Der Umgang mit SPF und die vier Schritte zum Erstellen eines SPF-Eintrags

Was ist die SPF-Authentifizierung?

SPF ist eine Authentifizierungsregel, bei der überprüft wird, ob die IP-Adresse eines E-Mail-Absenders in einer Liste von IP-Adressen enthalten ist, von denen aus der Versand von E-Mails innerhalb einer bestimmten Domain gestattet ist.

Mit anderen Worten: Durch die SPF-Authentifizierung wird sichergestellt, dass die E-Mails, die Sie über Ihren E-Mail-Anbieter wie Microsoft Outlook oder Gmail erhalten, von einer rechtmäßigen IP-Adresse stammen.

In Kombination mit anderen E-Mail-Authentifizierungsprotokollen wie DKIM und DMARC-Einträgen verbessert die SPF-Authentifizierung die Zustellbarkeit von E-Mails, da sie dazu beiträgt, Ihren E-Mail-Versand vor Spoofing-Versuchen (Versand von einer gefälschten Absenderadresse) zu schützen.

Die Verbreitung von SPF nimmt ständig zu, da immer mehr Anwender die Methode zum gegenseitigen Schutz vor gefälschten oder gefährlichen E-Mails nutzen. Wie aber trägt diese Sicherheitsmaßnahme zum Schutz des Posteingangsservers und Ihrer Domain bei?

Was ist ein SPF-Eintrag?

SPF-Einträge enthalten alle autorisierten Quellen, von denen E-Mails unter Ihrem Domainnamen versendet werden dürfen. Dafür erstellen die Domainadministratoren einen SPF-Eintrag (auch als SPF-Record bekannt) und geben an, welche Hosts E-Mails von dieser Domain aus versenden dürfen.

Ohne SPF-Einträge könnten die Nachrichten von Betrügern, die Ihren Domainnamen fälschen und Phishing-E-Mails "von Ihnen" versenden, in die Posteingänge Ihrer Abonnenten gelangen und Ihrem Unternehmen und Ihrer Reputation schaden. SPF-Einträge wirken im Wesentlichen also wie Spamfilter, die gefährliche E-Mails von den Posteingängen Ihrer Abonnenten fernhalten.

Ein SPF-Eintrag kann allerdings einen Betrüger oder einen Spoofer nicht daran hindern, E-Mails im Namen Ihrer Domain zu versenden. Er wird es diesem betrügerischen Datenverkehr aber sehr erschweren, die Empfänger überhaupt zu erreichen.

Wie funktionieren SPF-Einträge?

SPF-Einträge werden vom Posteingangsserver genutzt. Dieser überprüft über das Simple Mail Transfer Protocol (SMTP) den Return Path-Wert im Header der einzelnen E-Mails. Ist einer vorhanden, kann der Server überprüfen, ob im Domain Name System (DNS) des Absenders ein SPF-TXT-Eintrag (TXT-Record genannt) vorhanden ist.

Dabei wird geprüft, von welcher IP-Adresse eine E-Mail stammt. Anschließend wird die Liste zulässiger Absender im SPF-Eintrag mit der IP-Adresse einer neuen E-Mail abgeglichen, die im Namen Ihrer Domain versendet wurde.

Wenn diese IP-Adresse nicht im SPF-Eintrag enthalten ist, ist das Ergebnis der Prüfung negativ und die E-Mail wird als nicht authentifiziert eingestuft.

Allerdings geht jeder E-Mail-Anbieter hier anders vor. Und während einige Posteingangsserver eine nicht authentifizierte E-Mail zurückweisen, verhalten sich andere gänzlich anders.

Hier sind Beispiele dafür, wie E-Mail-Anbieter mit nicht authentifizierten E-Mails verfahren:

• Sie legen sie im Spam-Ordner ab.

• Sie legen sie in einer "Quarantänezone" zur Überprüfung durch einen Postmaster ab.

• Sie fügen der Betreffzeile das Wort "SPAM" hinzu, damit der Empfänger die E-Mail überprüft.

• Sie tun nichts, auch wenn die SPF-Prüfung negativ ausgefallen ist.

Lassen Sie sich von all den Fachbegriffen nicht abschrecken. Sie werden sehr schnell verstehen, auf welche Weise die SPF-Authentifizierung die E-Mail-Zustellung verändert.

Machen Sie eventuell eine kurze Pause, und dann schauen wir uns an, wie Sie visuell überprüfen können, ob in einem DNS ein SPF-Eintrag vorhanden ist.

Wie sieht ein SPF-Eintrag aus?

Betrachten wir zunächst kurz das "Telefonbuch" des Internets, das so genannte Domain Name System (DNS), das Domains organisiert und erkennt.

Wenn jemand einen Domainnamen oder eine URL in die Suchleiste seines Webbrowsers eingibt, überprüft das DNS, unter welcher IP-Adresse sich dieser Domainnamen oder diese URL befindet.

