SPF-Record: Unterschied zwischen den Versionen

Keine Bearbeitungszusammenfassung
 
(10 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
[[category:E-Mail]][[category:Domains]]
==SPF-Record allgemein==
==SPF-Record allgemein==
<p>Ein SPF-Record (Sender Policy Framework) legt fest, welche Mailserver E-Mails für Ihre Domain versenden dürfen. Der SPF-Record kann somit für die Spamerkennung zu Rate gezogen werden oder auch verwendet werden, um E-Mails einer Domain komplett abzulehnen, wenn der sendende Mailserver nicht mit den erlaubten Mailservern aus dem SPF-Record übereinstimmt.</p>
<p>Ein SPF-Record (Sender Policy Framework) legt fest, welche Mailserver E-Mails für Ihre Domain versenden dürfen. Der SPF-Record kann somit für die Spamerkennung zu Rate gezogen werden oder auch verwendet werden, um E-Mails einer Domain komplett abzulehnen, wenn der sendende Mailserver nicht mit den erlaubten Mailservern aus dem SPF-Record übereinstimmt.</p>
Zeile 13: Zeile 14:


==Syntax eines SPF-Records==
==Syntax eines SPF-Records==
Jeder SPF-Record beginnt mit der Subdomain. Falls die reine Domain gemeint ist, wird '@' verwendent. Gefolgt wird dies von der SPF-Versionsnummer. Aktuell ist die Version <pre>@ "v=spf1</pre>
Jeder SPF-Record beginnt mit der Subdomain. Falls die reine Domain gemeint ist, wird '@' verwendet, gefolgt von der SPF-Versionsnummer. Aktuell ist die Version spf1. Das sieht dann so aus:<pre>@ "v=spf1</pre>
Bei Subdomains muss die gesamte Subdomain angegeben werden, für eine Subdomain, hier bspw. business.mail.domain.com würde der Eintrag dann entsprechend so aussehen:<pre> business.mail "v=spf1</pre>
Gefolgt wird die Versionsnummer von Qualifikatoren und Mechanismen.
Gefolgt wird die Versionsnummer von Qualifikatoren und Mechanismen.
===Folgende Qualifikatoren stehen zur Verfügung===
===SPF-Qualifikatoren===
Folgende Qualifikatoren stehen zur Verfügung:
* <b>+</b> (Pass): Diese Direktive definiert autorisierte Mail-Sender; Wird vor einen Mechanismus kein Qualifikator gesetzt, wird automatisch "+" angenommen.
* <b>+</b> (Pass): Diese Direktive definiert autorisierte Mail-Sender; Wird vor einen Mechanismus kein Qualifikator gesetzt, wird automatisch "+" angenommen.
* <b>-</b> (Fail): Diese Direktive definiert nicht autorisierte Mail-Sender.
* <b>-</b> (Fail): Diese Direktive definiert nicht autorisierte Mail-Sender.
* <b>~</b> (SoftFail): Diese Direktive definiert nicht autorisierte Mail-Sender, der Empfänger soll diesen Fehler allerdings großzügig behandeln. Dieser Qualifikator ist für Testzwecke gedacht.
* <b>~</b> (SoftFail): Diese Direktive definiert nicht autorisierte Mail-Sender, der Empfänger soll diesen Fehler allerdings großzügig behandeln. Dieser Qualifikator ist für Testzwecke gedacht.
* <b>?</b> (Neutral): Diese Direktive definiert Mail-Sender, über deren Legitimität nichts ausgesagt werden soll. Der Mail-Sender muss akzeptiert werden.
* <b>?</b> (Neutral): Diese Direktive definiert Mail-Sender, über deren Legitimität nichts ausgesagt werden soll. Der Mail-Sender muss akzeptiert werden.
===Die Qualifikatoren könne mit den folgenden Mechanismen kombiniert werden===
 
