Virtueller privater Server

SPF für Mail-Schutz

SPF(Sender Policy Framework) – Ein Tool, um festzustellen, welche Server berechtigt sind, E-Mails im Namen unserer Domain zu versenden. Das heißt, der Eintrag für die Domäne example.com gibt an, was mit Nachrichten von einer beliebigen Person @example.com geschehen soll. Sie können die Nachricht ablehnen oder nur kennzeichnen und Sie über jeden Versuch, sich als diese Domain auszugeben, informieren.

SPF-Prüfung

Eine einfache Regel zur Überprüfung von SPF ist die Abfrage des DNS-Servers nach dem Domain txt-Eintrag der E-Mail-Adresse (z. B. info@roan24.pl ist die Domain roan24.pl). So wird „dig roan24.pl txt“ uns zurückgeben: „v=spf1 a mx ip4:178.33.3.224 -all“, d. h., die Domain hat einen spf-Version-1-Eintrag (v=spf1), und von der angegebenen Domain kann sie nur Mails von IP-Adressen senden, die im A- (a), MX- (mx) Eintrag stehen oder eine ip-Version 4 178.33.3.224 haben (ip4:178.33.3.224). Wie die a- und mx-Einträge funktionieren, können Sie in unserem Artikel DNS-Grundlagen nachlesen.
Dann bleibt nur noch zu prüfen, was mit der Nachricht zu tun ist, d.h. der „all“-Eintrag, am häufigsten wird „~all“ verwendet, was „accept but mark for fraud“ bedeutet, oder „-all“, wenn der sendende Server nicht in der SPF-Liste steht, dann wird die Nachricht ohne weitere Prüfung zurückgewiesen.

Wie man SPF einführt

Eine detaillierte Beschreibung der gesamten Syntax finden Sie auf der openspf-Website, allerdings in englischer Sprache. Aber ich werde hier, hoffentlich deutlich, beschreiben, welche Syntax zu verwenden ist, um SPF auf unserer Domain einzugeben.
Also ja, wir werden immer v=spf1 am Anfang verwenden, da ich hier Version eins von spf beschreiben werde (noch keine Version zwei). Wir haben also einen Eintrag:
v=spf1
Dieser Eintrag sagt uns noch nichts, fügen wir ihm ein all-Tag hinzu – es bedeutet, wie wir die Nachricht behandeln sollen, die wir spf prüfen. Und so können wir ihm vier Zeichen voranstellen: „+“ bedeutet, dass es in Ordnung ist, „-“ bedeutet, dass es nicht bestanden hat, „~“, dass es verdächtig ist, „?“ neutral.
Wenn also der Eintrag „+all“ aussieht und der sendende Host nicht in der Liste steht, sollen wir eine solche Nachricht akzeptieren.
Wenn es sich um „~all“ handelt und der Host nicht auf der Liste steht, sollen wir die Nachricht zwar annehmen, aber als spf-Fehler oder als Spam-verdächtig markieren.
Wenn wir „-all“ haben, bedeutet das nach meiner Empfehlung, dass die Nachricht von einem Server, der nicht in der Liste steht, abgelehnt werden soll.
Der „?all“-Eintrag bedeutet, dass im Grunde nichts passiert ist, ob er nun da ist oder nicht – kurz gesagt, es könnte kein Eintrag vorhanden gewesen sein.
Ich empfehle, entweder „~all“ zu verwenden, wenn sich Ihre Adressen häufig ändern und Sie Schwierigkeiten haben könnten, sie alle einzutippen, oder „-all“, wenn Sie Ihre Serveradressen genau kennen und sie sich nicht allzu oft ändern.
v=spf1 -all
Mit einem Anfang und einem Ende werden wir nun die IP-Adressen bzw. Einträge (in der Mitte des Eintrags) in unsere Liste eintragen.
A – bedeutet, dass der Server in Eintrag a Mails senden darf. ACHTUNG Wenn wir einen Proxy oder cdn (z.B. cloudflare) verwenden, sollten wir dies nicht eingeben, da unser Mailserver nicht berechtigt sein sollte, in unserem Namen Mails zu versenden.
MX – Server von der MX-Adresse Mails senden kann, in der Regel ist dies korrekt eingetragen, hier ist zu beachten, dass wenn Sie die Serveradresse im MX-Eintrag ändern, Sie den SPF-Eintrag nicht mehr ändern müssen, was die Sache vereinfacht, manchmal kann es vorkommen, dass wir ein Gateway zum Empfangen von Mails verwenden und dieser Eintrag nicht verwendet werden sollte.
ip4 – d.h. eine ip-Adresse oder ip/mask-Adresse (z.B. 192.168.0.0/24 ist – 192.168.0.0 bis 192.168.0.255) bedeutet die spezifischen ip-Adressen der Version vier, die berechtigt sind, Mail zu senden.
ip6 – nach dem gleichen Prinzip wie ip4-Adressen, aber es betrifft nur Adressen der Version 6.
Es gibt auch zusätzliche Einträge wie „include“ und „redirect“, include fügt Einträge aus der gegebenen Domain an (durch Durchsuchen der txt) und redirect leitet auf eine andere Domain um, wo wir SPF-Richtlinien im txt-Eintrag finden können.
Auch das Anlegen eines SPF-Eintrags ist selbst für größere Mail-Provider nicht schwierig und wird empfohlen, denken Sie nur daran, dass Sie ihn aktualisieren müssen, wenn Sie die IP-Adresse des Mail-Servers ändern und er nicht per MX hinzugefügt wird. Bei kleinen Domains empfiehlt es sich, kurze Einträge zu verwenden, bei denen z. B. nur der mx-Eintrag hinzugefügt wird. für alle unsere Kunden ist genug:
v=spf1 mx ip4:178.33.3.224 -all

Zusammenfassung

SPF ist nicht ideal für die Absicherung unserer E-Mails, aber es ist einfach genug zu implementieren und kann, wenn es richtig formatiert ist, Phishing im Zusammenhang mit der Imitation unserer E-Mail-Domäne stark reduzieren.

Tags

Bitte beachten Sie, dass Sie durch die Nutzung der Website, ohne Ihre Browsereinstellungen zu ändern, der Datenschutzerklärung und der Speicherung von Cookies zustimmen, die ein effizientes Funktionieren unserer Website ermöglichen.