SPF-Record
Was ist das, welche Vorteile bringt es und wie kann ich es nutzen?
Nicht selten passiert es – Man erhält eine E-Mail von einem bekannten Absender und auch deren Inhalt scheint auf den ersten Blick valide zu sein. Aber etwas stimmt nicht. Kann es sein, dass die E-Mail-Adresse gefälscht wurde? Diese Vorgehensweise ist seit Jahren bekannt.
Betrüger verteilen so zahlreiche schädliche E-Mails an ahnungslose Empfänger und betreiben so Spoofing. Aber wie kann man als Empfänger einer E-Mail feststellen, ob der in der E-Mail ersichtliche Absender wirklich korrekt ist? Eine der effektivsten und gängigsten Lösungen ist das Sender Policy Framework (SPF), über das Mailserver die Echtheit der Absender-Adressen verifizieren und so offensichtlich schadhafte Mails direkt erkennen können.
Ohne einen speziellen Mechanismus ist es für ein Mailsystem so gut wie unmöglich zu verifizieren, ob das sendende Mailsystem wirklich auch zu der angegebenen Absender-Adresse gehört, da größere Anbieter viele Server an den unterschiedlichsten Standorten nutzen, deren Adressen sich zudem auch noch regelmäßig ändern. Eine verlässliche dauerhafte Zuordnung ist daher direkt nicht möglich.
Wie nutze ich SPF bei united-domains
Selbstverständlich können Sie SPF auch für Ihre Domain(s) bei united-domains aktivieren. Klicken Sie für nähere Infos in die FAQ.
Wie funktioniert SPF?
Das Sender Policy Framework ist eine Methode für Mailserver zur Überprüfung, ob eine erhaltene E-Mail tatsächlich von einem validen Server stammt. Hierbei handelt es sich um einen vollautomatischen Mechanismus, welcher vom Endanwender unbemerkt ausgeführt wird. Da mittels SPF definiert werden kann, welchen Servern es gestattet ist, für eine bestimmte Domain E-Mails zu versenden, kann mittels kurzer Überprüfung dieser Definition direkt beim Erhalt einer E-Mail die Validität überprüft werden.
Wenn Beispielsweise eine E-Mail von dem Absender mail@meinedomain.de nur über einen Server mit den IP-Adressen 62.146.106.39 oder 62.146.106.40 gesendet werden darf, werden im SPF-Eintrag der Domain meinedomain.de diese beiden IP-Adressen aufgelistet. Der empfangende Mailserver kann nun prüfen, ob die IP-Adresse des sendenden Servers, in den Adressen des hinterlegten SPF-Eintrags der Domain aufzufinden ist.
Da die Liste der authorisierten IP-Adressen für eine Domain offen im DNS abgelegt sind, kann auf diese von jedem empfangenden Mailserver zugegriffen werden.
Wie sieht so ein SPF-Eintrag aus?
Ein SPF-Record wird als so genannter TXT-Record in die Domain-Zone des zuständigen DNS eingetragen.
Neben der Auflistung der akzeptierten Server-Adressen enthält dieser zudem Informationen über Version (‚v‘), akzeptierter Server/Adressen (‚a‘, ‚mx‘, ip4‘, ‘ip6‘) und einiger Steuerungsparameter zur expliziten Lenkung der Verifizierung (z.B. ‚-all‘, ‚~all‘).
Beispiel eines SPF-Records anhand udag.de:
v=spf1 ip4:62.146.106.0/24 ~all
Welche Vor- und Nachteile bringt SPF mit sich?
SPF etabliert sich immer mehr zum Sicherheitsstandard aller Internet-Service-Provider. So kann es sogar passieren, dass E-Mails deren Absender-Domain keinen SPF-Record besitzt entweder gar nicht ausgeliefert oder mit einer entsprechenden Unsicher-Markierung versehen werden. SPF zählt in der heutigen Zeit zu einer der wichtigsten Sicherheitsmechanismen beim E-Mail-Verkehr, dennoch kann es nur gegen eine bestimmte Art des Missbrauchs schützen. So sind folgende Punkte wie Spoofing, oder die unautorisierte Nutzung fremder Mailserver durch Missbrauch entsprechender Login-Daten weiterhin ein Sicherheitsproblem. Auch sollte SPF nicht zwingend als Verbesserung der Reputation eines Absenders verstanden werden, da auch Spammer SPF verwenden können.