SPF – Schutz vor Mail-Spoofing

SPF (Sender Policy Framework) wurde zur Abwehr von Spam entwickelt. Es soll das Fälschen von Absenderadressen (Mail-Spoofing) verhindern. Dabei wird in der DNS-Zone Ihrer Domain ein TXT-Eintrag mit Informationen darüber hinterlegt, welcher Mailserver berechtigt ist, über Ihre Domain Emails zu versenden.

Beispiel:
Ein Spammer versendet eine Email und benutzt dabei den (gefälschten) Absender max@example.com. Der empfangende Emailserver prüft nun, ob ein SPF-Eintrag zur Domain example.com angelegt ist und welche Server berechtigt sind, E-Mails mit dieser Domain als Absender zu versenden. Stimmt die IP oder der Hostname des versendenden Servers nicht mit den Informationen aus dem SPF-Eintrag überein, wird die Email abgelehnt.

Beispiel eines SPF-Eintrages in textalischer Form:
example.com IN TXT "v=spf1 include:_spf.publicompserver.de -all"

  • Dabei steht “example.com“ für die Domain, über die Emails versendet werden.
  • “TXT“ beschreibt die Art des DNS-Eintrages – also einen TXT-Eintrag.
  • “v=spf1“ legt den Typen des DNS-Eintrages fest. Dieser Typ ist für SPF zur Zeit allgemein gebräuchlich, was aber nicht ausschließt, dass in nächster Zukunft alternative Typen nutzbar sein werden.
  • “include:“ Nachfolgend werden die IP, Domain oder Emailserver hinterlegt, die zum Versenden von Emails unter der zu Anfang genannten Domain berechtigt sind.
  • Der Eintrag “_spf.publicompserver.de“ steht für unsere Emailserver.
  • “-all“ legt fest, dass der SPF-Eintrag vollständig ist und daher alle Emails von Servern/IP’s/Domains, die dem Inhalt nicht entsprechen, abgelehnt werden sollen. Bitte lesen Sie hierzu auch den letzten Absatz dieses Beitrages.

Das Anlegen eines SPF-Eintrages

  • Wählen Sie sich mit Ihren Zugangsdaten im Kundenlogin ein.
  • Klicken Sie auf den Menüpunkt Domains und selektieren nun die Domain (ohne www), die Sie zum Versand von Emails verwenden.
  • Betätigen Sie den Button “Eigene DNS-Einträge“.
  • Legen Sie nun einen TXT-Eintrag mit folgendem Inhalt an:
    • TTL – “86400“ (entspricht einer Gültigkeitsdauer von 24 Stunden)
    • Wert – “v=spf1 include:_spf.publicompserver.de -all“
  • Speichern Sie Ihren Eintrag.

Ab sofort sind nur noch unsere Mail-Server zum Versenden über Ihre Domain autorisiert.

ACHTUNG!
Unter Umständen ist es notwendig, den SPF-Eintrag anzupassen. Dies ist der Fall, wenn sie mit Ihrer Domain über einen externen Anbieter Newsletter versenden (z.B. Mailchimp, Cleverreach oder Amazon SES).
Erweitern Sie den Wert des Eintrages um den entsprechenden Host.

Beispiel:
v=spf1 include:_spf.publicompserver.de -all
wird zu
v=spf1 include:_spf.publicompserver.de include:ihrnewsletterdienst.tld -all

Die exakten Daten für den Eintrag erhalten Sie bei Ihrem Anbieter.

Achtung bei SPF und automatische Mail-Weiterleitungen

Wenn Sie eine automatische Email-Weiterleitung zu einem externen Email-Anbieter (z.B. GMail, T-Online o.ä.) eingerichtet haben, wird dieser die weitergeleiteten Emails ablehnen.

Folgendes Szenario, bei dem 3 Domains und 3 unterschiedliche Mail-Server involviert sind:

  • “max@domain1.tld“ schreibt eine Email an “max@example.com“.
  • Diese Email wird automatisch an die Adresse “max@domain3.tld“ weitergeleitet, wobei Weiterleitungen ebenfalls als Versand gelten.
  • Der Spam-Filter des Mail-Server der Adresse “max@domain3.tld“ prüft nun anhand des SPF-Eintrages, ob der bei der Domain “domain1.tld“ hinterlegte Server mit dem tatsächlich versendenden Server übereinstimmt. Durch die Weiterleitung ist der versendende Server aber nun ein anderer.
  • Als Resultat wird die Email abgelehnt.

Weitereführende Informationen zu SPF: