Sender Policy Framework-Authentifizierung | Was ist SPF?

Sender Policy Framework (SPF) ist ein E-Mail-Authentifizierungsstandard, der verwendet wird, um zu verhindern, dass Spammer Nachrichten senden, die scheinbar von einer gefälschten Domäne stammen. Es trägt auch dazu bei, sicherzustellen, dass E-Mails korrekt zugestellt werden – ohne dass sie in die Spam-Box eines Empfängers gelangen.

SPF funktioniert, indem es Organisationen ermöglicht, die Mailserver anzugeben, die zum Versenden von E-Mails von ihrer Domäne autorisiert sind. Dadurch wird verhindert, dass sich jemand mithilfe eines böswilligen Prozesses namens E-Mail-Spoofing als die Organisation ausgibt.

Es ist wichtig, sich daran zu erinnern, dass Organisationen oft mehrere Domänen haben. Allerdings werden nur einige dieser Domänen zum Versenden von E-Mails verwendet. Daher ist es für Unternehmen unerlässlich, eine Authentifizierung zu nutzen, die verhindert, dass Cyberkriminelle die anderen Domänen ausnutzen, um E-Mails zu senden, die scheinbar von ihnen stammen.

Jedes Unternehmen kann autorisierte E-Mail-Server im DNS-Eintrag (Domain Name Service) veröffentlichen, indem es SPF nutzt, und dies ermöglicht es den Empfängern, die Herkunft aller von ihnen empfangenen E-Mails zu validieren.

Um dies zu ermöglichen, veröffentlicht der Webmaster die SPF-Informationen (eine Liste autorisierter Mailserver) im DNS-TXT-Eintrag. Der empfangende E-Mail-Server überprüft dann diesen SPF-Eintrag mithilfe einer SPF-Eintragsprüfung, die den SPF-Eintrag nachschlägt, um die IP-Adresse des Absenders zu validieren.

Was ist ein SPF-Eintrag?

Der SPF-Eintrag ist eine Liste autorisierter Mailserver, die ein Webmaster als TXT-Eintrag im DNS veröffentlicht. Dieser Datensatz ermöglicht es jedem Empfänger, ein Diagnosetool (die so genannte SPF-Datensatzprüfung) zu verwenden, um den Ursprung einer E-Mail zu überprüfen. Das Einrichten eines SPF-Eintrags ist relativ einfach und schützt ein Unternehmen vor E-Mail-Spoofing-Angriffen.

Sobald der SPF-Eintrag eingerichtet ist, kann jeder, der eine E-Mail erhält, überprüfen, ob sie von einem autorisierten Server stammt. Wenn eine E-Mail von einer nicht autorisierten Domäne stammt, kann der Server die E-Mail als Spam behandeln und sie entweder zurückweisen oder ablehnen.

Wie schützt SPF vor Spam?

Mit einer SPF-Richtlinie können Empfänger-E-Mail-Server den Ursprung einer E-Mail überprüfen. Dadurch kann der Empfänger prüfen, ob die E-Mail wirklich von dem angeblichen Absender stammt.

Die SPF-Authentifizierung schützt vor E-Mail-Spoofing – einer Technik, die von Cyberkriminellen genutzt wird, um Phishing-E-Mails und Spam zu versenden, die scheinbar von jemand anderem stammen (der Organisation, die gespooft wird).

SPF verhindert die Fälschung von Absenderadressen, indem es die IP-Adresse des Envelope-Absenders mit der beanspruchten Absenderdomäne vergleicht. Wenn die SPF-Prüfung fehlschlägt, weil der Administrator E-Mails von dieser Domain nicht autorisiert hat, wird die E-Mail als Spam behandelt und zurückgewiesen oder abgelehnt.

Was passiert, wenn SPF fehlschlägt?

Wenn eine SPF-Eintragsprüfung fehlschlägt, wird der Empfänger darüber informiert, dass der Absender nicht autorisiert ist, eine E-Mail von dieser Domäne zu senden. Dann kann der E-Mail-Server die Nachricht ablehnen oder zurücksenden.

Während der Diagnose durch den SPF Record Check kann es vorkommen, dass die Analyse zu einer von wenigen unterschiedlichen Meldungen führt. Wir haben diese Qualifizierer unten aufgeschlüsselt, um sie zu erklären:

  • Scheitern. Der SPF-Eintrag kennzeichnet den Absender als nicht sendeberechtigt.
  • Keiner. Der Domänenname kann im DNS nicht aufgelöst werden und/oder der SPF-Eintrag für die Domäne kann nicht gefunden werden.
  • Neutral. Der SPF-Eintrag gibt an, dass nicht behauptet wird, ob die IP-Adresse autorisiert ist. SPF neutral kann je nach Konfiguration des Servers entweder als Bestanden oder Nicht bestanden interpretiert werden, ist aber normalerweise standardmäßig auf Fehler eingestellt.
  • Softfail. Dies ist eine schwache Fehlernachricht, die darauf hinweist, dass der Absender wahrscheinlich nicht autorisiert ist. Diese Nachricht trat auf, wenn die Domäne keine starke SPF-Richtlinie eingerichtet hat, die zu einem harten Fehler führt.
  • Temperror. Bei der SPF-Prüfung ist ein vorübergehender Fehler aufgetreten, der normalerweise durch eine DNS-Zeitüberschreitung verursacht wird. Normalerweise führt dies später zu einem erneuten Versuch, solange die Wiederholungsrichtlinie auf dem Client ordnungsgemäß eingerichtet ist.
  • Dauerfehler. Die SPF-Prüfung konnte den veröffentlichten SPF-Eintrag für die Domäne auch nicht validieren, da mehrere SPF-Einträge in der Domäne gefunden wurden, der SPF-Eintrag falsch geschrieben ist, die Anzahl der an der SPF-Prüfung beteiligten DNS-Suchvorgänge 10 überschritten hat, die Anzahl der beteiligten ungültigen Suchvorgänge die SPF-Prüfung hat zwei überschritten.

