SPF-Check

Ein SPF-Eintrag (Sender Policy Framework) ist ein spezieller Typ von TXT-Eintrag im Domain Name System (DNS). Sein Hauptzweck ist es, E-Mail-Spoofing zu verhindern und die Zustellbarkeit Ihrer E-Mails zu verbessern. Er definiert, welche Mailserver berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden.

Stellen Sie sich vor, jemand versucht, gefälschte E-Mails mit Ihrer Domain als Absender zu versenden. Empfangende Mailserver, die SPF überprüfen, können den SPF-Eintrag Ihrer Domain abfragen. Wenn der sendende Server nicht in Ihrem SPF-Eintrag aufgeführt ist, können diese Server die E-Mail als potenziell gefälscht kennzeichnen oder sogar ablehnen.

Ein korrekt konfigurierter SPF-Eintrag bietet mehrere Vorteile:

• Verbesserte E-Mail-Zustellbarkeit: Empfangende Mailserver vertrauen E-Mails eher, die eine bestandene SPF-Prüfung aufweisen, was die Wahrscheinlichkeit erhöht, dass Ihre Nachrichten im Posteingang landen und nicht im Spam-Ordner.

• Schutz vor E-Mail-Spoofing: SPF erschwert es Betrügern, E-Mails mit gefälschten Absenderadressen Ihrer Domain zu versenden, was Ihren Ruf und das Vertrauen Ihrer Kunden schützt.

• Besseres Domain-Reputation: Eine gute E-Mail-Reputation ist entscheidend für die Zustellbarkeit. SPF trägt dazu bei, Ihre Domain als legitimen Absender zu kennzeichnen.

Weitere Informationen, weshalb unter anderem SPF-Einträge enorm wichtig sind und korrekt konfiguriert sein müssen erfahren Sie unter insights.hostfactory.ch

Wenn ein Mailserver eine E-Mail von einer bestimmten Domain empfängt, führt er eine SPF-Prüfung durch. Dieser Prozess beinhaltet folgende Schritte:

• Abfrage des DNS: Der empfangende Server fragt den DNS-Server der Absenderdomain nach dem SPF-Eintrag (einem TXT-Eintrag, der mit v=spf1 beginnt).

• Überprüfung der sendenden IP-Adresse: Der empfangende Server überprüft die IP-Adresse des Servers, von dem die E-Mail tatsächlich gesendet wurde.

• Abgleich mit dem SPF-Eintrag: Der empfangende Server vergleicht die sendende IP-Adresse mit den im SPF-Eintrag der Absenderdomain definierten autorisierten Sendequellen.

• Ergebnis der SPF-Prüfung: Basierend auf dem Abgleich entscheidet der empfangende Server, wie er die E-Mail behandeln soll. Mögliche Ergebnisse sind "Pass" (bestanden), "Fail" (fehlgeschlagen), "Softfail" (nicht eindeutig, aber potenziell verdächtig), "Neutral" (kein SPF-Eintrag vorhanden) oder "TempError/PermError" (temporärer oder permanenter Fehler bei der SPF-Prüfung).

Ein typischer SPF-Eintrag ist ein TXT-Record und beginnt immer mit der Version des SPF-Protokolls (v=spf1). Danach folgen verschiedene Mechanismen und Qualifizierer, die die autorisierten Sendequellen definieren. Hier sind einige gängige Mechanismen:

• ip4:<IP-Adresse>: Erlaubt das Senden von der angegebenen IPv4-Adresse. Beispiel: ip4:192.168.1.10

• ip6:<IPv6-Adresse>: Erlaubt das Senden von der angegebenen IPv6-Adresse. Beispiel: ip6:2001:db8::1

• a: Erlaubt das Senden von der IPv4-Adresse, die mit dem A-Record des angegebenen Hostnamens übereinstimmt.

• aaaa: Erlaubt das Senden von der IPv6-Adresse, die mit dem AAAA-Record des angegebenen Hostnamens übereinstimmt.

• mx: Erlaubt das Senden von den Mailservern, die im MX-Record der angegebenen Domain aufgeführt sind.

• include:<andere-domain>: Bezieht den SPF-Eintrag einer anderen Domain ein. Dies ist nützlich, wenn Sie E-Mails über Drittanbieter versenden. Beispiel: include:_spf.google.com

• all: Dieser Mechanismus passt immer. Er wird oft mit einem Qualifizierer verwendet, um festzulegen, wie mit E-Mails von nicht autorisierten Quellen umgegangen werden soll.

Jedem Mechanismus kann ein optionaler Qualifizierer vorangestellt werden, der das Ergebnis beeinflusst, wenn der Mechanismus zutrifft oder nicht zutrifft:

• (kein Qualifizierer): Standardmäßig bedeutet ein Treffer "Pass".

• + : (Explizites Pass) Identisch mit keinem Qualifizierer.

• - : (Fail) Ein Nicht-Treffer führt zu einem "Fail". E-Mails von dieser Quelle sollten abgelehnt werden.

• ~ : (Softfail) Ein Nicht-Treffer führt zu einem "Softfail". E-Mails werden in der Regel akzeptiert, aber als potenziell verdächtig markiert.

• ? : (Neutral) Der SPF-Eintrag sagt nichts über die Gültigkeit der Quelle aus.

1. v=spf1 ip4:192.0.2.0 include:_spf.example.com -all

Dieser Eintrag erlaubt E-Mails, die von der IPv4-Adresse 192.0.2.0 oder von Servern gesendet werden, die im SPF-Eintrag von _spf.beispiel.ch aufgeführt sind. Alle anderen Quellen (-all) sollten als "Fail" behandelt werden.

Die Erstellung eines SPF-Eintrags erfordert, dass Sie alle Mailserver und Drittanbieter identifizieren, die in Ihrem Namen E-Mails versenden. Anschließend erstellen Sie den entsprechenden TXT-Eintrag bei Ihrem Domain-Registrar oder DNS-Provider.

Nach der Veröffentlichung Ihres SPF-Eintrags können Sie verschiedene Online-Tools (wie den, den Sie auf dieser Website anbieten!) verwenden, um zu überprüfen, ob Ihr Eintrag korrekt formatiert ist und wie er von anderen Mailservern interpretiert wird. Es ist wichtig, Ihren SPF-Eintrag regelmäßig zu überprüfen und zu aktualisieren, wenn sich Ihre Sendequellen ändern.