DerSPF-Datensatz (Sender Policy Framework) ist ein wichtiger Bestandteil der Domain-based Message Authentication, Reporting and Conformance (DMARC) Protokolls, das eine Methode zur Verhinderung der Fälschung von Absenderadressen festlegt.
SPF-Datensätze sind kompliziert einzurichten, und es kann zu Implementierungsproblemen kommen, wenn sie nicht richtig konfiguriert sind. Außerdem werden in der SPF-Datensatzsyntax einige spezifische Begriffe verwendet, die auf den ersten Blick verwirrend sein können. In diesem Blog-Beitrag gehen wir daher auf die SPF-Datensatzsyntax ein und erläutern, was Sie bei der Konfiguration beachten müssen.
Was ist ein SPF-Eintrag?
Ein SPF-Eintrag ist eine Art DNS-Eintrag, der angibt, welche Server E-Mails im Namen Ihrer Domäne versenden dürfen. Zu diesem Zweck werden die Server aufgelistet, die berechtigt sind, E-Mails für Ihre Domäne zu versenden. Wenn ein anderer Server versucht, eine E-Mail im Namen Ihrer Domäne zu versenden, wird er als nicht autorisierter Absender zurückgewiesen.
Der Zweck eines SPF-Eintrags besteht darin, böswillige Benutzer daran zu hindern, gefälschte E-Mail-Nachrichten mit Ihrer Domäne im Absenderfeld zu versenden. Dies kann passieren, wenn ein Angreifer massenhaft Spam-E-Mails von Ihrem Server aus versendet, indem er Ihre Domain fälscht oder verfälscht
Wie funktioniert der SPF?
1. Erstellen eines SPF-Eintrags Syntax
Sie erstellen in Ihrem DNS-Server eine SPF-Eintragssyntax, die angibt, welche IP-Adressen E-Mails von Ihrer Domäne senden dürfen. Das bedeutet, dass, wenn jemand versucht, gefälschte E-Mails von Ihrer Domäne zu senden, seine Nachrichten fehlschlagen würden, weil die IP-Adresse seines Mailservers nicht als einer der zugelassenen Server aufgeführt wäre.
Wenn Sie z. B. möchten, dass nur Gmail-Konten in der Lage sind, E-Mails von Ihrem Domänennamen zu senden, nicht aber Outlook-Konten, dann würden Sie die folgende Zeile zu Ihrem SPF-Eintrag hinzufügen:
v=spf1 a mx include:_spf.google.com ~all
Damit wird den Servern mitgeteilt, dass alle Nachrichten, die von einem Host gesendet werden, dessen IP-Adresse mit _spf.google.com endet, als gültig (m) betrachtet werden sollen, während alle anderen Nachrichten verworfen werden sollen (a).
Sie können unseren SPF-Datensatz-Generator Tool verwenden, um jetzt einen kostenlosen Eintrag zu erstellen!
2. DNS-Suche
Wenn ein E-Mail-Absender versucht, eine Nachricht zu versenden, führt der Empfängerserver eine DNS-Abfrage der sendenden Domäne durch, um festzustellen, ob ein SPF-Eintrag vorhanden ist - dies wird als "Authentifizierung" bezeichnet. SPF-Fehlermeldung.
Wenn kein SPF-Eintrag vorhanden ist, schlägt die Authentifizierung fehl und die Nachricht wird nicht zugestellt. Wenn ein SPF-Eintrag vorhanden ist, prüft der SPF-Server die IP-Adressen im TXT-Eintrag auf den im SPF-Eintrag angegebenen Hostnamen.
Wenn keine IP-Adressen angegeben sind, schlägt die Authentifizierung fehl. Andernfalls wird eine A-Abfrage für jede angegebene IP-Adresse in der Reihenfolge ihres Erscheinens im TXT-Eintrag durchgeführt.
Die IP-Adresse, die einen Ergebniscode von NXDOMAIN oder NOERROR zurückgibt, wird vom SPF-Server als autorisiert betrachtet und ihr Hostname wird zur Liste der autorisierten sendenden Hosts für diese Domain hinzugefügt.
