Die E-Mail ist ein unverzichtbares Instrument für Unternehmen, und die meisten von uns nutzen sie täglich zur Kommunikation. Mit der wachsenden Zahl von E-Mail-Nutzern hat sich jedoch auch das Problem von Spam, E-Mail-Spoofing, Phishing und E-Mail-Betrug verschärft. Diese Arten von Angriffen können beträchtlichen Schaden anrichten, einschließlich Rufschädigung, finanziellem Verlust und Datenschutzverletzungen. Um solche Angriffe zu verhindern, müssen Unternehmen proaktiv Maßnahmen zur Sicherung ihrer E-Mail-Systeme ergreifen. Eine Möglichkeit, dies zu tun, besteht in der Konfiguration einer SPF-Einrichtung.
Große E-Mail-Anbieter wie Yahoo Mail und Google Workspace empfehlen E-Mail-Authentifizierungsprotokolle wie Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) und Domain-based Message Authentication, Reporting, and Conformance (DMARC), um E-Mail-Empfänger vor möglichem Betrug zu schützen.
SPF in der E-Mail-Sicherheit - Erklärt
Was ist SPF?? SPF steht für Sender Policy Framework. Ein E-Mail-Authentifizierungsprotokoll, mit dem Sie festlegen können, welche Server berechtigt sind, E-Mails an Ihre Domäne zu senden. SPF funktioniert durch Hinzufügen eines DNS-Eintrags zur DNS-Konfiguration Ihrer Domäne, in dem die IP-Adressen Ihrer E-Mail-Server aufgeführt sind. Dieser Eintrag teilt anderen E-Mail-Servern mit, dass alle von Ihrer Domäne gesendeten E-Mails, die nicht von autorisierten IP-Adressen stammen, zurückgewiesen werden sollen.
Die Einrichtung eines gültigen SPF-Eintrags ist wichtig, um zu verhindern, dass unbefugte Benutzer E-Mails unter Ihrem Domänennamen versenden. Spammer oder Angreifer könnten zum Beispiel Ihren Domänennamen zum Versenden von Spam- oder Phishing-E-MailsDies kann Ihrem Ruf schaden, zu einer Sperrung führen und die Sicherheit Ihrer Kunden und Mitarbeiter gefährden.
SPF-Komponenten
Die Hauptbestandteile eines SPF-Eintrags im DNS sind wie folgt:
- Version (v=spf1):
Gibt die SPF-Version an, immer beginnend mit v=spf1. - IP4 und IP6 (ip4: / ip6:):
Listet die autorisierten IPv4- und IPv6-Adressen auf, die für die Domäne E-Mails versenden dürfen. - A und MX Mechanismen (a: / mx:):
- a: lässt E-Mails von Servern zu, deren IPs mit dem A-Eintrag der Domäne übereinstimmen.
- mx: lässt E-Mails von Servern zu, die in den MX-Einträgen (Mail Exchange) der Domäne aufgeführt sind.
- Mechanismus einbeziehen (include:):
Erlaubt es den SPF-Einträgen anderer Domänen, Absender zu autorisieren, was nützlich ist, wenn Dienste von Drittanbietern E-Mails im Namen Ihrer Domäne versenden. - Alle Mechanismus (alle):
Legt eine Standardregel am Ende des SPF-Datensatzes fest. Die Optionen sind:- -alle: Hard Fail (Ablehnung nicht autorisierter IPs).
- ~all: Soft fail (markiert nicht autorisierte IPs als verdächtig).
- ?alle: Neutral (es werden keine Maßnahmen gegen nicht autorisierte IPs ergriffen).
- +alle: Pass (erlaubt alle IPs, selten empfohlen).
- Umleitung (redirect=):
Verweist auf den SPF-Eintrag einer anderen Domäne, wenn Sie diesen verwenden möchten, anstatt Ihren eigenen zu erstellen. - Modifikatoren:
Optionale Regeln für die Feinabstimmung, wenn auch weniger häufig.
SPF Beispiel
v=spf1 ip4:192.168.1.1 include:_spf.thirdparty.com -all
Dieses Beispiel erlaubt E-Mails von 192.168.1.1 und enthält einen SPF-Eintrag eines Drittanbieters und weist E-Mails von anderen IPs mit -all.
SPF-Einstellungen beherrschen
Eine SPF-Einrichtung bezieht sich auf die Konfiguration des SPF-E-Mail-Authentifizierungsprotokolls im DNS eines Domäneninhabers. Eine SPF-Einrichtung ermöglicht es Ihnen, Ihre legitimen Absender zu autorisieren und sicherzustellen, dass empfangende Server leicht zwischen einem echten E-Mail-Absender und einem, der sich lediglich als legitimer Domänenname ausgibt, unterscheiden können. Dies ist ein notwendiger Schritt bei der E-Mail-Validierung, der den Schutz vor Cyberangriffen per E-Mail unterstützt.
