Weiter zum Hauptinhalt

Hallo! Du kannst den Standard- und den Essentials-Tarif während einer kostenlosen Testphase ausprobieren. Starte noch heute kostenlos.

Was sind Sender‑Policy‑Framework‑Einträge? Was du über SPF wissen solltest

Mit einem SPF‑Eintrag bekommen deine E‑Mail‑Empfänger ein Tool, mit dem sie überprüfen können, ob bestimmte Absender E‑Mails in deinem Namen senden dürfen.

Ein Sender Policy Framework (SPF) funktioniert wie ein Türsteher in deiner Lobby. Du stellst eine Gästeliste bereit, und der Türsteher begrüßt diejenigen, die auf der Liste stehen, während alle anderen darauf warten müssen, ob er sie hereinlässt oder abweist. Als Kleinunternehmer kennst du zum Beispiel in der Regel die Namen deiner Kunden und Lieferanten sowie ihre Logos, Mitarbeiter und anderen Merkmale. Bei einem E-Mail-Austausch gibt es jedoch keine visuellen Hinweise auf Legitimität.

Die Marketingleiter mittelständischer Unternehmen kennen möglicherweise nur eine Handvoll Kunden und Lieferanten persönlich. Stattdessen verlassen sie sich auf die Mitarbeiter am Empfang, die eine Vorauswahl der Anrufe und Besucher treffen und nur diejenigen durchlassen, deren Anliegen nicht von anderen Mitarbeitern bearbeitet werden können.

Um mit dem CEO oder der Inhaberin eines internationalen Import-/Exportunternehmens zu sprechen, muss man dagegen im Voraus einen Termin vereinbaren. Darüber hinaus muss jeder, der einen Termin erhält, auch ein wichtiges Anliegen haben, welches das gesamte Unternehmen betrifft und um das sich unbedingt der CEO selbst kümmern muss – wie z. B. ein VIP-Kunde mit einem komplizierten Vertrag.

In jeder dieser Situationen müssen Unternehmen eine Möglichkeit haben, echte Absender zu erkennen. Andernfalls könnte der Ruf deines Unternehmens erheblichen Schaden erleiden, wenn Spammer, Betrüger oder Bots vorgeben, du zu sein, und Zugriff auf deine Kundenliste oder deinen E-Mail-Server erhalten. Dein Sender Policy Framework verschafft dir diese Unterscheidungsmöglichkeit.

Erfahre mehr über SPFs und erhalte Antworten auf Fragen wie „Was ist ein SPF-Eintrag“ und „Wie erstelle ich einen SPF-Eintrag“, damit du diese Sicherheitsmaßnahme für dein eigenes Unternehmen nutzen kannst.

Was sind Sender-Policy-Framework-Einträge?

Ein Sender-Policy-Framework- bzw. SPF-Eintrag ist eine Zeile mit Computercode, die deinen E-Mail-Empfänger mitteilt, dass deine Nachricht von dir, deinem Unternehmen oder einem befugten E-Mail-Distributor stammt, der in deinem Namen arbeitet. Ein SPF-Eintrag enthält die Anweisungen, die Nachrichtenempfänger brauchen:

  • um die Absender einer Nachricht zu identifizieren.
  • um sicherzustellen, dass die Absender die Befugnis haben, E-Mails von deinem Unternehmen zu senden.
  • um eine mögliche Rückadresse zur Nachrichtenquelle zu haben, wenn sie Einwände gegen deine Nutzung ihrer Daten haben.

Grenzen der SPF: Was SPF nicht kann

Nachdem wir geklärt haben, was ein SPF-Eintrag ist, sehen wir uns an, was Sender-Policy-Framework-Einträge nicht können. Die SPF-Authentifizierung bietet deinen E-Mail-Kampagnen ein absolutes Minimum an Sicherheit.

