Was ist ein SPF-Record?

SPF steht für „Sender Policy Framework“. Es handelt sich um einen speziellen DNS-Eintrag, der dazu dient, E-Mail-Betrug und Spam zu bekämpfen. Der SPF-Record gibt an, welche Mailserver berechtigt sind, E-Mails in Namen deiner Domain zu versenden. Das hilft E-Mail-Empfängern und deren Servern dabei, echte E-Mails von gefälschten zu unterscheiden.

Warum ist ein SPF-Record wichtig?

  1. Spamschutz: Ohne einen SPF-Record könnten Spammer E-Mails so fälschen, dass sie scheinbar von Deiner Domain kommen. Das könnte den Ruf Deiner Domain schädigen und dazu führen, dass legitime E-Mails von Dir in den Spamordnern landen.
  2. Schutz vor Phishing: Cyberkriminelle könnten versuchen, sich als Dein Unternehmen auszugeben, um vertrauliche Informationen zu stehlen. Ein korrekter SPF-Record reduziert das Risiko solcher Angriffe.

Wie sieht ein SPF-Record aus?

Ein typischer SPF-Record könnte so aussehen: 

v=spf1 mx a ip4:123.45.67.89 -all
  • v=spf1: Dies gibt die Version des SPF-Protokolls an.
  • mx: Erlaubt E-Mails von Servern, die als MX-Einträge (Mail Exchanger) für Deine Domain eingetragen sind.
  • a: Erlaubt E-Mails von Servern, die durch einen A-Eintrag (Adress Record) in Deiner Domain definiert sind.
  • ip4:123.45.67.89: Erlaubt E-Mails von dieser spezifischen IP-Adresse.
  • -all: Dies bedeutet, dass keine anderen Server außer den oben genannten E-Mails in Namen Deiner Domain versenden dürfen.

SPF für einen CNAME-Eintrag

Ein CNAME (Canonical Name) wird eigentlich nicht direkt im SPF-Record verwendet. Der CNAME ist ein Typ von DNS-Eintrag, der einen Domainnamen auf einen anderen Domainnamen verweist. Wenn Du jedoch einen CNAME-Eintrag für einen Subdomain-Namen hast (zum Beispiel mail.beispiel.de), und dieser Name auf eine andere Domain zeigt (zum Beispiel mailservice.provider.com), dann würdest Du den SPF-Record für beispiel.de erstellen, und nicht direkt für den CNAME.

Wenn mailservice.provider.com E-Mails in Deinem Namen sendet, würde der SPF-Eintrag für beispiel.de folgendermaßen aussehen:

v=spf1 include:mailservice.provider.com -all

include:mailservice.provider.com bedeutet, dass Du die SPF-Regeln von mailservice.provider.com in Deinen SPF-Eintrag „einschließt“ oder „integrierst“.

SPF für mehrere IPs

Wenn Du mehrere spezifische IP-Adressen erlauben möchtest, von denen E-Mails gesendet werden dürfen, kannst Du diese einfach im SPF-Record auflisten:

v=spf1 ip4:123.45.67.89 ip4:98.76.54.32 -all

In diesem Beispiel sind sowohl die IP 123.45.67.89 als auch 98.76.54.32 berechtigt, E-Mails im Namen Deiner Domain zu senden.

Zusätzliche Tipps

  • Sei vorsichtig, wie viele include-Mechanismen Du verwendest. Es gibt ein Limit für die Anzahl der DNS-Abfragen, die ein SPF-Record verursachen kann. Wenn Du dieses Limit überschreitest, könnten einige E-Mails abgelehnt werden.
  • Es ist immer eine gute Idee, nach dem Hinzufügen oder Ändern von SPF-Einträgen zu überprüfen, ob alles korrekt funktioniert. Nutze SPF-Überprüfungstools online, um sicherzustellen, dass alles in Ordnung ist.
  • Denke daran, dass der SPF-Record allein nicht ausreicht, um E-Mail-Sicherheit und -Authentifizierung vollständig zu gewährleisten. Überlege, auch andere Mechanismen wie DKIM und DMARC zu implementieren.