Einrichten und Hinzufügen von SPF-Einträgen
Eine SPF-Einrichtung ist nicht nur für Ihre aktiven Quellen unerlässlich, sondern auch für Ihre nicht sendenden Domänen, um zu gewährleisten, dass sie vor böswilliger Nutzung geschützt sind. Die Einrichtung eines SPF-Datensatzes ist ein unkomplizierter Prozess, der die folgenden Schritte umfasst:
Schritt 1: Bestimmen Sie Ihre E-Mail-Server
Der erste Schritt besteht darin, die Server zu bestimmen, die berechtigt sind, E-Mails für Ihre Domäne zu versenden. Zu diesen Servern können Ihr Mailserver, ein von Ihnen genutzter Drittanbieter von E-Mail-Diensten oder ein anderer Server gehören, der E-Mails unter Ihrem Domänennamen versendet.
Schritt 2: Erstellen eines SPF-Eintrags
Sobald Sie Ihre autorisierten E-Mail-Server identifiziert haben, können Sie einen SPF-Eintrag mit einem SPF-Datensatz-Generator. Ein SPF-Eintrag ist ein TXT-Eintrag (Text) in der DNS-Konfiguration Ihrer Domäne, der für Ihre SPF-Einrichtung unerlässlich ist. Sie können eine einfache Syntax verwenden, um Ihren SPF-Eintrag zu erstellen, wie zum Beispiel:
v=spf1 ip4:<IP address> -all
In this example, the “v=spf1” indicates that this is an SPF record, and “ip4:<IP address>” indicates the IP address of the authorized email server. The “-all” at the end indicates that any emails that do not come from authorized IP addresses should be rejected.
Schritt 3: Veröffentlichen Sie Ihren SPF-Eintrag
Nachdem Sie Ihren SPF-Eintrag erstellt haben, müssen Sie ihn im DNS Ihrer Domäne veröffentlichen. Domänenadministratoren können die erforderlichen DNS-Aktualisierungen vornehmen, um das Protokoll problemlos zu aktivieren. Sie können dies tun, indem Sie sich auf der Website Ihres DNS-Anbieters anmelden und einen neuen TXT-Eintrag mit Ihrem SPF-Eintrag hinzufügen. Alternativ können Sie auch Ihr IT-Team oder Ihren Hosting-Provider bitten, dies für Sie zu tun.
Schritt 4: Testen Sie Ihren SPF-Eintrag
Sobald Sie Ihren SPF-Eintrag veröffentlicht haben, müssen Sie ihn unbedingt testen, um sicherzustellen, dass er korrekt funktioniert. Sie können online SPF-Eintragsprüferwie z. B. den von MXToolbox, um Ihren SPF-Eintrag zu testen. Diese Tools sagen Ihnen, ob Ihr SPF-Eintrag gültig ist und ob er richtig konfiguriert ist.
5 Missverständnisse über SPF-Einträge
Im Internet kursieren einige Mythen über SPF-Einträge, die dazu führen können, dass Menschen falsche Entscheidungen treffen. Lassen Sie uns mit einem nach dem anderen aufräumen:
1. SPF allein kann Spoofing verhindern
Das ist nicht richtig. Die Einrichtung von SPF allein kann Cyberangriffe wie Spoofing oder Impersonation nicht verhindern. Um sie zu verhindern, muss SPF mit DMARC (Domain-based Message Authentication, Reporting, and Conformance) kombiniert werden, das es Domänenbesitzern ermöglicht, betrügerische E-Mails, die von ihrer eigenen Domäne gesendet werden, zurückzuweisen.
2. Sie können +all in Ihrem SPF-Eintrag verwenden
Die Verwendung von +all ermöglicht es jedem Server, E-Mails im Namen Ihrer Domäne zu versenden. Dadurch wird der Zweck des SPF-Protokolls zunichte gemacht. Stattdessen wird empfohlen, ~all oder -all zu verwenden, um SPF effektiv für Ihre Domäne einzusetzen.
3. SPF funktioniert bei weitergeleiteten E-Mails
Wir alle wünschten, das wäre wahr. Leider wird SPF in Szenarien der E-Mail-Weiterleitung durch Änderungen der Header-Informationen von Zwischenservern unterbrochen. In solchen Fällen können Protokolle wie DKIM oder vorzugsweise ARC für eine effektive E-Mail-Authentifizierung nützlich sein.
