Mit Sender Policy Framework (SPF) wird bekannterweise das Fälschen der Absenderadressen einer E-Mail, also die Versendung von Mails über nicht legitimierte Mail Transfer Agents (MTAs), verhindert. SPF als Standardmethode zur Email-Authentifizierung gibt an, wer im Namen einer Domain E-Mails versenden darf. Er kann somit als „Reverse MX“ Record gesehen werden. Der SPF wurde im RFC 4408 das erste Mal behandelt und kann dort nachgelesen werden.
SPF stellt einen TXT oder SPF Record im DNS bereit. In diesem DNS Record können alle im Namen dieser Domain versendenden Funktionen hinterlegt werden, um sie so zu authentifizieren. Kommunikationspartner können dann die empfangene E-Mail gegen den SPF des Absenders auf Legitimation prüfen. SPF ist kein Pflicht DNS-Eintrag, trägt aber zur Sicherheit in der Mailkommunikation bei. SPF hört auf den „envelope from“ in einer E-Mail, welcher in den meisten Implementationen auch der return-path ist.
Ein SPF Record wird im DNS entweder als TXT Record abgelegt oder als expliziter SPF Record, was allerdings auch nichts anderes als ein TXT Record ist. Ein SPF fängt immer mit „v=spf1“ an und endet immer mit einem Qualifier und „all“.
Beispiel:
V=spf1 ip4:1.1.1.1 include:spf.protection.outlook.com ~all
In diesem SPF sind eine IPv4 hinterlegt, über den „include“-Befehl wird Microsofts M365 Umgebung mit eingebunden und der Qualifier gibt mit der Tilde an, dass informiert werden soll, wenn der SPF Test fehlschlägt, die E-Mail aber trotzdem zugestellt werden soll.
Die Qualifier im Überblick
| „+“ | Pass |
| „-„ | Fail |
| „~“ | SoftFail |
| „?“ | Neutral |
Über den Pass-Qualifier kann man alle nicht im SPF aufgeführten Server zulassen.
Über den Fail-Qualifier verbietet man alle Server außer den aufgeführten Servern im SPF.
Der SoftFail-Qualifier erlaubt Transitserver, der SPF Fehlschlag wird weitergeleitet und reported (
Somit wird die Mail als Spam eingestuft und kann ggf. freigegeben werden, was bei einem Drop/Bounce nicht der Fall wäre
).
Der Neutral-Qualifier gibt an, dass keine Informationen zum SPF vorliegen.
Ein SPF Record darf nur 255 Zeichen beinhalten, kann durch Include Befehle erweitert werden mit der weiteren Limitierung von 10 Suchvorgängen maximal.
Für Subdomains gelten die gleichen Regeln wie für eine Top Level Domain. Ein SPF gilt immer nur für die Domain, in der er eingerichtet ist. In Domains wie demon.co.uk benötigt sowohl die Subdomain demon.co.uk als auch die Top Level Domain co.uk einen jeweils eigenen SPF.
Der Einsatz von SPF ist wichtig, um Bounce-Mails zu verhindern, die unter Umständen den Server lahmlegen können. Auch wird durch SPF sichergestellt, dass Phishing-Angriffe auf Grund laufen und dadurch wirtschaftlicher Schaden von der Firma abgewendet wird.
Security-Hersteller wie NoSpamProxy, Proofpoint oder Hornetsecurity, die ADN im Portfolio hat, sichern den Mailverkehr zusätzlich wie eine Festung. Bei Fragen, welcher Anbieter am besten zum eigene Bedarf passt, können sich Interessierte jederzeit gerne an das ADN-Team wenden. Mehr Infos unter: Networking & Security: ADN – Value Added IT-Distribution