Was ist SPF und wie kann ich es nutzen?

Grundlegendes

SPF steht für Sender Policy Framework und ist eine Technik zur Vermeidung von Spam- oder Virenmails mit gefälschtem Absender. Da bei SPF in der Zonendatei des Nameservers der Absenderdomain ein spezieller Eintrag abgelegt wird, ist gewährleistet, dass Unbefugte keine Manipulationen vornehmen können. SPF verhindert keinen Spam Versand, für den Versender, der eine eigene Domain ordnungsgemäß angemeldet hat und greift auch nicht bei nicht existierenden Domains.

Funktion im Detail

Bei SPF wird ein Record vom Typ TXT in die Zonendatei der Domain eingetragen. In diesem Eintrag werden die berechtigten SMTP-Server zu einer Domäne genannt. Mailserver können bei eingehenden Mails anhand der Absenderdomäne und den Informationen aus dem SPF-Eintrag dieser Domäne feststellen, ob der sendende SMTP-Server überhaupt berechtigt war, diese Mails zu versenden.

Aufbau eines SPF Records

Der SPF Record beginnt immer mit der genutzten SPF Versionsnummer. Da es bislang nur SPF v1 gibt, beginnt ein korrekter SPF Record aktuell stets mit "v=spf1".

Es folgen beliebig viele Ausdrücke, welche durch ein Leerzeichen getrennt und von vorne nach hinten ausgewertet werden. Die meisten Ausdrücke sind sog. Direktiven, welche die Autorisierung des Versenders definieren, und bestehen aus einem optionalen Qualifikator und einem sog. Mechanismus, der für eine gegebene Situation (IP-Adresse) entweder einen Treffer oder keinen Treffer ergibt. Der erste Mechanismus, der einen Treffer darstellt, bestimmt das Ergebnis der gesamten Auswertung des SPF-Records.

Qualifikatoren:

Q	Ergebnis-Code	Beschreibung
+	Pass	definiert autorisierte Sender wird kein Qualifikator angegeben, wird automatisch + angenommen
--	Fail	definiert nicht autorisierte Sender
~	SoftFail	definiert nicht autorisierte Sender, der Empfänger soll den Fehlschlag jedoch großzügig behandeln
?	Neutral	definiert Sender, über deren Legitimität nichts ausgesagt werden soll -- Der Sender muss akzeptiert werden

Gängige Mechanismen:

Mechanismus	Direktive trifft zu, wenn
all	immer
a	ein A-(oder AAAA-)Record der befragten (oder explizit angegebenen) Domäne die IP-Adresse des Senders enthält
mx	ein MX-Record der befragten (oder explizit angegebenen) Domäne die IP-Adresse des Senders enthält
ip4	die angegebene IPv4-Adresse die IP-Adresse des Senders ist bzw. das angegebene IPv4-Subnetz diese enthält
ip6	die angegebene IPv6-Adresse die IP-Adresse des Senders ist bzw. das angegebene IPv6-Subnetz diese enthält
include	eine zusätzliche SPF-Anfrage zur im Include-Statement angegebenen Domain die IP-Adresse des Senders enthält

Eine Übersicht aller erlaubten Ausdrücke erhalten Sie direkt auf der SPF-Website.

Beispiel

v=spf1 a mx ip4:10.11.12.0/24 -all

Bestandteil	Bedeutung
v=spf1	SPF Version
(+)a	Berechtigt den Server, dessen IP Adresse als A Record für diese Domäne hinterlegt ist, E-Mails zu versenden
(+)mx	Berechtigt den Server, welcher als MX Record für diese Domäne hinterlegt ist, E-Mails zu versenden
(+)ip4:10.11.12.0/24	Berechtigt das gesamte Netz IPv4 Netz "10.11.12.0/24" E-Mails zu versenden
-all	Verbietet es allen anderen Servern E-Mails im Namen der Domain zu versenden.

Die DNS-Einträge können Sie im DNS-Modul innerhalb des KundenCenter verwalten. Öffnen Sie hierfür Webhosting & Domains. Das DNS-Modul öffnet sich, wenn Sie auf die betreffende Domain klicken.

SPF bei Profihost

Profihost stellt für Domains, die neu registriert werden, standardmäßig folgenden SPF-Record bereit:

v=spf1 a mx ~all

Der inkludierte SPF-Record von Profihost erlaubt den Versand von Mails auch von gängigen erlaubten Providern wie Google und Microsoft Outlook sowie den meistgenutzten Newsletter-Providern SendinBlue und CleverReach. Dies soll Kunden auch ohne weitere Maßnahmen dazu befähigen, über diese Provider E-Mails mit ihrer Domain zu versenden.

Sollte Ihre Domain den SPF-Record noch nicht beinhalten, so können Sie ihn über Ihr DNS-Modul im KundenCenter einfach hinterlegen: Wo verwalte ich die DNS Einträge meiner Domains?