4. SPF-Einträge haben eine unbegrenzte Anzahl von DNS-Abfragen
Der RFC legt eine Höchstzahl von 10 DNS-Abfragen für SPF-Einträge fest, deren Überschreitung zu einem SPF-Fehlerergebnis führt. Es ist wichtig, SPF-Optimierungsmethoden wie Flattening oder vorzugsweise SPF-Makros zu verwenden, um sicherzustellen, dass Sie immer innerhalb der SPF-Grenzen bleiben.
5. Mit SPF können Sie "einrichten und vergessen"!
Machen Sie diesen SPF-Fehler nicht! Sie müssen Ihre SPF-Einträge von Zeit zu Zeit aktualisieren, damit Ihre aktualisierte Absenderliste E-Mails im Namen Ihrer Domäne versenden kann! Dies ist ein wichtiger Schritt, um sicherzustellen, dass legitime E-Mails nicht vom Server Ihres Empfängers blockiert werden.
Wie funktioniert der SPF-Eintrag?
- Der Domäneninhaber erstellt manuell oder mit Hilfe eines Online-Tools einen SPF-Eintrag, in dem die Sendequellen angegeben sind, die E-Mails im Namen der Domäne versenden dürfen.
- Wenn eine E-Mail gesendet wird, führt der Server des Empfängers eine DNS-Abfrage beim DNS des Absenders durch, um den SPF-Eintrag nachzuschlagen und nach autorisierten Quellen zu suchen.
- Bei einer Übereinstimmung landet die E-Mail sicher im Posteingang, andernfalls kann die E-Mail als verdächtig gekennzeichnet werden. Dies hängt vom Aktionsqualifizierer (~all, -all, ?all) ab, den der Domäneninhaber im SPF-Eintrag definiert hat.
Tipps für eine exakte SPF-Einrichtung
Im Folgenden finden Sie einige Tipps zur Erstellung eines soliden SPF-Eintrags:
- Schließen Sie alle autorisierten E-Mail-Server ein: Stellen Sie sicher, dass Sie alle autorisierten E-Mail-Server für den Versand von E-Mails für Ihre Domain in Ihre SPF-Einrichtung aufnehmen. Dies kann Ihren Mailserver, E-Mail-Dienstleister von Drittanbietern oder jeden anderen Server umfassen, der E-Mails unter Ihrem Domänennamen versendet.
- Verwenden Sie den Mechanismus "-all": Der "-all"-Mechanismus am Ende Ihres SPF-Eintrags weist andere E-Mail-Server an, alle E-Mails zurückzuweisen, die nicht von autorisierten IP-Adressen stammen. Dies ist ein wichtiger Schritt, um zu verhindern, dass unbefugte Benutzer E-Mails unter Ihrem Domänennamen versenden.
- Verwenden Sie den "include"-Mechanismus: Der "include"-Mechanismus ermöglicht es Ihnen, SPF-Einträge von anderen Domänen einzuschließen. Dies kann nützlich sein, wenn Sie einen Drittanbieter von E-Mail-Diensten nutzen, um E-Mails für Ihre Domäne zu versenden. Sie können deren SPF-Datensatz in Ihre SPF-Einrichtung aufnehmen, um sicherzustellen, dass E-Mails, die von deren Servern gesendet werden, ebenfalls authentifiziert werden.
- Verwenden Sie zum Testen den Mechanismus "~all": Der "~all"-Mechanismus weist andere E-Mail-Server an, alle E-Mails, die nicht von den autorisierten IP-Adressen stammen, als "soft failures" zu markieren. Das bedeutet, dass diese E-Mails trotzdem zugestellt werden, aber als verdächtig gekennzeichnet werden. Sie können diesen Mechanismus zu Testzwecken verwenden, um sicherzustellen, dass Ihr SPF-Eintrag korrekt funktioniert, ohne dass E-Mails sofort zurückgewiesen werden.
- Halten Sie Ihren SPF-Eintrag auf dem neuesten Stand: Wenn sich Ihre E-Mail-Infrastruktur ändert, sollten Sie Ihren SPF-Eintrag aktualisieren, um diese Änderungen zu berücksichtigen. Dazu kann das Hinzufügen neuer E-Mail-Server oder das Entfernen alter Server gehören.
Vorteile der Optimierung Ihrer SPF-Einstellungen mit PowerDMARC
Das DNS-Lookup-Limit ist eine von E-Mail-Servern auferlegte Beschränkung. Sie begrenzt die Anzahl der DNS-Lookups, die bei der Überprüfung des SPF-Eintrags einer E-Mail durchgeführt werden können. Diese Grenze liegt in der Regel bei 10 DNS-Abfragen. Wenn der E-Mail-Server diese Grenze überschreitet, kann SPF nicht mehr funktionieren und Probleme bei der Zustellung von E-Mails verursachen.
