Mit SPF deine Domain vor Spoofing schützen und Spam-Mails bekämpfen
Hintergrund: Um Spam und den Missbrauch von Domains zu verhindern setzen immer mehr Anbieter von Mailingdiensten und Mailhoster die Verwendung von Authentifizierungsverfahren als Vorraussetzung. Wenn deine Mails diese Verfahren nicht erfüllen, kann es sein, dass deine Zustellbarkeit schlechter wird und deine Mails im Spam-Ordner deiner Empfänger landen oder sogar ganz abgewiesen werden. Zu den wichtigsten Verfahren gehörten DKIM, SPF und DMARC. Mit unserer Schritt für Schritt Anleitung könnt ihr leicht euren SPF-Eintrag einrichten.
Was ist Domain-Spoofing?
In Eingangsmailservern werden eingehende Nachrichten, die aus Ihrer Domain zu kommen scheinen, mit SPF daraufhin geprüft, ob sie auch wirklich von Servern gesendet wurden, die Sie autorisiert haben.
https://support.google.com/a/answer/33786, Stand:2024-02-25
Mit dem SPF-Eintrag könnt ihr also festlegen und für euere Domain markieren, von welchen Mailservern unter eurem Namen (also euerer Domain) E-Mails verschickt werden dürfen.
Was passiert, wenn ich SPF nicht eingerichtet habe bzw. nichts unternehme?
Erfüllt dein E-Mail Setup die neuen Anforderungen nicht, nimmt die Zustellbarkeit deiner versendeten Mails ab und es kann sein, dass ein Großteil deiner Mails im Spam-Ordner deiner Empfänger landet. In dieser Anleitungen erklären wir dir einfach und übersichtlich, wie du SPF einrichten kannst.
Welche Anforderungen müssen erfüllt werden?
DomainKeys Identified Mail (DKIM)
DKIM steht für „DomainKeys Identified Mail“ und ist eine Methode zur Authentifizierung von E-Mails. Es handelt sich um einen Sicherheitsstandard, der dazu dient, die Echtheit von E-Mails zu überprüfen und sicherzustellen, dass sie tatsächlich von dem angegebenen Absender stammen. Wie du DKIM einrichten kannst erfährst du in diesem Artikel.
Authentifizierung der Domain mit DMARC
DMARC steht für „Domain-based Message Authentication, Reporting, and Conformance“ (Domain-basierte Authentifizierung von Nachrichten, Berichterstattung und Konformität). Es ist ein weiterer Sicherheitsstandard für E-Mails, der in Kombination mit SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) eingesetzt wird, um die E-Mail-Authentifizierung zu verbessern und vor Phishing-Angriffen zu schützen.
Sender Policy Framework (SPF)
SPF steht für „Sender Policy Framework“ und ist ein Sicherheitsstandard für E-Mails. Es ist eine Methode, um Spoofing und Phishing zu bekämpfen, indem es die Authentizität des Absenders einer E-Mail überprüft. SPF ermöglicht es einem E-Mail-Empfänger, zu überprüfen, ob die E-Mail tatsächlich von einem autorisierten Server des angegebenen Absenders stammt. SPF trägt dazu bei, gefälschte E-Mails zu erkennen und zu verhindern, dass Spam-Filter legitime E-Mails als Spam einstufen.
In unserer Schritt für Schritt Anleitung erklären wir, wie du SPF für deine Domain einrichten kannst
Die Einrichtung von SPF geht schnell und verbessert dein Mailsystem mit verhältnismäßig wenig Aufwand. Mit der Schritt für Schritt Anleitung kannst du ohne große Vorbereitung direkt starten.
Schritt 1: Zugriff auf deine Domains und die DNS-Einstellungen
Hinweis: Achte bei der Bearbeitung der DNS-Einstellungen auf eine saubere Arbeitsweise. Erstelle am besten immer eine Datensicherung des “IST-Standes“ um eventuelle Fehler schnell wieder beheben zu können. Fehlerhafte DNS-Einstellungen können dazu führen, dass deine Webseite oder dein Mailserver nicht mehr erreichbar sind.
Melde dich um die DNS-Einstellungen durchzuführen, bei deinem Domain-Anbieter an. In unserem Beispiel zeigen wir die die Vorgehensweise am Beispiel von IONOS. Die Bearbeitung ist bei fast allen Domainanbietern ähnlich. Falls du hier nicht weiter kommst, wende dich am besten direkt an deinen Hoster oder auch gern an unser Team, wir helfen gern weiter!
Navigiere zu den DNS-Einstellungen: in dem Fall unter “Domains & SSL“ -> DNS-Einstellungen anpassen.
Prüft nun ob bereits ein SPF Record vorhanden ist. Viele Hoster und Domainanbieter erstellen bereits automatisch einen SPF Record für deine Domain. In unserem Beispiel ist bereits folgender Eintrag vorhanden:
„v=spf1 +a +mx +a:server107.14agency.net ~all“
Welche Variablen kann ich in dem SPF Eintrag verwenden?
