E-Mails mit gefälschten Absender-Adressen sind für Online-Kriminelle ein probates Mittel, um unerwünschte Nachrichten zu verschicken. Das Sender Policy Framework (SPF) tritt an, solche Fälschungen zu unterbinden. Erfahren Sie die technischen Hintergründe, wie Sie SPF konfigurieren und einen SPF Check für Ihre Domains vornehmen!
Das Simple Mail Transfer Protocol (SMTP) als Basis für den Versand von E-Mails bringt von Haus aus keine Sicherheitsfunktionen mit, um das Fälschen von Absenderadressen zu verhindern. Ohne Weiteres könnten Angreifer somit behaupten, legitimer Absender einer beliebigen E-Mail-Adresse zu sein, was auch als Spoofing bezeichnet wird. Verteilen die Urheber solcher Nachrichten Spam- oder Junk-Mails mit werblichen Inhalten, ist dies für die Empfänger lediglich störend. Doch handelt es sich um Phishing-Mails, die Anwender mit präparierten Anhängen oder Links dazu verleiten, Zugangsdaten preiszugeben, sind Diebstahl und Verschlüsselung sensibler Daten sowie Reputationsverlust die Folge.
Glücklicherweise nimmt die Bedrohung durch Spoofing kontinuierlich ab, denn das SPF als Erweiterung für SMTP macht es Angreifern umso schwerer, anfällige E-Mail-Adressen zu finden, je mehr Unternehmen ihre E-Mail-Domains entsprechend absichern. Dabei ändert sich am eigentlichen Versand der E-Mails per SMTP nichts. SPF arbeitet stattdessen auf der Ebene des Domain Name Systems (DNS), also der Auflösung von Namen zu IP-Adressen.
Seit jeher setzt SMTP auf Einträge im DNS, die sogenannten MX-Records (MX = Mail Exchange). Möchten Anwender eine E-Mail an eine bestimmte Zieladresse senden, so ermittelt ihr E-Mail-System anhand der MX-Records die für die Domain des Ziels zuständigen Server. SPF als Massnahme gegen Spoofing erweitert dieses Prinzip um neue Einträge im DNS, die SPF Records. Fügen Administratoren für ihre Domains im DNS jeweils einen SPF-Eintrag hinzu, können sie damit die IP-Adressen der Server definieren, die für diese Domains E-Mails verschicken dürfen.
Ein empfangender Mail-Server überprüft beim Eingang einer E-Mail-Nachricht, ob für deren Absender ein SPF Record existiert und, falls ja, ob der versendende Server in der Liste der zulässigen IP-Adressen enthalten ist. Je nachdem, wie strikt die Vorgaben des SPF Records sind, kann das empfangende Systeme die betroffene E-Mail sofort abweisen (Fail) oder zumindest als verdächtig markieren (Softfail).
Existiert für eine Domain kein SPF-Eintrag, so nehmen Mail-Server Nachrichten typischerweise an, doch auch Systeme zur Spam-Abwehr, wie das von Gmail, beziehen SPF Records in ihre Risikobewertung mit ein. E-Mail-Adressen mit konfigurierten SPF Records erhalten in der Regel eine höhere Reputation und somit eine deutlich geringere Wahrscheinlichkeit, fälschlicherweise als Spam deklariert zu werden. Grund genug also, für jede Domain von Unternehmen SPF Records einzurichten!
Sobald ein SPF Record für eine Domain konfiguriert ist, lässt sich die Konfiguration auf mehreren Wegen überprüfen. Der Webdienst „Simple Email Reputation“ prüft die Einstellungen beliebiger E-Mail-Adressen, der „SPF Record Checker“ liefert eine detailliertere Auswertung des SPF-Eintrags einer Domain.
Noch einfacher haben es Nutzer von Google Gmail. Sie können in den Eigenschaften einer E-Mail einfach auf die Option „Original anzeigen“ klicken.
Daraufhin erhalten sie eine Detail-Ansicht, die anzeigt, ob die Nachricht den SPF Check bestanden hat.
Google prüft weiterhin die zusätzlichen Technologien DomainKeys Identified Mail (DKIM) und Domain-based Message Authentication, Reporting and Conformance (DMARC). Doch wie konfigurieren Sie nun SPF für Ihre Domain?
Diverse Online-Dienste stellen jeweils einen SPF Generator bereit, doch die Konfiguration eines passenden Eintrags gelingt auch ohne einen solchen Generator einfach. Achten Sie bei der Auswahl Ihres E-Mail-Anbieters darauf, dass der Provider die entsprechenden Informationen bereithält!
Im Fall von Gmail hilft Google mit einem Support-Artikel bei der Einrichtung eines TXT-Eintrags im DNS Ihrer Domain. Nutzen Sie bereits Gmail, so lautet der Wert eines passenden SPF Records mit dem Hostnamen „@“ entweder
v=spf1 include:_spf.google.com ~all
oder
v=spf1 include:_spf.google.com -all
Doch worin unterscheiden sich diese beiden Einträge? Sie weisen empfangende Mail-Server an, beim SPF Check unterschiedlich strikt vorzugehen. Die zweite Anweisung „-all“ definiert einen harten Fail, weist den Empfänger also an, eine E-Mail bei fehlgeschlagenem SPF Check abzuweisen. Der Eintrag „~all“ entspricht dagegen einem Softfail, bei dem der empfangende Mail-Server Nachrichten trotz fehlgeschlagenem SPF Check weniger strikt behandelt und zwar als potenziellen Spam markiert, aber trotzdem zustellt. Unsere Empfehlung lautet, dem Fail den Vorzug zu geben. Nutzen Sie ausser Gmail noch weitere Anbieter, etwa zum Versand von Newslettern im Namen Ihrer Domain, so müssen Sie auch deren Server im SPF Record hinzufügen.
Schützen Sie sich also mit SPF vor Spoofing und Spam! Erhöhen Sie die Sicherheit und verbessern Sie die Reputation Ihrer E-Mail-Adressen! Gern unterstützen wir Sie.