3. Ergebnis der Authentifizierung
Der Mailserver stellt die Nachricht entweder dem Empfänger zu oder markiert sie auf der Grundlage der im SPF-Eintrag angegebenen Regeln zur Ablehnung.
Das Ergebnis der Authentifizierung kann drei Formen annehmen: Bestanden, Neutral oder Fehlgeschlagen.
Pass bedeutet, dass der Mailserver die Nachricht als legitim akzeptiert und ihre Zustellung zulässt. Neutral bedeutet, dass es für diese Domäne im DNS entweder gar keinen oder einen ungültigen Eintrag gibt, so dass nicht festgestellt werden kann, ob es sich um eine legitime Nachricht von dieser Domäne handelt oder nicht. Fail bedeutet, dass etwas an dieser Nachricht nicht authentisch genug war, um zugestellt zu werden.
Ein Beispiel: Ein Mailserver mit der IP-Adresse "234.2.1.2" sendet eine E-Mail von "join@apple.com". Der Eingangsserver konsultiert den Domain Name Service(DNS), um festzustellen, ob diese IP-Adresse berechtigt ist, E-Mails im Namen der Domäne "apple.com" zu versenden. Ist dies der Fall, wird die Nachricht zugestellt; andernfalls wird sie verworfen oder als Spam markiert, d. h. entsprechend dem im SPF-Eintrag angegebenen Mechanismus sortiert.
SPF-Datensatz-Syntax
Die Syntax des SPF-Datensatzes besteht aus mehreren Elementen - Direktiven, Qualifizierer und Mechanismen.
Direktiven sind der erste Teil der Syntax eines SPF-Datensatzes. Sie geben an, wie der Rest des Datensatzes zu interpretieren ist. Drei Direktiven können in einem SPF-Datensatz erscheinen: v=spf1, a und mx. Die v-Direktive zeigt an, dass es sich bei diesem Eintrag um einen SPFv1-Eintrag handelt; die a-Direktive zeigt an, dass es sich um einen SPFv2-Authentifizierungsfehlerbericht handelt; die mx-Direktive gibt eine Liste von Mail-Exchange-Servern für eine Domain an.
Qualifier geben an, wo in Ihrer DNS-Zone Sie Ihre SPF-Einträge platzieren möchten: exim4, enduser oder _spf. Diese Qualifier teilen den E-Mail-Empfängern mit, wo sie nach Ihren SPF-Einträgen suchen sollen, wenn sie diese mit ihren DNS-Einträgen abgleichen.
Mit den Mechanismen geben Sie an, wie Sie mit E-Mail-Adressen verfahren wollen, die Ihre SPF-Prüfung nicht bestehen. Sie können zwischen mehreren Mechanismen wählen: alle, keine, softfail, neutralisieren oder ablehnen.
- alle Mechanismus werden alle E-Mails von Absendern akzeptiert, die Ihre SPF-Prüfung bestanden haben;
- keine wird alles von Absendern zurückgewiesen, die Ihre SPF-Prüfung bestanden haben;
- softfail akzeptiert E-Mails von Absendern, die eine SPF-Prüfung nicht bestanden haben, markiert sie aber als verdächtig;
- neutral besagt, dass Sie Nachrichten, die von Ihrer Domain aus gesendet werden, weder ablehnen noch annehmen - es ist im Wesentlichen eine "keine Meinung" dazu, ob die Nachricht angenommen oder abgelehnt werden sollte;
- ablehnen weist E-Mails zurück, die die SPF-Prüfung nicht bestanden haben.
SPF-Datensatz-Syntax-Bezeichner
Die "Qualifizierer" in der Syntax eines SPF-Datensatzes dienen zur Angabe des Geltungsbereichs des SPF-Datensatzes. Sie werden in erster Linie verwendet, um anzugeben, ob eine bestimmte IP-Adresse berechtigt ist, E-Mails im Namen Ihrer Domäne zu versenden oder nicht.
| Qualifier | Ergebnis Code | Erläuterung |
| + | Pass | ist der einzige Qualifier ohne negative Konnotation. Er zeigt an, dass der Sicherheitseintrag des Domänennamens keine Fehler oder Warnungen enthält und als sicher gilt. |
| - | Fail | zeigt an, dass der Sicherheitsdatensatz des Domänennamens Fehler oder Warnungen enthält, die verhindern, dass er als sicher angesehen wird.
