Spambekämpfung Teil 1
Sender Policy Framework (SPF)
Warum?
SPF schützt die eigene Domäne nicht vor Spam, also wieso sollten wir uns die Mühe machen SPF einzurichten?
Erinnern wir uns zurück an den Februar 2016. Der Cryptotrojaner Locky verbreitet sich zum Teil über gefälschte E-Mail-Adressen der Ludwigsluster Fleisch- und Wurstspezialitäten GmbH. Die betroffenen Locky Opfer geben zunächst dem vermeidlichen Sender die Schuld an den Infektionen. Später stellt sich jedoch heraus, dass die E-Mails nicht von den Ludwigsluster Servern gesendet wurden. Der Imageschaden ist zu diesem Zeitpunkt bereits angerichtet.
Wie kann nun verhindert werden, dass unsere Domänen für solche Zwecke missbraucht werden? Eine Möglichkeit hierfür ist SPF.
Mithilfe von SPF können Empfänger kontrollieren, ob der Sender für den Versand der E-Mail autorisiert ist. Als Domänenbesitzer geben Sie damit dem empfangenden Mailserver die Möglichkeit Emails, die in ihrem Namen versendet werden, zu identifizieren und ggfls. zu blockieren. Ob der Empfänger diese Möglichkeit nutzt liegt letztendlich an ihm.
Funktionsweise
Im ersten Schritt erhält der Mailserver „Alice“ von Server „Bob“ eine E-Mail von Max@Beispiel.de. Um zu überprüfen, ob „Bob“ berechtigt ist E-Mails für die Domäne Beispiel.de zu versenden, überprüft Alice im zweiten Schritt den SPF Eintrag im öffentlichen DNS von Beispiel.de. Der SPF Eintrag lautet in diesem Fall „v=spf1 mx –all“. Dies bedeutet, dass nur Server, die im DNS des Senders einen MX-Eintrag besitzen, autorisiert sind. E-Mail Nachrichten anderer Sender sollen blockiert werden.
Im nächsten Schritt überprüft „Alice“ die MX Einträge von Beispiel.de und findet heraus, dass der einzige autorisierte Mailserver „Carol“ ist. Damit kann die Nachricht von Bob als Spam behandelt und wenn gewünscht blockiert werden.
Aufbau eines SPF Eintrags
Ein SPF Eintrag kann aus folgenden Bestandteilen bestehen.
| Mechanismus | Trifft zu, wenn … |
| all | Immer |
| a | ein A- Eintrag, die IP des Senders enthält |
| mx | ein MX- Eintrag, die IP des Senders enthält |
| ip4 | die Sender IP, in dem angegebenen IPv4 Adressbereich enthalten ist |
| ip6 | die Sender IP, in dem angegebenen IPv6 Adressbereich enthalten ist |
| include | eine weitere SPF Anfrage an die angegebene Domäne, die Sender IP bestätigt |
Je nach vorangestelltem Kennzeichner können so Server als autorisiert oder nicht autorisiert gekennzeichnet werden.
| Kennzeichner | Resultat |
| + | Autorisierter Sender |
| ? | Neutral: Definiert Sender über deren Legitimität nichts ausgesagt werden kann |
| ~ | SoftFail: Nicht autorisierter Sender, der Empfänger soll den Fehlschlag aber gnädig behandeln |
| – | Nicht autorisierter Sender |
Da der „+“ Kennzeichner der Standardwert ist, kann zum Beispiel anstatt „+mx“ im SPF „mx“ geschrieben werden.
Beispiel
Wir benötigen einen SPF Eintrag, der es allen in den MX Einträgen genannten E-Mail Servern erlaubt E-Mails zu versenden. Außerdem haben wir noch ein Webshop (IP: 7.65.186.5), der E-Mail-Benachrichtigungen an Kunden versendet. Wir haben sichergestellt, dass sonst keine anderen Server E-Mails im Auftrag unserer Domäne E-Mails versenden.
Der SFP Eintrag muss für unsere Domäne also so lauten:
V=spf1 +ip4:7.65.186.5 +mx -all
Im meinen nächsten Blogeintrag schauen wir uns an wie wir mit DKIM unsere Domäne weiter absichern können.
Redakt.: Daniel Dagenbach