SPF einrichten
Wie funktioniert SPF (Sender Policy Framework)?
Im SPF geben Sie im Domain Name System (DNS) Ihrer Domäne alle IP-Adressen der Mail Transfer Agents (MTAs) – also der Server – an, die im Namen der eigenen Domäne E-Mails versenden dürfen. Dazu erstellen Sie in der entsprechenden DNS-Zone einen sogenannten SPF-Eintrag (SPF Record). Technisch gesehen handelt es sich hierbei um einen TXT-Eintrag (TXT Record), dessen Syntax in der RFC7208 exakt spezifiziert ist.
Der empfangende Server prüft dann, welche Domäne in der ‚MAIL FROM‘-Adresse angegeben ist und ermittelt im Rahmen einer DNS-Abfrage, ob für die Domäne ein SPF-Eintrag existiert. Ist dies der Fall, liest er die Informationen aus und vergleicht die IP-Adresse des sendenden MTA mit den erlaubten Adressen. Taucht die IP-Adresse des einliefernden MTA nicht im SPF-Eintrag der Domäne auf, ist er für den Versand von E-Mails im Namen dieser Domäne nicht autorisiert.
Wie sieht ein SPF-Eintrag aus?
Bei einem SPF-Eintrag handelt es sich um eine einfache TXT-Datei. Alle SPF-Einträge beginnen mit der Angabe der Versionsnummer. Aktuell lautet die entsprechende Angabe v=spf1. Die dann folgenden Ausdrücke werden von vorne nach hinten verarbeitet. Die meisten dieser Ausdrücke sind sogenannte Direktiven, die eine Aussage zur Autorisierung eines Absenders treffen. Sie beschreiben also, ob der jeweilige Absender zum Senden der E-Mail berechtigt ist.
Qualifikatoren
Qualifikatoren definieren autorisierte beziehungsweise nicht autorisierte Sender und beschreiben, wie diese behandelt werden sollen.
|
Qualifikator |
Code |
Beschreibung |
|---|---|---|
|
+ |
Pass |
Sender ist autorisiert (Standard), E-Mail wird angenommen. |
|
- |
Fail |
Sender ist nicht autorisiert, E-Mail wird nicht angenommen. |
|
~ |
SoftFail |
Sender ist nicht autorisiert, wird aber angenommen und als Spam markiert. |
|
? |
Neutral |
Keine Aussage über den Sender, E-Mail wird angenommen. |
Mechanismen
Mechanismen liefern für eine IP-Adresse einen oder keinen Treffer. Hier eine Übersicht der gebräuchlichsten Mechanismen:
|
Qualifikator |
Wann trifft die Direktive zu? |
|---|---|
|
all |
Immer |
|
a |
Wenn ein A-(oder AAAA-)Eintrag der befragten (oder explizit angegebenen) Domain die IP-Adresse des Senders enthält. |
|
mx |
Wenn ein MX-Eintrag der befragten (oder explizit angegebenen) Domain die IP-Adresse des Senders enthält.. |
|
ip4 |
Wenn die angegebene IPv4-Adresse die Adresse des Senders ist oder das angegebene IPv4-Subnetz diese Adresse enthält. |
|
ip6 |
Wenn die angegebene IPv6-Adresse die Adresse des Senders ist oder das angegebene IPv6-Subnetz diese enthält. |
|
include |
Wenn eine zusätzliche SPF-Anfrage zur im Include-Statement angegebenen Domain die IP-Adresse des Senders enthält. |
|
redirect |
IP-Adresse des Senders, die durch den SPF-Eintrag einer anderen Domain legitimiert wird. |
Beispiel eines SPF-Eintrags
v=spf1 +mx:example.com +ip4:80.66.20.18 +ip4:80.82.206.0/26 include:spf.protection.outlook.com +a:vwp15685.webpack.beispiel.de +ip4:193.37.132.2 +ip4:193.37.132.101 include:customers.clickdimensions.com -all
In diesem Beispiel kommen verschiedene Mechanismen zum Einsatz, über die IP-Adressen zum Senden legitimiert werden:
mx IP-Adressen, die im entsprechenden MX-Eintrag gelistet sind, dürfen E-Mails senden.
ip4 Hier explizit genannte IP-Adressen dürfen E-Mails senden.
a Server, die die Websites mit den angegebenen Domains hosten, dürfen E-Mails senden.
include Zusätzliche Domains, deren SPF-Einträge verwertet werden.
-all Alle nicht genannten IP-Adressen dürfen NICHT senden!
Siehe auch
Absenderreputation und E-Mail-Sicherheit – Teil 2: Sender Policy Framework (SPF) (Blogartikel)