Wie erstelle und überprüfe ich einen SPF-Record?

  1. Bestimmen: Kläre zuerst, von welchen Servern E-Mails in Namen Deiner Domain gesendet werden sollen.
  2. Einrichten: Trage den SPF-Record in den DNS-Einstellungen Deiner Domain ein.
  3. Überprüfen: Es gibt viele Online-Tools, mit denen Du den SPF-Record Deiner Domain überprüfen kannst. Gib einfach „SPF Record Check“ in Deine Suchmaschine ein und nutze eines der Tools, um sicherzustellen, dass alles korrekt eingerichtet ist.

Ein SPF-Record ist ein wichtiges Instrument im Kampf gegen E-Mail-Betrug. Es schützt Deine Domain vor Missbrauch und sorgt dafür, dass Deine legitimen E-Mails ihren Weg zum Empfänger finden. Wenn Du eine Webseite oder eine geschäftliche E-Mail-Adresse hast, solltest Du sicherstellen, dass Du einen korrekten SPF-Record eingerichtet hast.

Was ist der beste und optimalste SPF-Record?

Die „beste“ oder „optimalste“ SPF-Konfiguration hängt stark von den individuellen Anforderungen und der Infrastruktur eines Unternehmens oder einer Organisation ab. Ein idealer SPF-Record sollte strikt sein, um Missbrauch zu verhindern, aber nicht so restriktiv, dass er legitime E-Mail-Kommunikation blockiert.

Hier sind einige allgemeine Richtlinien für einen robusten SPF-Record:

  1. Definiere klare Erlaubnisse: Nutze die SPF-Mechanismen wie mx, a, ip4 und ip6, um genau zu bestimmen, welche Server E-Mails senden dürfen. Beispiel: v=spf1 mx ip4:123.45.67.89 -all.
  2. Sei restriktiv mit dem ‚all‘-Mechanismus:
    • Verwende -all am Ende des Records, um strikt zu definieren, dass nur die angegebenen Server E-Mails senden dürfen und alle anderen Server abgelehnt werden sollten.
    • Vermeide ?all (neutral) oder ~all (softfail), es sei denn, Du bist dir unsicher über Deine Konfiguration oder befindest Dich in einer Übergangsphase.
  3. Einschließen von Drittanbietern: Wenn Du Dienste wie Mailchimp, SendGrid oder andere E-Mail-Dienste nutzt, solltest Du deren SPF-Informationen über den include-Mechanismus in Deinen SPF-Record aufnehmen, z.B. include:spf.mailchimp.com.
  4. Limit beachten: Ein SPF-Record kann nicht mehr als 10 DNS-Lookups verursachen. Jeder include, a, mx, ptr oder exists-Mechanismus zählt als ein Lookup. Beachte dies, um Probleme zu vermeiden.
  5. Kontinuierliche Überwachung: Überwache regelmäßig Deine E-Mail-Infrastruktur und passe den SPF-Record an, wenn sich etwas ändert, z. B. wenn ein neuer Mailserver hinzugefügt wird.
  6. Ergänzende Technologien: Ein SPF-Record allein kann nicht alle Aspekte der E-Mail-Sicherheit abdecken. Es ist ratsam, auch andere E-Mail-Authentifizierungstechniken wie DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting & Conformance) zu implementieren.

Ein „optimaler“ SPF-Record könnte also so aussehen:

v=spf1 mx a ip4:123.45.67.89 include:spf.mailchimp.com -all

Dennoch sollte jeder SPF-Record an die spezifischen Anforderungen und die bestehende Infrastruktur angepasst werden. Es ist auch eine gute Praxis, nach Änderungen am SPF-Record diesen mit Online-Tools zu überprüfen und sicherzustellen, dass er korrekt konfiguriert ist.

