Was ist ein SPF-Eintrag und wie kann ich ihn einrichten?
Inhaltsverzeichnis
- Einleitung
- Wie ist ein SPF-Eintrag aufgebaut?
- Wie muss der SPF-Eintrag aussehen, wenn ich meine E-Mails über Webwide versende?
- Kann ich weitere Server in den SPF-Eintrag aufnehmen, wenn ich nicht nur die Server von Webwide verwende?
- Können Probleme beim Verwenden von SPF auftreten?
- Wie kann ich SPF für meine Domain bei WebWide einrichten?
Ein SPF-Eintrag (Sender Policy Framework) ist ein Spamschutzverfahren, bei dem in der DNS-Zone einer Domain festgelegt wird, welcher Server bzw. welche IP-Adresse authorisiert ist, für einen Domainnamen eine E-Mail zu versenden.
Beispiel
Der Inhaber der Domain absender.de hat über den SPF-Eintrag festgelegt, welche IP-Adressen berechtigt sind, eine E-Mail für seine Domain zu versenden. Nun wird eine E-Mail für die Domain absender.de an den Empfänger mit der Domain empfaenger.de gesendet. Der Mailserver von empfaenger.de prüft nun beim Empfangen der E-Mail nach, ob die IP-Adresse des absendenden Mailservers im SPF-Eintrag der Domain absender.de vorhanden ist.
Diese Prüfung wird angewandt, um sicherzustellen, dass die Nachricht auch tatsächlich von einem authorisierten Mailserver versandt wurde. Schlägt diese Prüfung fehl, weil die IP-Adresse des absendenden Mailservers nicht im SPF-Eintrag der Absenderdomain (envelope-FROM) enthalten ist, handelt es sich mit hoher Wahrscheinlichkeit um eine Spamnachricht und wird verworfen.
Wie ist ein SPF-Eintrag aufgebaut?
Der SPF-Eintrag wird als TXT-Eintrag in der DNS-Zone einer Domain eingerichtet. Jeder SPF beginnt zunächst mit der Versionsnummer (aktuell: v=spf1). Danach folgen beliebig viele Ausdrücke, die einen SPF-Eintrag definieren und vom empfangenden Mailserver von vorne nach hinten ausgewertet werden. Die meisten Ausdrücke sind Direktiven, die die Autorisierung des Versenders definieren und aus optionalen Qualifikatoren und einem Mechanismus bestehen.
| Qualifikator | Ergebniscode | Beschreibung |
+ | Pass | Diese Direktive definiert autorisierte Sender. Wird kein Qualifikator angegeben, dann wird automatisch + als Standard angenommen. |
- | Fail | Diese Direktive definiert nicht autorisierte Sender. |
~ | SoftFail | Diese Direktive definiert nicht autorisierte Sender, aber der empfangende Mailserver soll die fehlgeschlagene Überprüfung großzügig behandeln. |
? | Neutral | Diese Direktive definiert Sender, über deren Legitimität nichts ausgesagt werden soll. Der Sender muss vom Empfänger akzeptiert werden. |
| Mechanismus | Direktive trifft zu, wenn ... |
all | immer |
a | ... ein A- oder AAAA-Eintrag der befragten (oder explizit angegebenen) Domain die IP-Adresse des Senders enthält |
mx | ... ein MX-Eintrag der befragten (oder explizit angegebenen) Domain die IP-Adresse des Senders enthält |
ip4 | ... die angegebene IPv4-Adresse die IP-Adresse des Senders ist bzw. das angegebene IPv4-Subnetz diese enthält |
ip6 | … die angegebene IPv6-Adresse die IP-Adresse des Senders ist bzw. das angegebene IPv6-Subnetz diese enthält |
include | … eine zusätzliche SPF-Anfrage zur im Include-Statement angegebenen Domain die IP-Adresse des Senders enthält |
Wie muss der SPF-Eintrag aussehen, wenn ich meine E-Mails über Webwide versende?
Wenn Sie eine Domain bei uns registrieren, wird automatisch ein SPF-Eintrag von unserem System in den DNS-Einstellungen Ihrer Domain gesetzt. Sie müssen nichts weiter unternehmen.
