SPF-Syntax
Das Format eines SPF-Eintrags ist wie folgt:
v=spf1 [mechanisms] [qualifiers]Jeder der Mechanismen wird unten erläutert.
v=spf1
Das v=spf1-Tag gibt die Version und das Protokoll des SPF-Eintrags an. Es gibt nur eine Version von SPF, und das Protokoll ist immer spf1.
Mechanismen
Die Mechanismen sind die Regeln, die definieren, wie die IP-Adresse oder der Host des Absenders mit der SPF-Policy abgeglichen wird. Es gibt verschiedene Arten von Mechanismen:
| Tag | Beschreibung |
|---|---|
| a | Vergleicht die IP-Adresse des Absenders mit den A- oder AAAA-Einträgen der Domain. |
| mx | Vergleicht die IP-Adresse des Absenders mit den MX-Einträgen der Domain. |
| ip4 | Vergleicht die IPv4-Adresse des Absenders mit einem bestimmten Bereich. |
| ip6 | Vergleicht die IPv6-Adresse des Absenders mit einem bestimmten Bereich. |
| include | Bezieht die SPF-Policy einer anderen Domain ein. |
Qualifikatoren
Die Qualifikatoren sind die Aktionen, die angeben, wie der Empfänger die E-Mails behandeln soll, die mit den Mechanismen übereinstimmen oder nicht. Es gibt vier Arten von Qualifikatoren:
| Tag | Beschreibung |
|---|---|
| + | Pass, die E-Mail wird akzeptiert (NICHT EMPFOHLEN). |
| ? | Neutral, die E-Mail wird weder akzeptiert noch abgelehnt (NICHT EMPFOHLEN). |
| - | Fail, die E-Mail wird abgelehnt. |
| ~ | Softfail, die E-Mail wird akzeptiert, aber als verdächtig markiert. |
Die richtige SPF-Qualifikatorwahl
Die Wahl des SPF-Qualifikators hängt von der Präferenz und Risikotoleranz des Domaininhabers ab. Im Allgemeinen wird empfohlen, den Hard Fail (-)-Qualifikator für Domains zu verwenden, die kritische oder sensible E-Mails senden, wie z.B. Finanz- oder Rechtsdienstleistungen. Auf diese Weise kann der Domaininhaber sicherstellen, dass nur autorisierte Server E-Mails in seinem Namen senden können und dass gefälschte E-Mails vom Empfängerserver abgelehnt werden. Der Domaininhaber sollte jedoch auch sicherstellen, dass sein SPF-Eintrag korrekt und aktuell ist und dass er alle legitimen Quellen für E-Mails seiner Domain einschließt, wie z.B. Webhosts, E-Mail-Anbieter, Drittanbieterdienste usw. Andernfalls besteht das Risiko, dass einige gültige E-Mails, die den SPF-Check nicht bestehen, verloren gehen.
Andererseits kann der Soft Fail (~)-Qualifikator eine gute Option für Domains sein, die weniger kritische oder weniger sensible E-Mails senden, wie z.B. Newsletter, Marketing oder soziale Medien. Auf diese Weise kann der Domaininhaber seine Präferenz für autorisierte Server angeben, aber auch dem Empfängerserver etwas Flexibilität lassen, wie er die E-Mail behandeln soll. Dies kann die Wahrscheinlichkeit verringern, gültige E-Mails zu verlieren, die den SPF-Check nicht bestehen, aber es kann auch die Wahrscheinlichkeit erhöhen, gefälschte E-Mails zu erhalten, die den SPF-Check bestehen.
Die Neutral (?)- und Allow all (+)-Qualifikatoren werden für keine Domain empfohlen, da sie keinen Nutzen oder Schutz gegen E-Mail-Spoofing und Phishing-Angriffe bieten. Sie deaktivieren im Wesentlichen den SPF-Mechanismus und erlauben jedem Server, E-Mails im Namen der Domain zu senden. Dies kann dem Ruf und der Zustellbarkeit der Domain schaden und die Benutzer der Domain bösartigen E-Mails aussetzen.
Beispiel
Ein Beispiel für einen einfachen SPF-Eintrag ist:
v=spf1 mx -allDies bedeutet, dass nur die IP-Adressen, die den MX-Einträgen der Domain entsprechen, berechtigt sind, E-Mails im Namen der Domain zu senden, und jede andere IP-Adresse wird abgelehnt.
Verwandte Themen
- Was ist SPF? - Einführung in SPF und seinen Zweck
- Wie funktioniert SPF? - Technische Details zum Betrieb von SPF
- Warum ist SPF wichtig? - Vorteile und Bedeutung von SPF
- Einschränkungen von SPF - Aktuelle Beschränkungen und Herausforderungen
- SPF-Weiterleitung - Verwendung des Weiterleitungsmodifikators
- SPF-Einstellungen - SPF-Einstellungen konfigurieren