Benutzer-Werkzeuge

Webseiten-Werkzeuge


faq:spf

Sender Policy Framework (SPF) und Sender Rewrite Schema (SRS)

Um gefälschte Absender / Phishing Missbrauch zu verhindern, können sogenannte SPF-Records (Sender Policy Framework) für eine Domain gesetzt werden. Im SPF-Record einer Domain wird definiert, welche Mail-Server/IP-Adressen die Erlaubnis haben, E-Mails über die absendende Domain zu verschicken. Datenpark überprüft diese SPF-Regeln heute noch nicht auf seinen Eingangs-Mailservern, unterstützt den Eintrag solcher SPF-Einträge im DNS und unterstützt SRS bei E-Mail-Weiterleitungen.

Wie soll ich einen SPF-Eintrag setzen?

Nehmen wir als Beispiel den Domainnamen nonprofit.ch.

Bei dieser Domain ist folgender SPF-Eintrag im DNS aktiv:

"v=spf1 include:datenpark.ch -all"

Dieser Record kann vom Typ TXT oder auch SPF sein. In unserem Controlpanel wird er unter DNS-Manager als TXT-Record erfasst:

Dies beglaubigt nun die Mailserver von Datenpark, mit Ihrer Absenderdomain @nonprofit.ch E-Mails zu versenden.

Die Beglaubigung dazu passiert nicht beim Ausgang der E-Mail, sondern erst beim Eingang des Empfänger-Mailservers, sprich z.B. beim Eingangs-Mailserver von Gmail oder GMX.

Dieser überprüft nun, ob der Mailserver, von welchem die E-Mail geliefert wird, auch wirklich dazu berechtigt ist. Das heisst, es wird die IP Adresse des Mailservers mit der IP Adresse im SPF-Record der Domain @nonprofit.ch vergleichen, durch obigen Eintrag also indirekt mit dem SPF-Record der Domain @datenpark.ch.

Schlägt der Vergleich nun fehl, so heisst das, dass dieser Mailserver, der die E-Mail soeben einliefern wollte, nicht dazu berechtigt ist. Die E-Mail wird also vom Empfänger-Mailserver abgelehnt, da im SPF-Record diese Regel klar definiert ist mit „-all“, quasi „alle anderen nicht“. Damit können Sie für Ihre eigene Domain den Missbrauch von sog. Mail-forgings (gefälschte Absenderadresse) eindämmen.

Problematik bei Weiterleitungen

Bei Weiterleitungen wird der Weg der E-Mail länger, das heisst sie nimmt einen Umweg über den Server, bei dem die Weiterleitung eingerichtet ist.

Dies heisst nun für Sie, dass ein neuer Mailserver (nämlich der Mailserver, auf welchem die Weiterleitung eingerichtet ist) die E-Mail einliefert, und nicht mehr der Ausgangsserver des Absenders.

In dieser Konstellation haben wir das Problem, dass die Überprüfung fehlschlägt, weil die IP-Adresse des Weiterleitungsservers nicht im SPF Record der Absenderdomain aufgeführt ist.

Ein konkretes Beispiel:

Absender: 		ihr.name@nonprofit.ch
Empfänger: 		hans.muster@example.com
Weiterleitung nach: 	hans.muster@gmx.net

Wenn die E-Mail beim Anbieter von example.com ankommt, ist der Absender immer noch eine @nonprofit.ch-Adresse, der Mailserver, der aber die E-Mail liefern möchte, ist example.com und entspricht nicht den SPF-Record-Restriktionen Ihrer Domain nonprofit.ch. In diesem Fall wird die E-Mail bei GMX abgelehnt.

Was kann ich / mein Hoster gegen das Weiterleitungs-Problem tun?

Als Lösungsansätze bieten sich grundsätzlich folgende Massnahmen an:

  • Der SPF-Record wird „gelockert“ indem z.B. der Qualifikator «-all» (Fail) durch den Qualifikator «~all» (SoftFail) ausgetauscht wird oder man nimmt weitere Mailserver darin auf. Problematik hier: Woher weiss man, wer von seinen Empfängern alles mit Weiterleitungen arbeitet? Es ist quasi unmöglich all diese aufzunehmen und der Aufwand zur ständigen Pflege wäre enorm. Ausserdem wird auf Basis von «~all» (SoftFail) kein Empfangs-Mailserver die E-Mail filtern, was das ganze Konzept von SPF zunichte macht.
  • Der SPF-Record wird deaktiviert. Problematik hier: Das Problem würde dadurch wohl gelöst, der Record wurde aber ursprünglich eingerichtet um Phishing / Missbrauch zu vermeiden. Durch die Deaktivierung des Records würde auch dieser erwünschte Effekt wegfallen.

Die echte Lösung lautet SRS (Sender Rewrite Schema)!

Der Weiterleitungs-Mailserver sollte die E-Mail mittels SRS (Sender Rewrite Schema) umschreiben damit beim nächsten Einliefern die Überprüfung positiv ausfällt.

Datenpark setzt als Hoster auf die SRS-Lösung. Sie müssen sich also nicht selbst um die Umschreibung Ihrer Adresse kümmern wenn wir eine Mail für Sie weiterleiten - das wird automatisch gemacht. Dies gilt aber nur wenn die Weiterleitung bei Datenpark geschieht.

Weitere Fragen

Welche Mailserver soll ich als Kunde von Datenpark für meinen SPF-record verwenden?

Sie brauchen sich nicht um die IPs resp. Hostnames unserer Mailserver zu kümmern. Verwenden Sie einfach als Vorgabe den SPF-record unserer Domain datenpark.ch und tragen Sie exakt dies als TXT-record für Ihre Domain ein:

"v=spf1 include:datenpark.ch -all"

Wie überprüfe ich meinen SPF-record?

Um einen SPF-Record auszulesen gibt es diverse Möglichkeiten wie beispielsweise mittels SPF Record Testing Tools.

oder über den «dig»-Befehl:

$ dig TXT nonprofit.ch
 
nonprofit.ch.	300	IN	TXT	"v=spf1 include:datenpark.ch -all"

Wie sich SPF-Records lesen lassen, finden Sie hier.

Unser SPF-Record sieht wie folgt aus:

datenpark.ch.	300	IN	TXT	"v=spf1 mx a:mail.datenpark.ch -all"
faq/spf.txt · Zuletzt geändert: 2016/06/03 17:32 von phi

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki