Ein SPF-Eintrag (Sender Policy Framework) ist ein Spamschutzverfahren, bei dem in den DNS-Einstellungen einer Domain festgelegt wird, welcher Mailserver bzw. welche IP-Adresse authorisiert ist, für einen Domainnamen eine E-Mail zu versenden.
Beispiel
Der Inhaber der Domain absender.de hat über den SPF-Eintrag festgelegt, welche IP-Adressen berechtigt sind, eine E-Mail für seine Domain zu versenden. Nun wird eine E-Mail für die Domain absender.de an den Empfänger mit der Domain empfaenger.de gesendet. Der Mailserver von empfaenger.de prüft nun beim Empfangen der E-Mail nach, ob die IP-Adresse des absendenden Mailservers im SPF-Eintrag der Domain absender.de vorhanden ist.
Diese Prüfung wird angewandt, um sicherzustellen, dass die Nachricht auch tatsächlich von einem authorisierten Mailserver versandt wurde. Schlägt diese Überprüfung fehl, weil die IP-Adresse des absendenden Mailservers nicht im SPF-Eintrag des Absenders vorhanden ist, dann handelt es sich mit hoher Wahrscheinlichkeit um eine Spamnachricht.
Der SPF-Eintrag wird als TXT in den DNS-Einstellungen einer Domain eingerichtet. Jeder SPF beginnt zunächst mit der Versionsnummer (aktuell: v=spf1). Danach folgen beliebig viele Ausdrücke, die einen SPF-Eintrag definieren und vom empfangenden Mailserver von vorne nach hinten ausgewertet werden. Die meisten Ausdrücke sind Direktiven, die die Autorisierung des Versenders definieren und aus optionalen Qualifikatoren und einem Mechanismus bestehen.
Qualifikator | Ergebniscode | Beschreibung |
+ | Pass | Diese Direktive definiert autorisierte Sender. Sie ist der Standard, d.h. wir kein Qualifikator angegeben, dann wird automatisch + angenommen. |
- | Fail | Diese Direktive definiert nicht autorisierte Sender. |
~ | SoftFail | Diese Direktive definiert nicht autorisierte Sender, aber der empfangende Mailserver soll die fehlgeschlagene Überprüfung großzügig behandeln. |
? | Neutral | Diese Direktive definiert Sender, über deren Legitimität nichts ausgesagt werden soll. Der Sender muss vom Empfänger akzeptiert werden. |
Mechanismus | Direktive trifft zu, wenn ... |
all | immer |
a | ... ein A- oder AAAA-Eintrag der befragten (oder explizit angegebenen) Domain die IP-Adresse des Senders enthält |
mx | ... ein MX-Eintrag der befragten (oder explizit angegebenen) Domain die IP-Adresse des Senders enthält |
ip4 | ... die angegebene IPv4-Adresse die IP-Adresse des Senders ist bzw. das angegebene IPv4-Subnetz diese enthält |
ip6 | … die angegebene IPv6-Adresse die IP-Adresse des Senders ist bzw. das angegebene IPv6-Subnetz diese enthält |
include | … eine zusätzliche SPF-Anfrage zur im Include-Statement angegebenen Domain die IP-Adresse des Senders enthält |
Wenn Sie eine Domain bei uns registrieren, wird automatisch ein SPF-Eintrag von unserem System in den DNS-Einstellungen Ihrer Domain gesetzt. Sie müssen nichts weiter unternehmen.
Wenn Sie den SPF-Eintrag versehentlich gelöscht haben oder einen externen Nameserver für Ihre Domain verwenden möchten, dann können Sie mit dem nachfolgenden SPF-Eintrag unsere Mailserver für Ihre Domain authorisieren:
[leer] IN TXT v=spf1 include:spf.webwide.net -all
Eine Anleitung zur Änderung der DNS-Zone Ihrer Domain können Sie in unserem FAQ-Artikel "Wie kann ich die DNS-Zone meiner Domain anpassen?" finden.
Dies ist selbstverständlich möglich und sollte auch unbedingt erfolgen, sofern Sie noch über weitere Mailserver E-Mails versenden. Ist ein Server nicht im SPF-Eintrag Ihrer Domain eingetragen, dann ist dieser nicht berechtigt, für Ihre Domain eine E-Mail zu versenden. Das bedeutet, dass E-Mails von dieser IP-Adresse vom Empfänger mit hoher Wahrscheinlichkeit abgelehnt werden.
Wenn Sie also weitere IP-Adressen authorisieren möchten, dann sollten Sie unbedingt darauf achten, dass include:spf.webwide.net
in Ihrem SPF-Eintrag enthalten ist. So bleiben unsere Server weiterhin authorisiert für Ihre Domain E-Mails zu versenden.
Um die Richtigkeit Ihrer Syntax zu gewährleisten, greifen Sie am besten auf einen SPF-Generator zurück und tragen dort die gewünschten Daten ein. Sie müssen dann nur noch das Ergebnis als TXT-Eintrag in den DNS-Einstellungen Ihrer Domain hinzufügen.
Leider kann es bei der Verwendung von SPF zu Problemen kommen, wenn der Empfänger eine E-Mail-Weiterleitung auf eine andere Domain einsetzt. Das letzlich empfangende System nimmt in solch einem Fall an, dass die IP-Adresse des weiterleitenden Servers der Absender der E-Mail ist. Diese IP-Adresse ist aber logischerweise nicht im SPF-Eintrag der eigentlichen Absenderdomain enthalten, weswegen die E-Mail als unauthorisiert eingestuft wird.
Hierfür gibt es 2 Lösungsansätze: