Antworten auf Ihre häufigsten Fragen

Was sind SPF, DKIM und DMARC?

Translation into English is in progress.


SPF (Sender Policy Framework, früher Sender Permitted From) ist ein Verfahren zur Sender-Authentifizierung. Dazu werden in den DNS-Einträgen einer Domain Zusatzinformationen über die versendenden Mailserver dieser Domain gespeichert.

Wenn man zu seiner Domain definitiv angeben kann, welche Mailserver zum Versand von E-Mail genutzt werden, kann man diese in speziellen DNS-Einträgen vom Typ TXT ablegen. Empfangende Mailserver können dann mit wenig Aufwand eine Prüfung durchführen, ob die E-Mail berechtigt ist oder möglicherweise der Absender gefälscht wurde. Das Verfahren ist somit nur geeignet, wenn Sie angeben können, von welchen Servern aus Mails mit der betreffenden Absenderdomain verschickt werden.

Das Verfahren ist derzeit schon bei einer Reihe von Providern im Einsatz; einige technische Fragen sind auch noch nicht vollständig gelöst (z.B. wenn ein Onlinedienst in meinem Namen E-Mail verschicken soll oder das Verhalten bei Weiterleitungen).

Das Verfahren an sich verhindert weder den Versand von SPAM, noch führt es zur standardmäßigen Filterung von E-Mails mit falschem Absender. Es ist ein Merkmal, um SPAM von erwünschter E-Mail zu unterscheiden.

Die Syntax und weiteres ist z.B. hier beschrieben: http://www.open-spf.org/

Konfiguration

Eine entsprechende Konfigurationszeile im DNS könnte zum Beispiel so aussehen:

nur-ein-beispiel.de. IN TXT v=spf1 a mx

Ein SPF-Record für eine bei uns genutzte Domain könnte zum Beispiel so aussehen:

v=spf1 a mx include:spf.server-he.de -all

Hier eine Erklärung der einzelnen Daten in dieser Zeile:

v=spf1                      = SPF-Version, in diesem Fall 1
a                           = verwende die aktuelle Domain
mx                          = auch die MX-Server der Domain dürfen E-Mails verschicken
include:spf.server-he.de    = alle IP-Adressen die im SPF-Record von spf.server-he.de hinterlegt sind, dürfen E-Mails verschicken
-all                        = alle anderen dürfen nicht verschicken

 

SPF für E-Mail-Hosting, Webhosting, Webserver und Microsoft 365

Um einen SPF-Record für eine Domain anzulegen, die einem der in der Überschrift genannten Pakete zugeordnet ist, gehen Sie im KIS wie folgt vor:

Produktverwaltung - Domainservices - Domain-Administration - Nameserver- / DNS-Einträge bearbeiten

Klicken Sie in der Zeile mit der betreffenden Domain bitte rechts auf den Button "Editieren". In der Tabelle "DNS-Einträge" finden Sie in der letzten Zeile die Möglichkeit, einen neuen Eintrag hinzuzufügen. Das linke Feld vor der Domain bleibt leer und der Typ ("zeigt auf") muss auf TXT gestellt werden. In das rechte Feld gehört folgende Zeile:

v=spf1 a mx include:spf.server-he.de -all

Hier ein Screenshot, wie ein korrekter SPF für die Domain nur-ein-beispiel.de aussehen müsste, wenn Sie diesen neu hinzufügen wollten:

Hinweis: Wenn Ihre Domain per A-Record auf einen externen Server verweist, ergänzen Sie den SPF-Eintrag bitte um die IP-Adresse des externen Servers. Hierzu ein Beispiel, wobei die externe IP-Adresse in diesem Beispiel 1.2.3.4 genannt wird:

v=spf1 a mx ip4:1.2.3.4 include:spf.server-he.de -all

 

SPF, DKIM, DMARC und Server

Auch wenn Sie einen eigenen Server haben und diesen - wie wir empfehlen - als Primary Nameserver (mit Plesk) nutzen, können Sie dort entsprechende Einträge für Ihre Domains verwalten. Plesk-Benutzer können SPF über das Plesk aktivieren. Dies ist unter "Einstellungen - Mailserver-Einstellungen" möglich. Zusätzlich muss noch ein TXT-Eintrag für SPF in den DNS-Einstellungen gesetzt werden.

