SPF

Aus Wiki.csoft.at

(Unterschied zwischen Versionen)
Zeile 50: Zeile 50:
SPF schützt nicht vor Spam sondern nur vor Emails mit gefälschten Absendeadressen. Ein wirksamer Spam- und Virenschutz wie z. B. [[Kaspersky]] ist daher unerlässlich.
SPF schützt nicht vor Spam sondern nur vor Emails mit gefälschten Absendeadressen. Ein wirksamer Spam- und Virenschutz wie z. B. [[Kaspersky]] ist daher unerlässlich.
 +
 +
===Höherer Wartungsaufwand===
 +
 +
SPF verkompliziert die Mailzustellung. Relays wie Smarthost, Backup-MX, etc. müssen im DNS eingepflegt werden. Umleitungen können Probleme verursachen.
===Weiterleitung von Emails===
===Weiterleitung von Emails===

Version vom 27. November 2009, 17:22 Uhr

Inhaltsverzeichnis

Was ist SPF?

SPF bedeutet Sender Policy Framework.

SPF verhindert das Versenden von Emails mit gefälschter Absendeadresse.

Wie funktioniert SPF?

Die Mail kann nur verschickt werden, wenn die IP-Adresse des Absenders im Nameserver eingetragen ist.

Wie kann ich feststellen, ob meine Domain SPF unterstützt?

Mit einer Hostabfrage. Die Hostabfrage steht unter Windows XP erst nach der Installation des Pakets Bind zur Verfügung.

Abfrage der TXT-Records

Die Hostabfrage für den Freemailer GMX liefert folgendes Resultat:

host -t txt gmx.net
gmx.net descriptive text "v=spf1 ip4:213.165.64.0/23 ip4:74.208.5.64/26 -all"

Wenn die Hostabfrage vom Typ txt ein Ergebnis mit v=spf ergibt, ist SPF aktiviert. Neuerdings werden auch Hostabfragen vom Typ SPF unterstützt.

v=spf1 bedeutet, dass die SPF-Version 1 verwendet wird.

Der Eintrag ip4:213.165.64.0/23 erlaubt einem Netz von 512 IP-Adressen (213.165.64.0 bis 213.165.65.255) das Versenden von Nachrichten und der Eintrag ip4:74.208.5.64/26 einem Netz von 64 IP-Adressen (74.208.5.64 bis 74.208.5.127). Die letzte IP-Adresse dieser Netze ist jeweils Broadcast (spricht gleichzeitg alle anderen IP-Adressen dieser Netze an).

Abfrage der MX-Records

SPF ist sozusagen ein Reverse-MX-Eintrag im DNS-Server. Die MX-Records geben an, an welchen Mailserver die Nachrichten geschickt werden sollen. Wenn für eine Domain keine MX-Records vorhanden sind, können keine Mails zugestellt werden.

host -t mx gmx.net
gmx.net mail is handled by 10 mx0.gmx.net.
gmx.net mail is handled by 10 mx1.gmx.net.

Dies bedeutet, dass Mails an gmx.net zu den Mailservern mx0.gmx.net und mx1.gmx.net geschickt werden. Die Zahl 10 bedeutet, dass beide Mailserver mit gleicher Priorität beandelt werden. Je kleiner die Zahl, desto höher die Priorität.

Vorteile von SPF

Spam-Mails werden immer mit gefälschtem Absender geschickt. Oftmals setzt sich die Absendeadresse (wie auch die Empfängeradresse) aus einer wahllosen Liste mit Vornamen, gepaart mit einer Liste aus Domains zusammen. Auch generische Namen, wie office, info, sales usw. sind sehr beliebt bei Spammern, in der Hoffnung, dass möglichst viele Mails verschickt werden.

Kann die Nachricht nicht zugestellt werden weil die Empfängeradresse ungültig ist, erhält der Absender vom Mailserver (meistens von Mail Delivery System, Mailer-Daemon@mydomain.xx oder postmaster@mydomain.xx) eine Nachricht, dass die Mail nicht zugestellt werden konnte (sog. Postmaster-Message). Dies können regelrechte Attacken mit hunderten Mails sein, die sich über mehrere Stunden verteilen.

  • SPF schützt den Empfänger vor gefälschten Mails
  • SPF schützt den Absender vor wertlosen Postmaster-Messages
  • SPF verringert die Gefahr von Phishing

Nachteile von SPF

SPF schützt nicht vor Spam sondern nur vor Emails mit gefälschten Absendeadressen. Ein wirksamer Spam- und Virenschutz wie z. B. Kaspersky ist daher unerlässlich.

Höherer Wartungsaufwand

SPF verkompliziert die Mailzustellung. Relays wie Smarthost, Backup-MX, etc. müssen im DNS eingepflegt werden. Umleitungen können Probleme verursachen.

Weiterleitung von Emails

Wird ein Email zu einem Empfänger innerhalb einer anderen Domain weitergeleitet, kann die Nachricht nicht ohne weiteres zugestellt werden.

Tritt ein Fehler bei der Zustellung auf (z. B. weil das Postfach voll ist), ergeht eine Postmaster-Message an den Absender, welcher dadurch über die Zieladresse der Weiterleitung informiert wird. Dies kann unerwünscht sein.

Online-Formulare

Manche Online-Formulare senden den Formularinhalt per Email ab. Wird als Absendeadresse nicht die Maschinenadresse des Webservers sondern die des Ausfüllers verwendet, kann das Formular nicht abgeschickt werden.

Dynamische IP-Adressen

Manchmal ist es notwendig, die Nachrichten über einen alternativen Postausgangsserver zu versenden, z. B. am Laptop mit Datenkarte oder am Handy mit UMTS. Dies ist mit SPF nicht möglich.