Was ist ein DNS-SPF-Eintrag?

SPF-Einträge sind eine Art von DNS-TXT-Eintrag, der normalerweise für die E-Mail-Authentifizierung verwendet wird. SPF-Einträge umfassen eine Liste von IP-Adressen und Domains, die berechtigt sind, von dieser Domains aus E-Mails zu versenden.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Einen DNS-SPF-Eintrag definieren
  • Die Vorteile eines DNS-SPF-Eintrags erklären
  • Die Komponenten eines DNS-SPF-Eintrags verstehen

Link zum Artikel kopieren

Was ist ein DNS-SPF-Eintrag?

Ein SPF-Eintrag (Sender Policy Framework) ist eine Art DNS-TXT-Eintrag, der alle Server auflistet, die berechtigt sind, E-Mails von einer bestimmten Domäne zu versenden.

Mit einem DNS-TXT-Eintrag („Text“) kann ein Domain-Administrator einen beliebigen Text in das Domain Name System (DNS) eingeben. TXT-Datensätze wurden ursprünglich erstellt, um wichtige Mitteilungen über die Domain aufzunehmen, haben sich aber inzwischen weiterentwickelt und dienen auch anderen Zwecken.

SPF-Einträge wurden ursprünglich erstellt, weil das für E-Mails verwendete Standardprotokoll – das Simple Mail Transfer Protocol (SMTP) – die „Absenderadresse“ in einer E-Mail nicht authentifiziert. Das bedeutet, dass sich ein Angreifer ohne SPF- oder andere Authentifizierungseinträge leicht als Absender ausgeben und den Empfänger dazu bringen kann, Maßnahmen zu ergreifen oder Informationen weiterzugeben, die er sonst nicht weitergeben würde.

Stellen Sie sich SPF-Einträge wie eine Gästeliste vor, die von einem Türsteher verwaltet wird. Wenn jemand nicht auf der Liste steht, wird der Türsteher ihn nicht einlassen. Wenn ein SPF-Eintrag die IP-Adresse oder die Domain eines Absenders nicht in seiner Liste hat, wird der empfangende Server (Türsteher) diese E-Mails entweder nicht zustellen oder sie als Spam markieren.

SPF-Einträge sind nur einer von vielen DNS-basierten Mechanismen, mit denen E-Mail-Server bestätigen können, ob eine E-Mail von einer vertrauenswürdigen Quelle stammt. Domain-based Message Authentication Reporting and Conformance (DMARC) und DomainKeys Identified Mail (DKIM) sind zwei weitere Mechanismen zur E-Mail-Authentifizierung.

Es ist erwähnenswert, dass SPF-Einträge früher einen dedizierten DNS-Eintragstyp hatten. Der dedizierte Eintragstyp ist seither abgeschafft worden und es sind nur noch TXT-Einträge zu verwenden.

Wie überprüft ein Mailserver einen SPF-Eintrag?

Mailserver durchlaufen bei der Überprüfung eines SPF-Eintrags einen relativ einfachen Prozess:

  • Server Eins sendet eine E-Mail. Seine IP-Adresse lautet 192.0.2.0 und der Antwortpfad, den die E-Mail verwendet, lautet email@returnpath.com. (Eine Antwortpfadadresse unterscheidet sich von der Absenderadresse und wird speziell zum Sammeln und Verarbeiten von abgelehnten Nachrichten verwendet).
  • Der Mailserver, der die Nachricht empfängt (Server 2), sucht anhand der Antwortpfaddomain nach ihrem SPF-Eintrag.
  • Wenn Server Zwei einen SPF-Eintrag für die Domain des Antwortpfads findet, sucht er den SPF-Eintrag nach der IP-Adresse von Server Eins in seiner Liste der autorisierten Absender. Wenn die IP-Adresse im SPF-Eintrag aufgeführt ist, wird die SPF-Prüfung bestanden und die E-Mail wird weitergeleitet. Wenn die IP-Adresse nicht im SPF-Eintrag aufgeführt ist, schlägt die SPF-Prüfung fehl. In diesem Fall wird die E-Mail zurückgewiesen oder als Spam markiert.

Wie sieht ein SPF-Eintrag aus?

