Was ist ein SPF-Record?
Heutzutage nutzen immer mehr Menschen E-Mail, um mit anderen Menschen zu kommunizieren. Mit der zunehmenden Nutzung von E-Mail haben im Laufe der Jahre auch die Versuche von böswilligen Personen zugenommen, sensible Daten abzufangen.
Wie jedes System, das sich im Laufe der Zeit entwickelt, auch das System E-Mail anfällig. Aus diesem Grund ist es notwendig, Methoden zu finden, die verhindern, dass der Endbenutzer in die Falle eines Hackers tappt. Eine der Möglichkeiten, dies zu tun, ist die Verwendung eines SPF-Eintrags im DNS der Domain. Dieser Datensatz wird erstellt, um zu verhindern, dass der Absender einer E-Mail gefälscht werden kann, und enthält Informationen darüber, wer eine E-Mail senden darf.
Wenn der E-Mail-Server des Empfängers eine E-Mail von jemandem empfängt, prüft er vor der Zustellung in den Posteingang sowohl den Inhalt als auch zusätzliche Daten in der E-Mail, z. B. wer der Absender der E-Mail ist und von welchem Mailserver sie gesendet wurde. Diese Informationen werden mit den Informationen im SPF-Eintrag der Domäne verglichen, um sicherzustellen, dass der Server des Absenders zum Senden der E-Mail berechtigt ist. Ist der Server nicht autorisiert, wird die E-Mail an den Absender zurückgeschickt mit der Warnung, dass sie wegen Spamverdachts abgelehnt wurde oder dass der Absender nicht im SPF-Record enthalten ist.
Ein SPF-Record ist ein TXT-Record, der im DNS der Domain vorhanden ist und eine Form wie „v=spf1 a mx ip4:1.2.3.4 -all“ hat. „v=spf1“ gibt die verwendete Version von SPF an. Es folgen so genannte Mechanismen, die angeben, wer berechtigt ist, was durch Ergebnisse vorweggenommen werden kann, die angeben, ob der Absender berechtigt ist oder nicht.
Die Ergebnisse sind:
- + zeigt an, dass der Absender autorisiert ist
- – zeigt an, dass der Absender nicht autorisiert ist
- ~ zeigt an, dass der Absender nicht autorisiert ist, die Nachricht aber durchgelassen werden kann
Die wichtigsten Mechanismen sind:
- a: gibt an, dass im DNS vorhandene DNS-Einträge vom Typ A und AAAA geprüft werden. Wird z. B. verwendet, wenn eine Webseite E-Mails verschickt.
- mx: an, dass die MX-Einträge (meist der E-Mail-Server) autorisiert sind
- ip4: und ip6: Es folgt jeweils eine IP4- oder IP6-Adresse. Zum Beispiel, ip4:1.2.3.4
- include: zeigt an, dass die Richtlinie einer anderen Domain akzeptabel ist. Ein Beispiel ist include:zcom.it
- all, was „alle“ bedeutet und immer am Ende des Datensatzes stehen muss. Auf „all“ folgende Mechanismen werden immer ignoriert.
Wenn ein SPF-Eintrag ausgewertet wird, dürfen nicht mehr als 10 DNS-Lookups durchgeführt werden, sonst wird ein Fehler generiert. Die Verwendung einer übermäßigen Anzahl von a-, mx- und include-Einträgen könnte den Eintrag ungültig machen und somit Probleme bei der E-Mail-Zustellung verursachen. Außerdem werden bei der Berechnung der Anzahl der Lookups auch Includes gezählt, die in einem anderen Datensatz vorhanden sind. Aus diesem Grund sollte die Verwendung von ip4- und ip6-Einträgen bei der Erstellung des SPF-Eintrags gefördert werden.
Best Practices
- Wenn möglich, direkt die IP-Adresse mit „ip4“ bzw. „ip6“ angeben
- Nur ausgehende Mailserver angeben
- Für Domains, die keine Mails schicken sollen, den Record „v=spf1 -all“ erstellen
- Für den HELO/EHLO-Name auch einen SPF-Record erstellen
- Um die DNS-Last zu verringern, sollten „billige“ Parameter (die wenig oder keine Lookups benötigen, z.B. „ip4“) vorne stehen und „teure“ weiter hinten.
- Als E-Mail-Provider sollte man nicht „-“ angeben
Ein praktisches Beispiel
Ein Kunde hat die Domain example.it. Mit dieser Domain sind seine Postfächer mit Servern von Limitis verbunden. Zusätzlich zu den Mailboxen nutzt auch seine Website diese Domain. Für seine Marketing-Kampagnen nutzt er ein bekanntes XYZ Newsletter Tool.
Der SPF-Eintrag für diesen Kunden sollte auf diese Weise erstellt werden:
- Der Datensatz beginnt mit „v=spf1“.
- Die oben genannten Tools sind zum Senden berechtigt, also werden die Mechanismen a:example.it, include:zcom.it, include:xyz.it hinzugefügt. Diese geben in der Reihenfolge an, dass die Webseite, der Limitis-E-Mail-Server und das Newsletter-Tool zum Versand berechtigt sind.
- Der Datensatz endet mit einem -all, das angibt, dass alle E-Mail-Server, die nicht explizit im E-Mail-Mechanismus enthalten sind, abgelehnt werden.
Der endgültige Datensatz lautet also „v=spf1 a:example.it include:zcom.it include:xyz.it -all“
Wie kannst du den SPF-Record deiner Domain prüfen?
Nutze dazu unser Tool „Limitis SPF-Checker„, um deine SPF- und DMARC-Einträge zu überprüfen.
Du findest dieses kostenfrei unter https://spf.limitis.com.
Dort erhältst du alle weiterführenden Informationen.