Sender Policy Framework (SPF) ist ein Abwehrmechanismus gegen Spam-E-Mails. Der DNS-Eintrag soll verhindern, dass Nachrichten mit einer falschen Absendeadresse zugestellt werden. Missbraucht also jemand deine E-Mail-Adresse als Absendeadresse in einem E-Mail, so werden diese E-Mails vom Empfängerserver als Spam abgewiesen. Die SPF-Angaben werden als TXT-Eintrag in der DNS-Zone deiner Domain erstellt. 

Erklärung anhand eines Beispiels

Lasse uns das Thema mit folgendem SPF-Eintrag und der Domain oliverorange.ch erklären:

v=spf1 +a +mx +ip4:194.126.200.0/24 +ip4:149.126.0.0/21 -all

Dieser SPF-Eintrag sagt aus, dass alle E-Mails mit der Absendeadresse «@oliverorange.ch» über eine der im SPF-angegebenen IP-Adressen/-Ranges versendet werden. Konkret dürfen Server mit folgenden IP-Adressen E-Mails unter dem Namen von «@oliverorange.ch» versenden: 194.126.200.1 - 194.126.200.255 und 149.126.0.0 - 149.126.7.255. (Wir verwenden darin die CIDR-Schreibweise für die IP-Adressen unseres kompletten cyon-Netzwerks, damit wir nicht alle IP-Adressen einzeln angeben müssen).

Nehmen wir an, eine Spam-E-Mail wird versendet und verwendet dabei als Absendeadresse «oliver@oliverorange.ch». Der Mailserver, der die E-Mail empfängt, überprüft die IP-Adresse des Absendenden und vergleicht diese mit dem SPF-Eintrag für oliverorange.ch. Sofern der Spam nicht über die cyon-Server versendet wurde, wird die E-Mail vom Empfangsserver sofort abgewiesen, weil die Absende-IP nicht mit dem SPF-Eintrag von oliverorange.ch übereinstimmt.

Aufbau des SPF-Record

Ein SPF-Record ist ein DNS-Eintrag des Typs «TXT». Der Wert dieses TXT-Records beginnt immer mit v=spf1, gefolgt von den verschiedenen Angaben zu den autorisierten Servern. Die Werte +a und +mx autorisieren die Angaben, welche im A-Record und im MX-Record der Domain hinterlegt sind. Der Wert am Ende -all verbietet das Senden über alle anderen Server, welche nicht autorisiert wurden. Mit den Angaben +ip4:<IP-Adresse> oder include:<Domain> autorisiert man einzelne IP-Adressen oder Servernamen zum Senden von E-Mails im Namen deiner Domain. Weitere Informationen dazu findest du auf Wikipedia.