf1 mx a include:_spf.webhosting.systems ~all

Nun habe ich verschiedene SPF Checker ausprobiert und die meisten (nicht alle) sagen, dass der SPF Record ungültig ist, da: More than one record found
z.B. Ausgabe von https://mxtoolbox.com/dmarc/dmarc-email-tools

Ein anderes Tool (https://dmarcly.com/tools/spf-record-checker) sagt, alles in Ordnung:

Ja was stimmt denn nun?

 

[dw4817]

Beide haben recht:
Checker 1 sagt: Du hast zwei SPF-Records, darfst aber nur einen haben. Schmeiß doch den ersten "v=spf1 mx a -all" einfach raus.
Checker 2 sagt: Jeder der beiden SPF-Records ist an sich gültig.

 

[Falc410]

Ich hab ja nur einen TXT Eintrag und zwar: v=spf1 mx a include:_spf.webhosting.systems ~all

Deswegen weiß ich nicht, was ich da machen soll.

 

[Masamune2]

So siehts aus, den ersten Record kannst du killen.

Ansonsten würde ich noch -all statt ~all machen wie im alten Eintrag auch. Damit werden Mails mit fehlgeschlagenem SPF Check direkt weg geworfen statt irgendwo in Quarantäne zu landen.

Ich hab ja nur einen TXT Eintrag

Schau nochmal genau, aktuell hast du wohl zwei.

 

[Falc410]

Schau nochmal genau, aktuell hast du wohl zwei.

Habe ich gerade überprüft, es existiert im DNS nur eine Zeile wie ich geschrieben habe. Deswegen bin ich ja so verwundert. Die DNS Konfiguration auf dem DNS Server hat nur
v=spf1 mx a include:_spf.webhosting.systems ~all

Es gibt keinen zweiten Eintrag.

 

[dw4817]

Ich hab ja nur einen TXT Eintrag und zwar: v=spf1 mx a include:_spf.webhosting.systems ~all

Deswegen weiß ich nicht, was ich da machen soll.

Der erste Checker sagt "More than one record found" und zeigt im Screenshot darüber zwei unterschiedliche SPF-Records an.
Wenn Du den Domain-Name verraten magst, dann könnten wir selbst per DNS-Request nachsehen.

 

[Falc410]

Ich glaube ich weiß was das Problem ist. Muss ich den SPF Record für jede Subdomain setzen? Das v=spf1 a mx -all ist nämlich ein Defaulteintrag des DNS Providers - obwohl ich das eigentlich deaktiviert habe.

Aber ich habe den TXT / SPF Eintrag nur für die Hauptdomain eingetragen, es existiert aber z.B. ein Wildcard A-Record. Muss ich dann für jede Subdomain den SPF Record setzen?

Wenn Du den Domain-Name verraten magst, dann könnten wir selbst per DNS-Request nachsehen.

ungern, ist ja mit meinem echten Namen registriert ^^

 

[dw4817]

Aber ich habe den TXT / SPF Eintrag nur für die Hauptdomain eingetragen, es existiert aber z.B. ein Wildcard A-Record. Muss ich dann für jede Subdomain den SPF Record setzen?

Nur für die Subdomains, die als Domainpart auch im Mailverkehr auftauchen.

ungern, ist ja mit meinem echten Namen registriert ^^

Bei einer de-Domain sollte das keine Rolle mehr spielen, weil whois-Einträge mit allen Details nicht mehr ohne weiteres eingesehen werden können.

Egal, Du kannst ja selbst auch mal mit "dig" (falls Du Linux verwendest) nachsehen, einfach "dig txt domain.tld" sowie "dig spf domain.tld" und nachsehen, was für Records zurück kommen.

 

[Masamune2]

Wenn du mit den Subdomains auch Mails versendest solltest du auf jeden Fall dort auch einen SPF Eintrag anlegen und selbst wenn nicht ist es auf jeden Fall empfohlen um zu verhindern das jemand von diesen Domänen in deinem Namen Mails versendet.

 

[dw4817]

...und selbst wenn nicht ist es auf jeden Fall empfohlen um zu verhindern das jemand von diesen Domänen in deinem Namen Mails versendet.

Sehr guter Punkt, daran hatte ich nicht gedacht.

 

[Falc410]

Danke, es ist definitiv ein Problem des DNS Providers wie ich gerade feststelle. Das Webmenü erlaubt nur einen SPF Eintrag, welcher dann automatisch einen TXT erstellt für die Hauptdomain. Wenn ich für die Subdomain wie z.B. mail.domain.tld noch den selben SPF hinzufügen möchte, lässt er das nicht zu und bei dig tauchen teilweise echt zwei TXT Einträge auf, bei anderen Domains nur einer.

Ich wende mich an den Support vom Anbieter. Danke für die Hilfe!

Sehr guter Punkt, daran hatte ich nicht gedacht.

Das ist genau der Grund warum ich das zum Anlass genommen habe meine Settings zu überprüfen. In den Medien (Heise vermutlich und weitere) wird es in den nächsten Tagen / Wochen dazu eine News geben

 

[Bob.Dig]

Danke, es ist definitiv ein Problem des DNS Providers wie ich gerade feststelle.

Was soll denn ein DNS Provider sein in dem Kontext? Dein DNS kannst Du doch nur bei einem einzigen haben für eine Domain (ohne Subs).

 

[Falc410]

Der Provider die Zonen für meine Domains hostet - also die Nameserver die eingetragen sind.

Hab schon Antwort vom Support - war so gesehen ein Bedienfehler aber auch Bug wenn man den SPF Record so wie ich direkt als TXT Eintrag anlegt im Webinterface, dann legt das System automatisch noch einen unsichtbaren SPF Record an. Hab das gelöscht und dann den TXT Record über einen SPF Button neu eingetragen. Nun passt alles.