SPF: Verbesserung der Spamfilterraten

Doch zunächst: Was genau ist SPF?  

SPF

(Sender Policy Framework) wurde entwickelt, um das Fälschen von

Absenderadressen in E-Mails zu verhindern. Das funktioniert wie folgt:  

Mit

einem SPF-Eintrag kann ein Domaininhaber seine Domain so konfigurieren,

dass über E-Mailadressen der Domain nur aus bestimmten Bereichen, also

z.B. aus seinem Heimnetzwerk, dem Büro etc. gesendet werden darf.  

Man legt also fest, dass Absender unter der Domain nur über bestimmte IP-Adressen oder Netzwerkbereiche senden dürfen.  

[actioncard type="plain"] 💡 Kurz zur Erklärung: Nameserver

An dieser Stelle möchten wir kurz erklären, was es mit Nameserver-Einträgen auf sich hat. Das ist wichtig, um die Funktion von SPF zu verstehen. Wenn Sie sich mit Nameservereinstellungen bereits auskennen, überspringen Sie diesen Part bitte einfach.

Für jede Domain sind in den Nameservern technische (keine persönlichen!) Informationen hinterlegt, die jeder abfragen kann.

Stellen Sie sich vor: Jemand gibt im Browser die Adresse Ihrer Webseite ein – und sie öffnet sich. Im Hintergrund passiert (vereinfacht gesagt) Folgendes: Der Browser Ihres Besuchers schickt eine Anfrage los, und sucht in den Nameservern nach Informationen dazu, wo im Internet er Ihre Webseite findet. Das ist ein wenig so, als würde er in den Gelben Seiten blättern. Im Eintrag zu Ihrer Domain (im sogenannten Zonefile) findet er alle Informationen. Also z.B., auf welchem Webserver Ihre Webseite liegt. Aber auch, welcher Mailserver E-Mails für Ihre Domain entgegennimmt und eben auch den SPF-Eintrag, sofern einer vorhanden ist.   [/actioncard]

Wird nun eine E-Mail über diese Domain geschickt, prüft der Mailserver des Empfängers, ob ein SPF-Eintrag existiert und wenn ja, ob die IP-Adresse des Absenders in dem SPF-Eintrag erlaubt wurde.  

Ist alles in Ordnung, wird die E-Mail zugestellt.  

Wenn

nicht, reagiert der empfangende Mailserver entsprechend. Wie genau –

das kommt darauf an, wie der Mailserver konfiguriert ist. Und an dieser

Stelle nehmen wir nun eine Änderung bei unseren Mailservern vor.  

Wie verhält sich die SPF-Prüfung bei DomainFactory momentan? 

Wenn

unser Mailserver eine E-Mail entgegennimmt, prüft er den SPF-Eintrag

der absendenden Domain und fügt je nachdem folgende Informationen zum

Header hinzu: 

Es existiert ein SPF-Eintrag, der mit dem Absender übereinstimmt: 

 

X-Received-SPF: pass ( mx04.ispgateway.de: domain of sender-domain.tld designates Sender-Server-IP as permitted sender ) 

 

Es existiert ein SPF-Eintrag, der nicht mit dem Absender übereinstimmt: 

 

X-Received-SPF: fail ( mx02.ispgateway.de: domain of sender-domain.tld does not designate Sender-Server-IP as permitted sender ) 

 

Es existiert kein SPF-Eintrag:  

 

X-Received-SPF: none ( mx15.ispgateway.de: domain of sender-domain.tld does not provide an SPF record ) 

 

[actioncard type="plain"] 💡 Der komplette Header einer E-Mail wird in der Regel nicht direkt in Ihrem E-Mailprogramm angezeigt, sondern kann über die Einstellungen eingeblendet werden. [/actioncard]

Es passiert erst einmal nichts weiter.  

Sie

können nun aber selbst entscheiden, ob eine Prüfung des Headers

stattfinden soll, indem Sie für das Postfach einen individuellen

Mailfilter über Ihr Kundenmenü einrichten. 

Was wird geändert?  

Besteht ein SPF-Record

bei einer Domain, und die Informationen des Absenders stimmen nicht

damit überein, wird die E-Mail künftig nicht mehr nur im Header

markiert, sondern sie wird von unseren Mailservern abgelehnt. Folgende Fehlermeldung geht an den Absender zurück:  

„mail@sender-domain.tld is not allowed to send mail from sender-domain.tld. Help at/Hilfe unter www.mfaq.info“ 

Das bedeutet, dass Sie nicht mehr selbst konfigurieren müssen, ob solche E-Mails abgelehnt werden sollen. 

Als Beispiel erklärt 

Gehen wir davon aus, ein Kunde von Ihnen schickt Ihnen eine E-Mail. Der Kunde kann seine E-Mailadresse bei einem beliebigen Provider haben. Ihr Postfach, das die E-Mail empfangen soll, ist bei DomainFactory.  

