Um gefälschte Absender und Phishing-Missbrauch zu vermeiden, können für eine Domain sogenannte SPF-Records gesetzt werden. In diesem Artikel geben wir Ihnen Antworten auf häufig gestellte Fragen zum Thema «SPF».
Was ist SPF?
SPF steht für «Sender Policy Framework» und ist eine Methode zur E-Mail-Authentifizierung. Bei SPF wird festgelegt, welche Mailserver oder IP-Adressen E-Mails mit einer Domain versenden dürfen. Bei Erhalt einer E-Mail ruft der Server des Empfängers die DNS-Zone der Absenderdomain auf. Dabei vergleicht er, ob der Server des Absenders mit den Angaben im SPF-Record übereinstimmt.
Wie funktioniert SPF?
Nehmen wir als Beispiel den Domainnamen ihre-eigene-domain.ch.
Bei dieser Domain ist in der DNS-Zone folgender SPF-Record vorhanden:
"v=spf1 mx ip4:217.26.52.22/23 -all"
Dieser Record kann vom Typ TXT oder auch SPF sein. Mit diesem SPF-Record wird dem Mailserver im Subnetz 217.26.52.22/23 erlaubt, E-Mails mit Ihrer Domain @ihre-eigene-domain.ch zu versenden.
Wenn Sie nun eine E-Mail über diese Domain versenden, prüft der Posteingangsserver des Empfängers, ob der Postausgangsserver tatsächlich berechtigt ist, E-Mails über diese Domain zu versenden. Dazu vergleicht der Mailserver die IP-Adresse des absendenden Mailservers mit derjenigen im SPF-Record der Domain.
Wenn die Prüfung erfolgreich ist, wird die E-Mail zugestellt. Wenn die Prüfung hingegen fehlschlägt, wird die E-Mail zurückgewiesen, da die im SPF-Record festgelegt ist, dass nur der Server mit der IP-Adresse 217.26.52.22/23 E-Mails über diese Domain versenden darf und alle anderen nicht (-all).
Wie stelle ich sicher, dass meine E-Mails empfangen werden?
Damit Ihre E-Mails möglichst überall empfangen werden, empfehlen wir Ihnen, den gültigen Postausgangsserver zu verwenden, den Ihnen Ihr Webhosting-Anbieter vorgibt. Damit reduzieren Sie das Risiko, dass der Empfänger Ihre E-Mails aufgrund einer negativen Prüfung des SPF-Records ablehnt.
Als Kunde oder Kundin von Hostpoint verwenden Sie bitte diese Mailserver.
Wie kann ich einen SPF Record einsehen?
Einen SPF-Record können sie auf unterschiedliche Arten einsehen, beispielsweise über eine Website wie diese oder über den folgenden «dig»-Befehl:
dig spf ihre-eigene-domain.ch
dig txt ihre-eigene-domain.ch
Informationen zum Aufbau und Inhalt eines SPF-Records finden Sie hier.
Wie setze ich einen SPF-Record?
Wie Sie einen SPF-Record für Ihre Domain setzen, erfahren Sie in diesem Artikel.
Probleme mit GMX
Besonders beim Versand von E-Mails mit einer E-Mail-Adresse von GMX treten häufig Probleme auf.
Der SPF-Record sieht dann beispielsweise so aus:
"v=spf1 ip4:213.165.64.0/23 ip4:74.208.5.64/26 ip4:212.227.15.0/25 ip4:212.227.17.0/27 ip4:74.208.4.192/26 ip4:82.165.159.0/24 -all"
GMX wünscht also, dass die Kunden E-Mails nur über die aufgelisteten Postausgangsserver von GMX versenden. Im Beispiel ist dies ersichtlich an dem Zusatz -all. Wenn ein Kunde einen anderen Postausgangsserver verwendet als jene, die aufgelistet sind, schlägt beim Empfänger die SPF-Prüfung fehl.
Hostpoint wird die E-Mail in diesem Fall ablehnen. Verwenden Sie daher bitte die Postausgangsserver von GMX, um mit Ihrer @gmx.ch oder @gmx.net E-Mail-Adresse E-Mails zu versenden.
Probleme mit E-Mail-Weiterleitungen
Bei E-Mail-Weiterleitungen wird der Weg der E-Mail länger, da sie einen Umweg über den Server macht, auf dem die Weiterleitung eingerichtet ist.
Das bedeutet, dass ein neuer Mailserver – nämlich der Mailserver, auf dem die Weiterleitung eingerichtet ist – die E-Mail zustellt und nicht mehr der Ausgangsserver des Absenders.
In solch einem Fall schlägt die Prüfung des SPF-Records fehl, weil die IP-Adresse des weiterleitenden Servers nicht im SPF-Record der Absenderdomain aufgeführt ist.
Beispiel:
Absender: | ihr.name@gmx.ch |
Empfänger: | ihr.name@meinhoster.ch |
Weiterleitung nach: | ihr.name@meine-hostpoint-domain.ch |
Wenn die E-Mail bei Hostpoint ankommt, ist der Absender immer noch eine @gmx.ch-Adresse, der zustellende Mailserver ist jedoch meinhoster.ch, was nicht den Vorgaben im SPF-Record von GMX entspricht.
Hostpoint wird die E-Mail in diesem Fall ablehnen.
Als Lösungsansätze bieten sich folgende Massnahmen an:
- Der SPF-Record wird «gelockert», indem z. B. der Qualifikator -all durch den Qualifikator ~all ersetzt wird oder weitere Mailserver aufgenommen werden.
Das Problem bei dieser Option: Woher weiss man, wer von den Empfängern mit E-Mail-Weiterleitungen arbeitet? Es ist unmöglich, alle Server aufzunehmen und der Aufwand für die laufende Pflege wäre enorm. - Der SPF-Record wird deaktiviert.
Dies würde das Problem lösen. Allerdings wurde der SPF-Record ursprünglich eingerichtet, um Phishing und Missbrauch zu verhindern. Durch die Deaktivierung des SPF-Records würde auch dieser gewünschte Effekt wegfallen. - Der weiterleitende Mailserver schreibt die E-Mail mittels SRS (Sender Rewriting Scheme) um, damit bei der nächsten Zustellung die SPF-Prüfung positiv ausfällt.
Hostpoint setzt die SRS-Lösung ein. Das bedeutet, dass die E-Mail beim Weiterleiten automatisch umgeschrieben wird. Dies gilt jedoch nur, wenn die E-Mail-Weiterleitung bei Hostpoint erfolgt.
Für Supportanfragen verwenden Sie bitte dieses Formular.