In dieser schnelllebigen digitalen Welt steigt die Notwendigkeit, E-Mail-Kommunikation zuverlässig und sicherzumachen. Eine Möglichkeit, die Authentizität von E-Mails zu überprüfen, sind SPF-Records (SPF-Eintrag). SPF steht für „Sender Policy Framework“, und es handelt sich um ein komplexes System, das E-Mail-Provider verwenden, um zu bestimmen, ob eine E-Mail, die sie erhalten, wirklich von der angegebenen Quelle stammt.
In diesem Leitfaden wird erklärt, was SPF-Records sind, warum sie so wichtig sind und wie sie verwendet werden. Wir werden auch einen Blick darauf werfen, wie Sie Ihre eigenen SPF-Records erstellen und auf Ihrem eigenen E-Mailserver implementieren können.
Inhaltsverzeichnis
Was sind SPF-Records / SPF-Eintrag?
SPF-Records sind eine Art von DNS-Record, die E-Mail-Provider verwenden, um zu bestimmen, ob eine E-Mail, die sie erhalten, wirklich von der angegebenen Quelle stammt. In einfacheren Worten bedeutet dies, dass SPF-Records verwendet werden, um zu verhindern, dass Spammer und Phisher auf Ihr E-Mail-Konto zugreifen und E-Mails an Ihren Namen senden.
SPF-Records bestehen aus einer Liste von IP-Adressen und Domains, die Ihr E-Mail-Provider als vertrauenswürdig ansieht. Wenn ein E-Mail-Provider eine E-Mail erhält, die von einer IP-Adresse oder Domain stammt, die nicht auf der SPF-Liste aufgeführt ist, wird diese E-Mail als Spam oder Phishing-Versuch eingestuft.
Warum sind SPF-Records wichtig?
SPF-Records sind wichtig, um E-Mail-Kommunikation sicher und zuverlässig zu machen. Wenn Spammer und Phisher auf Ihr E-Mail-Konto zugreifen und E-Mails an Ihren Namen senden, kann dies dazu führen, dass Ihre E-Mails als Spam markiert werden und somit nicht an die Empfänger geliefert werden. Dies ist ein Problem, das viele E-Mail-Nutzer heutzutage erleben, und es kann schwerwiegende Konsequenzen haben.
Weiterhin kann ein fehlender SPF-Record dazu führen, dass Ihre E-Mails als unauthentisch markiert werden und Ihr E-Mailserver somit als nicht vertrauenswürdig eingestuft wird. Dies kann dazu führen, dass Ihre E-Mails in Spam-Ordner der Empfänger landen oder gar nicht erst zugestellt werden.
Google Gmail lehnt Mails ohne oder mit ungültigem SPF-Record ab
Ungefähr seit März 2023 lehnen E-Mail Server von Google Gmail alle eingehenden Mails ab, welche keinen gültigen SPF-Record oder DKIM Eintrag aufweisen. Entsprechende Fehlermeldungen können dann wie folgt aussehen und kommen als E-Mail an den Absender zurück:
Host ASPMX.L.GOOGLE.com[XXX.XXX.XXX.XXX] said:
550-5.7.26 This mail is unauthenticated, which poses a security risk to the
550-5.7.26 sender and Gmail users, and has been blocked. The sender must
550-5.7.26 authenticate with at least one of SPF or DKIM. For this message,
550-5.7.26 DKIM checks did not pass and SPF check for [domain.com]
550-5.7.26 did not pass with ip: [XXX.XXX.XXX.XXX]. The sender should visit
550-5.7.26 https://support.google.com/mail/answer/81126#authentication for
550 5.7.26 instructions on setting up authentication.
Auf der eigens dafür eingerichteten Hilfeseite von Google gibt es dann ebenfalls noch einmal Informationen zu den Anforderungen an den SPF-Record. Dort heißt es dann auch konkret:
Google prüft zufällig Nachrichten, die an private Gmail-Konten gesendet werden, um ihre Authentifizierung zu bestätigen. Damit Nachrichten an private Gmail-Konten wie erwartet zugestellt werden, sollten Sie entweder SPF oder DKIM für Ihre Domain einrichten. Nachrichten ohne mindestens eine dieser Authentifizierungsmethoden werden mit dem Fehler 5.7.26 abgelehnt oder als Spam markiert. Diese Anforderung gilt nicht für bestehende Absender. Wir empfehlen Ihnen jedoch, SPF und DKIM immer einzurichten, um die E-Mails Ihrer Organisation zu schützen und zukünftige Authentifizierungsanforderungen zu erfüllen. Wenn Sie Hilfe beim Einrichten der E-Mail-Authentifizierung für Ihre Organisation benötigen, wenden Sie sich an Ihren E-Mail-Anbieter.
Wie werden SPF-Records verwendet?
