SPF ist die Abkürzung von „Sender Policy Framework“. Mit der Methode können Mailserver überprüfen, ob eine Mail, die sie empfangen, tatsächlich vom deklarierten Host-Server stammt. Dieser SPF-Check wird vollautomatisch im Hintergrund durchgeführt; als Endanwender bemerken Sie davon nichts.
Vereinfacht ausgedrückt legt das SPF fest, welche Mailserver für die Domain Mails versenden dürfen. Die Mailserver werden dabei über ihren Namen oder ihre IP-Adresse identifiziert.
Beispiel: Eine Mail vom Absender [email protected] darf nur über eine der folgenden IP-Adressen gesendet werden: 213.165.64.0, 74.208.5.64, 74.208.122.0, 212.227.126.128, 212.227.15.0, 212.227.17.0, 74.208.4.192, 82.165.159.0, 217.72.207.0. Im SPF-Record der Domain gmx.com sind also diese IP-Adressen aufgelistet. Der empfangende Mailserver kann nun prüfen, ob die IP-Adresse, die er im Header der Mail liest, auf dieser Liste steht oder nicht.
Die Liste der autorisierten Mailserver wird auf dem Nameserver (DNS) der sendenden Domain – in unserem Beispiel gmx.com – hinterlegt und kann dort von jedem empfangenden Mailserver abgerufen werden.
Der SPF-Eintrag
Der SPF-Record wird als DNS-Record in der Domänenzone des zuständigen DNS (Namenservers) der Domain eingetragen, und zwar als TXT-Record. Der Eintrag enthält eine Liste der IP-Adressen, von denen Mails dieser Domain versendet werden dürfen. Hinzu kommen weitere Einträge, z. B. für die oben erwähnten Mail-Filter-Server, die eine Mail durchlaufen muss, bevor sie den Weg zum Empfänger findet. Solche „Zwischenstationen“ werden oft mit der include-Anweisung eingetragen. Nachstehend finden Sie eine Erläuterung der gebräuchlichsten Parameter des SPF-Records:
| Code | Bedeutung |
|---|---|
| v | Version des Records; v=SPF1 kennzeichnet die aktuell gültige Version. |
| ip4 | IP-Adresse; „IP4“ ist die Bezeichnung für die wohlbekannte Form der IP-Adresse. Daneben gibt es die neuen IP6-Adressen, die jedoch noch weniger verbreitet sind. |
| -all | Alle anderen hier nicht aufgeführten Sender sind nicht autorisiert und sollen abgewiesen werden. |
| include | Gibt weitere Domains an, deren SPF-Eintrag ebenfalls abgerufen werden soll. |
Neben dem oben aufgeführten -all gibt es noch die Version mit der Tilde: ~all. Diese teilt mit, dass alle anderen Absender zwar nicht autorisiert sind, aber trotzdem akzeptiert werden sollen. Diese „Soft Fail“-Deklaration wurde ursprünglich zu Testzwecken eingeführt, ist aber heute bei verschiedenen Hosting-Providern im Gebrauch.
Quelle:https://www.ionos.de/digitalguide/e-mail/e-mail-sicherheit/was-ist-ein-spf-record/
Dieser Beitrag ist auch verfügbar auf:
English (Englisch)
Skip to content