Was ist ein SPF-Eintrag und wie wird er eingerichtet?

Im ewigen Kampf gegen Spam im Web ist der SPF-Eintrag ein Standard, um zu definieren, ob eine Domain berechtigt ist, E-Mails zu versenden. Sie fügen also eine zusätzliche Authentifizierungsebene hinzu, indem Sie einen SPF-TXT-Eintrag für Ihre Domain implementieren.

Ein richtig konfigurierter Sender Policy Framework-Eintrag schützt Ihre Domain vor E-Mail-Spoofing, Phishing und Spam. Darüber hinaus hilft es, eine ordnungsgemäße Domain- und Marken-E-Mail-Reputation zu erhalten.

In diesem Artikel erklären wir, was ein SPF-Record ist, wie er funktioniert, seine Syntax und wie man ihn für Ihren Domain-Namen setzt.

Was ist ein SPF-Eintrag?

Das Standardprotokoll für den E-Mail-Versand (SMTP) kann nicht verifizieren die „Von“-Adresse einer E-Mail. Das liegt daran, dass eine gültige E-Mail-Adresse ausreicht, um eine Simple Mail Transfer Protocol-Verbindung zu einem Mailserver aufzubauen.

Folglich kann jeder diesen Fehler ausnutzen und sich als Absender ausgeben. Daher wurden zusätzliche Authentifizierungsmethoden wie die SPF-, DKIM- und DMARC-Einträge erstellt, um Bekämpfung von Spam, E-Mail-Spoofing und Phishing-Angriffe.

Ein Sender Policy Framework (SPF) ist ein DNS-Eintrag, der Teil der DNS-Zone einer Domain ist. Dieser TXT-Record gibt an, welche Domains und Hosts E-Mails im Namen einer Domain versenden können oder nicht. Praktisch kann diese öffentliche Aufzeichnung zwei Teile enthalten – eine Liste der autorisierten Domains und eine Liste der verbotenen Absender.

Gemäß IETFs RFC-7208 muss der SPF-Eintrag eine einzelne Textzeichenfolge in einem einzigen DNS-TXT-Eintrag sein. Mehrere SPF-Einträge für den gleichen Domain-Namen sind nicht erlaubt, wenn es also mehr als einen SPF-Eintrag gibt, werden sie nicht richtig funktionieren.

Wie lautet die Return-Path-E-Mail-Adresse?

Obwohl der E-Mail-SPF-Eintrag das “Von”-Feld einer Nachricht nicht überprüft, bestätigt er einen Teil des E-Mail-Headers das ist nicht auf den ersten Blick sichtbar. Aus dem Header validiert SPF den Wert Return-Path, um die E-Mail-Domain-Adresse des Absenders und den Ursprungsserver zu autorisieren.

Empfangende E-Mail-Server prüfen, ob der Return-Path-Domainname mit der öffentlichen Liste der zugelassenen Hosts für den jeweiligen Absender übereinstimmt. Die Return-Path-E-Mail-Domain gibt an, wo Ihr E-Mail-Server die Quittungen der Bounce-Nachrichten speichern soll.

Natürlich müssen Sie keine Rücksendeadresse konfigurieren, wenn Sie nur eine Handvoll E-Mail-Empfänger haben. Die Chancen stehen gut, dass Sie nicht so viele Bounce-Nachrichten erhalten, die Ihre tägliche Arbeit stören. Wenn Sie jedoch E-Commerce betreiben, können Ihre E-Mail-Marketing-Kampagnen, die Tausende von Empfängern erreichen, zu vielen unzustellbaren Nachrichten führen.

Daher ist es die Standardpraxis, eine Rücksende-Pfad-Adresse zu konfigurieren, um diese Bounce-Quittungen zur weiteren Sichtung und Analyse zu speichern.

SPF-Rekordbegrenzungen

Es gibt ein paar Hürden bei der SPF-Aufzeichnungstechnologie, die Sie berücksichtigen sollten, und wir werden sie im Folgenden kurz auflisten.

