Sender Policy Framework (SPF)

 

Warum?

SPF schützt die eigene Domäne nicht vor Spam, also wieso sollten wir uns die Mühe machen SPF einzurichten?

Erinnern wir uns zurück an den Februar 2016. Der Cryptotrojaner Locky verbreitet sich zum Teil über gefälschte E-Mail-Adressen der Ludwigsluster Fleisch- und Wurstspezialitäten GmbH. Die betroffenen Locky Opfer geben zunächst dem vermeidlichen Sender die Schuld an den Infektionen. Später stellt sich jedoch heraus, dass die E-Mails nicht von den Ludwigsluster Servern gesendet wurden. Der Imageschaden ist zu diesem Zeitpunkt bereits angerichtet.

Wie kann nun verhindert werden, dass unsere Domänen für solche Zwecke missbraucht werden? Eine Möglichkeit hierfür ist SPF.

Mithilfe von SPF können Empfänger kontrollieren, ob der Sender für den Versand der E-Mail autorisiert ist. Als Domänenbesitzer geben Sie damit dem empfangenden Mailserver die Möglichkeit Emails, die in ihrem Namen versendet werden, zu identifizieren und ggfls. zu blockieren. Ob der Empfänger diese Möglichkeit nutzt liegt letztendlich an ihm.

 

Funktionsweise

Im ersten Schritt erhält der Mailserver „Alice“ von Server „Bob“ eine E-Mail von Max@Beispiel.de. Um zu überprüfen, ob „Bob“ berechtigt ist E-Mails für die Domäne Beispiel.de zu versenden, überprüft Alice im zweiten Schritt den SPF Eintrag im öffentlichen DNS von Beispiel.de. Der SPF Eintrag lautet in diesem Fall „v=spf1 mx –all“. Dies bedeutet, dass nur Server, die im DNS des Senders einen MX-Eintrag besitzen, autorisiert sind. E-Mail Nachrichten anderer Sender sollen blockiert werden.

Im nächsten Schritt überprüft „Alice“ die MX Einträge von Beispiel.de und findet heraus, dass der einzige autorisierte Mailserver „Carol“ ist. Damit kann die Nachricht von Bob als Spam behandelt und wenn gewünscht blockiert werden.

 

Aufbau eines SPF Eintrags

Ein SPF Eintrag kann aus folgenden Bestandteilen bestehen.

Mechanismus Trifft zu, wenn …
all Immer
a ein A- Eintrag, die IP des Senders enthält
mx ein MX- Eintrag, die IP des Senders enthält
ip4 die Sender IP, in dem angegebenen IPv4 Adressbereich enthalten ist
ip6 die Sender IP, in dem angegebenen IPv6 Adressbereich enthalten ist
include eine weitere SPF Anfrage an die angegebene Domäne, die Sender IP bestätigt

 

Je nach vorangestelltem Kennzeichner können so Server als autorisiert oder nicht autorisiert gekennzeichnet werden.

Kennzeichner Resultat
+ Autorisierter Sender
? Neutral: Definiert Sender über deren Legitimität nichts ausgesagt werden kann
~ SoftFail: Nicht autorisierter Sender, der Empfänger soll den Fehlschlag aber gnädig behandeln
Nicht autorisierter Sender

Da der „+“ Kennzeichner der Standardwert ist, kann zum Beispiel anstatt „+mx“ im SPF „mx“ geschrieben werden.

 

Beispiel

Wir benötigen einen SPF Eintrag, der es allen in den MX Einträgen genannten E-Mail Servern erlaubt E-Mails zu versenden. Außerdem haben wir noch ein Webshop (IP: 7.65.186.5), der E-Mail-Benachrichtigungen an Kunden versendet. Wir haben sichergestellt, dass sonst keine anderen Server E-Mails im Auftrag unserer Domäne E-Mails versenden.

Der SFP Eintrag muss für unsere Domäne also so lauten:

V=spf1 +ip4:7.65.186.5 +mx -all

Im meinen nächsten Blogeintrag schauen wir uns an wie wir mit DKIM unsere Domäne weiter absichern können.

 

Redakt.: Daniel Dagenbach