Artikelserie: Absenderreputation und E-Mail-Sicherheit
Teil 1: Authenticated Received Chain (ARC)
Teil 2: Sender Policy Framework (SPF)
Teil 3: DomainKeys Identified Mail (DKIM)
Teil 4: Domain-based Message Authentication, Reporting and Conformance (DMARC)
Was ist SPF?
SPF, DKIM, DMARC und ARC sind essenzielle Technologien für die Erkennung von gefälschten Absenderdomains sowie zur Abwehr von Phishing-Angriffen. In Teil 2 unserer Artikelserie zur Absenderreputation geht es um eine Methode, mit der bestimmte IP-Adressen für das Senden von E-Mails autorisiert werden können: Sender Policy Framework (SPF) ist eine einfache und wirksame Methode, um den Missbrauch von Absenderdomains zu verhindern.
Mit SPF legitime IP-Adressen definieren
Eine E-Mail hat immer zwei Absenderadressen:
Envelope Sender
Der Envelope Sender ist die Adresse, die als Parameter MAIL FROM: übergeben wird und letztlich relevant für den Transport ist. In E-Mail-Programmen wird sie meist nicht angezeigt.
Header From
Der Header From ist die Adresse, die im E-Mail-Programm als Absender sichtbar ist. Sie ist mit dem Absender auf dem Briefpapier vergleichbar.
Problematisch wird es, wenn Kriminelle versuchen, Phishing-Mails über eine gefälschte ‚MAIL FROM‘-Adresse zu versenden. Genau hier greift Sender Policy Framework (SPF).
Wie funktioniert Sender Policy Framework (SPF)?
Im SPF gibt der Inhaber einer Domain im Domain Name System (DNS) alle IP-Adressen der Mail Transfer Agents (MTAs) – also der Server – an, die im Namen der eigenen Domain E-Mails versenden dürfen. Dazu erstellt er in der entsprechenden DNS-Zone einen sogenannten SPF-Eintrag (SPF Record). Technisch gesehen handelt es sich hierbei um einen TXT-Eintrag (TXT Record), dessen Syntax in der RFC7208 exakt spezifiziert ist.
Der empfangende Server prüft dann, welche Domain in der ‚MAIL FROM‘-Adresse angegeben ist und ermittelt im Rahmen einer DNS-Abfrage, ob für die Domain ein SPF-Eintrag existiert. Ist dies der Fall, liest er die Informationen aus und vergleicht die IP-Adresse des sendenden MTA mit den erlaubten Adressen. Taucht die IP-Adresse des einliefernden MTA nicht im SPF-Eintrag der Domain auf, ist er für den Versand von E-Mails im Namen dieser Domain nicht autorisiert.
Wie sieht ein SPF-Eintrag aus?
Wie bereits erwähnt, handelt es sich bei einem SPF-Eintrag um eine einfache TXT-Datei. Alle SPF-Einträge beginnen mit der Angabe der Versionsnummer. Aktuell lautet die entsprechende Angabe v=spf1. Die dann folgenden Ausdrücke werden von vorne nach hinten verarbeitet. Die meisten dieser Ausdrücke sind sogenannte Direktiven, die eine Aussage zur Autorisierung eines Absenders treffen. Sie beschreiben also, ob der jeweilige Absender zum Senden der E-Mail berechtigt ist.
Qualifikatoren
Qualifikatoren definieren autorisierte beziehungsweise nicht autorisierte Sender und beschreiben, wie diese behandelt werden sollen.
Qualifikator | Code | Beschreibung |
---|---|---|
+ | Pass | Sender ist autorisiert (Standard), E-Mail wird angenommen. |
– | Fail | Sender ist nicht autorisiert, E-Mail wird nicht angenommen. |
~ | SoftFail | Sender ist nicht autorisiert, wird aber angenommen und als Spam markiert. |
? | Neutral | Keine Aussage über den Sender, E-Mail wird angenommen. |
Mechanismen
Ein Mechanismus liefert für eine IP-Adresse einen oder keinen Treffer. Hier eine Übersicht der gebräuchlichsten Mechanismen:
Mechanismus | Wann trifft die Direktive zu? |
---|---|
all | Immer |
a | Wenn ein A-(oder AAAA-)Eintrag der befragten (oder explizit angegebenen) Domain die IP-Adresse des Senders enthält. |
mx | Wenn ein MX-Eintrag der befragten (oder explizit angegebenen) Domain die IP-Adresse des Senders enthält. |
ip4 | Wenn die angegebene IPv4-Adresse die Adresse des Senders ist oder das angegebene IPv4-Subnetz diese Adresse enthält. |
ip6 | Wenn die angegebene IPv6-Adresse die Adresse des Senders ist oder das angegebene IPv6-Subnetz diese enthält. |
include | Wenn eine zusätzliche SPF-Anfrage zur im Include-Statement angegebenen Domain die IP-Adresse des Senders enthält. |
redirect | IP-Adresse des Senders, die durch den SPF-Eintrag einer anderen Domain legitimiert wird. |
Beispiel eines SPF-Eintrags
v=spf1 +mx:netatwork.de +ip4:80.66.20.18 +ip4:80.82.206.0/26 include:spf.protection.outlook.com +a:vwp15685.webpack.hosteurope.de +ip4:193.37.132.2 +ip4:193.37.132.101 include:customers.clickdimensions.com -all
In diesem Beispiel kommen verschiedene Mechanismen zum Einsatz, über die IP-Adressen zum Senden legitimiert werden:
- mx: IP-Adressen, die im entsprechenden MX-Eintrag gelistet sind, dürfen E-Mails senden.
