Cookies helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies setzen.

E-Mail Sicherheit mit SPF

Das SPF (Sender Policy Framework) ist ein zur Absender-Authentifizierung genutztes Verfahren, welches einen zusätzlichen Faktor zur Feststellung der Authentizität einer E-Mail darstellt. Ein SPF Record wird in der DNS-Zone als TXT-Eintrag hinterlegt und gibt an, welche Hostnamen oder IP-Adressen berechtigt sind, E-Mails für die spezifische Domain zu versenden.

Der Empfänger-Mailserver hat über den SPF Record einer Domain die Möglichkeit, zu prüfen, ob die erhaltene E-Mail beispielsweise von einem authorisierten Mailserver stammt. Ebenfalls können in einem solchen Eintrag auch nicht autorisierte Mailserver eingetragen werden.

Funktionsweise und Grenzen

Im folgenden wird die Funktionsweise von SPF durch ein Beispiel verdeutlicht.

Bob (bob@company.com) empfängt eine E-Mail von Alice (alice@aol.com).

Der Anbieter “aol.com” hat einen SPF Eintrag in dessen DNS-Zone mit folgenden Inhalt hinterlegt:

aol.com.    3600    IN      TXT     "v=spf1 ip4:194.10.12.197 -all"

Folglich ist ausschließlich die IP Adresse “194.10.12.197” zum Senden von E-Mails mit der Domain “aol.com” als Absender berechtigt.

Der Mailserver von Bob’s Firma hat nun die Möglichkeit die E-Mail von Alice zu prüfen. Hat der Mailserver von Alice nicht die IP-Adresse “194.10.12.197”, wird die E-Mail als SPAM eingestuft und in Quarantäne verschoben.

Das klassische Fälschen von E-Mails kann aber allein durch einen solchen Eintrag nicht verhindert werden. Es gibt lediglich dem Empfänger die Möglichkeit, eine Prüfung durchzuführen. Bei Mail-Anbietern wie beispielsweise Google, GMX, Hotmail, etc. wird diese Technik bereits standardmäßig verwendet, jedoch nur selten bei Unternehmen, die ihre Mailserver selbst verwalten oder bereitstellen.

SPF ist somit ein Verfahren, welches nur richtig funktioniert, wenn beide Parteien es auch durchführen.

Anders als beispielsweise bei der Ende-zu-Ende Verschlüsselung, ist der administrative Aufwand sehr gering. Sowohl das Setzen eines TXT-Eintrags in einer DNS-Zone, als auch das Prüfen jeder E-Mail auf einen korrekten SPF-Eintrag stellt keine große Hürde dar.

Eintragen eines SPF-Records

Jeder Anbieter oder DNS-Server hat seine individuelle Oberfläche und Eigenheiten. Daher kann an dieser Stelle nur auf die generellen Punkte eingegangen werden, welche in jedem System identisch sind.

In der betroffen DNS-Zone sollte ein neuer Eintrag angelegt werden, welcher den Typ “TXT” hat. Der Recordname (sollte dieser zur Auswahl stehen) ist einfach leer, oder beinhaltet einen einfachen Punkt oder ein “@” Zeichen. Die TTL kann jedoch frei gewählt werden.

Der Inhalt des Eintrags ist dann der eigentliche SPF Record und muss in Anführungszeichen stehen. Ist der E-Mail-Dienst für die Domäne auf einen anderen Anbieter ausgelagert, sollte dieser in den meisten Fällen den Inhalt für den SPF-Eintrag auf seiner Website zur Verfügung stellen. Unternehmen, die Ihren eigenen Mailserver betreiben, sollten sich mit der SPF Syntax vertraut machen. Hier einige Beispiele:

Szenario #1 - MX

"v=spf1 mx -all"

Szenario #2 - MX + IP + Host

"v=spf1 mx ip4:13.110.18.97 a:test.company.com -all"

Szenario #3 - Google Mail (G-Suite)

"v=spf1 include:_spf.google.com ~all"