SPF
Sender Policy Framework (SPF) ist ein Abwehrmechanismus gegen Spam-E-Mails. Der DNS-Eintrag soll verhindern, dass Nachrichten mit einer falschen Absendeadresse zugestellt werden. Missbraucht also jemand deine E-Mail-Adresse als Absendeadresse in einem E-Mail, so werden diese E-Mails vom Empfängerserver als Spam abgewiesen. Die SPF-Angaben werden als TXT-Eintrag in der DNS-Zone deiner Domain erstellt.
Erklärung anhand eines Beispiels
Lasse uns das Thema mit folgendem SPF-Eintrag und der Domain oliverorange.ch erklären:
v=spf1 +a +mx +ip4:194.126.200.0/24 +ip4:149.126.0.0/21 -all
Dieser SPF-Eintrag sagt aus, dass alle E-Mails mit der Absendeadresse «@oliverorange.ch» über eine der im SPF-angegebenen IP-Adressen/-Ranges versendet werden. Konkret dürfen Server mit folgenden IP-Adressen E-Mails unter dem Namen von «@oliverorange.ch» versenden: 194.126.200.1 - 194.126.200.255 und 149.126.0.0 - 149.126.7.255. (Wir verwenden darin die CIDR-Schreibweise für die IP-Adressen unseres kompletten cyon-Netzwerks, damit wir nicht alle IP-Adressen einzeln angeben müssen).
Nehmen wir an, eine Spam-E-Mail wird versendet und verwendet dabei als Absendeadresse «oliver@oliverorange.ch». Der Mailserver, der die E-Mail empfängt, überprüft die IP-Adresse des Absendenden und vergleicht diese mit dem SPF-Eintrag für oliverorange.ch. Sofern der Spam nicht über die cyon-Server versendet wurde, wird die E-Mail vom Empfangsserver sofort abgewiesen, weil die Absende-IP nicht mit dem SPF-Eintrag von oliverorange.ch übereinstimmt.
Aufbau des SPF-Record
Ein SPF-Record ist ein DNS-Eintrag des Typs «TXT». Der Wert dieses TXT-Records beginnt immer mit
v=spf1
, gefolgt von den verschiedenen Angaben zu den autorisierten Servern. Die Werte +a
und +mx
autorisieren die Angaben, welche im A-Record und im MX-Record der Domain hinterlegt sind. Der Wert am Ende -all
verbietet das Senden über alle anderen Server, welche nicht autorisiert wurden. Mit den Angaben +ip4:<IP-Adresse>
oder include:<Domain>
autorisiert man einzelne IP-Adressen oder Servernamen zum Senden von E-Mails im Namen deiner Domain. Weitere Informationen dazu findest du auf Wikipedia.
Kategorien