Achte unter anderem auf die folgenden Einschränkungen:

  • SPF verschlüsselt deine Nachrichten nicht.
  • Diese Frameworks verbessern den Datenschutz nicht.
  • Das Weiterleiten einer E-Mail durchbricht das SPF, da die Weiterleitenden jetzt die Absender sind.
  • Ein SPF generiert keine Berichte.
  • SPF allein bietet nicht ausreichend Schutz.

Was solltest du über SPF wissen?

Sender-Policy-Framework-Einträge sagen deinen Empfängern, dass deine Nachricht kein Spoofing, Spamming oder Betrugsversuch ist. Wenn es darum geht, Vertrauen aufzubauen, steht jedes Unternehmen vor Herausforderungen. Wenn du durch diese Verifizierung klar machst, dass man deiner E-Mail-Adresse vertrauen kann, verringerst du den Widerstand gegen deine Botschaft. Die Verwendung von SPF hilft auch, die Cybersicherheit aufseiten deiner Empfänger zu verbessern.

Hier sind einige wichtige Punkte, die du bei SPFs beachten solltest:

  1. Ein Sender Policy Framework (SPF) ist eine Liste von IP-Adressen und Anweisungen an Internetdienstanbieter zur Handhabung deiner ausgehenden E-Mails.
  2. Dein SPF bietet eine Verteidigungslinie, dank der deine Nachrichten mit größerer Wahrscheinlichkeit die richtigen Empfänger erreichen.
  3. Ein SPF-E-Mail-Eintrag verschlüsselt deine Nachrichten nicht.
  4. SPF-Einträge erscheinen in den vollständigen Kopfzeilen deiner Nachricht.
  5. Die SPF-Domain, die im „include“-Mechanismus zuerst aufgeführt ist, zeigt, dass du wenigstens einige grundlegende Vorkehrungen getroffen hast, um deine personenbezogenen und geschäftlichen Daten zu schützen.

SPF vs. DMARC vs. DKIM

Die Internet Engineering Task Force veröffentlichte im April 2014 das aktuelle SPF-Protokoll in RFC 7208. Ziel war es, einen Konsens darüber zu schaffen, der verhindert, dass Hacker und Phisher E-Mails versenden können, die angeblich von einer bekannten, vertrauenswürdigen Organisation stammen. Dieser Konsens wurde zu „spf1“, und ab diesem Zeitpunkt wurde „v=spf1“ das Standardformat für die Anfangsanweisung jedes SPF-Eintrags. Die Weiterleitung einer Nachricht macht das SPF jedoch ungültig. Dadurch kommen zwei weitere Strategien ins Spiel: DKIM und DMARC.

Was ist DKIM?

DKIM ist das Akronym für DomainKeys Identified Mail. Wie SPF ist auch DKIM ein TXT-Eintrag im DNS. DKIM-Einträge bleiben jedoch auch bei der Weiterleitung gültig. Die aktuellen DKIM-Standards entstanden aus den Bemühungen von Yahoo! und Cisco, die jeweils eigene E-Mail-Autorisierungsstandards erstellt hatten. Stelle dir DKIM als das Wachssiegel vor, mit dem früher offizielle Dokumente versiegelt wurden. Diese Wachssiegel waren erkennbar. Wenn ein Brief ankam und das Siegel fehlte oder beschädigt war, wurde er nicht als vertrauenswürdig angesehen.

Alle ausgehenden E-Mail-Server verfügen über eine zweiteilige DKIM: den privaten DKIM-Schlüssel und einen öffentlichen Schlüssel. Alle Eingangsserver greifen auf den öffentlichen Teil dieses Schlüssels zu. Wenn du eine E-Mail sendest, durchsucht der empfangende E-Mail-Server das DNS. Wenn dieser E-Mail-Server deinen öffentlichen DKIM-Schlüssel findet, öffnet er die DKIM-Signatur. Wenn die Signatur in der Nachricht mit der Signatur übereinstimmt, die du in deinem DNS hinterlegt hast, betrachtet der empfangende E-Mail-Server diese Nachricht als gültig. Andernfalls wird die Nachricht als unzustellbar abgelehnt, was bedeutet, dass sie die Inbox des beabsichtigten Empfängers bzw. der Empfängerin nicht erreicht. Stattdessen wird sie möglicherweise nicht zugestellt, landet im Spam- oder einem anderen Ordner, den die Benutzer für solche Nachrichten eingerichtet haben.