SPF-Einträge müssen bestimmten Standards entsprechen, damit der Server weiß, wie der Inhalt zu interpretieren ist. Hier ein Beispiel für die wichtigsten Bestandteile eines SPF-Eintrags:

v=spf1 ip4=192.0.2.0 ip4=192.0.2.1 include:examplesender.email -all

In diesem Beispiel erfährt der Server, um welche Art von Eintrag es sich handelt, gibt die zugelassenen IP-Adressen und einen Drittanbieter für diese Domain an und teilt dem Server mit, was mit nicht konformen E-Mails geschehen soll. Schauen wir uns an, wie die einzelnen Komponenten dies bewerkstelligen:

  • 1v=spf11 teilt dem Server mit, dass dies einen SPF-Eintrag enthält. Jeder SPF-Eintrag muss mit dieser Zeichenfolge beginnen.
  • Dann kommt der Teil „Gästeliste“ des SPF-Eintrags oder die Liste der zugelassenen IP-Adressen. In diesem Beispiel teilt der SPF-Eintrag dem Server mit, dass ip4=192.0.2.0und ip4=192.0.2.1 berechtigt sind, E-Mails im Namen der Domain zu versenden.
  • include:examplesender.net ist ein Beispiel für das include-Tag, das dem Server mitteilt, welche Drittanbieter berechtigt sind, E-Mails im Namen der Domain zu versenden. Dieses Tag signalisiert, dass der Inhalt des SPF-Eintrags für die enthaltene Domain (examplesender.net) überprüft werden sollte, und die darin enthaltenen IP-Adressen ebenfalls als autorisiert gelten sollten. Mehrere Domains können in einen SPF-Eintrag aufgenommen werden, aber dieses Tag funktioniert nur für gültige Domains.
  • Schließlich teilt -all dem Server mit, dass Adressen, die nicht im SPF-Eintrag aufgeführt sind, nicht berechtigt sind, E-Mails zu versenden und zurückgewiesen werden sollten.
    • Zu den alternativen Optionen gehören ~all, was bedeutet, dass nicht aufgelistete E-Mails als unsicher oder Spam markiert, aber dennoch akzeptiert werden, und, seltener, +all, was bedeutet, dass jeder Server E-Mails im Namen Ihrer Domain senden kann.

Während das in diesem Artikel verwendete Beispiel recht einfach ist, können SPF-Einträge durchaus komplexer sein. Hier sind nur ein paar Dinge, die Sie beachten sollten, um sicherzustellen, dass SPF-Einträge gültig sind:

  • Es kann nicht mehr als ein SPF-Eintrag mit einer Domain verbunden sein.
  • Der Eintrag muss mit der Komponente all enden oder eine Komponente redirect: enthalten (die angibt, dass der SPF-Eintrag von einer anderen Domain gehostet wird).
  • Ein SPF-Eintrag darf keine Großbuchstaben enthalten.

Weitere Informationen finden Sie in der offiziellen Dokumentation zum SPF-Eintrag.

Warum werden SPF-Einträge verwendet?

Es gibt viele Gründe, warum Domainbetreiber SPF-Einträge verwenden:

  • Verhindern von Angriffen: Wenn E-Mails nicht authentifiziert werden, sind Unternehmen und E-Mail-Empfänger dem Risiko von Phishing-Angriffen, Spam-E-Mails und E-Mail-Spoofing ausgesetzt. Mit SPF-Einträgen ist es für Angreifer schwieriger, eine Domain zu imitieren, wodurch die Wahrscheinlichkeit solcher Angriffe sinkt.
  • Verbesserung der E-Mail-Zustellbarkeit: Bei Domains ohne veröffentlichten SPF-Eintrag können E-Mails zurückgewiesen oder als Spam markiert werden. Im Laufe der Zeit können unzustellbare oder als Spam markierte E-Mails die Fähigkeit einer Domain beeinträchtigen, die Posteingänge ihrer Zielgruppen zu erreichen, und so die Kommunikation mit Kunden, Mitarbeitern und anderen Unternehmen gefährden.
  • DMARC-Konformität: DMARC ist ein E-Mail-Validierungssystem, das sicherstellt, dass E-Mails nur von autorisierten Benutzern gesendet werden. DMARC-Richtlinien schreiben vor, was Server mit E-Mails tun sollen, die SPF- und DKIM-Prüfungen nicht bestehen. Je nach den Anweisungen der DMARC-Richtlinie werden diese E-Mails entweder als Spam markiert, zurückgewiesen oder normal zugestellt. Domain-Administratoren erhalten Berichte über ihre E-Mail-Aktivitäten, die sie bei der Anpassung ihrer Richtlinien unterstützen.

The Cloudflare Email Security DNS Wizard makes it simple to set up the correct DNS TXT records and block spammers from using a domain. Read more about the Wizard here.

Erfahren Sie mehr über DNS-Einträge für E-Mail: