Was ist ein DNS-SPF-Eintrag?

SPF-Einträge sind eine Art von DNS-TXT-Eintrag, der normalerweise für die E-Mail-Authentifizierung verwendet wird. SPF-Einträge umfassen eine Liste von IP-Adressen und Domains, die berechtigt sind, von dieser Domains aus E-Mails zu versenden.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Einen DNS-SPF-Eintrag definieren
  • Die Vorteile eines DNS-SPF-Eintrags erklären
  • Die Komponenten eines DNS-SPF-Eintrags verstehen

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist ein DNS-SPF-Eintrag?

Ein SPF-Eintrag (Sender Policy Framework) ist eine Art DNS-TXT-Eintrag, der alle Server auflistet, die berechtigt sind, E-Mails von einer bestimmten Domäne zu versenden. Mit einem DNS-TXT-Eintrag („Text“) kann ein Domain-Administrator einen beliebigen Text in das Domain Name System (DNS) eingeben. TXT-Datensätze wurden ursprünglich erstellt, um wichtige Mitteilungen über die Domain aufzunehmen, haben sich aber inzwischen weiterentwickelt und dienen auch anderen Zwecken.

SPF-Einträge wurden ursprünglich erstellt, weil das für E-Mails verwendete Standardprotokoll – das Simple Mail Transfer Protocol (SMTP) – die „Absenderadresse“ in einer E-Mail nicht authentifiziert. Das bedeutet, dass sich ein Angreifer ohne SPF- oder andere Authentifizierungseinträge leicht als Absender ausgeben und den Empfänger dazu bringen kann, Maßnahmen zu ergreifen oder Informationen weiterzugeben, die er sonst nicht weitergeben würde.

Stellen Sie sich SPF-Einträge wie eine Gästeliste vor, die von einem Türsteher verwaltet wird. Wenn jemand nicht auf der Liste steht, wird der Türsteher ihn nicht einlassen. Wenn ein SPF-Eintrag die IP-Adresse oder die Domain eines Absenders nicht in seiner Liste hat, wird der empfangende Server (Türsteher) diese E-Mails entweder nicht zustellen oder sie als Spam markieren.

SPF-Einträge sind nur einer von vielen DNS-basierten Mechanismen, mit denen E-Mail-Server bestätigen können, ob eine E-Mail von einer vertrauenswürdigen Quelle stammt. Domain-based Message Authentication Reporting and Conformance (DMARC) und DomainKeys Identified Mail (DKIM) sind zwei weitere Mechanismen zur E-Mail-Authentifizierung.

Es ist erwähnenswert, dass SPF-Einträge früher einen dedizierten DNS-Eintragstyp hatten. Der dedizierte Eintragstyp ist seither abgeschafft worden und es sind nur noch TXT-Einträge zu verwenden.

Berichte
2024 IDC MarketScape für Edge-Bereitstellungsdienste

Wie überprüft ein Mailserver einen SPF-Eintrag?

Mailserver durchlaufen bei der Überprüfung eines SPF-Eintrags einen relativ einfachen Prozess:

  • Server Eins sendet eine E-Mail. Seine IP-Adresse lautet 192.0.2.0 und der Antwortpfad, den die E-Mail verwendet, lautet email@returnpath.com. (Eine Antwortpfadadresse unterscheidet sich von der Absenderadresse und wird speziell zum Sammeln und Verarbeiten von abgelehnten Nachrichten verwendet).
  • Der Mailserver, der die Nachricht empfängt (Server 2), sucht anhand der Antwortpfaddomain nach ihrem SPF-Eintrag.
  • Wenn Server Zwei einen SPF-Eintrag für die Domain des Antwortpfads findet, sucht er den SPF-Eintrag nach der IP-Adresse von Server Eins in seiner Liste der autorisierten Absender. Wenn die IP-Adresse im SPF-Eintrag aufgeführt ist, wird die SPF-Prüfung bestanden und die E-Mail wird weitergeleitet. Wenn die IP-Adresse nicht im SPF-Eintrag aufgeführt ist, schlägt die SPF-Prüfung fehl. In diesem Fall wird die E-Mail zurückgewiesen oder als Spam markiert.
Registrieren
Kostenloses DNS – inkl. in jedem Cloudflare-Tarif

Wie sieht ein SPF-Eintrag aus?

SPF-Einträge müssen bestimmten Standards entsprechen, damit der Server weiß, wie der Inhalt zu interpretieren ist. Hier ein Beispiel für die wichtigsten Bestandteile eines SPF-Eintrags:

v=spf1 ip4:192.0.2.0 ip4:192.0.2.1 include:examplesender.email -all

In diesem Beispiel erfährt der Server, um welche Art von Eintrag es sich handelt, gibt die zugelassenen IP-Adressen und einen Drittanbieter für diese Domain an und teilt dem Server mit, was mit nicht konformen E-Mails geschehen soll. Schauen wir uns an, wie die einzelnen Komponenten dies bewerkstelligen:

  • 1v=spf11 teilt dem Server mit, dass dies einen SPF-Eintrag enthält. Jeder SPF-Eintrag muss mit dieser Zeichenfolge beginnen.
  • Dann kommt der Teil „Gästeliste“ des SPF-Eintrags oder die Liste der zugelassenen IP-Adressen. In diesem Beispiel teilt der SPF-Eintrag dem Server mit, dass ip4=192.0.2.0 und ip4=192.0.2.1 berechtigt sind, E-Mails im Namen der Domain zu versenden.
  • include:examplesender.net ist ein Beispiel für das include-Tag, das dem Server mitteilt, welche Drittanbieter berechtigt sind, E-Mails im Namen der Domain zu versenden. Dieses Tag signalisiert, dass der Inhalt des SPF-Eintrags für die enthaltene Domain (examplesender.net) überprüft werden sollte, und die darin enthaltenen IP-Adressen ebenfalls als autorisiert gelten sollten. Mehrere Domains können in einen SPF-Eintrag aufgenommen werden, aber dieses Tag funktioniert nur für gültige Domains.
  • Schließlich teilt -all dem Server mit, dass Adressen, die nicht im SPF-Eintrag aufgeführt sind, nicht berechtigt sind, E-Mails zu versenden und zurückgewiesen werden sollten.
    • Zu den alternativen Optionen gehören ~all, was bedeutet, dass nicht aufgelistete E-Mails als unsicher oder Spam markiert, aber dennoch akzeptiert werden, und, seltener, +all, was bedeutet, dass jeder Server E-Mails im Namen Ihrer Domain senden kann.

Während das in diesem Artikel verwendete Beispiel recht einfach ist, können SPF-Einträge durchaus komplexer sein. Hier sind nur ein paar Dinge, die Sie beachten sollten, um sicherzustellen, dass SPF-Einträge gültig sind:

  • Es kann nicht mehr als ein SPF-Eintrag mit einer Domain verbunden sein.
  • Der Eintrag muss mit der Komponente all enden oder eine Komponente redirect= enthalten (die angibt, dass der SPF-Eintrag von einer anderen Domain gehostet wird).
  • Ein SPF-Eintrag darf keine Großbuchstaben enthalten.

Weitere Informationen finden Sie in der offiziellen Dokumentation zum SPF-Eintrag.

Warum werden SPF-Einträge verwendet?

Es gibt viele Gründe, warum Domainbetreiber SPF-Einträge verwenden:

  • Verhindern von Angriffen: Wenn E-Mails nicht authentifiziert werden, sind Unternehmen und E-Mail-Empfänger dem Risiko von Phishing-Angriffen, Spam-E-Mails und E-Mail-Spoofing ausgesetzt. Mit SPF-Einträgen ist es für Angreifer schwieriger, eine Domain zu imitieren, wodurch die Wahrscheinlichkeit solcher Angriffe sinkt.
  • Verbesserung der E-Mail-Zustellbarkeit: Bei Domains ohne veröffentlichten SPF-Eintrag können E-Mails zurückgewiesen oder als Spam markiert werden. Im Laufe der Zeit können unzustellbare oder als Spam markierte E-Mails die Fähigkeit einer Domain beeinträchtigen, die Posteingänge ihrer Zielgruppen zu erreichen, und so die Kommunikation mit Kunden, Mitarbeitern und anderen Unternehmen gefährden.
  • DMARC-Konformität: DMARC ist ein E-Mail-Validierungssystem, das sicherstellt, dass E-Mails nur von autorisierten Benutzern gesendet werden. DMARC-Richtlinien schreiben vor, was Server mit E-Mails tun sollen, die SPF- und DKIM-Prüfungen nicht bestehen. Je nach den Anweisungen der DMARC-Richtlinie werden diese E-Mails entweder als Spam markiert, zurückgewiesen oder normal zugestellt. Domain-Administratoren erhalten Berichte über ihre E-Mail-Aktivitäten, die sie bei der Anpassung ihrer Richtlinien unterstützen.

So richten Sie SPF-Einträge bei Cloudflare ein

Zur einfachen Einrichtung von SPF-Einträgen in Cloudflare verwenden Sie den DNS-Assistenten für E-Mail-Sicherheit.

Erfahren Sie mehr über DNS-Einträge für E-Mail: