Einführung
SPF (Sender Policy Framework) ist ein weithin anerkanntes E-Mail-Authentifizierungsprotokoll, das zur Verhinderung von E-Mail-Spoofing beiträgt, indem es überprüft, ob die sendende IP-Adresse berechtigt ist, E-Mails im Namen der Absenderdomäne zu versenden. Viele große E-Mail-Anbieter wie Microsoft 365 und Outlook.com, Gmail und Yahoo Mail verwenden SPF, um die Sicherheit zu erhöhen und Spam zu reduzieren. Das Fehlen eines SPF-Records kann die Zustellbarkeit von E-Mails beeinträchtigen, da diese möglicherweise als unsicher eingestuft werden. Es wird daher empfohlen, SPF für Ihre Domain zu konfigurieren und in Kombination mit DKIM und DMARC zu verwenden, um eine umfassende E-Mail-Sicherheitsstrategie zu gewährleisten und die Zustellrate zu optimieren.
Wenn eine E-Mail gesendet wird, überprüft der empfangende Mailserver die SPF-Informationen im TXT-Record des DNS-Datensatzes der Absenderdomäne. Der SPF-Record enthält eine Liste von IP-Adressen oder Domänen, die berechtigt sind, E-Mails von dieser Domäne zu versenden. Ist die IP-Adresse des sendenden Servers in dieser Liste enthalten, wird die E-Mail als authentisch angesehen. Ist dies nicht der Fall, kann die E-Mail je nach Policy des Empfängers zurückgewiesen, markiert oder in den Spam-Ordner verschoben werden.
Aufbau eines SPF-Records
Ein SPF-Record wird als DNS-TXT-Record in der Zone der betreffenden Domain hinterlegt. Dieser TXT-Eintrag enthält eine spezielle Syntax, die anzeigt, welche Server berechtigt sind, E-Mails von der Domain zu versenden. Ein einfacher SPF-Record könnte beispielsweise so aussehen:
v=spf1 ip4:192.168.0.1 -all
Der empfangende Server prüft nun den SPF-Record der E-Mail-Domain des Absenders und ermittelt, dass der Absender nur dem Server mit der IP-Adresse 192.168.0.1 autorisiert hat, E-Mails für diese E-Mail-Domain zu senden, und weist den empfangenden Server an, E-Mails von allen anderen Servern abzulehnen (-all). v=spf1 zeigt an, dass es sich bei dem Eintrag um einen SPF-Record handelt.
-all wird als Hard-Fail bezeichnet, während ~all als Soft-Fail bezeichnet wird. Grundsätzlich bleibt es allerdings dem empfangenden Server überlassen, wie er mit dieser Information umgeht. In der Praxis werden jedoch E-Mails bei einem Hard-Fail zurückgewiesen, bei einem Soft-Fail hängt dies von der Policy des empfangenden Servers ab, die von einer einfachen Markierung über eine Klassifizierung als Spam bis hin zu einer Ablehnung reichen kann.
Ein etwas komplexeres Beispiel könnte z.B. mehrere Server (mx) oder Absenderdomänen (a) im SPF-Record definieren und zusätzlich Server eines Drittanbieters zum Versand von E-Mails für die E-Mail-Domäne berechtigen:
v=spf1 ip4:203.0.113.0/24 ip6:2001:db8::/32 a mx include:mailservice.com ~all
Server im IPv4-Block 203.0.113.0/24 und im IPv6-Block 2001:db8::/32 sind berechtigt, E-Mails zu versenden. Zusätzlich wird der A-Record der Domäne überprüft, sodass der Mailserver, der zur Domäne gehört, ebenfalls E-Mails senden darf. Auch Mailserver, die im MX-Eintrag der Domäne aufgeführt sind, sind autorisiert. Externe Dienstleister, die durch den SPF-Eintrag der Domäne mailservice.com autorisiert sind, können ebenfalls im Namen der Domäne E-Mails versenden. Falls eine E-Mail von einem nicht autorisierten Server kommt, sollte sie zwar angenommen, aber mit einer Warnung versehen oder als Spam markiert werden, da die Richtlinie ~all (Soft-Fail) festgelegt ist.
Die Include-Anweisung im SPF-Record ermöglicht es, die SPF-Richtlinien einer anderen Domain einzubinden. Das bedeutet, dass alle Server, die in der SPF-Richtlinie der angegebenen Domain erlaubt sind, auch für die eigene Domain E-Mails versenden dürfen. Die Prüfung erfolgt also sowohl für die eigene Domain als auch für die Server, die in der SPF-Richtlinie der inkludierten Domain definiert sind.
Ein praktisches Beispiel
Die E-Mail-Domain prontosystems.de wird von einem E-Mail-Provider gehostet, dessen Mailserver (ispgateway.de) zum Versand von E-Mails dieser Domain berechtigt ist. Zusätzlich ist ein weiterer Server (185.216.178.34) autorisiert, E-Mails zu versenden. Dies kann z.B. ein Webserver sein, der ein Kontaktformular anbietet, oder der eine Funktion zum Zurücksetzen des Passworts bereitstellt, oder der Statusmeldungen per E-Mail versendet:
prontosystems.de. 3600 IN TXT "v=spf1 mx a include:ispgateway.de ip4:185.216.178.34 -all"
Fazit:
SPF bietet einen wichtigen Schutz gegen E-Mail-Spoofing, indem es sicherstellt, dass nur autorisierte Server E-Mails im Namen einer Domäne versenden können. SPF trägt wesentlich dazu bei, die Integrität und Glaubwürdigkeit von E-Mails zu wahren und das Risiko von Phishing-Angriffen zu verringern. SPF stellt jedoch auch eine Herausforderung für Serverbetreiber dar, insbesondere bei der Verwaltung von externen Dienstleistern und Weiterleitungen, da falsch konfigurierte SPF-Einträge legitime E-Mails blockieren können. Zudem liegt die Umsetzung der SPF-Richtlinien letztlich beim empfangenden Mailserver, was bedeutet, dass die Effizienz von SPF nur dann gewährleistet ist, wenn alle beteiligten Server die Standards korrekt umsetzen.