Wenn Sie den SPF-Eintrag versehentlich gelöscht haben oder einen externen Nameserver für Ihre Domain verwenden möchten, dann können Sie mit dem nachfolgenden SPF-Eintrag unsere Mailserver für Ihre Domain authorisieren:
[leer] IN TXT v=spf1 include:spf.webwide.net -all
Kann ich weitere Server in den SPF-Eintrag aufnehmen, wenn ich nicht nur die Server von Webwide verwende?
Dies ist selbstverständlich möglich und sollte auch unbedingt erfolgen, sofern Sie noch über weitere Mailserver E-Mails versenden. Ist ein Server nicht im SPF-Eintrag Ihrer Domain eingetragen, dann ist dieser nicht berechtigt, für Ihre Domain eine E-Mail zu versenden. Das bedeutet, dass E-Mails von dieser IP-Adresse vom Empfänger mit hoher Wahrscheinlichkeit abgelehnt werden.
Wenn Sie weitere IP-Adressen authorisieren möchten, sollten Sie unbedingt darauf achten, dass include:spf.webwide.net in Ihrem SPF-Eintrag enthalten ist. So bleiben unsere Server weiterhin authorisiert für Ihre Domain E-Mails zu versenden.
Um die Richtigkeit Ihrer Syntax zu gewährleisten, greifen Sie am besten auf einen SPF-Generator zurück und tragen dort die gewünschten Daten ein. Sie müssen dann nur noch das Ergebnis als TXT-Eintrag in den DNS-Einstellungen Ihrer Domain hinzufügen.
Können Probleme beim Verwenden von SPF auftreten?
Leider kann es bei der Verwendung von SPF zu Problemen kommen, wenn der Empfänger eine E-Mail-Weiterleitung auf eine andere Domain einsetzt. Das letzlich empfangende System nimmt in solch einem Fall an, dass die IP-Adresse des weiterleitenden Servers der Absender der E-Mail ist. Diese IP-Adresse ist aber logischerweise nicht im SPF-Eintrag der eigentlichen Absenderdomain enthalten, weswegen die E-Mail als unauthorisiert eingestuft wird.
Hierfür gibt es 2 Lösungsansätze:
- Der empfangende Server verzichtet auf die SPF-Prüfung bei E-Mails der weiterleitenden Domain, z. B. durch einen Eintrag in seiner Whitelist.
- Der weiterleitenden Server nutzt das SRS-Verfahren (Sender Rewriting Scheme). Hierbei schreibt der weiterleitende Server die Umschlags-Absenderadresse auf seine eigene Domain um.
Wie kann ich SPF für meine Domain bei WebWide einrichten?
Nach dem Login werden Ihnen die Domain(s) angezeigt, die Sie bei uns verwalten. Klicken Sie nun auf das Zahnrad bei Ihrer Domain, um in die Einstellungen der jeweiligen Domain zu gelangen und wechseln Sie anschließend in den Reiter DNS.
Klicken Sie auf Eigene Zone anlegen, um die unten angezeigte DNS-Zone zu überschreiben.
Für alle Kunden, die unseren Mailservice verwenden, legen wir automatisch einen SPF-Eintrag an, der unsere E-Mail-Server beinhaltet.
Wenn Sie weitere Server nutzen, um E-Mails für Ihre Domain zu versenden, oder einen anderen E-Mail-Dienst authorisieren möchten, dann können Sie den bestehenden Eintrag einfach abändern. Wie im Absatz "Kann ich weitere Server in den SPF-Eintrag aufnehmen, wenn ich nicht nur die Server von Webwide verwende?" beschrieben, empfehlen wir Ihnen hierzu einen SPF-Generator zu verwenden.
Klicken Sie auf Speichern, um die getätigten Einstellungen zu übernehmen.
Bitte beachten Sie, dass DNS-Änderungen zwischen 12 und 48 Stunden dauern können, bevor diese global wirksam werden. Dies ist abhängig von den jeweiligen Zugangsprovidern und kann von uns nicht beeinflusst werden. Mehr über die DNS-Propagation erfahren Sie in unserem Blogartikel "DNS-Propagation: Was ist das?".