Absenderreputation und E-Mail-Sicherheit – Teil 2: Sender Policy Framework (SPF)

Woher wissen Sie eigentlich, dass die E-Mails, die Sie heute bekommen haben, wirklich von den angegebenen Absendern stammen? In anderen Worten: dass die E-Mails authentisch sind und die im E-Mail-Programm angegebenen Absender auch die tatsächlichen Absender sind?

Mit E-Mails ist es nämlich ein bisschen so wie mit Briefen – auf den Umschlag und das Briefpapier kann man mit ein bisschen Trickserei drauf schreiben, was man will. Bei E-Mails sind die Tricksereien sogar besonders einfach. Und das nutzen Cyberkriminelle auch schamlos aus: Mit Hilfe von gefälschten Absenderadressen versendete E-Mails sind beispielsweise ein beliebter Weg, mit Trojanern verseuchte Anhänge sowie andere Schadsoftware zu verteilen.

Was ist SPF?

SPF, DKIM, DMARC und ARC sind essenzielle Technologien für die Erkennung von gefälschten Absenderdomains sowie zur Abwehr von Phishing-Angriffen. In Teil 2 unserer Artikelserie zur Absenderreputation geht es um eine Methode, mit der bestimmte IP-Adressen für das Senden von E-Mails autorisiert werden können: Sender Policy Framework (SPF) ist eine einfache und wirksame Methode, um den Missbrauch von Absenderdomains zu verhindern.

Mit SPF legitime IP-Adressen definieren

Eine E-Mail hat immer zwei Absenderadressen:

Envelope Sender

Der Envelope Sender ist die Adresse, die als Parameter MAIL FROM: übergeben wird und letztlich relevant für den Transport ist. In E-Mail-Programmen wird sie meist nicht angezeigt.

Header From

Der Header From ist die Adresse, die im E-Mail-Programm als Absender sichtbar ist. Sie ist mit dem Absender auf dem Briefpapier vergleichbar.

Problematisch wird es, wenn Kriminelle versuchen, Phishing-Mails über eine gefälschte ‚MAIL FROM‘-Adresse zu versenden. Genau hier greift Sender Policy Framework (SPF).

Wie funktioniert Sender Policy Framework (SPF)?

Im SPF gibt der Inhaber einer Domain im Domain Name System (DNS) alle IP-Adressen der Mail Transfer Agents (MTAs) – also der Server – an, die im Namen der eigenen Domain E-Mails versenden dürfen. Dazu erstellt er in der entsprechenden DNS-Zone einen sogenannten SPF-Eintrag (SPF Record). Technisch gesehen handelt es sich hierbei um einen TXT-Eintrag (TXT Record), dessen Syntax in der RFC7208 exakt spezifiziert ist.

Der empfangende Server prüft dann, welche Domain in der ‚MAIL FROM‘-Adresse angegeben ist und ermittelt im Rahmen einer DNS-Abfrage, ob für die Domain ein SPF-Eintrag existiert. Ist dies der Fall, liest er die Informationen aus und vergleicht die IP-Adresse des sendenden MTA mit den erlaubten Adressen. Taucht die IP-Adresse des einliefernden MTA nicht im SPF-Eintrag der Domain auf, ist er für den Versand von E-Mails im Namen dieser Domain nicht autorisiert.

Wie sieht ein SPF-Eintrag aus?

Wie bereits erwähnt, handelt es sich bei einem SPF-Eintrag um eine einfache TXT-Datei. Alle SPF-Einträge beginnen mit der Angabe der Versionsnummer. Aktuell lautet die entsprechende Angabe v=spf1. Die dann folgenden Ausdrücke werden von vorne nach hinten verarbeitet. Die meisten dieser Ausdrücke sind sogenannte Direktiven, die eine Aussage zur Autorisierung eines Absenders treffen. Sie beschreiben also, ob der jeweilige Absender zum Senden der E-Mail berechtigt ist.

Qualifikatoren

Qualifikatoren definieren autorisierte beziehungsweise nicht autorisierte Sender und beschreiben, wie diese behandelt werden sollen.

QualifikatorCodeBeschreibung
+PassSender ist autorisiert (Standard), E-Mail wird angenommen.
FailSender ist nicht autorisiert, E-Mail wird nicht angenommen.
~SoftFailSender ist nicht autorisiert, wird aber angenommen und als Spam markiert.
?NeutralKeine Aussage über den Sender, E-Mail wird angenommen.

Mechanismen

Ein Mechanismus liefert für eine IP-Adresse einen oder keinen Treffer. Hier eine Übersicht der gebräuchlichsten Mechanismen:

MechanismusWann trifft die Direktive zu?
allImmer
aWenn ein A-(oder AAAA-)Eintrag der befragten (oder explizit angegebenen) Domain die IP-Adresse des Senders enthält.
mxWenn ein MX-Eintrag der befragten (oder explizit angegebenen) Domain die IP-Adresse des Senders enthält.
ip4Wenn die angegebene IPv4-Adresse die Adresse des Senders ist oder das angegebene IPv4-Subnetz diese Adresse enthält.
ip6Wenn die angegebene IPv6-Adresse die Adresse des Senders ist oder das angegebene IPv6-Subnetz diese enthält.
includeWenn eine zusätzliche SPF-Anfrage zur im Include-Statement angegebenen Domain die IP-Adresse des Senders enthält.
redirectIP-Adresse des Senders, die durch den SPF-Eintrag einer anderen Domain legitimiert wird.

