SPF-Eintrag
Das Sender Policy Framework (SPF) wurde entwickelt, um den E-Mail-Verkehr abzusichern. Pro Domain wird ein SPF-Eintrag benötigt, dieser stellt eine Liste an zugelassener E-Mail Versandsysteme bereit.
Welche Funktion hat der SPF-Record?
Der SPF-Record legt fest, welche Mailserver die Genehmigung haben, im Namen der Domain, E-Mails zu senden. Bei der Überprüfung wird der technische Absender (RFC5321.MailFrom) der E-Mail überprüft, der sichtbare Absender (RFC5322.From) wird bei der Prüfung ignoriert. Wenn kein SPF-Record vorhanden ist, kann jeder die Domain verwenden, um E-Mails zu versenden.
Wie definiere ich einen SPF-Record?
Der SPF-Record wird im DNS-Verzeichnis der Domain als TXT-Record eingerichtet. Eine Domain (Root Domain) darf nur einen SPF-Record haben, da die Definition mehrerer SPF-Records zu Fehlern führt.
Zusatzinfo für Subdomains
Subdomains können jeweils einen eigenen SPF-Record haben. In diesem Fall können mehrere SPF-Records existieren, wobei jeder für eine bestimmte Subdomain definiert wird.
Worauf sollte ich achten, bei der Konfiguration des SPF-Records?
Ein SPF-Record sollte immer nur die Mailserver freischalten, die eine Erlaubnis zum versenden von E-Mails erhalten sollen.
Wenn zusätzliche Anwendungen im Auftrag der Domain E-Mails versenden möchten, sollte man hierfür eine Subdomain einrichten. Wird keine Subdomain verwendet, haben die zusätzlichen Anwendungen auch die Berechtigung unter der Hauptdomain E-Mails zu versenden, dass bedeutet sie können zum Beipiel als inhaber@example.com E-Mails versenden. Somit erhöht sich das Risiko für einen Missbrauch deiner Domain.
Beispiele für Subdomains
- newsletter.example.com
Vorschlag für eine Subdomain für ein Newsletter System - helpdesk.example.com
Vorschlag für eine Subdomain für ein Support Ticket System
SPF Syntax
Übersicht der SPF-Mechanismen und deren Funktionen| Mechanismus | Beschreibung | Erforderlich |
|---|---|---|
| v= | Hier wird die Version des SPF-Records definiert. v=spf1 kennzeichnet die aktuell gültige Version. | Ja |
| a: | Dieser Mechanismus erlaubt das Hinzufügen von A-Records (IPv4-Adressen) aus dem DNS als autorisierte Mailserver. | Nein |
| mx: | Dieser Mechanismus erlaubt das Hinzufügen von MX-Records aus dem DNS als autorisierte Mailserver. | Nein |
| ip4: | Dieser Mechanismus erlaubt das direkte Hinzufügen von IPv4 Adressen als autorisierte Mailserver. | Nein |
| include: | Die Include-Anweisung wird häufig verwendet, um externe Mailsysteme einzubeziehen und die SPF-Records besser zu strukturieren. Bei der Überprüfung einer Include-Anweisung wird nach einer Übereinstimmung mit der IP-Adresse des Senders gesucht. Wenn keine Übereinstimmung gefunden wird, wird die nächste Anweisung überprüft. Die all Anweisung wird bei einer Include-Anweisung nicht berücksichtigt, es wird nur auf positive Übereinstimmungen geprüft. | Nein |
| redirect= | Die Redirect Anweisung wird verwendet um die Anfrage an eine andere Domain weiterzuleiten. Sie darf nicht in Kombination mit einem all verwendet werden, da die redirect Anweisung in diesem Fall ignoriert würde. | Nein |
Mechanismus all
SPF-Einträge abschließen, die Qualifier kurz erklärt| Qualifier | Beispiel | Beschreibung | Empfehlung |
|---|---|---|---|
| - | -all | HardFail, blockiert nicht autorisierte E-Mails | Ja |
| ~ | ~all | SoftFail, markiert nicht autorisierte E-Mails als unsicher, es wird aber angenommen | Nein |
| ? | ?all | Neutral, weder erlaubt noch blockiert, der Domain Besitzer legt keine Regel fest | Nein |
| + | +all | Pass, erlaubt alle E-Mails, unabhängig von der IP-Adresse des sendenden Servers | Nein |
Was sind die Vorteile bzw. die Nachteile von einem SPF-Record?
Vorteile von SPF
- E-Mail Spoofing Schutz
Eine der Hauptaufgaben des SPF-Record besteht darin, das Spoofing von E-Mail-Absendern zu verhindern. Spoofing tritt auf, wenn ein Angreifer gefälschte E-Mails sendet, die vorgeben, von einer vertrauenswürdigen Quelle zu stammen. - Spam Filterunterstützung
Der empfangende Mailserver bekommt die Möglichkeit zu überprüfen, ob die E-Mail von einem genehmigten Mailserver versendet wurde.
Nachteile von SPF
- Ohne DMARC Nutzlos
Ein SPF-Record ohne aktive DMARC Konfiguration, verhindert keinen E-Mail Identitätsdiebstahl. Nur in Verbindung mit einer richtigen DMARC Konfiguration, schützt ein SPF-Record vor E-Mail Identitätsdiebstahl. - E-Mail Weiterleitungsprobleme
Es kann zu Problemen führen, wenn das Zielpostfach eine Weiterleitung auf einen andere E-Mail-Adresse (Mailserver) eingerichtet hat. Das Problem ist meistens auf eine schlechten Implementierung der Weiterleitung zurückzuführen. Durch die aktivierung von DKIM wird dieser Fehler im Normalfall behoben.
Fazit
Die Einrichtung eines SPF-Eintrags ist wichtig, ebenso wie die korrekte Konfiguration von DKIM und DMARC.SPF Beispiele
SPF Postfix
Nur den definierten Mailservern die für den Empfang von E-Mails zuständig sind, die Erlaubnis erteilen E-Mails zu versenden v=spf1 mx -all v=spf1 Definition SPF-Record mit der Version 1mx Erlaubt allen Mailservern von der Domain im MX Record E-Mails zu senden-all Abschluss der Anweisung, wenn keine vorherige Bedingung die E-Mail erlaubt hat, wird es abgewiesenSPF Microsoft 365
Microsoft Office 365 v=spf1 include:spf.protection.outlook.com -all v=spf1 Definition SPF-Record mit der Version 1include:spf.protection.outlook.com Erlaubt es dem Mailsystem von Microsoft Office 365 E-Mails zu senden-all Abschluss der Anweisung, wenn keine vorherige Bedingung die E-Mail erlaubt hat, wird es abgewiesenSPF Google Workspace
Gmail Gsuite v=spf1 include:_spf.google.com -all v=spf1 Definition SPF-Record mit der Version 1include:_spf.google.com Erlaubt es dem Mailsystem von Google Gmail E-Mails zu senden-all Abschluss der Anweisung, wenn keine vorherige Bedingung die E-Mail erlaubt hat, wird es abgewiesenSPF Ionos
v=spf1 include:_spf-eu.ionos.com -all v=spf1 Definition SPF-Record mit der Version 1include:_spf-eu.ionos.com Erlaubt es dem Mailsystem von Ionos E-Mails zu senden-all Abschluss der Anweisung, wenn keine vorherige Bedingung die E-Mail erlaubt hat, wird es abgewiesenSPF Easyname
v=spf1 include:spf.easyname.com -all v=spf1 Definition SPF-Record mit der Version 1include:spf.easyname.com Erlaubt es dem Mailsystem von Easyname E-Mails zu senden-all Abschluss der Anweisung, wenn keine vorherige Bedingung die E-Mail erlaubt hat, wird es abgewiesenSPF Hostinger
v=spf1 include:_spf.mail.hostinger.com -all v=spf1 Definition SPF-Record mit der Version 1include:_spf.mail.hostinger.com Erlaubt es dem Mailsystem von Hostinger E-Mails zu senden-all Abschluss der Anweisung, wenn keine vorherige Bedingung die E-Mail erlaubt hat, wird es abgewiesen