Das Sender Policy Framework (SPF) ist ein Verfahren, dass den Missbrauch von Email-Absendern erschweren bzw. verhindern soll.
Bei SPF trägt der Inhaber einer Domain im DNS ein, welche IP-Adressen (Mailserver/Webserver) E-Mails für diese Domain versenden dürfen.
Der Empfänger kann dann entscheiden ob er diese Angaben beachten möchte.
Bei einer falschen Konfiguration erhalten Sender die Fehlermeldung "Emailempfang wegen SPF (Sender Policy Framework) verweigert."
Weitere Infos zum Thema sind hier:
Ohne SPF-Eintrag
Falls kein SPF Eintrag besteht, so gibt es keine Einschränkungen der E-Mail-Quelle für die Domain.
Ein Empfänger kann daher Emails von allen Quellen weltweit annehmen.
Häufig wird aber der Emailempfang in diesem Falle als Spamschutz verweigert.
Mit SPF
Falls man einen SPF Eintrag hat, so muss man sicherstellen das alle Sende-Quellen erwähnt sind.
Typischerweise werden Webserver oder auch Newsletter-Server vergessen, die ebenfalls Emails versenden können.
Falls man neben unseren Servern zusätzlich auch Microsoft 365 (ehemals Office 365) oder Gmail verwendet, müssen diese im SPF DNS-Eintrag ebenfalls erwähnt werden.
Das -all am Schluss zeigt, das Emails aus anderen Sender-Quellen als den erwähnten nicht erlaubt sind.
Empfehlung bei Verwendung unserer Mail- und virtuellen Webserver:
@ TXT v=spf1 a mx ip4:81.201.202.0/26 ip4:81.201.201.0/25 ~all
Empfehlung bei Verwendung unserer Mail- und virtuellen Webserver und zusätzlich von Microsoft 365:
@ TXT v=spf1 a mx ip4:81.201.202.0/26 ip4:81.201.201.0/25 include:spf.protection.outlook.com ~all
Empfehlung bei Verwendung unserer Mail- und virtuellen Webserver und zusätzlich Gmail:
@ TXT v=spf1 a mx ip4:81.201.202.0/26 ip4:81.201.201.0/25 include:_spf.google.com ~all
Empfehlung bei Verwendung unserer Mail- und virtuellen Webserver und zusätzlichen Servern:
@ TXT v=spf1 a mx ip4:81.201.202.0/26 ip4:81.201.201.0/25 ip4:x.x.x.x ~all
Dabei entspricht x.x.x.x der IP des zusätzlichen Servers und kann mehrfach eingegeben werden.
Empfehlung bei Verwendung unserer Mail- und virtuellen Webserver und zusätzlichen Servern:
@ TXT v=spf1 a mx ip4:81.201.202.0/26 ip4:81.201.201.0/25 include:Empfehlung-des-Hosters.com ~all
Dabei entspricht "Empfehlung-des-Hosters.com" dem vom externen Hoster empfohlen include Eintrag.
Z.B. für Squarespace:
@ TXT v=spf1 a mx ip4:81.201.202.0/26 ip4:81.201.201.0/25 include:squarespace-mail.com ~all
Empfehlung bei Verwendung eines Email-Redirect (Weiterleitung):
@ TXT v=spf1 a mx ip4:81.201.202.0/26 ip4:81.201.201.0/25 ip4:62.116.130.8 ~all
Testen
Testen Sie am Schluss ob der Eintrag korrekt ist: https://mxtoolbox.com/spf.aspx
Beachten
- Erstellen Sie zuerst SPF, dann DKIM und dann DMARC.
- Stellen Sie sicher das alle Email-Ersteller die Emails über ein Konto des Mailserver versenden!
Z.B. ein Kontaktformular des Webservers, ein Newsletter usw. - Wenn der Mailserver mehrere Domains benutzt (Mailserver-Alias), so muss im DNS-Server jeder dieser Domains der gleiche SPF-Eintrag erstellt werden.
- Es darf nur 1 SPF-Eintrag (pro Domain oder Subdomain) erstellt werden.
- Ein Wildcard-Eintrag "* TXT v=spf1...." scheint zwar auf den ersten Blick gut zu sein und besteht den SPF-Test. Dies erzeugt jedoch ungültige Antworten z.B. bei DMARC-Abfragen und ist daher zu unterlassen.
- SPF-Einträge müssen für jede Subdomain erstellt werden.
