Was ist ein SPF-Eintrag?

Ein SPF-Eintrag (Sender Policy Framework-Eintrag) ist der Kern einer SPF-Implementierung, in der die SPF-Richtlinie definiert ist. Ein SPF-Eintrag wird im DNS (Domain Name Service) veröffentlicht und enthält eine Liste von autorisierten E-Mail-Servern, die E-Mails im Namen Ihres Domainnamens versenden können. Wenn ein E-Mail-Absender nicht im Eintrag aufgeführt ist und E-Mails im Namen Ihrer Domain versendet, wird diese E-Mail möglicherweise nicht als legitim angesehen und kann vom E-Mail-Empfänger abgelehnt werden.

Ein korrekt eingerichteter SPF-Eintrag verbessert die Zustellbarkeit von E-Mails und schützt Ihre Domain vor bösartigen E-Mails, die im Namen Ihrer Domain versendet werden. In der Praxis werden diese Ziele jedoch besser erreicht, wenn Sie einen SPF-Eintrag zusammen mit DMARC verwenden. DMARC und DMARC Analyzer verwenden sowohl SPF als auch DKIM. Gemeinsam bieten sie Synergieeffekte und das beste Ergebnis für E-Mail-Sicherheit und Zustellbarkeit.

SPF-Eintrag in der Praxis

Ein SPF-Eintrag besteht aus mehreren Teilen. Sie sollte immer mit einer Versionsnummer beginnen und von einem oder mehreren Mechanismen gefolgt werden, die gültige Absender definieren.

v=spf1
Dieser Teil definiert den Eintrag als SPF. Ein SPF-Eintrag muss mit diesem Abschnitt beginnen. Dies war früher eine zweite Version von SPF (SenderID), die von Microsoft erstellt wurde, aber diese wurde eingestellt.

Mechanisms
Ein SPF-Eintrag kann mehrere Mechanismen enthalten.

a
a:somedomain.com
a/prefix
a:somedomain.com/prefix

Definieren Sie den DNS-Eintrag der aktuellen (oder angegebenen) Domain als gültige Sendequelle.

mx
mx:somedomain.com
mx/prefix
mx:somedomain.com/prefix

Definieren Sie den DNS MX-Eintrag der aktuellen (oder angegebenen) Domain als gültige Sendequelle.

ptr
ptr:domain

Definieren Sie den umgekehrten Hostnamen der sendenden IP-Adresse als gültige Sendequelle. (Nicht empfohlen)

ip4:ip4-address
ip4:ip4-address/prefix

Definieren Sie diese IPv4-Adresse (oder diesen Adressbereich) als gültige Sendequelle.

ip6:ip6-address
ip6:ip6-address/prefix

Definieren Sie diese IPv6-Adresse (oder diesen Adressbereich) als gültige Sendequelle.

include:domain.com
Fügen Sie den SPF-Eintrag für diese Domain als gültige Sendequelle ein.

exists:domain
Überprüfen Sie die Existenz eines A-Eintrages für eine bereitgestellte Domain. Sie können in diesem Zusammenhang Makros verwenden, um einen solchen Eintrag ‘dynamisch’ nachschlagen zu können.

all
Sie können eine Richtlinie für “alle anderen Quellen” definieren, indem Sie den Mechanismus “alle” verwenden. Sie sollten dies am Ende Ihres SPF-Eintrages platzieren, um eine ‘Voreinstellung’ für andere Quellen zu erhalten. Verwenden Sie einen Qualifier, um die Richtlinie zu definieren, die Sie anwenden möchten.

redirect=domain.com
Bei Bedarf können Sie den SPF-Eintrag auf eine andere Domain umleiten. In jedem SPF-Eintrag kann es nur einen Modifikator geben. Dies kann nicht mit einem ‘alle’-Mechanismus kombiniert werden, da die Umleitung nur ausgeführt wird, wenn keiner der Mechanismen übereinstimmt.

Maximale Anzahl von Nachschlägen
Bei der Verwendung von SPF müssen Sie eine Einschränkung dieser Technik beachten. Die Anzahl der erlaubten DNS-Nachschläge ist auf 10 begrenzt.

Ein DNS-Suchergebnis wird durchgeführt, wenn Sie nach einem dieser Mechanismen suchen:

  • a
  • mx
  • ptr
  • include
  • exists

 

Bitte beachten Sie, dass auch die ‘eingenisteten Nachschläge’ zählen. Wenn eine ‘eingeschlossene’ Domain einen A- und MX-Lookup durchführt, werden beide als Nachschläge auch für Ihre Domain gezählt.