Translation into English is in progress.

SPF (Sender Policy Framework, früher Sender Permitted From) ist ein Verfahren zur Sender-Authentifizierung. Dazu werden in den DNS-Einträgen einer Domain Zusatzinformationen über die versendenden Mailserver dieser Domain gespeichert.

Wenn man zu seiner Domain definitiv angeben kann, welche Mailserver zum Versand von E-Mail genutzt werden, kann man diese in speziellen DNS-Einträgen vom Typ TXT ablegen. Empfangende Mailserver können dann mit wenig Aufwand eine Prüfung durchführen, ob die E-Mail berechtigt ist oder möglicherweise der Absender gefälscht wurde. Das Verfahren ist somit nur geeignet, wenn Sie angeben können, von welchen Servern aus Mails mit der betreffenden Absenderdomain verschickt werden.

Das Verfahren ist derzeit schon bei einer Reihe von Providern im Einsatz; einige technische Fragen sind auch noch nicht vollständig gelöst (z.B. wenn ein Onlinedienst in meinem Namen E-Mail verschicken soll oder das Verhalten bei Weiterleitungen).

Das Verfahren an sich verhindert weder den Versand von SPAM, noch führt es zur standardmäßigen Filterung von E-Mails mit falschem Absender. Es ist ein Merkmal, um SPAM von erwünschter E-Mail zu unterscheiden.

Die Syntax und weiteres ist z.B. hier beschrieben: http://www.open-spf.org/

Konfiguration

Eine entsprechende Konfigurationszeile im DNS könnte zum Beispiel so aussehen:

nur-ein-beispiel.de. IN TXT v=spf1 a mx

Ein SPF-Record für eine bei uns genutzte Domain könnte zum Beispiel so aussehen:

v=spf1 a mx ip4:80.237.138.0/24 ip6:2a01:488:42::/48 -all

Hier eine Erklärung der einzelnen Daten in dieser Zeile:

v=spf1 = SPF-Version, in diesem Fall 1
a      = verwende die aktuelle Domain
mx     = auch die MX-Server der Domain dürfen E-Mails verschicken
ip4    = das HE-Netz 80.237.138.0/24 ist ebenfalls gültig
ip6    = sowie die IPv6-Adresse des HE-Netzes 2a01:488:42::/48
-all   = alle anderen dürfen nicht verschicken

SPF für E-Mail-Hosting, Webhosting, Webserver und Microsoft 365

Um einen SPF-Record für eine Domain anzulegen, die einem der in der Überschrift genannten Pakete zugeordnet ist, gehen Sie im KIS wie folgt vor:

Produktverwaltung - Domainservices - Domain-Administration - Nameserver- / DNS-Einträge bearbeiten

Klicken Sie in der Zeile mit der betreffenden Domain bitte rechts auf den Button "Editieren". In der Tabelle "DNS-Einträge" finden Sie in der letzten Zeile die Möglichkeit, einen neuen Eintrag hinzuzufügen. Das linke Feld vor der Domain bleibt leer und der Typ ("zeigt auf") muss auf TXT gestellt werden. In das rechte Feld gehört folgende Zeile:

v=spf1 a mx include:spf.server-he.de -all

Hier ein Screenshot, wie ein korrekter SPF für die Domain nur-ein-beispiel.de aussehen müsste, wenn Sie diesen neu hinzufügen wollten:

Hinweis: Wenn Ihre Domain per A-Record auf einen externen Server verweist, ergänzen Sie den SPF-Eintrag bitte um die IP-Adresse des externen Servers. Hierzu ein Beispiel, wobei die externe IP-Adresse in diesem Beispiel 1.2.3.4 genannt wird:

v=spf1 a mx ip4:1.2.3.4 include:spf.server-he.de -all

SPF und Plesk

Auch wenn Sie einen eigenen Server (z.B. mit Plesk) nutzen, können Sie dort entsprechende Einträge für Ihre Domains verwalten. Plesk-Benutzer können SPF über das Plesk aktivieren. Dies ist unter "Einstellungen - Mailserver-Einstellungen" möglich. Zusätzlich muss noch ein TXT-Eintrag für SPF in den DNS-Einstellungen gesetzt werden. Dies ist hier beschrieben.

Wenn Sie mehr als eine IP-Adresse nutzen, müssten Sie darauf achten, die SPF-Records (z.B. im DNS-Template) so anzupassen, dass der Versand nicht nur von der IP-Adresse der Domain selbst aus, sondern auch von der Haupt-IP-Adresse aus erlaubt ist, da ein Plesk-System auch diese für den Versand von Mails nutzen wird. Ansonsten können Meldungen dieser Art entstehen:

Diese entstehen zum Beispiel so:

• Es wird eine Weiterleitung von user@kundendomain.tld an user@maildienst.tld eingerichtet.
• Jemand sendet als anderer_user@maildienst.tld eine Mail an user@kundendomain.tld.
• Der Server von kundendomain.tld versucht eine Zustellung an maildienst.tld.
• Der Server von maildienst.tld stellt fest, dass er eine Mail mit einem Absender @maildienst.tld erhalten soll. Da er selbst aber dieser Server ist, geht er von einer nicht erwünschten Zustellung aus; der Server kundendomain.tld ist lt. SPF kein gültiger Absender für die maildienst.tld-Domain.

Wenn Sie Weiterleitungen nutzen möchten, benötigen Sie daher einen Mailserver, der SRS unterstützt; dies ist leider noch nicht oft der Fall. Plesk bietet leider derzeit keine Unterstützung dafür. Umgehen können Sie das Problem in solchen Fällen dann durch den Verzicht auf eine Weiterleitung zugunsten eines Abrufs der Mail per POP-Abruf/Sammeldienst auf dem Zielserver.