SPF steht für Sender Policy Framework und ist eine Technik zur Vermeidung von Spam- oder Virenmails mit gefälschtem Absender.

Da bei SPF in der Zonendatei des Nameservers der Absenderdomain ein spezieller Eintrag eingebaut wird, ist gewährleistet, dass Unbefugte keine Manipulationen vornehmen können.

 

Funktion im Detail:

Bei SPF wird ein Record vom Typ TXT direkt bei der Domain hinterlegt. Diesen Eintrag nimmt der Domain-Besitzer vor. In diesem Eintrag werden die berechtigten Server eingetragen, denen es erlaubt ist, im Auftrag der Domain zu versenden.

Mailserver bzw. Spamfilter können bei eingehenden Mails anhand der Absenderdomäne und den Informationen aus dem SPF-Eintrag dieser Domäne feststellen, ob der sendende SMTP-Server überhaupt berechtigt war, diese Mails zu versenden.

Beispiel für einen SPF-Eintrag:

IN    TXT    "v=spf1 mx ip4:212.44.23.142 -all"

 

  • es sind alle Rechner, für die MX-Records in dieser Domäne existieren, gültig
  • zusätzlich sind Mails vom Server mit der IP "212.44.23.142" erlaubt
  • alle anderen Mailserver sind Spam-/Virenschleudern und nicht autorisiert

 

Problem bei Weiterleitung von Emails:

Weiterleitungen von E-Mails werden nur unterstützt, wenn die Absenderadresse vom weiterleitenden Server so umgeschrieben wird, dass die SPF-Einträge der ursprünglichen Absenderdomain nicht mehr stören.


Beispiel 1:

Eine E-Mail wird von Firma „einefirma.de“ versendet.

Absender: info@einefirma.de
Sendender-Server: mail.einefirma.de
-----
Empfänger: kunde@kundenadresse.de
Empfangs-Server: mail.kundenadresse.de --> SPF-Prüfung „einefirma.de“ MX = gültig


Erweitern wir nun dieses Beispiel, so dass eine Weiterleitung eingerichtet ist, der diese Email am Server „mail.kundenadresse.de“ weiterleitet an info@12345.pushyourmail.de

Absender: info@einefirma.de
Sendender-Server: mail.kundenadresse.de (In diesem Fall der Server, der die Email weiterleitet)

Empfänger: info@12345.pushyourmail.de

SPF-Prüfung:  fehlgeschlagen

Die Mail wird also nicht zugestellt, da mail.kundenadresse.de nicht berechtigt ist im Auftrag von einefirma.de zu versenden, da nur der MX-Eintrag (mail.einefirma.de) berechtigt wäre.

Die Lösung SRS:

Das Problem lässt sich mit SRS umgehen: SRS (Sender Rewriting Scheme) ist ein Verfahren, mit dem weiterleitende Mailserver standardkonform Absenderadressen anpassen können.

Der weiterleitende Mailserver würde in diesem Fall die E-Mail nicht einfach nur weiterleiten, sondern die Absender-Adresse umschreiben in z.B. kunde+info#einefirma.de@kundenadresse.de


Absender: kunde+info#einefirma.de@kundenadresse.de
Sendender-Server: mail.kundenadresse.de
Empfänger: info@12345.pushyourmail.de
Empfangsserver: mail.pushyourmail.de --> SPF-Prüfung OK

Nachteile von SPF:

  • das für Mail-Weiterleitungen wichtige SRS-Verfahren hat sich in der Praxis ebenfalls noch nicht sehr weit herumgesprochen.
  • ein Providerwechsel erfordert genaue Planung und Anpassung der SPF-Einträge während der Umzugsphase
  • viele Anwender wissen nichts von Ihren SPF-Einträgen (bzw. den SPF-Einträgen Ihrer Firma) und verwenden nicht autorisierte Mailserver Ihrer lokalen Einwahlprovider. Dies führt natürlich zu Bounces.

 

Hosted Exchange / Email-Maskierung

Anmerkung für Hosted Exchange Kunden, die eine Email-Maskierung und pushyourmail Adresse einsetzen:

Mit Hosted Exchange 2013 bieten wir kostengünstige IMAP/POP3-Only Postfächer an.

  • Somit können Sie Ihre Domain vollständig auf Hosted Exchange umstellen, und dabei Ihre MX, CNAME und TXT-Einträge auf unseren Dienst ausrichten
  • Nutzen Sie Ihr Hosted Exchange Postfach mit einer eigenen Domain, statt mit einer Email-Maskierung auf @web.de / @gmx.de etc.