Ein SPF-Eintrag ist eine zusätzliche Schutzschicht, welche die Sicherheit von E-Mails erhöht. Er validiert die von Ihrer Domain gesendete IP-Adresse und stellt sicher, dass der Absender vor E-Mail-Spoofing und Spammern geschützt ist.

SPF-Einträge sind im Wesentlichen Textzeilen mit bestimmten Zeichen, die detaillierte Informationen angeben, die für die Funktion der Einträge erforderlich sind. Diese Textmodule können in zwei Gruppen unterteilt werden: Mechanismen und Qualifier.

• Mechanismen geben an, welche Hosts als zugelassene E-Mail-Absender für eine bestimmte Domain festgelegt wurden.

• Qualifier geben an, welche Maßnahme ergriffen werden soll.

Wird ein SPF-Eintragsmechanismus durch eine E-Mail ausgelöst, wird die Maßnahme ergriffen, die dem vom Netzwerkbetreiber vorgegebenen Qualifier entspricht (es gibt insgesamt vier Qualifier).

Im Text eines SPF-Eintrags bildet der Qualifier das Präfix des Mechanismus. Die folgende Tabelle enthält die vier Arten von Qualifiern und ihre jeweilige Funktionsweise:

Tabelle mit den verschiedenen Qualifiern

Die Elemente eines SPF-Eintrags

Haben Sie sich gut aufgewärmt? Im nächsten Schritt sehen wir uns nämlich ein TXT-Beispiel eines SPF-Eintrags an, wie er in einem DNS vorkommen kann:

Versuchen Sie erst gar nicht, die Zeile phonetisch zu lesen (vespfip...?). Zerlegen wir sie lieber in leicht verständliche Bestandteile:

v=spf1:

v=spf1 ist das Element, mit dem die meisten TXT-Zeilen eines SPF-Eintrags standardmäßig beginnen. Ein SPF-Eintrag beginnt mit v=, um den Lesern und dem DNS mitzuteilen, welche SPF-Version verwendet wird. Diese Versionsnummer ist wichtig, denn bei der ersten SPF-Implementierung sollte der Netzwerkverantwortliche immer spf1 verwenden, also die bei E-Mail-Interaktionen am häufigsten genutzte SPF-Version.

a

Der Buchstabe a steht vor einer IP-Adresse, die der Posteingangsserver mit eingegangenen E-Mails abzugleichen versucht. Wenn der Server diesen A-Record in Form von a oder aaaa vor der Absenderdomain findet, kennzeichnet er die entsprechende E-Mail als übereinstimmend.

ip4

Hiermit wird dem DNS mitgeteilt, dass die darauf folgende IP-Adresse zum Versenden von E-Mails berechtigt ist.

12.34.56.78/28

Dies ist der Server, der E-Mails versenden darf. Beachten Sie das Suffix /28, das dem DNS mitteilt, welche Netzwerksegmente ebenfalls berechtigt sind, E-Mails an den Empfänger zu senden.

Ein Unternehmen kann ein Suffix wie dieses verwenden, um den Text in seinem SPF zu verkürzen. Sie meinen, dass sieht überhaupt nicht kurz aus? Überlegen Sie, wie lang der TXT-Eintrag erst wäre, wenn er alle IP-Segmente eines großen Konzerns enthalten würde. Glauben Sie uns, ein Suffix wie dieses ist das kleinere Übel.

include

Durch die Einbindung dieses Elements erlaubt Ihr SPF-Eintrag einem weiteren Server, E-Mails an eine andere Internet-Domain zu senden. Ein Beispiel hierfür wäre ein E-Mail-Marketing-Server.

~

Die geschwungene Linie vor dem Wort "all" ist eine sogenannte Tilde. Diese haben wir in der Tabelle weiter oben gesehen, als es darum ging, wie die SPF-Qualifier funktionieren.

Das Symbol "~" steht für einen Softfail. E-Mails von allen IP-Adressen, die nicht vom SPF gekennzeichnet sind, können gesendet oder empfangen werden.

Dem obigen SPF-Eintrag zufolge würden also alle E-Mails zugelassen, die von 12.34.56.78/28 und marketingserver.com gesendet wurden, während alle E-Mails, die von irgendwo anders stammen, blockiert oder als Softfail gekennzeichnet würden.

Other SPF modifiers 

MX

Ein Mail Exchange oder MX teilt dem DNS mit, an welchen Empfänger-Server E-Mails gesendet werden sollen. Durch MX-Einträge kann das DNS nach dem standardmäßigen SMTP (Standard Simple Mail Transfer Protocol, einfaches E-Mail-Übertragungsprotokoll) arbeiten.

Durch das Hinzufügen von "MX" können Sie Ihr DNS aktualisieren, ohne den SPF-Eintrag komplett neu schreiben zu müssen.

Hier ist ein Beispiel für einen MX-Record, bei dem ein Teil des SPF-Eintrags weiter oben verwendet wurde:

v=spf1 a ip4:12.34.56.78/28 MX:example.com ~all

Exists

Mit "exists" wird noch einmal überprüft, ob ein Eintrag zu einer angegebenen Domain vorhanden ist. Ist er vorhanden, besteht die Domain die SPF-Überprüfung. Dies ist ein weiteres Element zur Überprüfung, ob die E-Mail eines Absenders von einer IP-Adresse gesendet wurde, die von Ihrer Domain anerkannt wird.

Beispiel: v=spf1 MX -exists:reallygoodart ~all

Wie Sie überprüfen, ob Sie über einen SPF-E-Mail-Eintrag verfügen

Sie dürften sich jetzt mit SPF-Einträgen und ihrer Funktionsweise vertraut gemacht haben. Bevor wir Sie jedoch zu Ihrer IT-Abteilung schicken, um sie mit der Erstellung dieser TXT-Datei zum Schutz Ihrer Domain zu beauftragen, erklären wir Ihnen, wie Sie überprüfen können, ob es bereits einen SPF-Eintrag gibt.

Dies ist ein einfacher Schritt, da Sie sich nur bei dem DNS-Eintragsserver anmelden müssen, der für Ihre E-Mails oder die E-Mails Ihres Unternehmens verwendet wird, und nach einem TXT-Eintrag suchen.

Oder noch einfacher, falls Sie keine Zugriffsrechte für die Überprüfung bzw. Bearbeitung Ihres Domain-DNS haben: Verwenden Sie ein schnelles DNS-Überprüfungstool, um Ihre Domain zu überprüfen. Der Eintrag sollte wie die meisten SPF-TXT-Zeilen mit v=spf1 beginnen.

Wenn Sie noch keinen SPF-Eintrag eingerichtet haben, befolgen Sie die nachstehenden Schritte, um Ihren E-Mail-Versand noch sicherer zu machen.

Vier Schritte zum Erstellen eines SPF-Eintrags

Die Erstellung eines SPF-Eintrags kann einfach sein, wenn man über die nötigen Elemente verfügt, zuvor müssen aber einige Informationen zusammengetragen werden.

Das sind der Hosting-Provider oder die IP-Adresse, die als Ihr E-Mail-Server fungiert, sowie eine Liste der übrigen Server, die autorisiert sind. Darüber hinaus benötigen Sie die Anmeldeinformationen für Ihr DNS.

1. Anmelden

Öffnen Sie Ihren Internetbrowser und melden Sie sich bei Ihrem DNS-Server an.

2. Einen TXT-Eintrag erstellen

Erstellen Sie mithilfe der oben aufgeführten Elemente einen TXT-Eintrag.

3. Regeln festlegen

Der Zweck eines SPF-Eintrags sind die davon abgeleiteten Maßnahmen. Beschreiben Sie also, welche Protokolle Sie einrichten möchten, und geben Sie die entsprechende Syntax an.

Auf diese Weise weiß Ihr DNS, nach welchen Qualifiern er suchen muss, und was getan werden soll, wenn beim Abgleich mit dem SPF-Eintrag E-Mails von autorisierten bzw. nicht autorisierten IP-Adressen gefunden werden.

4. Geduld haben

Denken Sie daran, dass es nach dem Speichern eine Weile dauern kann, bis der neue SPF-Eintrag tatsächlich Wirkung zeigt, manchmal bis zu 48 Stunden.

Fazit

Wir hoffen, dass Sie nun mit SPF-Einträgen vertraut sind und wissen, warum Sie eine solche E-Mail-Authentifizierung verwenden sollten. Bedenken Sie jedoch, dass SPF-Einträge zwar eine wirksame Technik für mehr E-Mail-Sicherheit darstellen, aber nicht Ihre einzige Sicherheitsmaßnahme sein sollten.

Schließlich weisen sie Einschränkungen auf, wie z. B. das Subdomains nicht automatisch einbezogen werden oder dass Sie in Ihrer TXT-Datei nur eine begrenzte Anzahl an Zeichen verwenden können.

Nachdem Sie überprüft haben, ob Sie über einen SPF-Eintrag verfügen, oder nachdem Sie sich angemeldet und den TXT-Eintrag selbst geschrieben haben, sollten Sie die Einrichtung von DKIM und DMARC-Einträgen in Erwägung ziehen.

Wenden Sie das Gelernte an und halten Sie Betrüger fern und verbessern Sie so langfristig auch Ihre E-Mail-Zustellbarkeit. Wenn Sie Fragen zu diesem oder einem anderen Thema im Zusammenhang mit E-Mail-Marketing haben, helfen wir von Mailjet Ihnen gerne weiter.