Das richtige Format für DKIM-Einträge sieht folgendermaßen aus:

<selector(s=)._domainkey.domain(d=)>.   TXT v=DKIM1; p=\<public key>

Ein öffentlicher DKIM-Schlüssel im richtigen Format sieht zum Beispiel so aus:

dk5182-3458._domainschlüssel.meinedomainbeispiel.com. IN TXT „v=DKIM1\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC1TaNgLlSyQMNWVLNLvyY/neDgaL2oqQE8T5illKqCgDtFHc8eHVAU+nlcaGmrKmDMw9dbgiGk1ocgZ56NR4ycfUHwQhvQPMUZw0cveel/8EAGoi/UyPmqfcPibytH81NFtTMAxUeM4Op8A6iHkvAMj5qLf4YRNsTkKAV;“

Was bewirken die einzelnen Teile eines DKIM-Eintrags?

In diesem Beispiel steht dk5182-3458 für den Selektor (s=). Das (d=) steht für die angegebene Domain meinedomainbeispiel.com. Die Version muss in jedem DKIM-Eintrag immer als „v=DKIM1“ erscheinen. Der „p“-Mechanismus steht für den öffentlichen Code, eine Reihe von Buchstaben, Zahlen und Symbolen.

Was ist DMARC?

DMARC steht für Domain-based Message Authentication, Reporting and Conformance. DMARC verhindert böswillige Aktivitäten, indem es Nachrichten von Spoofern abwehrt, bevor sie deine Inbox erreichen. Spoofer geben vor, dich zu repräsentieren, um Informationen für einen Identitätsdiebstahl oder andere Arten von Betrug zu erhalten.

Wenn du DMARC verwendest, schlägst du diesen Möchtegern-Eindringlingen die Tür vor der Nase zu. DMARC verwendet Open-Source-Code. Allerdings muss dein E-Mail-Dienstleister auch DMARC-Schutz verwenden. DMARC bildet nach SPF und DKIM eine dritte Verteidigungslinie.

Mit DMARC kannst du deinem E-Mail-Dienstleister sagen, ob er E-Mails von nicht vertrauenswürdigen oder unbekannten Quellen, je nach den Informationen, die er nach DKIM- und SPF-Anfragen erhält, ablehnen oder unter Quarantäne stellen soll.

Bestandteile eines SPF-Eintrags

Ein richtig formatierter SPF-Eintrag ist eine Textdatei (TXT), die zwei wichtige Elemente enthält. Zunächst muss der Eintrag die SPF-Version enthalten. Der Rest des Eintrags besteht dann aus den Mechanismen, die erforderlich sind, um zu überprüfen, welche Hostnamen und IP-Adressen Nachrichten von deiner Domain senden dürfen.

Ein SPF-Eintrag in einer E-Mail-Authentifizierungsanweisung könnte zum Beispiel wie folgt aussehen:

„v=spf1 a MX include:spf.deinunternehmensdomainname.com ~all“

Die v=spf1-Anweisung sagt dem empfangenden E-Mail-Server, dass dieser TXT-Eintrag ein Sender-Policy-Framework-Eintrag ist. Der „a“-Mechanismus weist diesen Server an, die IP-Adresse des Absenders mit „einem“ Tool der „from“-Domain abzugleichen, bevor die gesamte Nachricht heruntergeladen werden kann. Der MX-Mechanismus bezieht sich auf den Server für den E-Mail-Austausch oder „Host“, den du zum Speichern deiner E-Mail-Nachrichten verwendest, wie z. B. Google Workspace oder Microsoft 365 Business Premium. Der Mechanismus „include“ gibt schließlich an, dass die SPF-Domain deinunternehmensdomainname.com das Recht hat, E-Mails deines Unternehmens zu versenden.

Beachte diese wichtigen Punkte:

  • Die Anweisung v=spf1 ist das erste Tag und gehört IMMER ab den Anfang deines SPF-Eintrags.
  • Die „a“-Anweisung muss mit dem „from“-Eintrag übereinstimmen.
  • Dein MX ist der Service, den du für den E-Mail-Austausch nutzt.
  • Jede Domain, die befugt ist, Geschäfts-E-Mails von dir zu senden, muss in der „include“-Anweisung enthalten sein, darunter auch alle E-Mail-Dienste von Drittanbietern, die du verwendest (z. B. Mailchimp).
  • Nimm alle IP-Adressen, von denen deine Geschäfts-E-Mails gesendet werden, in deinen SPF-Mechanismus mit auf.

So erstellst du einen SPF-Eintrag

Um optimale Ergebnisse zu erzielen, solltest du deine SPF-Eintragssyntax vor dem Hochladen als TXT-Datei und nicht im Dashboard deines DNS-Servers erstellen. So kannst du sie vor dem Testen auf Formatierungsfehler überprüfen.

Gehe beim Erstellen und Implementieren deines SPF-Eintrags wie folgt vor:

  1. Öffne zunächst das Dashboard deines Domainanbieters.
  2. Gehe zu „Settings“ (Einstellungen).
  3. Erstelle deinen SPF-Eintrag als TXT-Eintrag.
  4. Füge ihn zu deinen DNS-Einstellungen hinzu.
  5. Teste die Änderungen.

Es kann bis zu 48 Stunden dauern, bis Änderungen an deinem bestehenden SPF-Eintrag übernommen werden. Hab also Geduld. Teste deine Änderungen nach diesen zwei Tagen erneut.

Wenn du beispielsweise nur E-Mails von Google Workspace sendest, sieht dein SPF-Eintrag folgendermaßen aus:

"v=spf1 include:_spf.google.com ~all"

Wenn du jedoch zusätzliche E-Mail-Dienstanbieter verwendest, brauchst du für jeden eine separate „include“-Angabe. Wenn du also auch mit Mandrill von Mailchimp Nachrichten sendest, fügst du nach Google und vor dem „~all“-Element „include:mandrillapp.com“ ein. Dein neues SPF sieht dann folgendermaßen aus.

„v=spf1 include:_spf.google.com include:mandrillapp.com ~all“

Hier ersetzt du „domainschlüssel.beispiel.com“ durch den Domainnamen deines Unternehmens.

Schütze dein Unternehmen mit SPF-Einträgen

Wenn du deine Kommunikation nicht absicherst, können böswillige Akteure, wie verärgerte oder ehemalige Mitarbeiter, Spammer und Betrüger, den Ruf deines Unternehmens durch gefälschte Geschäfts-E-Mails ruinieren. Die SPF-Authentifizierung bietet deinen Kunden und Kontakten eine Möglichkeit, zu überprüfen, ob eine Nachricht wirklich von dir stammt. Obwohl dies den Inhalt der Nachricht nicht verschlüsselt, ist SPF eine erste Verteidigungslinie gegen Spoofer. Um Cyberangriffe per E-Mail vollständig zu verhindern, solltest du auch DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting and Conformance) verwenden.

Wenn es zu aufwändig für dich ist, selbst SPF-Einträgen zu erstellen und deinem DNS hinzuzufügen, kannst du dich auf Mailchimp verlassen, das die SPF-Authentifizierung und Domain-Authentifizierung für dich einrichtet und testet.

Artikel teilen