- ip4: Hier explizit genannte IP-Adressen dürfen E-Mails senden.
- a: Server, die die Websites mit den angegebenen Domains hosten, dürfen E-Mails senden.
- include: Zusätzliche Domains, deren SPF-Einträge verwertet werden.
- -all: Alle nicht genannten IP-Adressen dürfen NICHT senden!
SPF-Eintrag prüfen
Mit Hilfe von Tools wie mxtoolbox können Sie schnell und einfach prüfen, ob für Ihre Domain ein SPF-Eintrag vorliegt. Sie haben dazu zwei Möglichkeiten:
- Öffnen Sie den SPF Record Check und geben Sie Ihre Domain ein.
- Senden Sie eine E-Mail an ping@tools.mxtoolbox.com. Sie erhalten nach kurzer Zeit eine Antwort mit dem entsprechenden Ergebnis.
SPF Record erstellen
Wir zeigen Ihnen in unserem Video Schritt-für-Schritt, wie Sie einen SPF Record erstellen können.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Ist der Einsatz von SPF sinnvoll?
Ja, allerdings ist der alleinige Einsatz von SPF-Einträgen zum Schutz der eigenen Domain und bei der Prüfung eingehender E-Mails nur bedingt hilfreich. Wird allein SPF eingesetzt, muss der E-Mail-Administrator alle Änderungen seiner Infrastruktur im Auge behalten, denn die Aktualität des SPF-Eintrags muss in jedem Fall sichergestellt sein. Dies beinhaltet nicht nur die E-Mail-Server, die für den Versand zuständig sind, sondern auch die dazugehörigen IP-Adressen.
Außerdem müssen auch Server berücksichtigt werden, die nicht im eigenen Netzwerk stehen und für die im Normalfall keine Autorisierung vorliegt. Dies gilt vor allem für Newsletter-Versanddienste oder andere Dienste, über die E-Mails umgeleitet werden. Seriöse Anbieter bieten ihren Kunden allerdings immer ein ‘include’ an, womit der entsprechende MTA legitimiert wird. Aber auch bei Weiterleitungen können Probleme entstehen, wenn die ‘MAIL FROM’-Adresse die ursprüngliche Domain enthält, die E-Mail aber über eine andere IP-Adresse versendet wurde.
Ohne eine flächendeckende Überwachung der eingesetzten Infrastruktur kann es so schnell zu Fehlern bei der SPF-Prüfung kommen, weil der weiterverarbeitende Server in der Regel nicht im SPF-Eintrag der ursprünglichen Absenderdomain gelistet ist.
Das Problem der Um- und Weiterleitungen wird durch den Einsatz weiterer Technologien wie ARC, DKIM und DMARC entschärft, die wir ebenfalls im Rahmen dieser Artikelserie beleuchten.
Was SPF nicht kann
SPF ist ein einfach zu implementierendes Mittel, um Domainmissbrauch zu verhindern und wird in zunehmendem Maße ein- und sogar vorausgesetzt. Dennoch ist der Einfluss von SPF auf die E-Mail-Sicherheit begrenzt:
- SPF schützt nicht vor dem Fälschen der Header-From-Adresse, also dem Spoofing der Absenderadresse, die vom E-Mail-Client angezeigt wird.
- Auch Spammer können SPF verwenden.
- SPF hilft nicht, wenn jemand unerlaubt E-Mails über Ihren E-Mail-Server versendet.
Mit NoSpamProxy und SPF E-Mail-Sicherheit verbessern
NoSpamProxy wertet SPF-Einträge konsequent aus und passt die Bewertung durch Level of Trust entsprechend an, falls der sendende MTA nicht im jeweiligen SPF-Eintrag des Absenders gelistet ist. Falls eine E-Mail auf Basis des SPF-Eintrags nicht authentifiziert werden kann, werden keine Level-of-Trust-Punkte vergeben – dies geschieht nur, falls die Absenderadresse der E-Mail mindestens durch einen gültigen SPF-Eintrag oder weitere Kriterien authentifiziert werden kann. Ein gültiger SPF-Eintrag verbessert somit die Bewertung der Reputation durch NoSpamProxy.
SPF ist ein wichtiger Baustein zur Verbesserung der E-Mail-Hygiene, sollte aber immer durch DKIM, DMARC und ARC begleitet werden.