SPF (Sender Policy Framework, früher Sender Permitted From) ist ein Verfahren zur Sender-Authentifizierung. Dazu werden in den DNS-Einträgen einer Domain Zusatzinformationen über die versendenden Mailserver dieser Domain gespeichert.
Wenn man zu seiner Domain definitiv angeben kann, welche Mailserver zum Versand von E-Mail genutzt werden, kann man diese in speziellen DNS-Einträgen vom Typ TXT ablegen. Empfangende Mailserver können dann mit wenig Aufwand eine Prüfung durchführen, ob die E-Mail berechtigt ist oder möglicherweise der Absender gefälscht wurde. Das Verfahren ist somit nur geeignet, wenn Sie angeben können, von welchen Servern aus Mails mit der betreffenden Absenderdomain verschickt werden.
Das Verfahren ist derzeit schon bei einer Reihe von Providern im Einsatz; einige technische Fragen sind auch noch nicht vollständig gelöst (z.B. wenn ein Onlinedienst in meinem Namen E-Mail verschicken soll oder das Verhalten bei Weiterleitungen).
Das Verfahren an sich verhindert weder den Versand von SPAM, noch führt es zur standardmäßigen Filterung von E-Mails mit falschem Absender. Es ist ein Merkmal, um SPAM von erwünschter E-Mail zu unterscheiden.
Die Syntax und weiteres ist z.B. hier beschrieben: http://www.open-spf.org/
Konfiguration
Eine entsprechende Konfigurationszeile im DNS könnte zum Beispiel so aussehen:
nur-ein-beispiel.de. IN TXT v=spf1 a mx
Ein SPF-Record für eine bei uns genutzte Domain könnte zum Beispiel so aussehen:
v=spf1 a mx ip4:80.237.138.0/24 ip6:2a01:488:42::/48 -all
Hier eine Erklärung der einzelnen Daten in dieser Zeile:
v=spf1 = SPF-Version, in diesem Fall 1
a = verwende die aktuelle Domain
mx = auch die MX-Server der Domain dürfen E-Mails verschicken
ip4 = das HE-Netz 80.237.138.0/24 ist ebenfalls gültig
ip6 = sowie die IPv6-Adresse des HE-Netzes 2a01:488:42::/48
-all = alle anderen dürfen nicht verschicken
SPF für E-Mail-Hosting, Webhosting, Webserver und Microsoft 365
Um einen SPF-Record für eine Domain anzulegen, die einem der in der Überschrift genannten Pakete zugeordnet ist, gehen Sie im KIS wie folgt vor:
Produktverwaltung - Domainservices - Domain-Administration - Nameserver- / DNS-Einträge bearbeiten
Klicken Sie in der Zeile mit der betreffenden Domain bitte rechts auf den Button "Editieren". In der Tabelle "DNS-Einträge" finden Sie in der letzten Zeile die Möglichkeit, einen neuen Eintrag hinzuzufügen. Das linke Feld vor der Domain bleibt leer und der Typ ("zeigt auf") muss auf TXT gestellt werden. In das rechte Feld gehört folgende Zeile:
v=spf1 a mx include:spf.server-he.de -all
Hier ein Screenshot, wie ein korrekter SPF für die Domain nur-ein-beispiel.de aussehen müsste, wenn Sie diesen neu hinzufügen wollten:
Hinweis: Wenn Ihre Domain per A-Record auf einen externen Server verweist, ergänzen Sie den SPF-Eintrag bitte um die IP-Adresse des externen Servers. Hierzu ein Beispiel, wobei die externe IP-Adresse in diesem Beispiel 1.2.3.4 genannt wird:
v=spf1 a mx ip4:1.2.3.4 include:spf.server-he.de -all
SPF und Plesk
Auch wenn Sie einen eigenen Server (z.B. mit Plesk) nutzen, können Sie dort entsprechende Einträge für Ihre Domains verwalten. Plesk-Benutzer können SPF über das Plesk aktivieren. Dies ist unter "Einstellungen - Mailserver-Einstellungen" möglich. Zusätzlich muss noch ein TXT-Eintrag für SPF in den DNS-Einstellungen gesetzt werden. Dies ist hier beschrieben.
Wenn Sie mehr als eine IP-Adresse nutzen, müssten Sie darauf achten, die SPF-Records (z.B. im DNS-Template) so anzupassen, dass der Versand nicht nur von der IP-Adresse der Domain selbst aus, sondern auch von der Haupt-IP-Adresse aus erlaubt ist, da ein Plesk-System auch diese für den Versand von Mails nutzen wird. Ansonsten können Meldungen dieser Art entstehen:
Remote host said: 550 80.237.123.456 is not allowed to send mail from nur-ein-beispiel.de
Wie kann mir SPF helfen, um den Versand von Mails mit meiner Adresse als Absender zu verhindern?
Verhindern kann ein gesetzter SPF-Record den Versand solcher Mails nicht, er macht ihn aber für den Spammer unattraktiver, da er damit rechnen muss, dass ein Teil der Mails wegen SPF gefiltert werden. Daher wird er eher auf andere Adressen ohne SPF ausweichen, als die Wahrscheinlichkeit für das Durchkommen der Mails wegen des Vorhandenseins von SPF zu senken.
Wie kann SPF meine Weiterleitungen verhindern?
Häufig kommt es zu Problemen bei Weiterleitungen im Zusammenhang mit SPF.
Diese entstehen zum Beispiel so:
- Es wird eine Weiterleitung von user@kundendomain.tld an user@maildienst.tld eingerichtet.
- Jemand sendet als anderer_user@maildienst.tld eine Mail an user@kundendomain.tld.
- Der Server von kundendomain.tld versucht eine Zustellung an maildienst.tld.
- Der Server von maildienst.tld stellt fest, dass er eine Mail mit einem Absender @maildienst.tld erhalten soll. Da er selbst aber dieser Server ist, geht er von einer nicht erwünschten Zustellung aus; der Server kundendomain.tld ist lt. SPF kein gültiger Absender für die maildienst.tld-Domain.
Wenn Sie Weiterleitungen nutzen möchten, benötigen Sie daher einen Mailserver, der SRS unterstützt; dies ist leider noch nicht oft der Fall. Plesk bietet leider derzeit keine Unterstützung dafür. Umgehen können Sie das Problem in solchen Fällen dann durch den Verzicht auf eine Weiterleitung zugunsten eines Abrufs der Mail per POP-Abruf/Sammeldienst auf dem Zielserver.
Diese Artikel könnten Sie auch interessieren:
Wo kann ich DNS-Einträge für meine Domains vornehmen / A-, MX-Records setzen?