Einschränkungen der SPF-Eintragsprüfung

Eine SPF-Prüfung validiert anhand des Return-Path-Werts statt des From-Headers, um die Authentizität eines Ursprungsservers zu bestimmen. Der Return-Path ist die Adresse, die von den Mailservern des Empfängers verwendet wird, um mit dem Absender zu kommunizieren, wenn es ein Problem gibt (z. B. um eine E-Mail zurückzuweisen).

Das Problem dabei ist, dass ein E-Mail-Empfänger die gefälschte Absenderadresse in seinem E-Mail-Client sieht, wenn die E-Mail zugestellt wird. Leider kann dies manchmal passieren, selbst wenn eine E-Mail je nach empfangendem ISP (der die endgültige Entscheidung trifft) eine SPF-Prüfung nicht besteht. Der Mangel von SPF wurde inzwischen von DMARC behoben, einem neueren Standard, der das Problem angeht, indem er stattdessen den From-Header authentifiziert.

Trotz ihrer Mängel ist es immer besser, eine SPF-Richtlinie für Ihre E-Mails einzurichten, da dies zu zusätzlichen Vertrauenssignalen führt und die Wahrscheinlichkeit erhöht, dass eine E-Mail die Prüfungen eines ISPs besteht, um erfolgreich zugestellt zu werden, anstatt abgelehnt oder zurückgewiesen zu werden.

So überprüfen Sie den SPF-Eintrag für eine Domain

Wenn Sie einen Sender Policy Framework-Datensatz für eine Domäne überprüfen und lesen möchten, ist die gute Nachricht, dass dies eigentlich sehr einfach ist. Der SPF-TXT-Eintrag wird in der DNS-Datenbank gespeichert und mit den DNS-Lookup-Informationen gebündelt, sodass jeder darauf zugreifen kann. Daher können Sie es manuell in Ihrem Eingabeaufforderungsfenster überprüfen:

  1. Start Eingabeaufforderung (Start > Ausführen > cmd)
  2. Typ “nslookup -type=txt” gefolgt von einem Leerzeichen und dem Domänennamen. Beispiel: “nslookup -type=txt google.com”
  3. Wenn ein SPF-Eintrag wurde angehängt zum DNS sieht das Ergebnis so aus: “v=spf1 ip4:207.171.160.0/19 -all”
  4. Wenn es gibt keine Ergebnisse oder wenn es keine „v=spf1“-Eigenschaft gibt, gab es ein Problem beim Abrufen des SPF-Eintrags oder es existiert keiner.

Was ist DKIM?

DomainKeys Identified Mail (DKIM) ist ein weiterer E-Mail-Authentifizierungsstandard, der unerlässlich ist, um sowohl Domains vor Spoofing als auch E-Mail-Empfänger vor Spam und Phishing-E-Mails zu schützen. Was viele Unternehmen möglicherweise nicht erkennen, ist, dass sie zur vollständigen Optimierung ihrer E-Mail-Sicherheit SPF, DKIM und DMARC nutzen sollten.

DKIM funktioniert, indem sichergestellt wird, dass der Inhalt von E-Mails nicht kompromittiert wurde und vom Empfänger vertraut werden kann. Es wurde erstmals im Jahr 2007 eingeführt und seitdem mehrmals aktualisiert.

Was ist DMARC?

Domain-based Message Authentication, Reporting and Conformance (DMARC) ist ein nützliches Protokoll, das SPF und DKIM in einem einzigen kohärenten Richtlinienrahmen kombiniert. Darüber hinaus erhöht es die Sicherheit, indem es den Domänennamen des Absenders mit dem verknüpft, was im From-Header aufgeführt ist.

Welches E-Mail-Authentifizierungsprotokoll sollte meine Organisation verwenden?

Die einzige Möglichkeit, die E-Mail-Sicherheit Ihres Unternehmens zu optimieren, besteht darin, alle drei dieser wichtigen Protokolle zu nutzen. Sie dienen alle leicht unterschiedlichen Zwecken und bieten das höchste Maß an Sicherheit, wenn sie zusammen verwendet werden.

Zugegeben, die Einrichtung dieser Standards für alle Ihre Domains kann zeitaufwändig sein, aber es ist sehr wichtig, wenn Sie ausgeklügelte Phishing-Angriffe vermeiden möchten, die zu Cyberangriffen führen.

Generell ist es immer eine gute Idee, mit der Einrichtung eines SPF-Eintrags zu beginnen – es ist schließlich am einfachsten. Anschließend sollten Sie versuchen, DKIM und dann DMARC zu implementieren.

Durch die Nutzung aller drei Protokolle stellen Sie sicher, dass Nachrichten nicht einfach gefälscht werden können und dass Ihre Posteingänge keine dubiosen gefälschten E-Mails erhalten, die ernsthafte Auswirkungen haben könnten, wie z. B. Malware-Infektionen und Datendiebstahl.