SPF Record Beispiele

Was bedeutet der SPF-Record: „v=spf1 +a +mx ?all“

Brechen wir den SPF-Record „v=spf1 +a +mx ?all“ in seine Bestandteile auf:

  1. v=spf1: Dies ist der Anfang jedes SPF-Records und gibt an, dass es sich um die Version 1 des Sender Policy Frameworks handelt.
  2. +a:
    • Das „+“ Zeichen bedeutet „allow“ (erlauben). Es ist optional, da „allow“ der Standardwert ist, wenn kein Präfix angegeben wird.
    • Der „a“ Mechanismus erlaubt den Versand von E-Mails von IP-Adressen, die mit einem A- oder AAAA-Eintrag (IPv4 bzw. IPv6) in den DNS-Einstellungen der Domain verknüpft sind.
  3. +mx:
    • Wiederum steht das „+“ für „allow“.
    • Der „mx“ Mechanismus erlaubt den Versand von E-Mails von IP-Adressen, die in den MX-Einträgen (Mail Exchanger) der Domain angegeben sind. Das bedeutet, jeder Server, der als MX-Server für diese Domain eingetragen ist, darf E-Mails für diese Domain versenden.
  4. ?all:
    • Das „?“ Zeichen bedeutet „neutral“. Das heißt, wenn ein Server, der nicht in den vorhergehenden Mechanismen aufgeführt ist, eine E-Mail sendet, wird diese weder ausdrücklich erlaubt noch verweigert.
    • „all“ bezieht sich auf alle IP-Adressen.

Zusammengefasst bedeutet der SPF-Record „v=spf1 +a +mx ?all“ folgendes: E-Mails, die von IP-Adressen gesendet werden, die entweder im A- oder AAAA-Eintrag oder im MX-Eintrag der Domain aufgeführt sind, werden erlaubt. Für alle anderen IP-Adressen gibt es keine klare Empfehlung; sie werden weder explizit erlaubt noch verweigert. Das bedeutet, dass Empfänger-E-Mail-Server selbst entscheiden können, wie sie mit E-Mails umgehen, die von nicht aufgeführten IP-Adressen stammen.

Was bedeutet der SPF-Record: „v=spf1 mx -all“

Der SPF-Record „v=spf1 mx -all“ hat folgende Bedeutung:

  1. v=spf1: Dies zeigt an, dass es sich um die Version 1 des Sender Policy Frameworks handelt.
  2. mx:
    • Der „mx“ Mechanismus gibt an, dass E-Mails erlaubt sind, wenn sie von einem Server gesendet werden, der in den MX-Einträgen (Mail Exchanger) der Domain aufgeführt ist. Das bedeutet, jeder Mailserver, der als Empfangsserver (MX-Server) für diese Domain eingetragen ist, ist auch berechtigt, E-Mails im Namen dieser Domain zu versenden.
  3. -all:
    • Das „-“ Zeichen vor „all“ bedeutet „fail“ (scheitern).
    • Das „all“ bezieht sich auf alle IP-Adressen. In Kombination bedeutet „-all“, dass alle anderen IP-Adressen, die nicht durch vorhergehende Mechanismen (in diesem Fall der „mx“ Mechanismus) abgedeckt sind, nicht berechtigt sind, E-Mails im Namen der Domain zu versenden. E-Mails von diesen nicht autorisierten IP-Adressen sollten von den Empfänger-E-Mail-Servern als nicht konform mit der SPF-Policy und potenziell als gefälscht betrachtet werden.

Zusammengefasst, der SPF-Record „v=spf1 mx -all“ sagt aus: E-Mails, die von den im MX-Eintrag der Domain angegebenen Mailservern gesendet werden, sind erlaubt. E-Mails, die von allen anderen IP-Adressen oder Servern gesendet werden, sind nicht erlaubt und sollten als SPF-Fehler betrachtet werden.