SPF benutzen

Das Sender Policy Framework (SPF) ist ein Verfahren, dass den Missbrauch von Email-Absendern erschweren bzw. verhindern soll.

Bei SPF trägt der Inhaber einer Domain im DNS ein, welche IP-Adressen (Mailserver/Webserver) E-Mails für diese Domain versenden dürfen.
Der Empfänger kann dann entscheiden ob er diese Angaben beachten möchte.

Bei einer falschen Konfiguration erhalten Sender die Fehlermeldung "Emailempfang wegen SPF (Sender Policy Framework) verweigert."
Weitere Infos zum Thema sind hier:

Ohne SPF
Falls kein SPF Eintrag besteht, so gibt es keine Einschränkungen der E-Mail-Quelle für die Domain.
Ein Empfänger nimmt daher Emails von allen Quellen weltweit an.

Mit SPF
Falls man einen SPF Eintrag hat, so muss man sicherstellen das alle Quellen erwähnt sind.
Typischerweise werden Webserver oder auch Newsletter-Server vergessen, die ebenfalls Emails versenden können. 
Falls man neben unseren Servern zusätzlich auch Office-365 (Online Office) oder gmail verwendet, müssen diese im SPF DNS-Eintrag ebenfalls erwähnt werden.

Das -all am Schluss zeigt, das Emails aus anderen Sender-Quellen als den erwähnten nicht erlaubt sind.

Empfehlung bei Verwendung unserer Mail- und virtuellen Webserver:
@   TXT   v=spf1 a mx ip4:81.201.202.0/26 ip4:81.201.201.0/25 -all

Empfehlung bei Verwendung unserer Mail- und virtuellen Webserver und zusätzlich von Office 365:
@   TXT   v=spf1 a mx ip4:81.201.202.0/26 ip4:81.201.201.0/25 include:spf.protection.outlook.com -all

Empfehlung bei Verwendung unserer Mail- und virtuellen Webserver und zusätzlich gmail:
@   TXT   v=spf1 a mx ip4:81.201.202.0/26 ip4:81.201.201.0/25 include:_spf.google.com -all

Empfehlung bei Verwendung unserer Mail- und virtuellen Webserver und zusätzlichen Servern:
@   TXT   v=spf1 a mx ip4:81.201.202.0/26 ip4:81.201.201.0/25 ip4:x.x.x.x -all
Dabei entspricht x.x.x.x der IP des zusätzlichen Servers und kann mehrfach eingegeben werden.

 

Testen

Testen Sie am Schluss ob der Eintrag korrekt ist: https://mxtoolbox.com/spf.aspx

 

Beachten

  • Erstellen Sie zuerst SPF, dann DKIM und dann DMARC.

  • Stellen Sie sicher das alle Email-Ersteller die Emails über ein Konto des Mailserver versenden!
    Z.B. ein Kontaktformular des Webservers, ein Newsletter usw.


  • Wenn der Mailserver mehrere Domains benutzt (Mailserver-Alias), so muss im DNS-Server jeder dieser Domains der gleiche SPF-Eintrag erstellt werden.

  • Es darf nur 1 SPF-Eintrag erstellt werden. 

  • Ein Eintrag "* TXT v=spf1...." scheint zwar auf den ersten Blick gut zu sein und besteht den SPF-Test. Dies erzeugt jedoch ungültige Antworten z.B. bei DMARC-Abfragen und ist daher zu unterlassen.

  • Die Verwendung von ~all ist nicht empfohlen.
     

 

  • DNS, SPF, DKIM, Absender, Email, Spam, verweigert, Sender Policy Framework, DMARC
  • 3 Benutzer fanden dies hilfreich
War diese Antwort hilfreich?

Verwandte Beiträge

Zugriff auf temporäre Webseiten

Wie kann ich auf eine Website zugreifen, wenn die DNS-Einträge nicht darauf zeigen?Dies kann z.B....

Domain-Halter und Domain-Angaben anzeigen und ändern

Die Adressen von Domain-Halter oder -Technik sind aus Datenschutzgründen öffentlich nicht mehr...

Google Domaininhaberschaft

Bei Dienstleistungen Dritter muss man oft bestätigen, dass man der Inhaber einer Domain ist....

Kann ich Domainnamen mit Umlauten kaufen und benutzen?

Technisch ist es heute möglich Domain-Namen mit Umlauten zu verwenden. Wir raten Ihnen aber...

Neue Top Level Domains (nTDL)

nTLD sind neue Top Level Domains, also zusätzlich zu den traditionellen wie z.B. .ch .com...