SPF

Aus Wiki.csoft.at

(Unterschied zwischen Versionen)
Zeile 26: Zeile 26:
===Erhöhter Wartungsaufwand===
===Erhöhter Wartungsaufwand===
-
SPF verkompliziert die Mailzustellung. Relays wie Smarthost, Backup-MX, etc. müssen im DNS eingepflegt werden. Änderungen im DNS wirken sich oft erst nach 48 Stunden aus. Umleitungen können Probleme verursachen.
+
SPF verkompliziert die Mailzustellung. Relays wie Smarthost, Backup-MX, etc. müssen im DNS eingepflegt werden. Änderungen im DNS wirken sich oft erst nach 48 Stunden aus.  
 +
 
 +
Nicht jeder Mailserver unterstützt SPF. Meistens muss SPF zuerst im Mailserver implementiert werden, damit die TXT-Records im DNS greifen.
===Weiterleitung von Emails===
===Weiterleitung von Emails===

Version vom 2. Dezember 2009, 07:35 Uhr

Inhaltsverzeichnis

Was ist SPF?

SPF bedeutet Sender Policy Framework.

SPF verhindert das Versenden von Emails mit gefälschter Absendeadresse.

Wie funktioniert SPF?

Die Mail kann nur verschickt werden, wenn die IP-Adresse des Postausgangsservers im Nameserver eingetragen ist, vorausgesetzt, der Mailserver unterstützt SPF.

Vorteile von SPF

Spam-Mails werden immer mit gefälschtem Absender geschickt. Oftmals setzt sich die Absendeadresse (wie auch die Empfängeradresse) aus einer wahllosen Liste mit Vornamen, gepaart mit einer Liste aus Domains zusammen. Auch generische Namen, wie office, info, sales usw. sind sehr beliebt bei Spammern, in der Hoffnung, dass möglichst viele Mails verschickt werden.

Kann die Nachricht nicht zugestellt werden weil die Empfängeradresse ungültig ist, erhält der Absender vom Mailserver (meistens von Mail Delivery System, Mailer-Daemon@mydomain.xx oder postmaster@mydomain.xx) eine Nachricht, dass die Mail nicht zugestellt werden konnte (sog. Postmaster-Message). Dies können regelrechte Attacken mit hunderten Mails sein, die sich über mehrere Stunden verteilen.

  • SPF schützt den Empfänger vor gefälschten Mails
  • SPF schützt den Absender vor wertlosen Postmaster-Messages
  • SPF verringert die Gefahr von Phishing

Nachteile von SPF

SPF schützt nicht vor Spam sondern nur vor Emails mit gefälschten Absendeadressen. Ein wirksamer Spam- und Virenschutz wie z. B. Kaspersky ist daher unerlässlich.

Erhöhter Wartungsaufwand

SPF verkompliziert die Mailzustellung. Relays wie Smarthost, Backup-MX, etc. müssen im DNS eingepflegt werden. Änderungen im DNS wirken sich oft erst nach 48 Stunden aus.

Nicht jeder Mailserver unterstützt SPF. Meistens muss SPF zuerst im Mailserver implementiert werden, damit die TXT-Records im DNS greifen.

Weiterleitung von Emails

Wird ein Email zu einem Empfänger innerhalb einer anderen Domain weitergeleitet, kann die Nachricht nicht ohne weiteres zugestellt werden.

Tritt ein Fehler bei der Zustellung auf (z. B. weil das Postfach voll ist), ergeht eine Postmaster-Message an den Absender, welcher dadurch über die Zieladresse der Weiterleitung informiert wird. Dies kann unerwünscht sein.

Online-Formulare

Manche Online-Formulare senden den Formularinhalt per Email ab. Wird als Absendeadresse nicht die Maschinenadresse des Webservers sondern die des Ausfüllers verwendet, kann das Formular nicht abgeschickt werden.

Dynamische IP-Adressen

Manchmal ist es notwendig, die Nachrichten über einen alternativen Postausgangsserver zu versenden, z. B. am Laptop mit Datenkarte, am Handy mit UMTS oder im Home-Office mit dynamischer IP-Adresse. Dies ist mit SPF nicht möglich.

Data Mining

Im Nameserver werden mittels TXT-Record die zulässigen Postausgangsserver definiert. Dies erleichtert Datensammlern und Überwachungsstellen die Arbeit erheblich.

Fehler im Nameservice

Bei zu langen TXT-Records kann der Nameserver falsche Ergebnisse liefern.

Wie kann ich feststellen, ob meine Domain SPF unterstützt?

Mit einer Hostabfrage des Typs TXT oder SPF. Wenn die Hostabfrage vom Typ txt ein Ergebnis mit v=spf ergibt, ist SPF aktiviert. Neuerdings werden auch Hostabfragen vom Typ SPF unterstützt.

Die Hostabfrage steht unter Windows XP erst nach der Installation des Pakets Bind zur Verfügung.

Abfrage der TXT-Records

Die Hostabfrage für den Freemailer GMX liefert folgendes Resultat:

host -t txt gmx.net
gmx.net descriptive text "v=spf1 ip4:213.165.64.0/23 ip4:74.208.5.64/26 -all"

v=spf1 bedeutet, dass die SPF-Version 1 verwendet wird.

Der Eintrag ip4:213.165.64.0/23 erlaubt einem Netz von 512 IP-Adressen (213.165.64.0 bis 213.165.65.255) das Versenden von Nachrichten und der Eintrag ip4:74.208.5.64/26 einem Netz von 64 IP-Adressen (74.208.5.64 bis 74.208.5.127). Die letzte IP-Adresse dieser Netze ist jeweils Broadcast (spricht gleichzeitg alle anderen IP-Adressen dieser Netze an).

Abfrage der MX-Records

SPF ist sozusagen ein Reverse-MX-Eintrag im DNS-Server. Die MX-Records geben an, an welchen Mailserver die Nachrichten geschickt werden sollen. Wenn für eine Domain keine MX-Records vorhanden sind, können keine Mails zugestellt werden.

host -t mx gmx.net
gmx.net mail is handled by 10 mx0.gmx.net.
gmx.net mail is handled by 10 mx1.gmx.net.

Dies bedeutet, dass Mails an gmx.net zu den Mailservern mx0.gmx.net und mx1.gmx.net geschickt werden. Die Zahl 10 bedeutet, dass beide Mailserver mit gleicher Priorität beandelt werden. Je kleiner die Zahl, desto höher die Priorität.

Wie kann ich den SPF-Record im Nameserver eintragen?

 gmx.net. IN TXT "v=spf1 ip4:213.165.64.0/23 ip4:74.208.5.64/26 -all"

Fazit

  • SPF ist ein wirksamer Schutz gegen Mails mit gefälschter Absendeadresse
  • Es ergeben sich Einschränkungen beim Versand von Mails
  • Es entsteht ein erhöhter Wartungsaufwand
  • SPF erleichtert Datenüberwachungsstellen die Arbeit

Alles in allem bleibt abzuwägen, ob sich der Einsatz von SPF lohnt. Oft genügt ein einfaches Löschen der ungewollten Nachrichten.

Wenn alle Mitglieder einer Domäne über den Einsatz von SPF Bescheid wissen, können manche sich dadurch ergebende Probleme leichter gelöst werden.