• Die “Von”-Adresse in der Kopfzeile fällt nicht unter den Schutz des SPF-Eintrags, was bedeutet, dass Hacker immer noch Ihren Anzeigenamen fälschen können.
• Wenn eine E-Mail weitergeleitet wird, bricht der SPF-Rekord und besteht keine Prüfung .
• Einem SPF-Eintrag fehlt die Berichterstattung, was die Aufrechterhaltung einer stabilen Mailingliste erschwert.
• Der SPF-Eintrag einer Domain muss regelmäßig aktualisiert werden, wenn Sie den E-Mail-Dienstanbieter wechseln, um die derzeit zugelassenen Absender anzuzeigen.

Wie funktioniert ein SPF-Eintrag?

Wenn Sie eine Nachricht senden, sendet Ihr E-Mail-Client (MacMail, Outlook oder Thunderbird) sie an den SMTP-Server, der dann die E-Mail-Transaktion mit einem empfangenden Server initiiert.

Dann der empfangende Server (POP3/IMAP) extrahiert den Rückgabepfad, der im E-Mail-Header der Nachricht definiert ist. Genauer gesagt, extrahiert es die E-Mail-Domain der Rücksende-Pfad-Adresse, um eine DNS-Suche zu initiieren und den SPF-Eintrag abzurufen. Sobald die Suche nach dem SPF-Eintrag abgeschlossen ist, überprüft der Server den SPF-Eintrag für den Domänennamen.

Der empfangende Server schließt die Prüfung mit SPF pass ab, wenn die Domain als Absender im DNS-SPF-Record autorisiert ist. Da der SPF-Eintrag gültig ist, wird die Nachricht an den Posteingang des Empfängers weitergeleitet.

Die SPF-Prüfung schlägt fehl, wenn der Server den Host nicht in der Liste der zugelassenen sendenden Domains findet. Der SPF-Record Checker kann dies als verdächtig betrachten, die Nachricht ablehnen, als Spam markieren oder unter Quarantäne stellen.

Wie sieht ein SPF aus?

Wie oben erwähnt, ist der SPF-Record eine einzelne Textkette, die aus dem SPF-Protokollversionspräfix und einem oder mehreren Mechanismen besteht.

Hier ist ein Beispiel für einen SPF-Eintrag: das Standard-SiteGround SPF-Setup.

v=spf1 +a +mx include:_1c3125358d5b0660b2012471e2c2b23a.spf.dnssmarthost.net include:_spf.mailspamprotection.com ~all

Das Versionspräfix (v=spf1) weist die Parser an, diesen TXT-Record als SPF-Record zu interpretieren, da eine Domain mehrere TXT-Records in ihrer DNS-Zone haben kann.

Dann kommt der zweite Teil, der aus verschiedenen vorangestellten Mechanismen besteht, die den empfangenden Server wissen lassen, wie er die SPF-Prüfung ausführt.

In diesem Beispiel-Record sind die A- und MX-Records der Domain Mechanismen, die mit dem Qualifizierer „+“ hinzugefügt wurden. Das bedeutet, dass bei einer SPF-Prüfung die Matching-Mechanismen „passieren“. Der folgende Mechanismus ist „include“ und definiert den SPF-Record des E-Mail-Versandservers, der im Namen des Domain-Namens senden darf. Dann kommt der „all“-Mechanismus mit dem Präfix „~“, was bedeutet, dass, wenn alles in der Zeichenfolge bisher ausgecheckt ist, der SPF-Eintrag zu „SoftFail“ führt.

SPF-Syntaxkomponenten

Die Kernkomponenten einer SPF-Record-Syntax werden als Mechanismen und Qualifiers bezeichnet. Wir werden jede dieser Komponenten in diesem Unterabschnitt kurz beschreiben, also lesen Sie weiter.

Was sind die SPF-Qualifikationsmerkmale?