SPF-Records werden dazu verwendet, um E-Mail-Provider davon zu überzeugen, dass E-Mails, die sie erhalten, wirklich von der angegebenen Quelle stammen. Die Verwendung von SPF-Records erfolgt in zwei Schritten.
Zuerst werden SPF-Records im DNS-Record des E-Mailservers hinterlegt. Dieser Record enthält eine Liste der IP-Adressen und Domains, die Ihr E-Mail-Provider als vertrauenswürdig ansieht. Wenn ein E-Mail-Provider eine E-Mail erhält, überprüft er den SPF-Record des Absenders, um zu sehen, ob die IP-Adresse oder die Domain auf der Liste enthalten ist. Wenn sie enthalten ist, wird die E-Mail als authentisch eingestuft und an den Empfänger weitergeleitet.
Der zweite Schritt, der bei der Verwendung von SPF-Records erforderlich ist, ist die Erstellung einer SPF-Richtlinie. Dies ist eine spezifische Richtlinie, die Ihr E-Mail-Provider erstellen muss, um zu bestimmen, wie mit E-Mails umgegangen werden soll, die von einer IP-Adresse oder Domain stammen, die nicht auf der SPF-Liste aufgeführt ist.
Wie kann man seine eigenen SPF-Records erstellen und implementieren?
Wenn Sie Ihren eigenen E-Mailserver haben, können Sie Ihre eigenen SPF-Records erstellen und auf Ihrem E-Mailserver implementieren. Der erste Schritt bei der Erstellung Ihrer eigenen SPF-Records ist die Erstellung einer Liste der IP-Adressen und Domains, die Ihr E-Mail-Server als vertrauenswürdig ansieht. Sobald Sie diese Liste erstellt haben, können Sie diese in Ihren DNS-Record aufnehmen. Der nächste Schritt besteht darin, eine SPF-Richtlinie zu erstellen, in der festgelegt wird, wie mit E-Mails umgegangen werden soll, die von einer IP-Adresse oder Domain stammen, die nicht auf der SPF-Liste aufgeführt ist.
Im Anschluss müssen Sie Ihren SPF-Record überprüfen, um zu sehen, ob er korrekt funktioniert. Dazu können Sie ein Tool wie SPF-Checker verwenden. Dieses Tool überprüft Ihren SPF-Record und gibt eine detaillierte Ausgabe, die Ihnen hilft, festzustellen, ob Ihr SPF-Record korrekt ist oder nicht. Einmal überprüft, können Sie sicher sein, dass Ihre E-Mails nur von vertrauenswürdigen Quellen versendet werden.
Der SPF-Record
| Code | Bedeutung |
|---|---|
| v | Version des Records; v=SPF1 kennzeichnet die aktuell gültige Version. |
| ip4 | IP-Adresse; „IP4“ ist die Bezeichnung für die wohlbekannte Form der IP-Adresse. Daneben gibt es die neuen IP6-Adressen, die jedoch noch weniger verbreitet sind. |
| mx | Verweist auf den MX Eintrag welcher für die Domain hinterlegt ist und authentifiziert so den Mail-Server im SPF Eintrag |
| a | A verweist auf den A-Record, also die IP-Adresse des Webservers, damit auch der Webserver Mails versenden kann |
| -all | Alle anderen hier nicht aufgeführten Sender sind nicht autorisiert und sollen abgewiesen werden. |
| ~all | Alle anderen hier nicht aufgeführten Sender werden als Spam markiert, aber nicht abgewiesen. |
| include | Gibt weitere Domains an, deren SPF-Eintrag ebenfalls abgerufen werden soll. |
Ein exemplarischer SPF-Record am Beispiel unserer Domain:
v=spf1 mx a include:amazonses.com ~all
In diesem Beispiel wird über mx der Mail-Server / MX Eintrag freigegeben, via a der Webserver und über include:amazonses.com werden die Mail-Server von Amazon AWS SES als Sender authentifiziert.
Das ~all am Ende gibt an, dass andere Quellen als die genannten als Spam markiert werden sollen.
Fazit
SPF-Records sind ein wichtiges Werkzeug, um E-Mail-Kommunikation sicher und zuverlässig zu machen. Sie helfen E-Mail-Providern dabei, die Authentizität von E-Mails zu überprüfen, indem sie eine Liste von IP-Adressen und Domains verwenden, die als vertrauenswürdig angesehen werden. Wenn Sie Ihren eigenen E-Mailserver haben, können Sie Ihre eigenen SPF-Records erstellen und auf Ihrem Server implementieren. Wenn Sie diese Schritte befolgen, können Sie sicher sein, dass Ihre E-Mails nur von vertrauenswürdigen Quellen versendet werden.
Falls Sie Hilfe bei der korrekten Konfiguration und Einrichtung Ihres SPF-Records benötigen, nehmen Sie gerne zu uns Kontakt auf, wir helfen schnell und unkompliziert.
