Hostpoint - Hilfe & Support > Hilfe & Support > Produkte > E-Mail > Sender Policy Framework (SPF) und Sender Rewrite Schema (SRS)

Sender Policy Framework (SPF) und Sender Rewrite Schema (SRS)

Um gefälschte Absender / Phishing Missbrauch zu verhindern, können sogenannte SPF-Records (Sender Policy Framework) für eine Domain gesetzt werden. Im SPF-Record einer Domain wird definiert, welche Mail-Server/IP-Adressen die Erlaubnis haben, E-Mails über die absendende Domain zu verschicken. Hostpoint überprüft auf den Eingangs-Mailservern ob sich an diese Regel gehalten wird oder nicht.

Wie soll ich einen SPF-Eintrag setzen

Nehmen wir als Beispiel den Domainnamen ihre-eigene-domain.ch.

Bei dieser Domain ist folgender SPF-Eintrag im DNS aktiv:

 "v=spf1 mx ip4:217.26.52.22/23 -all"

Dieser Record kann vom Typ TXT oder auch SPF sein.

Dies beglaubigt nun obige Mailserver im Subnetz 217.26.52.22/23, mit Ihrer Absenderdomain @ihre-eigene-domain.ch E-mails zu versenden.

Die Beglaubigung dazu passiert nicht beim Ausgang des E-Mails, sondern erst beim Eingang des Empfänger-Mailservers, sprich z. B. beim Eingangs-Mailserver von Hostpoint.

Dieser überprüft nun, ob der Mailserver, von welchem das E-Mail geliefert wird, auch wirklich dazu berechtigt ist. Das heisst es wird die IP Adresse des Mailservers mit der IP Adresse im SPF-Record verglichen der Domain @ihre-eigene-domain.ch vergleichen.

Schlägt der Vergleich nun fehl, so heisst das, dass dieser Mailserver mit dieser IP der das E-Mail soeben einliefern wollte, nicht dazu berechtigt ist. Das E-Mail wird also bei Hostpoint abgelehnt da im SPF Record selbst klar definiert ist mit "-all", quasi "alle anderen nicht".

Häufiges Problem mit GMX

Ein prominentes Beispiel dafür ist gmx.ch bzw. gmx.net:

"v=spf1 ip4:213.165.64.0/23 ip4:74.208.5.64/26  ip4:212.227.15.0/25
ip4:212.227.17.0/27 ip4:74.208.4.192/26 ip4:82.165.159.0/24 -all"

GMX wünscht, dass ihre Kunden über die Ausgangsmailserver von GMX versenden. Benutzt der Kunde einen anderen Ausgangsserver als diesen den von GMX selbst, schlägt beim Empfänger der SPF-Check fehl.

Auch hier wird mit «-all» ganz klar die Instruktion erteilt, dass alle anderen Mailserver nicht senden dürfen.
Hostpoint wird hier das E-Mail ablehnen. Verwenden Sie also bitte die Ausgangs-Mailserver von GMX, und mit Ihrer @gmx.ch oder @gmx.net E-Mail-Adresse zu senden.

Wie kann ich sicherstellen dass der SPF Check positiv ausfällt?

Damit Ihre E-Mail möglichst bei allen Hostern ankommen, empfehlen wir, dass Sie den gültigen Ausgangsmailserver setzen, welcher Ihr Hoster Ihnen vorgibt.

Als Kunde von Hostpoint verwenden Sie bitte folgende Mailserver.

Somit wird das Risiko verringert, dass der Empfänger Ihre E-Mails wegen eines negativen SPF-Checks blockiert.

Wie kann ich einen SPF Record einsehen?

Um einen SPF-Record auszulesen gibt es diverse Möglichkeiten wie beispielsweise über die Website: http://www.kitterman.com/spf/validate.html

oder über den «dig»-Befehl:

dig spf ihre-eigene-domain.ch
dig txt ihre-eigene-domain.ch

Wie sich SPF-Records lesen lassen, finden Sie hier.

Problematik bei Weiterleitungen

Bei Weiterleitungen wird der Weg des E-Mails länger, das heisst es nimmt einen Umweg über den Server, bei dem die Weiterleitung eingerichtet ist.

Dies heisst nun für Sie, dass ein neuer Mailserver (nämlich der Mailserver, auf welchem die Weiterleitung eingerichtet ist) das E-Mail einliefert, und nicht mehr der Ausgangsserver des Absenders.
In dieser Konstellation haben wir das Problem, dass die Überprüfung fehlschlägt, weil die IP-Adresse des Weiterleitungsservers nicht im SPF Record der Absenderdomain aufgeführt ist.

Ein konkretes Beispiel:

Absender: ihr.name@gmx.ch
Empfänger: ihr.name@meinhoster.ch
Weiterleitung nach: ihr.name@meine-hostpoint-domain.ch

Wenn das E-Mail bei Hostpoint ankommt, ist der Absender immer noch eine @gmx.ch-Adresse, der Mailserver der aber das E-Mail liefern möchte, ist meinhoster.ch und entspricht nicht den SPF-Record-Restriktionen von GMX. In diesem Fall wird das E-Mail bei uns abgelehnt.

Was kann ich / mein Hoster beim Weiterleitungs-Problem tun?

Als Lösungsansätze bieten sich grundsätzlich folgende Massnahmen an:

  • Der SPF-Record wird «gelockert" indem z.b. der Qualifikator «-ALL» durch einen anderen Qualifikator «~ALL» ausgetauscht wird oder man nimmt weitere Mailserver darin auf.
    • Problematik hier: Woher weiss man, wer von seinen Empfängern alles mit Weiterleitungen arbeitet? Es ist quasi unmöglich all diese aufzunehmen und der Aufwand zur ständigen Pflege wäre enorm.
  • Der SPF-Record wird deaktiviert
    • Problematik hier: Das Problem würde dadurch wohl gelöst, der Record wurde aber ursprünglich eingerichtet um Phishing / Missbrauch zu vermeiden. Durch die Deaktivierung des Records würde auch dieser erwünschte Effekt wegfallen.
  • Der Weiterleitungs-Mailserver sollte das Email mittels SRS (Sender Rewrite Schema) umschreiben damit beim nächsten Einliefern die Überprüfung positiv ausfällt.

Hostpoint setzt als Hoster auf die SRS-Lösung. Sie müssen sich also nicht selbst um die Umschreibung Ihrer Adresse kümmern wenn wir eine Mail für Sie weiterleiten, das wird automatisch gemacht. Dies gilt aber nur wenn die Weiterleitung bei Hostpoint geschieht.

Ich möchte meine eigene Domain mit einem SPF Record versehen

Möchten Sie als Hostpoint Kunde SPF für Ihre Domain einsetzen? Wir helfen Ihnen gerne dabei.

Unser SPF Record sieht wie folgt aus:

ihre-eigene-domain.ch. 300 IN TXT "v=spf1 redirect=spf.mail.hostpoint.ch"

Gerne hilft unser Support Ihnen bei der Umsetzung.

Bei Fragen zum Thema SPF und SRS gibt Ihnen unser Support unter support@hostpoint.ch oder per Telefon 0844 04 04 04 gerne Auskunft.

You must to post a comment.
Last modified
01:58, 8 Mar 2016

Tags

Classifications

This page has no classifications.