Die Qualifizierer weisen den interpretierenden Server an, wie der Datensatz zu lesen ist und was mit den SPF-Prüfergebnissen zu tun ist. Die Qualifizierer sind optional, und die verfügbaren sind wie folgt:

• “+” – Bestanden – Dieser Qualifizierer teilt dem Empfängerserver mit, dass eine IP-Adresse, die mit einem Mechanismus übereinstimmt, die Prüfung bestehen sollte.
• “–” – Fail – Dieser Befehl weist den Server an, eine SPF-Prüfung zu bestehen, wenn eine IP-Adresse die Liste der nicht autorisierten Absender erfüllt.
• “~” – SoftFail – Wenn eine IP mit einem Mechanismus übereinstimmt, wird sie die SPF-Prüfung weich fehlschlagen und den Server anweisen, die Nachricht zu akzeptieren, aber mit einem zu kennzeichnen SPF-Fehler.
• “?” – Neutral – Dieser Qualifizierer führt zu einem unbestimmten Testergebnis – weder fehlgeschlagen noch bestanden.

Was sind die SPF-Record-Mechanismen?

Wenn ein Mechanismus während einer SPF-Prüfung ausgewertet wird, kann er eine Übereinstimmung, keine Übereinstimmung oder eine Ausnahme zurückgeben. Wenn es übereinstimmt, endet der Prozess, und der Wert des Qualifizierers für diesen Mechanismus wird als Ergebnis der Prüfung zurückgegeben. Falls dies nicht der Fall ist, wird der Bewertungsprozess mit dem nächsten Mechanismus fortgesetzt. Und wenn das Ergebnis eine Ausnahme zurückgibt, endet der Prozess mit der Rückgabe des Wertes der Ausnahme.

• „а“ – Dieser Mechanismus definiert den A-Record (IP) eines Hosts; wenn sie übereinstimmen, wird es passieren.
• “mx“- Der Hosting E-Mail-Service jedes Domain-Namens verfügt über MX-Einträge, und es könnte mehrere MX-Einträge geben. Diese DNS-Einträge identifizieren die E-Mail-Server, die den E-Mail-Dienst für den Domain-Namen verwalten. Wenn Sie den „mx“-Mechanismus zu Ihrem SPF-Eintrag hinzufügen, werden alle Ihre Domain-MX-Einträge automatisch zur Liste der zugelassenen Absender hinzugefügt.
• „include“ – Der „include“-Mechanismus dient dem unternehmensübergreifenden E-Mail-Versand und autorisiert externe E-Mail-Hosts im SPF-Record. Im Wesentlichen validiert die „include“-Anweisung einen externen Host, um E-Mails im Namen Ihres Domain-Namens zu senden (z. B. Google Workspace).
• „all“ – Dieser Mechanismus bedeutet „alles“ und wird immer am Ende eines SPF-Eintrags platziert. Die Idee dahinter ist, dass alles, was bis zu diesem Punkt des SPF-Record-Strings überprüft wurde, das angegebene Ergebnis im Qualifier liefern sollte. Im obigen Beispiel für einen SPF-Eintrag ist dieser Mechanismus als »~all« definiert, was bedeutet, dass das Ergebnis ein SoftFail ist.

Sollte ich einen SPF-Eintrag setzen?

Wenn Sie sich immer noch fragen, ob Sie einen SPF-Eintrag zu Ihrem Domainnamen hinzufügen sollten, sollten Sie wissen, dass es helfen wird, Ihre E-Mail-Zustellbarkeit zu verbessern. Es gibt mehrere Hauptvorteile eines SPF-Eintrags, und wir werden sie im Folgenden skizzieren.

• Ein richtig konfigurierter SPF-Eintrag erhöht die Reputation Ihrer Domain und damit auch Ihre E-Mail-Zustellbarkeit.
• Ein SPF-Eintrag bekämpft Domain-Identität und E-Mail-Spoofing, um den Ruf und die Vertrauenswürdigkeit Ihrer Marke zu wahren.
• Der SPF-Eintrag ist eine der wesentlichen Methoden für die DMARC-Konformität. DMARC steht für Domain-based Message Authentication, Reporting, and Conformance. Es ist ein TXT DNS-Eintrag, der dem empfangenden Server mitteilt, wie er mit einer fehlgeschlagenen Authentifizierungsnachricht umgehen soll. Es weist den Server des Empfängers an, die Zustellung der Nachricht entweder unter Quarantäne zu stellen, abzulehnen oder zuzulassen.

Kurz gesagt, es wird empfohlen, einen solchen Eintrag zur DNS-Zone Ihrer Domain hinzuzufügen, um vor verschiedenen E-Mail-Cyberangriffen geschützt zu bleiben. Wenn Sie also bereit sind, einen SPF-Eintrag für Ihre Domain zu erstellen, lesen Sie weiter, um herauszufinden, wie das geht.

Wie kann ich einen SPF-Eintrag einstellen?

Wie bereits erwähnt, wird dringend empfohlen, einen SPF-Eintrag für Ihren Domainnamen zu setzen, um die Zustellbarkeit und den Ruf Ihrer E-Mails zu gewährleisten. Hier werden wir die beiden möglichen Optionen skizzieren , um einen SPF – Eintrag für Ihren gehosteten Domain – Namen von Ihrem SiteGround Site Tools einzurichten .

Setzen Sie einen SPF-Eintrag in Ihrem DNS-Zonen-Editor

Hosting-Unternehmen bieten in der Regel Zugriff auf ein DNS-Zonen-Editor-Tool, so dass Sie die DNS-Einträge Ihres Domain-Namens verwalten können. Beachten Sie, dass Sie diese DNS-Änderungen von dem Konto aus vornehmen müssen, in dem sich die autoritative DNS-Zone für die Domäne befindet. Unabhängig davon, bei welchem Provider Sie es hosten, muss Ihr Domainname auf den Namen verweisen Server dort. Nur auf diese Weise werden Änderungen, die auf die DNS-Zone einer Domain angewendet werden, tatsächlich wirksam.

SiteGround-Kunden können einen SPF-Eintrag direkt aus dem DNS-Zonen-Editor in ihrem Kundenbereich > Services > Domains > Einstellungen der gewünschten Domain einrichten.

Wenn Sie beispielsweise Google Workspace für Ihren E-Mail-Dienst verwenden möchten, müssen Sie den SPF von Google einbinden (include:_spf.google.com). Um dies zu tun, wählen Sie die Registerkarte TXT, lassen Sie das Feld Name leer, geben Sie den SPF-Eintrag ein, den Sie für Ihre Domain beantragen möchten, und klicken Sie auf Erstellen.

Sobald Sie den SPF-Eintrag erstellt haben, wird er einige Zeit brauchen, um zu verbreiten und wirksam zu werden. Nach Ablauf des Verbreitungszeitraums ist Google Workspace ein gültiger Absender im Namen Ihres Domain-Namens.

Setzen Sie einen SPF-Eintrag von Site Tools ‘ E-Mail-Authentifizierungs-Tool

Bei SiteGround ist der SPF-Eintrag standardmäßig für jeden Domainnamen mit einem Standardwert aktiviert. Sie können es von der jeweiligen Site Tools für Ihre Domain verwalten, indem Sie zum Abschnitt E-Mail > Authentifizierung.

In diesem Abschnitt können Sie den Standard-SiteGround SPF-Eintrag Ihrer Domain ändern oder weitere A– oder MX-Einträge hinzufügen. Sie können die Option „Zugelassene IP/IP-Blöcke“ verwenden, um IP-Adressen oder IP-Bereiche (IP-Blöcke) zuzulassen, die SPF-Einschlussliste und den Qualifizierer „alle“ zu verwalten.

Obwohl ein SPF-Eintrag allein nicht ausreicht, um E-Mail-Missbrauch vollständig zu verhindern, ist er ein wesentlicher Bestandteil der E-Mail-Authentifizierung. Ein richtig konfigurierter SPF verringert die Wahrscheinlichkeit, dass jemand Ihre E-Mail-Adresse nachahmt, was Ihre E-Mail- und Markenglaubwürdigkeit beeinträchtigt.

Mit den Informationen, die Sie in diesem Artikel gefunden haben, wissen Sie jetzt, was der SPF-Record ist, seine Syntax und Komponenten, und wie Sie einen für Ihre Domain einrichten.