Bei einem aktuellen Virtual Server 10+ empfehlen wir, wenn Sie ausschließlich E-Mails von Ihrem Server und damit über unser Mail-Relay versenden möchten, folgenden SPF-Record zu setzen:

v=spf1 a mx include:secureserver.net -all

Wenn Sie mehr als eine IP-Adresse nutzen, müssten Sie darauf achten, die SPF-Records (z.B. im DNS-Template) so anzupassen, dass der Versand nicht nur von der IP-Adresse der Domain selbst aus, sondern auch von der Haupt-IP-Adresse aus erlaubt ist, da ein Plesk-System auch diese für den Versand von Mails nutzen wird. Ansonsten können Meldungen dieser Art entstehen:

Remote host said: 550 80.237.123.456 is not allowed to send mail from nur-ein-beispiel.de


DKIM (DomainKeys Identified Mail) ist ein Verfahren, mit dem ausgehende E-Mails automatisch signiert werden und empfangende Mailserver diese Signatur dann mit Hilfe eines öffentlichen Schlüssels überprüfen können.

Die Einstellungen für DMARC (Domain-based Message Authentication, Reporting and Conformance) legen fest, wie der Server im Falle eines Verstoßes gegen SPF und DKIM-Richtlinien vorgehen soll.
Plesk wendet DMARC standardmäßig nur zur Überprüfung eingehender E-Mails an. Um auch für ausgehende (von Ihnen versendete) E-Mails DMARC-Regeln festzulegen, müssen DNS-Einstellungen bearbeitet werden.

Neben SPF empfehlen wir auch DKIM und DMARC auf dem Server zu aktivieren, um ausgehende Mails automatisch signieren und eingehende Mails entsprechend überprüfen zu lassen. Aktivieren Sie dazu in Plesk unter "Tools & Einstellungen > Mailserver-Einstellungen" alle DKIM- und DMARC-Optionen.

Wie kann mir SPF helfen, um den Versand von Mails mit meiner Adresse als Absender zu verhindern?

Verhindern kann ein gesetzter SPF-Record den Versand solcher Mails nicht, er macht ihn aber für den Spammer unattraktiver, da er damit rechnen muss, dass ein Teil der Mails wegen SPF gefiltert werden. Daher wird er eher auf andere Adressen ohne SPF ausweichen, als die Wahrscheinlichkeit für das Durchkommen der Mails wegen des Vorhandenseins von SPF zu senken.

Wie kann SPF meine Weiterleitungen verhindern?

Häufig kommt es zu Problemen bei Weiterleitungen im Zusammenhang mit SPF.

Diese entstehen zum Beispiel so:

  • Es wird eine Weiterleitung von user@kundendomain.tld an user@maildienst.tld eingerichtet.
  • Jemand sendet als anderer_user@maildienst.tld eine Mail an user@kundendomain.tld.
  • Der Server von kundendomain.tld versucht eine Zustellung an maildienst.tld.
  • Der Server von maildienst.tld stellt fest, dass er eine Mail mit einem Absender @maildienst.tld erhalten soll. Da er selbst aber dieser Server ist, geht er von einer nicht erwünschten Zustellung aus; der Server kundendomain.tld ist lt. SPF kein gültiger Absender für die maildienst.tld-Domain.

Wenn Sie Weiterleitungen nutzen möchten, benötigen Sie daher einen Mailserver, der SRS unterstützt; dies ist leider noch nicht oft der Fall. Plesk unterstützt SRS bei einigen Mailservern und Betriebssystemen. Umgehen können Sie das Problem in solchen Fällen aber durch den Verzicht auf eine Weiterleitung zugunsten eines Abrufs der Mail per POP-Abruf/Sammeldienst auf dem Zielserver.


otto.friedrich@hosteurope.de xanthippe.ypsilante@hosteurope.de hercules.ikarus@hosteurope.de