===SPF-Mechanismen===
(dies ist eine Auswahl der gängigen Mechanismen)<br>
Die Qualifikatoren können mit den folgenden Mechanismen kombiniert werden:
* <b>include</b>: Dies bewirkt eine zusätzliche SPF-Anfrage an die im Include-Statement angegebenen Domain, die dann die IP-Adresse des Mail-Senders ausgibt.
* <b>include</b>: Dies bewirkt eine zusätzliche SPF-Anfrage an die im Include-Statement angegebenen Domain, die dann die IP-Adresse des Mail-Senders ausgibt.
* <b>a</b>: Die IP-Adresse des A-(oder AAAA-)Record der befragten Domain darf E-Mails versenden
* <b>a</b>: Die IP-Adresse des A-(oder AAAA-)Record der befragten Domain darf E-Mails versenden
Zeile 26: Zeile 32:
*<b>ip4</b>: Hier kann eine IPv4-Adresse oder ein Netz (in CIDR) angegeben werden. Von diesen IP-Adressen können E-Mails versendet werden.
*<b>ip4</b>: Hier kann eine IPv4-Adresse oder ein Netz (in CIDR) angegeben werden. Von diesen IP-Adressen können E-Mails versendet werden.
* <b>ip6</b>: Hier kann eine IPv64-Adresse oder ein Netz (in CIDR) angegeben werden. Von diesen IP-Adressen können E-Mails versendet werden.
* <b>ip6</b>: Hier kann eine IPv64-Adresse oder ein Netz (in CIDR) angegeben werden. Von diesen IP-Adressen können E-Mails versendet werden.
Dann sieht der Eintrag beispielsweise so aus:
<pre>@ "v=spf1 include:spf.dcpserver.de</pre>
Falls man weitere Einträge genötigt, kann dies so aussehen:
<pre>@ "v=spf1 include:spf.dcpserver.de ip4:80.252.110.0/29</pre>
Folgende Tabelle zeigt einige gängige Mechanismen:
Mech. Direktive trifft zu, wenn -
all immer
exists IP-Adresse des Senders anhand der Verbindung des Clients oder andere Kriterien nach (RFC7208 ) authorisiert wurde
Es folgen beliebig viele Ausdrücke, die in der Reihenfolge von vorne nach hinten ausgewertet werden. Die meisten Ausdrücke sind dabei sog. Direktiven, die die Autorisierung des Versenders definieren, und bestehen aus einem optionalen Qualifikator und einem sog. Mechanismus, der für eine gegebene Situation (IP-Adresse) entweder einen Treffer oder keinen Treffer ergibt. Der erste Mechanismus, der einen Treffer darstellt, bestimmt das Ergebnis der gesamten Auswertung des SPF-Records.
Es gibt folgende Qualifikatoren:
Q. Ergebnis-Code Beschreibung
+ Pass die Direktive definiert autorisierte Sender;
dies ist der Standard, d. h. ist kein Qualifikator angegeben, so wird + angenommen
- Fail die Direktive definiert nicht autorisierte Sender
~ SoftFail die Direktive definiert nicht autorisierte Sender, der Empfänger soll diesen Fehlschlag aber großzügig behandeln;
dieser Qualifikator ist für Testzwecke gedacht
? Neutral die Direktive definiert Sender, über deren Legitimität nichts ausgesagt werden soll; Der Sender muss akzeptiert werden.
Folgende Tabelle zeigt einige gängige Mechanismen:
Mech. Direktive trifft zu, wenn -
all immer
a ein A-(oder AAAA-)Record der befragten (oder explizit angegebenen) Domäne die IP-Adresse des Senders enthält
mx ein MX-Record der befragten (oder explizit angegebenen) Domäne die IP-Adresse des Senders enthält
ip4 die angegebene IPv4-Adresse die IP-Adresse des Senders ist bzw. das angegebene IPv4-Subnetz diese enthält
ip6 die angegebene IPv6-Adresse die IP-Adresse des Senders ist bzw. das angegebene IPv6-Subnetz diese enthält
redirect IP-Adresse des Senders durch den SPF-Record einer anderen Domäne legitimiert wird
include eine zusätzliche SPF-Anfrage zur im Include-Statement angegebenen Domain die IP-Adresse des Senders enthält
exists IP-Adresse des Senders anhand der Verbindung des Clients oder andere Kriterien nach (RFC7208 ) authorisiert wurde
Einen Überblick über alle erlaubten Ausdrücke gibt die Unterseite SPF Mechanisms der SPF-Website.
Beispiel


$ host -t TXT gmx.de  
===Beispiele===
gmx.de text "v=spf1 ip4:213.165.64.0/23 -all"
Dieser Eintrag erlaubt alle Mail-Sender, die im SPF-Record der Domain <i>spf.dcpserver.de</i> hinterlegt sind und lehnt alle anderen Mail-Server ab:
<pre>@ "v=spf1 include:spf.dcpserver.de -all"</pre>


Die Firma GMX legt also fest, dass alle Server im Netzbereich von 213.165.64.0 bis 213.165.65.254 E-Mails von der Domäne gmx.de verschicken dürfen. Alle anderen Server sind laut diesem SPF-Record nicht für die Benutzung dieser Domäne in der Umschlag-Absenderadresse autorisiert.
Dieser Eintrag erlaubt alle Mail-Sender, die im SPF-Record der Domain <i>spf.dcpserver.de</i> hinterlegt sind und alle Mail-Sender aus dem Netz 80.252.110.0/29. Alle anderen Mail-Sender werden abgelehnt:
<pre>@ "v=spf1 include:spf.dcpserver.de ip4:80.252.110.0/29 -all"</pre>


==Einschränkungen eines SPF-Records==
==Einschränkungen eines SPF-Records==
Wenn Sie Weiterleitungen auf E-Mail-Accounts auf anderen Servern nutzen, könnte es mit den SPF-Record auch Probleme geben, weil die Absendedomain dann ggf. nicht mehr zum sendenden Mailserver passt.
Wenn Sie Weiterleitungen auf E-Mail-Accounts auf anderen Servern nutzen, könnte es mit den SPF-Record auch Probleme geben, weil die Absendedomain dann ggf. nicht mehr zum sendenden Mailserver passt.