|
| ~ | Softfail | zeigt an, dass der Sicherheitsdatensatz des Domänennamens Fehler oder Warnungen enthält, die nicht verhindern, dass er als sicher gilt, aber auf Probleme mit der DNS-Auflösung oder andere Probleme im Zusammenhang mit DNS-Vertrauensankern hinweisen können. |
| ? | Neutral | Zeigt an, dass die Domäne keinen SPF-Eintrag hat oder dass ihr Eintrag syntaktisch korrekt war, aber bei der Überprüfung mit einem (oder mehreren) sendenden Servern in Ihrer Liste vertrauenswürdiger IP-Adressen für diese Domäne nicht übereinstimmte. |
SPF-Datensatz-Syntax-Mechanismen
Mechanismen werden in der Syntax des SPF-Datensatzes verwendet, um dem empfangenden Server mitzuteilen, welche Art von Authentifizierungsmechanismus verwendet werden soll. Es gibt zwei Arten von Mechanismen:
- der Absender kann eine bestimmte Anzahl von Mechanismen angeben;
- Oder er kann festlegen, dass alle Mechanismen erlaubt sind.
| Mechanismus | Zweck | Die Richtlinie findet Anwendung, wenn | Umsetzung |
| a | definiert den DNS-A-Eintrag der Domäne als autorisiert. Wenn diese Direktive nicht angegeben ist, wird die aktuelle Domäne verwendet.
|
kann angewendet werden, wenn nach einem A- oder AAAA-Eintrag in einer Domäne gefragt wird, die die IP-Adresse des Absenders enthält. | a
a/<prefix-length> a:<domain> a:<domain>/<prefix-length> |
| alle | Die all-Direktive wird immer abgeglichen und definiert die Richtlinie für alle anderen Quellen. | Dieser Mechanismus sollte immer angewendet werden, und dieser Mechanismus passt immer. | alle |
| existiert | Prüft, ob ein A-Eintrag für eine bestimmte Domäne gültig ist oder nicht. Dazu werden alle A-Einträge für diese Domäne überprüft, um festzustellen, ob einer von ihnen den in Ihrem SPF-Eintrag festgelegten Kriterien entspricht. | Gilt, wenn es einen A-Eintrag auf dieser Domäne gibt oder wenn andere Kriterien gemäß RFC7208 genehmigt wurden. | exists:<domain> |
| einschließen. | Der Zweck dieses Mechanismus besteht darin, die Domäne anzugeben und nach einer Übereinstimmung zu suchen sowie einen permanenten Fehler zurückzugeben, wenn die Domäne keinen gültigen SPF-Eintrag hat. | Der "Include"-Mechanismus in SPF-Datensätzen kann verwendet werden, um andere SPF-Datensätze in den Datensatz einer Domäne aufzunehmen. Wenn eine Domäne keinen SPF-Datensatz hat, eine andere Domäne aber schon und diese andere Domäne eine IP-Adresse hat, die mit der IP-Adresse des Absenders übereinstimmt, dann bewirkt der "include"-Mechanismus, dass die Domäne mit der übereinstimmenden IP-Adresse für die Autorisierung verwendet wird.
|
include:<domain> |
| ip4 | Sie können einen IPv4-Bereich mit der Direktive "ip4" angeben, zusammen mit einem Präfix, das die Länge des Bereichs angibt. Wenn kein Präfix angegeben wird, wird /32 angenommen. | Der "ip4"-Mechanismus wird angewendet, wenn eine dieser Bedingungen erfüllt ist:
- Die angegebene IPv4-Adresse stimmt mit einer IP-Adresse in Ihrem SPF-Eintrag überein.
- Das angegebene IPv4-Subnetz enthält die IP-Adresse des Absenders. |
ip4:<ip4-address>
ip4:<ip4-network>/<prefix-length> |
| ip6 | Sie können einen IPv6-Bereich mit der Direktive "ip4" angeben, zusammen mit einem Präfix, das die Länge des Bereichs angibt. Wenn kein Präfix angegeben wird, wird /128 angenommen. | Der "ip6"-Mechanismus wird angewendet, wenn eine dieser Bedingungen erfüllt ist:
- Die angegebene IPv6-Adresse stimmt mit einer IP-Adresse in Ihrem SPF-Eintrag überein.