- ip4: Erlaubt es, eine IPv4-Adresse oder ein Adressbereich anzugeben, von dem aus E-Mails gesendet werden dürfen. Zum Beispiel:
ip4:192.0.2.0/24
. - ip6: Ermöglicht die Angabe einer IPv6-Adresse oder eines Adressbereichs, von dem aus E-Mails gesendet werden dürfen. Beispiel:
ip6:2001:db8::/32
. - a: Erlaubt es, den DNS-Eintrag der Domain abzurufen und die zugehörige IP-Adresse zu verwenden. Zum Beispiel:
a
. - mx: Erlaubt es, die MX-Einträge der Domain abzurufen und die damit verbundenen IP-Adressen zu verwenden. Beispiel:
mx
. - include: Ermöglicht die Einbindung von SPF-Einträgen anderer Domains. Beispiel:
include:example.com
. - ptr: Erlaubt es, die PTR-Records (Reverse DNS) von IP-Adressen abzurufen und zu überprüfen. Beispiel:
ptr
. - exists: Überprüft, ob ein bestimmter DNS-Eintrag existiert. Beispiel:
exists:example.com
. - redirect: Leitet die SPF-Überprüfung an eine andere Domain weiter. Beispiel:
redirect=example.com
.
Schritt 2: SPF Eintrag für die eigenen Anforderungen erstellen
Überlege dir, bevor du deinen SPF Eintrag erstellt, welche Systeme in den Eintrag eingeschlossen werden müssen.
Hier ein Beispiel: Deine Domain „superdomain.com“ verwendest du um deine E-Mails zu versenden. Das passiert in dem Fall über einen Mailserver der direkt die IP-Adresse, also einen “A-Eintrag“ mit der Domain verbunden ist. Bedeutet, wir benötigen den Eintrag “a“ im SPF-Eintrag. Den Mailserver wollen wir ebenfalls autorisieren, dafür verwenden wir “+mx“. Wir verwenden außerdem den Kalender von Google. Dieser soll auch E-Mails, z.B. Einladungen für Termine über die Domain versenden können. Dafür verwenden wir den “include“ Eintrag. Also “include:google.com“.
Hardfail oder Softfail?
Die ist sicher aufgefallen, das am Ende des Beispiel SPF-Eintrags „~ all“ steht. Mit „~ all“ und „-all“ legst du fest, ob Hard- oder Softfail auf die Domain angewendet wird.
- Hardfail (-all):
- Ein Hardfail tritt auf, wenn die SPF-Überprüfung fehlschlägt und der SPF-Eintrag der Domain mit dem Qualifier „-all“ endet.
- Wenn ein Mailserver einen Hardfail erhält, blockiert er normalerweise die E-Mail oder behandelt sie als Spam.
- Der Qualifier „-all“ gibt an, dass alle anderen Server außer denjenigen, die im SPF-Eintrag aufgeführt sind, nicht autorisiert sind, E-Mails im Namen der Domain zu senden.
Beispiel: v=spf1 -all
- Softfail (~all):
- Ein Softfail tritt auf, wenn die SPF-Überprüfung fehlschlägt und der SPF-Eintrag der Domain mit dem Qualifier „~all“ endet.
- Wenn ein Mailserver einen Softfail erhält, lässt er normalerweise die E-Mail passieren, markiert sie jedoch möglicherweise als verdächtig oder fügt ihr eine niedrigere Vertrauensbewertung hinzu.
- Der Qualifier „~all“ gibt an, dass alle anderen Server außer denen, die im SPF-Eintrag aufgeführt sind, möglicherweise nicht autorisiert sind, E-Mails im Namen der Domain zu senden.
Beispiel: v=spf1 ~all
Im Allgemeinen wird empfohlen, Hardfails zu verwenden, um sicherzustellen, dass nur autorisierte Mailserver E-Mails im Namen einer Domain senden können. Softfails können jedoch in bestimmten Situationen nützlich sein, z. B. wenn Sie SPF implementieren und noch nicht sicher sind, ob alle legitimen Mailserver ordnungsgemäß konfiguriert sind.
Hinweis: Bei der ersten Einrichtung von SPF sollte ein Testzeitraum in Betracht gezogen werden, in diesem Zeitraum empfehlen wir “Softfail“ zu verwenden.
Schritt 3: Den SPF-Eintrag testen
Nachdem du deine Qualifier gewählt und deinen SPF-Eintrag in den DNS-Einstellungen der Domain hinterlegt hast, wird es Zeit diesen zu testen.
Mit dem SPF-Tool von mxtoolbox.org kannst du einfach und kostenlos deinen Eintrag prüfen. Trage dafür einfach deine Domain im Tool ein und lasse den Test durchlaufen. Das Ergebnis des Tests sollte deinen Eintrag zurückgeben, eventuelle Fehler werden durch das Tool erkannt und gemeldet.
Damit deine E-Mails alle Anforderungen erfüllen, solltest du auch DKIM und DMARC einrichten, SPF kann ohne die anderen Verfahren angewendet werden, wir empfehlen aber für die beste Zustellbarkeit DKIM und DMARC ebenfalls einzurichten. Hier findest du unsere Anleitungen dazu: DKIM einrichten, DMARC einrichten.
Hat die SPF Einrichtung bei dir geklappt? Verwende unseren Kontaktbereich, wenn du Hilfe benötigst oder hinterlasse ein Kommentar unter diesem Beitrag – wir freuen uns über dein Feedback.