Beispiel eines SPF-Eintrags

v=spf1 +mx:netatwork.de +ip4:80.66.20.18 +ip4:80.82.206.0/26 include:spf.protection.outlook.com +a:vwp15685.webpack.hosteurope.de +ip4:193.37.132.2 +ip4:193.37.132.101 include:customers.clickdimensions.com -all

In diesem Beispiel kommen verschiedene Mechanismen zum Einsatz, über die IP-Adressen zum Senden legitimiert werden:

  •  mx: IP-Adressen, die im entsprechenden MX-Eintrag gelistet sind, dürfen E-Mails senden.
  • ip4: Hier explizit genannte IP-Adressen dürfen E-Mails senden.
  • a: Server, die die Websites mit den angegebenen Domains hosten, dürfen E-Mails senden.
  • include: Zusätzliche Domains, deren SPF-Einträge verwertet werden.
  • -all: Alle nicht genannten IP-Adressen dürfen NICHT senden!

SPF-Eintrag prüfen

Mit Hilfe von Tools wie mxtoolbox können Sie schnell und einfach prüfen, ob für Ihre Domain ein SPF-Eintrag vorliegt. Sie haben dazu zwei Möglichkeiten:

SPF Record erstellen

Wir zeigen Ihnen in unserem Video Schritt-für-Schritt, wie Sie einen SPF Record erstellen können.

Ist der Einsatz von SPF sinnvoll?

Ja, allerdings ist der alleinige Einsatz von SPF-Einträgen zum Schutz der eigenen Domain und bei der Prüfung eingehender E-Mails nur bedingt hilfreich. Wird allein SPF eingesetzt, muss der E-Mail-Administrator alle Änderungen seiner Infrastruktur im Auge behalten, denn die Aktualität des SPF-Eintrags muss in jedem Fall sichergestellt sein. Dies beinhaltet nicht nur die E-Mail-Server, die für den Versand zuständig sind, sondern auch die dazugehörigen IP-Adressen.

Außerdem müssen auch Server berücksichtigt werden, die nicht im eigenen Netzwerk stehen und für die im Normalfall keine Autorisierung vorliegt. Dies gilt vor allem für Newsletter-Versanddienste oder andere Dienste, über die E-Mails umgeleitet werden. Seriöse Anbieter bieten ihren Kunden allerdings immer ein ‘include’ an, womit der entsprechende MTA legitimiert wird. Aber auch bei Weiterleitungen können Probleme entstehen, wenn die ‘MAIL FROM’-Adresse die ursprüngliche Domain enthält, die E-Mail aber über eine andere IP-Adresse versendet wurde.

Ohne eine flächendeckende Überwachung der eingesetzten Infrastruktur kann es so schnell zu Fehlern bei der SPF-Prüfung kommen, weil der weiterverarbeitende Server in der Regel nicht im SPF-Eintrag der ursprünglichen Absenderdomain gelistet ist.

Das Problem der Um- und Weiterleitungen wird durch den Einsatz weiterer Technologien wie ARC, DKIM und DMARC entschärft, die wir ebenfalls im Rahmen dieser Artikelserie beleuchten.

Was SPF nicht kann

SPF ist ein einfach zu implementierendes Mittel, um Domainmissbrauch zu verhindern und wird in zunehmendem Maße ein- und sogar vorausgesetzt. Dennoch ist der Einfluss von SPF auf die E-Mail-Sicherheit begrenzt:

  • SPF schützt nicht vor dem Fälschen der Header-From-Adresse, also dem Spoofing der Absenderadresse, die vom E-Mail-Client angezeigt wird.
  • Auch Spammer können SPF verwenden.
  • SPF hilft nicht, wenn jemand unerlaubt E-Mails über Ihren E-Mail-Server versendet.

Mit NoSpamProxy und SPF E-Mail-Sicherheit verbessern

NoSpamProxy wertet SPF-Einträge konsequent aus und passt die Bewertung durch Level of Trust entsprechend an, falls der sendende MTA nicht im jeweiligen SPF-Eintrag des Absenders gelistet ist. Falls eine E-Mail auf Basis des SPF-Eintrags nicht authentifiziert werden kann, werden keine Level-of-Trust-Punkte vergeben – dies geschieht nur, falls die Absenderadresse der E-Mail mindestens durch einen gültigen SPF-Eintrag oder weitere Kriterien authentifiziert werden kann. Ein gültiger SPF-Eintrag verbessert somit die Bewertung der Reputation durch NoSpamProxy.

SPF ist ein wichtiger Baustein zur Verbesserung der E-Mail-Hygiene, sollte aber immer durch DKIM, DMARC und ARC begleitet werden.