Aktuelle Version vom 7. August 2024, 11:32 Uhr

SPF-Record allgemein

Ein SPF-Record (Sender Policy Framework) legt fest, welche Mailserver E-Mails für Ihre Domain versenden dürfen. Der SPF-Record kann somit für die Spamerkennung zu Rate gezogen werden oder auch verwendet werden, um E-Mails einer Domain komplett abzulehnen, wenn der sendende Mailserver nicht mit den erlaubten Mailservern aus dem SPF-Record übereinstimmt.

Ob ein SPF-Record ausgewertet wird, hängt allein vom Administrator des empfangenden Mailservers ab. So ist z.B. Gmail dazu übergegangen, E-Mails komplett abzulehnen oder als SPAM zu markieren, wenn für eine Domain kein SPF-Record gesetzt ist.

Weitere Informationen zum SPF-Record finden Sie unter SPF Eintrag.

SPF-Record bei Artfiles

Falls Sie nur unsere Mailserver für den Versand von E-Mails verwenden, können Sie unseren Standardeintrag verwenden. Falls dies nicht der Fall ist, müsste unser Standardeintrag um die zusätzlichen Mailserver erweitert werden (z.B. bei Nutzung eines externen Newsletter-Anbieters). Bitte achten Sie darauf, dass alle Einträge in einem Record gesetzt werden müssen.

Sie können den SPF-Record über das DCP im folgenden Bereich setzen: „Domains -> DNS-Zonen -> IhreDomain“

Hier können Sie im Abschnitt "TXT-Record" den SPF-Record setzen. Entweder Sie tragen den SPF-Record manuell ein (1) oder Sie nutzen das Drop-Down-Menü (2) in dem 'SPF' vorausgewählt sein sollte. Klicken Sie daneben auf den Button "TXT-Eintrag hinzufügen". Txt records.png Übernehmen Sie Ihre Einstellungen über den Button "Übernehmen" ganz unten. Bitte beachten Sie, dass es bis zu 24 Stunden dauern kann, bis der gesetzte Wert von überall aus abrufbar ist.

Syntax eines SPF-Records

Jeder SPF-Record beginnt mit der Subdomain. Falls die reine Domain gemeint ist, wird '@' verwendet, gefolgt von der SPF-Versionsnummer. Aktuell ist die Version spf1. Das sieht dann so aus:

@ "v=spf1

Bei Subdomains muss die gesamte Subdomain angegeben werden, für eine Subdomain, hier bspw. business.mail.domain.com würde der Eintrag dann entsprechend so aussehen:

 business.mail "v=spf1

Gefolgt wird die Versionsnummer von Qualifikatoren und Mechanismen.

SPF-Qualifikatoren

Folgende Qualifikatoren stehen zur Verfügung:

  • + (Pass): Diese Direktive definiert autorisierte Mail-Sender; Wird vor einen Mechanismus kein Qualifikator gesetzt, wird automatisch "+" angenommen.
  • - (Fail): Diese Direktive definiert nicht autorisierte Mail-Sender.
  • ~ (SoftFail): Diese Direktive definiert nicht autorisierte Mail-Sender, der Empfänger soll diesen Fehler allerdings großzügig behandeln. Dieser Qualifikator ist für Testzwecke gedacht.
  • ? (Neutral): Diese Direktive definiert Mail-Sender, über deren Legitimität nichts ausgesagt werden soll. Der Mail-Sender muss akzeptiert werden.

SPF-Mechanismen

(dies ist eine Auswahl der gängigen Mechanismen)
Die Qualifikatoren können mit den folgenden Mechanismen kombiniert werden:

  • include: Dies bewirkt eine zusätzliche SPF-Anfrage an die im Include-Statement angegebenen Domain, die dann die IP-Adresse des Mail-Senders ausgibt.
  • a: Die IP-Adresse des A-(oder AAAA-)Record der befragten Domain darf E-Mails versenden
  • mx: Von der IP-Adresse des eingetragenen MX-Records dürfen E-Mails versendet werden
  • ip4: Hier kann eine IPv4-Adresse oder ein Netz (in CIDR) angegeben werden. Von diesen IP-Adressen können E-Mails versendet werden.
  • ip6: Hier kann eine IPv64-Adresse oder ein Netz (in CIDR) angegeben werden. Von diesen IP-Adressen können E-Mails versendet werden.

Beispiele

Dieser Eintrag erlaubt alle Mail-Sender, die im SPF-Record der Domain spf.dcpserver.de hinterlegt sind und lehnt alle anderen Mail-Server ab:

@ "v=spf1 include:spf.dcpserver.de -all"

Dieser Eintrag erlaubt alle Mail-Sender, die im SPF-Record der Domain spf.dcpserver.de hinterlegt sind und alle Mail-Sender aus dem Netz 80.252.110.0/29. Alle anderen Mail-Sender werden abgelehnt:

@ "v=spf1 include:spf.dcpserver.de ip4:80.252.110.0/29 -all"

Einschränkungen eines SPF-Records

Wenn Sie Weiterleitungen auf E-Mail-Accounts auf anderen Servern nutzen, könnte es mit den SPF-Record auch Probleme geben, weil die Absendedomain dann ggf. nicht mehr zum sendenden Mailserver passt.