Szenario 1: Ihr Kunde hat keinen SPF-Eintrag gesetzt

Ihr Kunde schickt Ihnen die E-Mail. Unser Mailserver nimmt die E-Mail entgegen und stellt fest, dass Ihr Kunde für seine Domain keinen SPF-Eintrag gesetzt hat. Die E-Mail wird zugestellt.

Szenario 2: Ihr Kunde hat einen SPF-Eintrag gesetzt, der mit dem Absender übereinstimmt 

Ihr Kunde schickt Ihnen die E-Mail, unser Mailserver nimmt die E-Mail entgegen. Er prüft den SPF-Eintrag und stellt fest, dass die E-Mail von einer IP-Adresse geschickt wurde, die im SPF-Eintrag zugelassen wurde. Die E-Mail wird zugestellt. 

Szenario 3: Ihr Kunde hat einen SPF-Eintrag gesetzt, der mit dem Absender nicht übereinstimmt 

Jemand

schickt eine E-Mail und benutzt als Absenderadresse die Ihres Kunden.

(Das geht leider genau so einfach, wie auf einen Briefumschlag einen

falschen Absender zu schreiben und den Brief zur Post zu bringen.) 

Unser

Mailserver nimmt die E-Mail entgegen und stellt fest, dass ein

SPF-Eintrag existiert, die absendende IP-Adresse darin jedoch nicht

erlaubt wurde. Bislang hätte unser Mailserver einen Eintrag im Header

gesetzt, den Sie vielleicht gar nicht prüfen (dafür hätten Sie manuell

einen eigenen Mailfilter einrichten müssen).  

Mit der neuen Einstellung wird die E-Mail abgelehnt, die absendende E-Mailadresse erhält eine Fehlermeldung.  

Hat

Ihr Kunde die E-Mail selbst geschickt und sich beim Senden einfach

nicht in dem zugelassenen Bereich (den er selbst definiert hat!)

befunden, weiß er durch die Fehlermeldung Bescheid, dass Sie die Mail

nicht erhalten haben.  

Hat

ein Spammer die E-Mailadresse Ihres Kunden missbraucht, bekommt dieser

Kunde die Fehlermeldung auch, denn sie geht ja zurück an die

Absenderadresse. So bekommt Ihr Kunde mit, dass seine Mailadresse zum

Spamversand missbraucht wurde.  

Nur

wenn der Spammer irgendeine E-Mailadresse unter der Domain benutzt,

kann die Fehlermeldung natürlich nicht zugestellt werden.  

Warum führen wir die Änderung durch? 

Durch einen SPF-Record legt der Domaininhaber fest, welche IP-Adressen bzw. welche Netzwerkbereiche E-Mails über seine Domain versenden dürfen.  

Durch das aktuelle Verhalten werden die E-Mails jedoch auch dann zugestellt, wenn der Absender nicht zugelassen ist.  

Durch

diese Änderung entsprechen wir also dem Sinn eines SPF-Eintrags:

E-Mails aus nicht zugelassenen Bereichen werden direkt abgelehnt – ohne,

dass unsere Kunden dafür eigene Mailfilter anlegen müssen.  

Kann ich diese E-Mails trotzdem empfangen?  

Wir stellen auch Mailserver für den Mailempfang bereit, die keine Spamschutz-Prüfungen durchführen.  

Wenn Sie für Ihre Domain diese Server nutzen möchten, gehen Sie bitte wie folgt vor:  

• Loggen Sie sich in Ihr Kundemenü ein, wählen Sie ggf. den entsprechenden Auftrag aus und klicken Sie dann in der linken Navigation in der Rubrik „E-Mail“ auf „Spamschutz“.  
• Wählen Sie nun die Registerkarte „Reverse-DNS-Prüfung“ und dort den Button „Reverse-DNS-Prüfung konfigurieren“.  

• Nun klicken Sie rechts neben der Domain auf „Editieren“ und wählen in dem Dropdown-Menü „Alle Prüfungen inaktiv“.  

Nun

werden für diese Domain unsere empfangenden Mailserver verwendet, die

keine Spamschutz-Prüfungen für eingehende E-Mails durchführen. 

❗

Bitte beachten Sie, dass Sie dadurch in den Postfächern der

entsprechenden Domain wahrscheinlich deutlich mehr Spam erhalten werden! 

Fragen & Support 

In unseren FAQ finden Sie eine Anleitung, wie Sie selbst für Ihre Domain einen SPF-Eintrag setzen können:  

DomainFactory FAQ: SPF-Einträge erstellen 

Unter http://www.kitterman.com/spf/validate.html können Sie prüfen, ob Ihr SPF-Eintrag richtig funktioniert.  

Wenn Sie noch Fragen zu SPF haben, steht Ihnen unser Kundenservice gern zur Verfügung – oder nutzen Sie die Kommentarfunktion unter dem Beitrag!