Sender Policy Framework

DSGVO-konformes Hosting, in unseren Rechenzentren Stuttgart und Rastatt

SPF – Spoofingschutz: Kurz erklärt

SPF steht für „Sender Policy Framework“. Es ist eine Technologie, die hilft, gefälschte E-Mails zu erkennen. Wenn Sie eine E-Mail erhalten, prüft SPF, ob der Server, von dem die E-Mail zu kommen behauptet, wirklich dazu berechtigt ist. Das soll verhindern, dass Leute vorgeben, E-Mails von vertrauenswürdigen Quellen zu senden, wenn sie es nicht sind. SPF verwendet spezielle DNS-Einträge, um diese Informationen zu speichern. Kurz gesagt, es ist ein Schutz vor gefälschten E-Mails.

Diese Begriffe Pass, Fail und SoftFail sind Teil des Sender Policy Frameworks (SPF) und geben an, ob eine E-Mail von einem bestimmten Server autorisiert ist, im Namen einer Domain zu senden:

  • Pass bedeutet, dass die E-Mail echt ist und von einem vertrauenswürdigen Ort stammt.
  • Fail zeigt an, dass die E-Mail wahrscheinlich gefälscht ist oder von einem nicht autorisierten Ort kommt.
  • SoftFail ist eine Art Warnung, dass die E-Mail den SPF-Test nicht bestanden hat, aber der Server möglicherweise teilweise autorisiert ist.

Folgende Hinweise erhalten Sie in der Mail, wenn die E-Mail wahrscheinlich gefälscht ist bzw. den SPF-Test nicht bestanden hat:

  • Fail: Dem Betreff wird [SPOOFING] vorangestellt. Diese Nachricht ist vermutlich gefälscht, da der Absender nicht auf Echtheit geprüft werden kann. Der echte Inhaber der eMail-Adresse bittet darum, diese Mail zu löschen
  • SoftFail: Dem Betreff wird [SPOOFING-Verdacht] vorangestellt. Diese Nachricht kann gefälscht sein, da der Absender nicht auf Echtheit geprüft werden kann. Der echte Inhaber der eMail-Adresse ist sich nicht sicher, ob diese Mail gelöscht werden sollte oder versehentlich ohne Authentifizierung versendet wurde.

 

SPF – Technische Details für Interessierte

SPF ist eine Methode zur Überprüfung der Absenderauthentizität von E-Mails. Hierbei wird im DNS (Domain Name System) des Absenders ein spezieller DNS-Eintrag erstellt, der die autorisierten Mailserver für die betreffende Domain auflistet. Wenn eine E-Mail empfangen wird, kann der empfangende Mailserver überprüfen, ob der tatsächliche Absenderserver in dieser Liste enthalten ist. Falls nicht, könnte es sich um eine gefälschte E-Mail handeln.

Die SPF-Richtlinie wird durch einen TXT-Eintrag im DNS der Domain definiert. Ein Beispiel für einen SPF-Eintrag könnte so aussehen:

v=spf1 ip4:192.168.1.1 include:_spf.example.com -all

 

Dieser Eintrag besagt, dass der IP-Adressbereich 192.168.1.1 und die Server, die im DNS-Eintrag „_spf.example.com“ aufgeführt sind, berechtigt sind, E-Mails im Namen der Domain zu senden. Das „-all“ am Ende gibt an, dass alle anderen Server nicht berechtigt sind und die E-Mail abgelehnt werden soll.

SPF ist eine der Maßnahmen im Rahmen von DMARC (Domain-based Message Authentication, Reporting, and Conformance), das dazu dient, die Integrität von E-Mails zu stärken und Phishing zu verhindern.

 

Im Kontext des Sender Policy Frameworks (SPF) werden die Begriffe Pass, Fail und SoftFail verwendet, um den Ergebnisstatus der SPF-Überprüfung für eine eingehende E-Mail zu kennzeichnen. Hier sind die Unterschiede zwischen ihnen:

  1. Pass (Erfolg): Wenn der empfangende Mailserver die SPF-Prüfung durchführt und der IP-Adressbereich des versendenden Servers mit den im SPF-DNS-Record der Domain angegebenen IP-Adressen übereinstimmt, gilt die SPF-Prüfung als erfolgreich (Pass). Der versendende Server ist autorisiert, E-Mails im Namen dieser Domain zu senden.
  2. Fail (Fehler): Ein SPF-Fehler tritt auf, wenn die IP-Adresse des versendenden Servers nicht mit den im SPF-DNS-Record angegebenen IP-Adressen übereinstimmt. Das bedeutet, dass der versendende Server nicht autorisiert ist, E-Mails im Namen der Domain zu senden. Mailserver können E-Mails mit einem SPF-Fehler als verdächtig betrachten und entsprechende Maßnahmen ergreifen, wie sie zum Beispiel für Spamfilter gelten.
  3. SoftFail (Weicher Fehler): Ein SPF-SoftFail tritt auf, wenn die IP-Adresse des versendenden Servers nicht mit den im SPF-DNS-Record angegebenen IP-Adressen übereinstimmt, aber der SPF-Mechanismus mit „~all“ endet. Das bedeutet, dass es sich um eine weniger strenge Richtlinie handelt, und der empfangende Mailserver kann die E-Mail zustellen, obwohl sie einen SPF-Fehler aufweist. SoftFail wird oft verwendet, um legitimate E-Mails nicht zu blockieren, wenn SPF nicht genau übereinstimmt, aber trotzdem nicht ganz falsch ist.

Es ist wichtig zu beachten, dass die genaue Reaktion auf Pass, Fail oder SoftFail vom empfangenden E-Mail-Server abhängt. Einige Server können entscheiden, E-Mails bei einem SPF-Fehler abzulehnen, während andere sie dennoch zustellen, aber möglicherweise als potenziell verdächtig behandeln. SPF ist nur eine von mehreren Technologien im Rahmen von DMARC (Domain-based Message Authentication, Reporting, and Conformance), um die E-Mail-Sicherheit zu verbessern.