- Das angegebene IPv6-Subnetz enthält die IP-Adresse des Absenders. |
ip6:<ip6-address>
ip6:<ip6-network>/<prefix-length> |
| mx | Der "mx"-Mechanismus, wie er im SPF-Datensatz definiert ist, definiert den Domain Name System (DNS) Mail Exchanger (MX)-Datensatz einer Domain als autorisiert. | Der DNS MX-Eintrag bestimmt, welcher Server für die Annahme von E-Mail-Nachrichten im Namen der Domäne zuständig ist. Der DNS MX-Eintrag enthält eine IP-Adresse und einen Prioritätswert für jeden Server, der für die Annahme von Nachrichten verwendet werden kann.
Wenn ein MX-Eintrag einer Domäne eine IP-Adresse enthält, die mit der IP-Adresse des Absenders übereinstimmt, bedeutet dies, dass dieser Absender berechtigt ist, E-Mails im Namen dieser Domäne zu versenden. |
mx
mx/<prefix-length> mx:<domain> mx:<domain>/<prefix-length> |
| ptr | Der ptr-Mechanismus verwendet den umgekehrten Hostnamen oder die Subdomain der sendenden IP-Adresse, um den Zieldomainnamen zu definieren. | Gilt nur, wenn es mindestens einen MX-Eintrag für die abgefragte oder angegebene Domain gibt und dieser MX-Eintrag einen PTR-Eintrag mit einem FQDN für die IP-Adresse des Absenders enthält. | ptr
ptr:<domain> |
SPF-Datensatz-Syntaxmodifikatoren
In der SPF-Datensatzsyntax können Modifikatoren verwendet werden, um das Standardverhalten eines SPF-Datensatzes zu ändern. Modifikatoren können verwendet werden, um Ausnahmen von den Regeln festzulegen, oder sie können verwendet werden, um dem Empfänger zusätzliche Informationen zu liefern.
| Modifikator | Zweck | Umsetzung |
| exp | Der Modifikator "exp" ist ein Wert, der eine Erklärung dafür angibt, warum eine Nachricht abgelehnt wurde. Er soll Absendern helfen, bestimmte Probleme zu vermeiden, und kann verwendet werden, um sie über den spezifischen Grund zu informieren, warum ihre Nachricht vom empfangenden Server nicht akzeptiert wurde. | exp=<domain> |
| umleiten | Der Umleitungsmodifikator ist eine Zeichenfolge, die den gesamten Domänennamen im SPF-Eintrag ersetzt. Der Zweck dieses Modifikators besteht darin, alle an die Domäne gesendeten E-Mails an einen anderen Server umzuleiten. Dies kann für Domänen mit mehreren MX-Einträgen oder für Domänen nützlich sein, die einem anderen Unternehmen neu zugewiesen wurden, aber immer noch die gleichen E-Mail-Adressen verwenden. | redirect=<domain> |
Einpacken
Der SPF-Eintrag ist ein wichtiger Bestandteil der DNS-Einträge Ihrer Domäne. Er teilt anderen E-Mail-Servern mit, wie sie Nachrichten authentifizieren können, die behaupten, von Ihnen zu stammen. Das bedeutet, dass es wichtig ist, dass Sie einen ordnungsgemäß konfigurierten SPF-Eintrag haben. Stellen Sie jedoch sicher, dass Sie SPF mit DMARC koppeln, um einen besseren Schutz gegen E-Mail-Kompromittierung und Spoofing zu gewährleisten.
Das SPF-Datensatz-Nachschlagetool kann Ihnen genau dabei helfen. Das Lookup-Tool gibt Ihnen einen schnellen Überblick darüber, wie Ihr aktueller SPF-Datensatz aussieht, einschließlich der Frage, ob irgendwelche erforderlichen Felder fehlen, und mit dem Generator können Sie eine SPF-Datensatzsyntax von Grund auf neu erstellen, komplett mit allen erforderlichen Feldern, so dass sie sofort zu Ihren DNS-Datensätzen hinzugefügt werden kann.
