Sie erhalten eine E-Mail von einem Absender, der ihnen bekannt ist, die E-Mail sieht echt aus, und doch stimmt etwas nicht. Ist es möglich dass die E-Mail Absenderadresse gefälscht ist? Es ist bekannt, dass Betrüger z. B. mit Trojanern infizierte Anhänge im Namen bekannter Unternehmen senden, um das Vertrauen des Empfängers zu missbrauchen. Diese betrügerische Masche heißt „Spoofing“.

Wie können Sie feststellen, ob die betreffende E-Mail tatsächlich vom angegebenen Absender versendet wurde? Eine Lösung ist das Sender Policy Framework (SPF), mit dem Ihr Mailserver die Echtheit der Absenderadresse prüft.

Das Problem: Ist der Absender „echt“?

Die Überprüfung eingehender E-Mails ist theroteisch sehr einfach – der empfangende Mailserver kennt die Domain des Absenders. Wenn eine E-Mail von xxxx@mikas.at eingeht, kann der Empfänger die IP-Adresse von mikas.at feststellen. Die IP lautet 151.252.48.176 Sie finden diese im E-Mail Header, ebenso wie die IP-Adresse des Absenders.

Größeres Unternehmen verwenden jedoch nicht nur einen einzigen Mailserver. Der E-Mailprovider gmx.com nutzt mehr als ein halbes Dutzend Mailerver. Viele größere Provider setzen zusätzlich auf spezialisierte E-Mail Filter um zu verhindern, dass über ihr System Spam versendet wird.

Die Lösung: SPF (Sender Policy Framework)

Mit dieser Methode können Mailserver prüfen, ob eine Mail tatsächlich vom angegebenen Mailserver versendet wurde. Diese SPF Prüfung wird vollautomatisch durchgeführt.

Das SPF legt fest welche Mailserver E-Mails dieser Domain versenden dürfen. Die Mailserver werden dabei über ihren Domain Namen und oder ihre IP-Adresse identifiziert.

Eine Mail vom Absender xxx@gmx.com darf nur über eine der folgenden IP-Adressen gesendet werden: 213.165.64.0, 74.208.5.64, 74.208.122.0, 212.227.126.128, 212.227.15.0, 212.227.17.0, 74.208.4.192, 82.165.159.0, 217.72.207.0. Im SPF-Record der Domain gmx.com sind also diese IP-Adressen aufgelistet. Der empfangende Mailserver kann nun prüfen, ob die IP-Adresse auf dieser Liste steht.

Der SPF-Eintrag

Der SPF-Record wird als DNS-Record der jeweiligen Domain als TXT Record eingetragen. Der SPF Eintrag enthält IP-Adressen, von denen Mails dieser Domain versendet werden dürfen. Hinzu kommen weitere Einträge, die eine Mail durchlaufen muss, bevor sie den dem Empfänger zugestellt wird.

Erläuterung der gebräuchlichsten Parameter eines SPF-Records:

• v – Version des Records; v=SPF1 kennzeichnet die aktuell gültige Version.
• ip4 – IP-Adresse; „IP4“ ist die Bezeichnung für die wohlbekannte Form der IP-Adresse. Daneben gibt es die neuen IP6-Adressen, die jedoch noch weniger verbreitet sind.
• -all – Alle anderen hier nicht aufgeführten Sender sind nicht autorisiert und sollen abgewiesen werden.
• include – Gibt weitere Domains an, deren SPF-Eintrag ebenfalls abgerufen werden soll.

Neben dem -all gibt es noch die Version: ~all diese informiert, dass anderen Absender nicht autorisiert sind, aber trotzdem akzeptiert werden sollten. Diese „Soft Fail“-Deklaration wurde ursprünglich zu Testzwecken eingeführt, ist aber heute bei verschiedenen Hosting-Providern im Gebrauch.

SPF-Records einer Domain können Sie z. B. mit dem Tool von EasyDMARC auslesen.

Üblicherweise wird der SPF in Verbindung mit weiteren Sicherheitsmechanismen wie DKIM und DMARC eingesetzt.