SPF
Sender Policy Framework (SPF) ist ein Abwehrmechanismus gegen Spam-E-Mails. Der DNS-Eintrag soll verhindern, dass Nachrichten mit einer falschen Absendeadresse zugestellt werden. Missbraucht also jemand deine E-Mail-Adresse als Absendeadresse in einer E-Mail, werden diese E-Mails vom Empfangsserver als Spam abgewiesen.
Hast du für deine Domain unsere Nameserver hinterlegt und diese auf einem cyon-Webhosting eingerichtet, ist unser SPF-Record bereits hinterlegt. Verwaltest du deine DNS-Zone extern, beispielsweise bei Wix, deine E-Mails laufen aber über ein cyon-Webhosting, findest du im Artikel «SPF-Record von cyon» die nötigen Angaben, welche du beim externen Dienst hinterlegen kannst. Weitere Details zum Erstellen oder Anpassen des SPF-Records findest du im Abschnitt «SPF-Record erstellen oder anpassen».
Erklärung anhand eines Beispiels
Lasse uns das Thema mit folgendem SPF-Eintrag und der Domain oliverorange.ch erklären:
v=spf1 +a +mx +ip4:194.126.200.0/24 +ip4:149.126.0.0/21 -all
Dieser SPF-Eintrag sagt aus, dass alle E-Mails mit der Absendeadresse «@oliverorange.ch» über eine der im SPF-angegebenen IP-Adressen/-Ranges versendet werden. Konkret dürfen Server mit folgenden IP-Adressen E-Mails unter dem Namen von «@oliverorange.ch» versenden: 194.126.200.1 - 194.126.200.255 und 149.126.0.0 - 149.126.7.255. (Wir verwenden darin die CIDR-Schreibweise für die IP-Adressen unseres kompletten cyon-Netzwerks, damit wir nicht alle IP-Adressen einzeln angeben müssen).
Nehmen wir an, eine Spam-E-Mail wird versendet und verwendet dabei als Absendeadresse «oliver@oliverorange.ch». Der Mailserver, der die E-Mail empfängt, überprüft die IP-Adresse des Absendeservers und vergleicht diese mit dem SPF-Eintrag für oliverorange.ch. Sofern der Spam nicht über die cyon-Server versendet wurde, wird die E-Mail vom Empfangsserver sofort abgewiesen, weil die Absende-IP nicht mit dem SPF-Eintrag von oliverorange.ch übereinstimmt.
Aufbau des SPF-Record
Ein SPF-Record ist ein DNS-Eintrag des Typs «TXT». Der Wert dieses TXT-Records beginnt immer mit v=spf1, gefolgt von den verschiedenen Angaben zu den autorisierten Servern. Die Werte +a und +mx autorisieren die Angaben, welche im A-Record und im MX-Record der Domain hinterlegt sind. Der Wert am Ende -all verbietet das Senden über alle anderen Server, welche nicht autorisiert wurden. Mit den Angaben +ip4:<IP-Adresse> oder include:<Domain> autorisiert man einzelne IP-Adressen oder Servernamen zum Senden von E-Mails im Namen deiner Domain. Weitere Informationen dazu findest du auf Wikipedia.
SPF-Record erstellen oder anpassen
Hast du deine Domain auf einem cyon-Webhosting eingerichtet und nutzt unsere Nameserver, ist bereits ein SPF-Record hinterlegt, welcher unsere Server zum Senden im Namen deiner Domain berechtigt. Hast du einen zusätzlichen Dienst, wie beispielsweise ein Newsletter-Tool im Einsatz, so beschreiben wir im Artikel «SPF-Record anpassen», wie du den bestehenden SPF-Eintrag ergänzen kannst.
Beachte, dass pro Domain nur ein SPF-Record existieren darf und somit bei Ergänzung der bereits vorhandene Eintrag angepasst werden muss.
Ist in deiner DNS-Zone noch kein SPF-Record vorhanden, kann dieser mit folgenden Angaben erstellt werden:
- Zone
Lass deine Domain so stehen, wie diese bereits im Feld steht. - TTL
Bei TTL empfehlen wir, die Standardeinstellung beizubehalten. - Typ
Wähle als Typ «TXT». - Wert
Füge den von deinem E-Mail-Dienst geforderten SPF-Eintrag ein. Laufen deine E-Mails über cyon, verwendev=spf1 include:spf.protection.cyon.net -all.
- Kategorien
- Begriffe
