• Information

SPF-authentifizierte Server in „E-Mail-Server des Unternehmens“ verwenden

Einige Funktionen in NoSpamProxy können nur über ein PowerShell Cmdlet aktiviert werden . Die Angabe eines SPF-authentifizierten E-Mail-Server des Unternehmens ist eine solche Funktion. Derartige Einträge erleichtern die Pflege von NoSpamProxy enorm. Wir zeigen Ihnen, wie sie diese hilfreiche Funktion einfach und sicher einsetzen können.

E-Mail-Server des Unternehmens definieren die Server eines Unternehmens, welche die eigenen Domänen in der Absenderadresse einer E-Mail verwenden dürfen. Standardmäßig können dort

  • IP-Adressen,
  • Subnetze,
  • Hostnamen,
  • TLS-authentifizierte Hosts und
  • Office 365-Tenants angegeben werden.

Mit Absenderadresse ist hier die ‘MAIL FROM’-Adresse gemeint, also die Adresse, die während des SMTP-Handshakes als Parameter von MAIL FROM übergeben wird.

Per PowerShell einen Eintrag in der Benutzeroberfläche erzeugen

Das Administrieren dieser Server ist bereits seit einiger Zeit per PowerShell möglich. Das entsprechende Cmdlet New-NspCorporateEMailServer hat jedoch einen Schalter, den es noch nicht in der GUI gibt:

-SpfProtectedLocalAddress

Dieser Schalter erzeugt in der Benutzeroberfläche einen neuen Eintrag für eine durch SPF geschützte lokale Adresse:

Corporate email servers, SPF, mailserver, spf record

Die weiteren Schritte werden dann direkt in NoSpamProxy unter Konfiguration > E-Mail-Routing > E-Mail-Server des Unternehmens vorgenommen.

Beispiel für einen SPF Record

Die Pflege kann jetzt über den entsprechenden SPF-Eintrag der geschützten Domäne erfolgen. Vor allem bei der Verwendung eines externen Newsletter-Versenders ist dies hilfreich, da die meisten Anbieter SPF-Einträge bereits pflegen und nur noch eingebunden werden müssen.

Ein SPF Record für ein solches Szenario könnte so aussehen: v=spf1 include:_spf.nospamproxy.com include:spf.servicemail24.de -all
Diese beiden includes zeigen an, dass die Einträge hinter _spf.nospamproxy.com und spf.servicemail24.de abgefragt werden müssen. Mit _spf.nospamproxy.com könnten dann zum Beispiel die IP-Adressen aufgelöst werden: v=spf1 +ip4:211.5.70.246 +ip4:211.5.70.247 -all

Der Eintrag für den Newsletter-Anbieter wird vom jeweiligen Anbieter gepflegt.

Wichtige Hinweise zur sicheren Verwendung

Domänen und IP-Adressen, die im jeweiligen SPF-Eintrag erscheinen, dürfen Ihre Unternehmensdomänen als Absenderadresse verwenden. Wir empfehlen deshalb Folgendes:

  • Fügen Sie nur die unbedingt nötigen Einträge hinzu.
  • Nutzen Sie dedizierte Subdomänen. So ist sichergestellt, dass nur diese Subdomänen verwendet werden und die Hauptdomäne dem eigentlichen E-Mail-Server — in der Regel ein Exchange-Server — vorbehalten bleibt. Für eine bessere Kategorisierung ist es hilfreich, die Subdomänen anhand der Funktion zu erstellen, also beispielsweise hr.example.com für die Personalabteilung, marketing.example.com für die Marketingabteilung oder it.example.com für die IT-Abteilung.
  • Beschränken Sie die durch SPF geschützte lokale Adresse auf die benötigte Subdomäne oder Domäne.
  • Fügen Sie dem SPF-Eintrag immer -all hinzu, um alle nicht genannten IP-Adressen vom Senden auszuschließen.
Angreifer kommunizieren bei Cyberattacke auf Bundesregierung über OutlookCyber attacken abwehren mit NoSpamProxyPhishing Angriffe vermeiden mit SenderreputationWie kann man sich vor Phishing Mails schützen?