Antworten auf Ihre häufigsten Fragen

Was ist SPF (Sender Policy Framework)?
pdf print

Das SPF (Sender Policy Framework, früher Sender Permitted From) ist ein Verfahren zur Sender-Authentifizierung. Dazu werden in den DNS-Einträgen einer Domain Zusatzinformationen über die versendenden Mailserver dieser Domain gespeichert.

Wenn man zu seiner Domain definitiv angeben kann, welche Mailserver zum Versand von E-Mail genutzt werden, kann man diese in speziellen DNS-Einträgen vom Typ TXT ablegen. Empfangende Mailserver können dann mit wenig Aufwand eine Prüfung durchführen, ob die E-Mail berechtigt ist oder möglicherweise der Absender gefälscht wurde. Das Verfahren ist somit nur geeignet, wenn Sie angeben können, von welchen Servern aus Mails mit der betreffenden Absenderdomain verschickt werden.

Das Verfahren ist derzeit schon bei einer Reihe von Providern im Einsatz; einige technische Fragen sind auch noch nicht vollständig gelöst (z.B. wenn ein Onlinedienst in meinem Namen E-Mail verschicken soll oder das Verhalten bei Weiterleitungen).

Das Verfahren an sich verhindert weder den Versand von SPAM, noch führt es zur standardmäßigen Filterung von E-Mails mit falschem Absender. Es ist ein Merkmal, um SPAM von erwünschter E-Mail zu unterscheiden.

Die Syntax und weiteres ist z.B. hier beschrieben: http://www.openspf.org/

Konfiguration

Eine entsprechende Konfigurationszeile für Ihre Domain könnte zum Beispiel so aussehen:

nur-ein-beispiel.de. IN TXT v=spf1 a mx

In das Feld für die Domain gehört die Domain für die es eingerichtet werden soll. Das Feld bleibt leer, wenn es für die Domain gelten soll, die grade bearbeitet wird. Der Typ muss auf TXT gestellt werden.

In das rechte Feld gehört z.B. folgende Zeile:

v=spf1 a mx ip4:80.237.138.0/24 ip6:2a01:488:42::/48 -all

v=spf1 = SPF-Version, in diesem Fall 1
a      = verwende die aktuelle Domain
mx     = auch die MX-Server der Domain dürfen Emails verschicken
ip4    = das HE-Netz 80.237.138.0/24 ist ebenfalls gültig
ip6    = sowie die IPv6-Adresse des HE-Netzes 2a01:488:42::/48
-all   = alle anderen dürfen nicht verschicken

Wenn Sie ein Mail-Basic, ein Webpack oder ein Webhosting-Paket für Ihre Mails nutzen, können Sie folgenden generellen Eintrag zum Freigeben Ihrer Sender-IP verwenden:

v=spf1 a mx ip4:80.237.138.0/24 ip4:80.237.132.0/24 ip4:80.237.133.0/24 ip6:2a01:488:42::/48 -all

Bitte beachten Sie jedoch, das hierdurch unsere gesamte Shared-Hosting-Plattform zum den Versand für Ihre Domain berechtigt ist.

Als Nutzer eines Webpack Pro, eines Virtual Server Managed oder eines Webservers reicht in der Regel folgender Eintrag:

v=spf1 a mx ip4:80.237.138.0/24 ip6:2a01:488:42::/48 -all

Einzige Ausnahme: Wenn Ihre Domain per A-Record auf einen externen Server verweist, ergänzen Sie den SPF-Eintrag bitte um die IP-Adresse Ihres Servers.

Im KIS finden Sie die Möglichkeit unter folgenden Menüpunkt:

Produktverwaltung - Domainservices - Domain-Administration - Nameserver- / DNS-Einträge bearbeiten

Auch wenn Sie einen eigenen Server (z.B. mit Plesk) nutzen, können Sie dort entsprechende Einträge für Ihre Domains verwalten und auch Regeln für eingehende Mails festlegen.

Weiterleitungen / Hosted Exchange

Wenn Sie für den E-Mail-Versand auch unseren Webmailer verwenden oder Ihre E-Mails von Hosteurope an andere Provider weiterleiten lassen, müssen Sie neben Ihrem eigenen SPF-Eintrag noch das  IPv4-Subnetz 80.237.138.0/24 und 92.51.170.64/27 sowie das IPv6-Netz 2a01:488:42::/48 eintragen.

Wenn Sie Hosted Exchange nutzen, muss zudem folgender Teil hinzugefügt werden: include:ispgateway.de

SPF und Plesk

Plesk-Benutzer können SPF über das Plesk aktivieren. Dies ist unter "Einstellungen - Mailserver-Einstellungen" möglich. Plesk setzt dann selbstständig den nötigen DNS-Eintrag bei den in Plesk angelegten Domains.

Wenn Sie mehr als eine IP-Adresse nutzen, müssten Sie darauf achten, die SPF-Records (z.B. im DNS-Template) so anzupassen, dass der Versand nicht nur von der IP-Adresse der Domain selbst aus, sondern auch von der Haupt-IP-Adresse aus erlaubt ist, da ein Plesk-System auch diese für den Versand von Mails nutzen wird. Ansonsten können Meldungen dieser Art entstehen:

Remote host said: 550 80.237.123.456 is not allowed to send mail from nur-ein-beispiel.de

Wie kann mir SPF helfen, um den Versand von Mails mit meiner Adresse als Absender zu verhindern?

Verhindern kann ein gesetzter SPF-Record den Versand solcher Mails nicht, er macht ihn aber für den Spammer unattraktiver, da er damit rechnen muss, dass ein Teil der Mails wegen SPF gefiltert werden. Daher wird er eher auf andere Adressen ohne SPF ausweichen, als die Wahrscheinlichkeit für das Durchkommen der Mails wegen des Vorhandenseins von SPF zu senken.

Wie kann SPF meine Weiterleitungen verhindern?

Häufig kommt es zu Problemen bei Weiterleitungen im Zusammenhang mit SPF.

Diese entstehen zum Beispiel so:

  • Es wird eine Weiterleitung von user@kundendomain.tld an user@maildienst.tld eingerichtet.
  • Jemand sendet als anderer_user@maildienst.tld eine Mail an user@kundendomain.tld.
  • Der Server von kundendomain.tld versucht eine Zustellung an maildienst.tld.
  • Der Server von maildienst.tld stellt fest, dass er eine Mail mit einem Absender @maildienst.tld erhalten soll. Da er selbst aber dieser Server ist, geht er von einer nicht erwünschten Zustellung aus; der Server kundendomain.tld ist lt. SPF kein gültiger Absender für die maildienst.tld-Domain.

Wenn Sie Weiterleitungen nutzen möchten, benötigen Sie daher einen Mailserver, der SRS unterstützt; dies ist leider noch nicht oft der Fall. Plesk bietet leider derzeit keine Unterstützung dafür. Umgehen können Sie das Problem in solchen Fällen dann durch den Verzicht auf eine Weiterleitung zugunsten eines Abrufs der Mail per POP-Abruf/Sammeldienst auf dem Zielserver.


otto.friedrich@hosteurope.de xanthippe.ypsilante@hosteurope.de hercules.ikarus@hosteurope.de