Das Sender Policy Framework (SPF) ist ein Verfahren, dass den Missbrauch von Email-Absendern erschweren bzw. verhindern soll.
Bei SPF trägt der Inhaber einer Domain im DNS ein, welche IP-Adressen (Mailserver/Webserver) E-Mails für diese Domain versenden dürfen.
Der Empfänger kann dann entscheiden ob er diese Angaben beachten möchte.
Bei einer falschen Konfiguration erhalten Sender die Fehlermeldung "Emailempfang wegen SPF (Sender Policy Framework) verweigert."
Weitere Infos zum Thema sind hier:
Ohne SPF
Falls kein SPF Eintrag besteht, so gibt es keine Einschränkungen der E-Mail-Quelle für die Domain.
Ein Empfänger nimmt daher Emails von allen Quellen weltweit an.
Mit SPF
Falls man einen SPF Eintrag hat, so muss man sicherstellen das alle Quellen erwähnt sind.
Typischerweise werden Webserver oder auch Newsletter-Server vergessen, die ebenfalls Emails versenden können.
Falls man neben unseren Servern zusätzlich auch Microsoft 365 (ehemals Office 365) oder Gmail verwendet, müssen diese im SPF DNS-Eintrag ebenfalls erwähnt werden.
Das -all am Schluss zeigt, das Emails aus anderen Sender-Quellen als den erwähnten nicht erlaubt sind.
Empfehlung bei Verwendung unserer Mail- und virtuellen Webserver:
@ TXT v=spf1 a mx ip4:81.201.202.0/26 ip4:81.201.201.0/25 -all
Empfehlung bei Verwendung unserer Mail- und virtuellen Webserver und zusätzlich von Microsoft 365:
@ TXT v=spf1 a mx ip4:81.201.202.0/26 ip4:81.201.201.0/25 include:spf.protection.outlook.com -all
Empfehlung bei Verwendung unserer Mail- und virtuellen Webserver und zusätzlich Gmail:
@ TXT v=spf1 a mx ip4:81.201.202.0/26 ip4:81.201.201.0/25 include:spf.google.com -all
Empfehlung bei Verwendung unserer Mail- und virtuellen Webserver und zusätzlichen Servern:
@ TXT v=spf1 a mx ip4:81.201.202.0/26 ip4:81.201.201.0/25 ip4:x.x.x.x -all
Dabei entspricht x.x.x.x der IP des zusätzlichen Servers und kann mehrfach eingegeben werden.
Testen
Testen Sie am Schluss ob der Eintrag korrekt ist: https://mxtoolbox.com/spf.aspx
Beachten
- Erstellen Sie zuerst SPF, dann DKIM und dann DMARC.
- Stellen Sie sicher das alle Email-Ersteller die Emails über ein Konto des Mailserver versenden!
Z.B. ein Kontaktformular des Webservers, ein Newsletter usw. - Wenn der Mailserver mehrere Domains benutzt (Mailserver-Alias), so muss im DNS-Server jeder dieser Domains der gleiche SPF-Eintrag erstellt werden.
- Es darf nur 1 SPF-Eintrag erstellt werden.
- Ein Eintrag "* TXT v=spf1...." scheint zwar auf den ersten Blick gut zu sein und besteht den SPF-Test. Dies erzeugt jedoch ungültige Antworten z.B. bei DMARC-Abfragen und ist daher zu unterlassen.
- Die Verwendung von ~all ist nicht empfohlen.
- SPF-Einträge müssen für jede Subdomain erstellt werden.
