Suche

SPF

SPF steht für Sender Policy Framework und dient zur Absicherung von E-Mails. Hierbei muss der empfangende Server das SPF der E-Maildomain überhaupt prüfen. Tut der Server dies, so fragt er mittels DNS bei der E-Maildomain nach. Ist dort tatsächlich ein SPF-Record hinterlegt bekommt der abfragende Server eine Liste von IP-Adressen und eine Regel wie er damit umzugehen hat. Die Auslegung der Regel (sanft, lässig, strikt) ist wiederum dem Empfangsserver überlassen. Wenn beispielsweise eine E-Mail von einer anderen IP-Adresse als im SPF-Record stehend gesendet wird, so wird der Empfangsserver die E-Mail im striktem Falle direkt ablehnen, während es in den beiden anderen Fällen nur eine individuelle höhere Spambewertung der E-Mail zukommen lässt. Der Empfangsserver kann aber auch diese E-Mails ablehnen wenn es alle Regel wie "strikt" gehandelt.

Somit möchte man verhindern, dass gefakte E-Mails die so tuen als kämen diese von einem bestimmten Server, aber von ganz wo anders herkommen, bei den Empfänger:innen eingehen.

Auch wenn sich dieses Verfahren in der Theorie sehr gut anhört und auch sehr oft von verschiedenen Providern umgesetzt wird, so hat es auch den Nachteil, dass externe Umleitungen (wie bei Verteilerlisten üblich) scheitern.

Ebenso verhindert SPF nicht Fake-Mails die weiterhin akommen werden, bei denen der ENVELOPE-FROM zwar korrekt ist (nach SPF-Norm, den aber die Empfangspersonen nicht sehen) aber der HEADER-FROM die Fake-Adresse beinhaltet. Und diesen sehen die Personen und agieren auch recht schnell darauf (wenn die Hierarchie-Ebene hoch genug ist).
Beispiel:
ENVELOPE-FROM: abc@irgendwo.org
HEADER-FROM: kaiserin@tu-darmstadt.de

Mehr dazu bei Wikipedia: https://de.wikipedia.org/wiki/Sender_Policy_Framework

Details

Hier ein kleines Beispiel bei einer Verteilerliste:

Es gibt eine externe (und sehr wichtige) E-Mail-Verteilerliste, wie "wichtige-wissenschaft@lists.server.org". Diese verteilt eingehende E-Mails an alle auf der Liste stehenden Adressen. Auf diese Liste stehen als Empfangsadressen wie beispielsweise person_a@gmx.de, person_b@tu-darmstadt.de, person_c@gmail.com, person_d@irgendwo.de
Weiterhin wird davon ausgegangen dass - und so sind es die meisten Verteilerlisten - keine Änderung an Absende- oder sonstigen Adressen vorgenommen wird (wie beispielsweise SRS), so handelt es sich bei der Verteilerliste um eine eher "stumpfe" Verteilerliste.
Und nehmen wir mal weiterhin an, dass die E-Maildomain "irgendwo.de" einen SPF-Record gesetzt hat.
Und weiterhin nehmen wir an, dass "lists.server.org", GMX, "irgendwo.de" und "gmail.com" eine SPF-Prüfung machen.

Wenn nun jemand eine E-Mail von GMX mit der Absendeadresse "absender@gmx.de" an diese E-Mail-Verteilerliste sendet, so nimmt die Verteilerliste diese an (GMX hat keinen SPF-Record - also alles in Ordnung). Diese sendet dann an @gmx.de - wird aber abgelehnt, denn eine E-Mail die von GMX kommt muss auch von den Servern von GMX kommen, aber @lists.server.org ist keine GXM-Adresse. An @tu-darmstadt.de geht diese E-Mail, ebenso an @gmail.com und @irgendwo.de da ja GMX keinen MX-Record hat (Stand Augist 2023).
Wenn jemand aber nun mit der Absendeadresse (und auch Server) "absender@irgendwo.de" sendet (hat einen SPF-Eintrag), dann wird es spannender: Denn die Verteilerliste nimmt die E-Mail an (schließlich kommt diese auch von "irgendwo.de"). Aber - im schlimmsten Falle - lehnen alle Empfangsadressen-Server (gmail.com, GMX, "irgendwo.de") die E-Mail die vom Verteiler kommt ab. Nur an die Adresse @tu-darmstadt.de geht die E-Mail (derzeit noch). Im "harmlosen" Falle wird die Spam-Bewertung entsprechend eigener individueller Einschätzung der Empfangsserver-Betreibenden mehr oder weniger hoch gesetzt, so dass die E-Mail dennoch ankommt, aber entweder im Spam-Ordner landet oder als Spam gekennzeichnet wird.

Zur Problemlösung gibt es drei Ansätze:

1. Man trägt alle IP-Adresse aller extern-benutzten Verteilerlisten in den SPF-Record mit ein (zumindest für die eigene E-Maildomain). Abgesehen davon dass dies an einer Universität quasi unmöglich ist, würde es das Problem ingesamt nicht lösen.

2. Man benutzt einen (stumpfen) Verteiler an der Institution selbst, da hier der SPF-Eintrag völlig in Ordnung ist. Lediglich andere externe E-Mailadressen Besitzenden haben ein Problem.

3. Man benutzt keinen stumpfen Verteiler, stattdessen benutzt man beispielsweise eine Mailingliste, die die Absendeadresse umschreibt, so das die Absendeadresse die E-Maildomain annimmt und im Namensteil dafür die E-Mailadresse "versteckt". Bei Antworten an die Absendeadresse geht die E-Mail erstmal wieder nach außen um dort wieder zurück das dort bei der Mailingliste die Empfangsadresse wieder richtig gesetzt wird und weiter geschickt wird. Das Verfahren nennt sich SRS (Sender Rewriting Scheme) - siehe Wikipedia: https://de.wikipedia.org/wiki/Sender_Rewriting_Scheme

[zurück zum Index]

^