Um gefälschte Absender / Phishing Missbrauch zu verhindern, können sogenannte SPF-Records (Sender Policy Framework) für eine Domain gesetzt werden.
Im SPF-Record einer Domain wird definiert, welche Mail-Server/IP-Adressen die Erlaubnis haben, E-Mails über die absendende Domain zu verschicken. Hostpoint überprüft auf den Eingangs-Mailservern ob sich an diese Regel gehalten wird oder nicht.
Wie soll ich einen SPF-Eintrag setzen?
Nehmen wir als Beispiel den Domainnamen ihre-eigene-domain.ch.
Bei dieser Domain ist folgender SPF-Eintrag im DNS aktiv:
"v=spf1 mx ip4:217.26.52.22/23 -all"
Dieser Record kann vom Typ TXT oder auch SPF sein.
Dies beglaubigt nun obige Mailserver im Subnetz 217.26.52.22/23, mit Ihrer Absenderdomain @ihre-eigene-domain.ch E-mails zu versenden.
Die Beglaubigung dazu passiert nicht beim Ausgang des E-Mails, sondern erst beim Eingang des Empfänger-Mailservers, sprich z. B. beim Eingangs-Mailserver von Hostpoint.
Dieser überprüft nun, ob der Mailserver, von welchem das E-Mail eingeliefert wird, auch wirklich dazu berechtigt ist. Das heisst es wird die IP Adresse des Mailservers mit der IP Adresse im SPF-Record der Domain @ihre-eigene-domain.ch vergleichen.
Schlägt der Vergleich nun fehl, so heisst dies, dass dieser Mailserver mit dieser IP welche das E-Mail soeben einliefern wollte, nicht dazu berechtigt ist. Das E-Mail wird also bei Hostpoint abgelehnt da dies im SPF Record selbst mit «-all» klar definiert ist, quasi «alle anderen nicht».
Häufiges Problem mit GMX
Ein prominentes Beispiel dafür ist gmx.ch bzw. gmx.net:
"v=spf1 ip4:213.165.64.0/23 ip4:74.208.5.64/26 ip4:212.227.15.0/25 ip4:212.227.17.0/27 ip4:74.208.4.192/26 ip4:82.165.159.0/24 -all"
GMX wünscht, dass ihre Kunden über die Ausgangsmailserver von GMX versenden. Benutzt der Kunde einen anderen Ausgangsserver als den von GMX selbst, schlägt beim Empfänger der SPF-Check fehl.
Auch hier wird mit «-all» ganz klar die Instruktion erteilt, dass alle anderen Mailserver nicht senden dürfen!
Hostpoint wird hier das E-Mail ablehnen. Verwenden Sie daher bitte die Ausgangs-Mailserver von GMX, um mit Ihrer @gmx.ch oder @gmx.net E-Mail-Adresse zu senden.
Wie kann ich sicherstellen, dass der SPF Check positiv ausfällt?
Damit Ihre E-Mails möglichst bei allen Hostern ankommen, empfehlen wir, dass Sie den gültigen Ausgangsmailserver verwenden, welcher Ihr Hoster Ihnen vorgibt.
Als Kunde von Hostpoint verwenden Sie bitte folgende Mailserver.
Damit wird das Risiko verringert, dass der Empfänger Ihre E-Mails wegen eines negativen SPF-Checks blockiert.
Wie kann ich einen SPF Record einsehen?
Um einen SPF-Record auszulesen gibt es diverse Möglichkeiten wie beispielsweise über die Website: http://www.kitterman.com/spf/validate.html
oder über den «dig»-Befehl:
dig spf ihre-eigene-domain.ch
dig txt ihre-eigene-domain.ch
Wie sich SPF-Records lesen lassen, finden Sie hier.
Problematik bei Weiterleitungen
Bei Weiterleitungen wird der Weg des E-Mails länger, das heisst es nimmt einen Umweg über den Server, bei dem die Weiterleitung eingerichtet ist.
Dies heisst nun für Sie, dass ein neuer Mailserver (nämlich der Mailserver, auf welchem die Weiterleitung eingerichtet ist) das E-Mail einliefert, und nicht mehr der Ausgangsserver des Absenders.
In dieser Konstellation haben wir das Problem, dass die Überprüfung fehlschlägt, weil die IP-Adresse des Weiterleitungsservers nicht im SPF Record der Absenderdomain aufgeführt ist.
Ein konkretes Beispiel:
Absender: | Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! |
Empfänger: | Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! |
Weiterleitung nach: | Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! |
Wenn das E-Mail bei Hostpoint ankommt, ist der Absender immer noch eine @gmx.ch-Adresse, der Mailserver der aber das E-Mail einliefern möchte, ist meinhoster.ch und entspricht nicht den SPF-Record-Restriktionen von GMX!
In diesem Fall wird das E-Mail bei uns abgelehnt.
Was kann ich / mein Hoster beim Weiterleitungs-Problem tun?
Als Lösungsansätze bieten sich grundsätzlich folgende Massnahmen an:
- Der SPF-Record wird «gelockert» indem z.b. der Qualifikator «-ALL» durch einen anderen Qualifikator «~ALL» ausgetauscht wird oder man nimmt weitere Mailserver darin auf.
Problematik hier: Woher weiss man, wer von seinen Empfängern alles mit Weiterleitungen arbeitet? Es ist quasi unmöglich all diese aufzunehmen und der Aufwand zur ständigen Pflege wäre enorm! - Der SPF-Record wird deaktiviert.
Problematik hier: Das Problem würde dadurch wohl gelöst, der Record wurde aber ursprünglich eingerichtet um Phishing / Missbrauch zu vermeiden. Durch die Deaktivierung des Records würde auch dieser erwünschte Effekt wegfallen. - Der Weiterleitungs-Mailserver sollte das E-Mail mittels SRS (Sender Rewrite Schema) umschreiben damit beim nächsten Einliefern die Überprüfung positiv ausfällt.
Hostpoint setzt als Hoster auf die SRS-Lösung.
Sie müssen sich also nicht selbst um die Umschreibung Ihrer Adresse kümmern wenn wir eine E-Mail für Sie weiterleiten, das wird automatisch gemacht. Dies gilt aber nur, wenn die Weiterleitung bei Hostpoint geschieht.
Möchten Sie als Hostpoint Kunde SPF für Ihre Domain einsetzen?
Folgen Sie dieser Anleitung um einen SPF Record für Ihre Domain zu erfassen.
Für Supportanfragen verwenden Sie bitte dieses Formular.