SPF-Abflachung ist eine Technik, die dazu dient, die Anzahl der DNS-Abfragen zu verringern, die zur Überprüfung des SPF-Eintrags einer E-Mail erforderlich sind. Dabei werden mehrere SPF-Einträge zu einem einzigen Eintrag zusammengefasst, wodurch die Anzahl der DNS-Abfragen zur Authentifizierung einer E-Mail verringert werden kann.
Hier ist ein Beispiel dafür, wie die Abflachung des LSF helfen kann:
Nehmen wir an, Ihr Unternehmen nutzt mehrere Drittanbieterdienste zum Versenden von E-Mails. Dazu gehören vielleicht eine Software zur Marketingautomatisierung, ein Helpdesk-System und ein CRM-Tool für kleine Unternehmen. Jeder dieser Dienste wird der IP-Adressliste in Ihrem DNS-SPF-Eintrag oder einzelnen SPF-Einträgen für jeden dieser Dienste hinzugefügt, und wenn Sie alle in den SPF-Eintrag Ihrer Domäne aufnehmen würden, würde dies das Limit von 10 DNS-Lookups überschreiten.
Durch SPF-Flattening können Sie all diese redundanten IPs in einem einzigen Eintrag zusammenfassen. Das bedeutet, dass ein E-Mail-Server bei einer DNS-Abfrage zur Überprüfung Ihres SPF-Eintrags nur eine oder wenige Abfragen durchführen muss und nicht mehrere Abfragen für jeden einzelnen SPF-Eintrag und jede IP-Adresse.
Zusammengefasst
Die Einrichtung eines SPF-Eintrags ist ein wichtiger Schritt, um Ihr E-Mail-System zu sichern und E-Mail-Betrug zu verhindern. Durch die Erstellung eines SPF-Eintrags und dessen Veröffentlichung in der DNS-Konfiguration Ihrer Domäne können Sie sicherstellen, dass von Ihrer Domäne gesendete E-Mails authentifiziert werden, und verhindern, dass unbefugte Benutzer E-Mails unter Ihrem Domänennamen versenden. Wenn Sie die oben genannten Tipps befolgen, können Sie einen sicheren SPF-Eintrag erstellen und Ihr E-Mail-System absichern.
FAQs zum Einrichten eines SPF-Eintrags
Kann ich einen großen SPF teilen?
Die Aufteilung eines großen SPF-Eintrags in kleinere Einträge wird aufgrund der SPF-Zeichenbeschränkungen und der zusätzlichen Beschränkungen für die Veröffentlichung mehrerer SPF-Einträge für dieselbe Domäne nicht empfohlen. Versuchen Sie stattdessen diese Taktik:
- Gestalten Sie Ihren SPF-Eintrag einfach und prägnant
- Weniger Includes verwenden und IP-Bereiche kombinieren
- SPF-Verwaltungslösungen und Dienste von Drittanbietern nutzen
Warum wird der SPF-Eintrag verwendet?
Ein SPF-Datensatz wird verwendet, um sicherzustellen, dass nur autorisierte Quellen E-Mails im Namen Ihrer Domäne senden dürfen, und um externe Exposition und Imitationsversuche zu begrenzen.
Wann brauchen Sie SPF?
Als E-Mail-Authentifizierungsprotokoll wird SPF benötigt, um sicherzustellen, dass die Authentizität der E-Mail-Kommunikation überprüft werden kann und den neuesten Branchenvorschriften entspricht. Erfahren Sie mehr über die Bedeutung der SPF-Konfiguration.
Wie optimiert man den SPF-Eintrag?
Sie können Ihren SPF-Eintrag manuell optimieren, indem Sie auf Ihren DNS zugreifen und die erforderlichen Änderungen vornehmen. Eine mühelose und einfachere Option ist jedoch der Einsatz von SPF-Optimierungsdiensten von Drittanbietern, die Flattening oder Makro-Optimierung für die Verwaltung von SPF-Einträgen anbieten.
Woher weiß ich, dass mein SPF-Datensatz eingestellt ist?
Sie können Ihren SPF-Eintrag mit einem Online SPF-Datensatz-Überprüfungstool überprüfen, um festzustellen, ob Ihr SPF-Eintrag korrekt eingestellt ist.
- Der Anstieg von Pretexting-Betrug bei verstärkten Phishing-Angriffen - Januar 15, 2025
- DMARC wird ab 2025 für die Zahlungskartenindustrie verpflichtend - 12. Januar 2025
- NCSC Mail Check-Änderungen und ihre Auswirkungen auf die E-Mail-Sicherheit im öffentlichen Sektor Großbritanniens - 11. Januar 2025