Inhalt des Artikels
In dieser Anleitung erfahren Sie, wie Sie einen SPF-TXT-Eintrag erstellen. Dabei wird vorausgesetzt, dass Sie mit DNS und der Erstellung eines DNS-TXT-Eintrags vertraut sind.
- Das Einrichten eines SPF-Eintrags hilft dabei, Cyberkriminelle daran zu hindern, Ihre Domain zum Versenden von schädlichen E-Mails zu verwenden.
- Sie erfahren, wie Sie Ihren SPF-TXT-Eintrag erstellen und veröffentlichen und überprüfen, ob er richtig konfiguriert ist.
- Folgen Sie dieser einfachen Anleitung, um die Sicherheit Ihrer Domain zu erhöhen und sich vor E-Mail-Spoofing zu schützen.
E-Mail-Absender mit SPF autorisieren
Das Sender Policy Framework (SPF) ist ein Verfahren zur E-Mail-Authentifizierung, das festlegt, welche IP-Adressen E-Mails im Namen einer bestimmten Domain versenden dürfen. Das Einrichten eines SPF-Eintrags unter
trägt dazu bei, zu verhindern, dass böswillige Personen Ihre Domain zum Versenden unbefugter (bösartiger) E-Mails nutzen – ein Vorgang, der auch als E-Mail-Spoofing bezeichnet wird (
). Das SPF-Protokoll wird als eine der Standardmethoden zur Bekämpfung von Spam eingesetzt und kommt auch
in der DMARC-Spezifikation zum Einsatz.
Was sind SPF-Einträge?
Ein SPF-Eintrag ist ein TXT-Eintrag, der Teil des DNS (Domain Name Service) einer Domain ist. Ein SPF-Eintrag listet alle autorisierten Hostnamen und IP-Adressen von
auf, die E-Mails im Namen Ihrer Domain versenden dürfen.
Welche Auswirkungen hat ein SPF-Eintrag?
Einige E-Mail-Empfänger verlangen zwingend die Verwendung von SPF. Falls Sie noch keinen SPF-Eintrag für Ihre Domain veröffentlicht haben, kann Ihre E-Mail an
als Spam markiert werden oder – schlimmer noch – die E-Mail wird zurückgewiesen, wenn sie über einen autorisierten Mailserver versendet wird. Wird eine E-Mail über einen nicht autorisierten Mailserver versendet, kann die E-Mail-Adresse
als Spam markiert werden. Ein ordnungsgemäß eingerichteter SPF-Eintrag verbessert die Zustellbarkeit Ihrer E-Mails und trägt dazu bei, Ihre Domain vor böswilligen E-Mails zu schützen, die im Namen Ihrer Domain versendet werden. Dieses E-Mail-Validierungssystem
DMARC
stellt eine Verbindung zwischen SPF und
DKIM
her.
Wie erstellt man einen SPF-Eintrag?
Um Ihre Marke vor Spoofing- und Phishing-Angriffen zu schützen, müssen Sie Ihre E-Mails authentifizieren. Erstellen Sie Ihren SPF-Eintrag, indem Sie die folgenden Schritte befolgen:
Schritt 1: Sammeln Sie alle IP-Adressen, die zum Versenden von E-Mails verwendet werden
Um SPF erfolgreich zu implementieren, müssen Sie zunächst ermitteln, welche Mailserver zum Senden von E-Mails für Ihre Domain verwendet werden. Diese Mailserver können von jeder beliebigen sendenden Organisation stammen. Sie sollten an Ihren E-Mail-Service-Provider, den Office-Mailserver und alle anderen Mailserver von Drittanbietern denken, die möglicherweise zum Senden von E-Mails für Sie verwendet werden.
Haben Sie alle sendenden E-Mail-Server erfasst?
Nachdem Sie nun einen klaren Überblick über alle sendenden Domains haben, müssen Sie für jede Domain einen SPF-Eintrag erstellen, auch wenn die Domain nicht aktiv E-Mails versendet.
Schritt 2: Erstellen Sie Ihren SPF-Datensatz
- Beginnen Sie mit der SPF-Version. In diesem Abschnitt wird der Datensatz als SPF definiert. Ein SPF-Eintrag sollte stets mit der Versionsnummer „v=spf1“ (Version 1) beginnen. Dieses Tag definiert den Datensatz als SPF. Früher gab es eine zweite Version von SPF (mit dem Namen „SenderID“), diese wurde jedoch eingestellt.
- Nachdem Sie das SPF-Versions-Tag „v=spf1“ eingefügt haben, sollten Sie alle IP-Adressen angeben, die berechtigt sind, E-Mails in Ihrem Namen zu versenden. Beispiel: v=spf1 ip4:34.243.61.237 ip6:2a05:d018:e3:8c00:bb71:dea8:8b83:851e
- Anschließend können Sie für jede Drittanbieter-Organisation, die zum Versenden von E-Mails in Ihrem Namen eingesetzt wird, einen Include-Tag einfügen, z. B. beinhaltet:thirdpartydomain.com. Dieses Tag gibt an, dass dieser bestimmte Drittanbieter berechtigt ist, E-Mails im Namen Ihrer Domain zu versenden. Sie müssen sich bei dem Drittanbieter erkundigen, welche Domäne als Wert für die „include“-Anweisung verwendet werden soll.
- Sobald Sie alle IP-Adressen und „include“-Tags implementiert haben, sollten Sie Ihren Eintrag mit einem „~all“- oder „-all“-Tag abschließen. Das „all“-Tag ist ein wichtiger Bestandteil des SPF-Eintrags, da es angibt, welche Richtlinie angewendet werden soll, wenn Internetdienstanbieter einen Server erkennen, der nicht in Ihrem SPF-Eintrag aufgeführt ist. Sollte ein nicht autorisierter Server E-Mails im Namen Ihrer Domain versenden, werden Maßnahmen gemäß der veröffentlichten Richtlinie ergriffen (z. B. die E-Mail ablehnen oder als Spam markieren). Worin besteht der Unterschied zwischen diesen Tags? Sie müssen festlegen, wie streng die Server die E-Mails behandeln sollen. Das Tag „~all“ kennzeichnet einen Soft-Fail, während „-all“ einen Hard-Fail angibt. Das „all“-Tag weist die folgenden grundlegenden Markierungen auf:
- - „all Fail“: Server, die nicht im SPF-Eintrag aufgeführt sind, sind nicht zum Versenden von E-Mails berechtigt (nicht konforme E-Mails werden abgelehnt).
- ~Alle Softfail: Wenn die E-Mail von einem Server empfangen wird, der nicht in der Liste aufgeführt ist, wird sie als „Softfail“ gekennzeichnet (die E-Mails werden zwar angenommen, aber entsprechend markiert).
- +all: Wir raten dringend davon ab, diese Option zu verwenden, da dieses Tag es jedem Server ermöglicht, E-Mails von Ihrer Domain aus zu versenden.
Es stehen zahlreiche SPF-Tags zur Verfügung. Weitere Informationen finden Sie auf der Seite mit den Erläuterungen zu den SPF-Komponenten.
Nachdem Sie Ihren SPF-Eintrag definiert haben, könnte Ihr Eintrag etwa so aussehen:
v=spf1 ip4:34.243.61.237 ip6:2a05:d018:e3:8c00:bb71:dea8:8b83:851e include:thirdpartydomain.com -all
Für Domains, die keine E-Mails versenden, empfehlen wir Ihnen, den folgenden Eintrag zu veröffentlichen: v=spf1 -all
Bitte beachten Sie, dass Ihr SPF-Eintrag nicht länger als 255 Zeichen sein darf und maximal 10 Include-Tags, auch als „Lookups“ bezeichnet, enthalten darf. Bitte beachten Sie, dass auch „verschachtelte Suchvorgänge“ gezählt werden. Wenn ein Eintrag über einen A- und einen MX-Lookup verfügt, zählen beide als Lookups für Ihre Domain.
Einige Nutzer verwenden zudem einen SPF-Eintrag-Generator, um einen korrekt formatierten Eintrag zu erstellen. Anschließend können Sie Ihren SPF-Eintrag mithilfe unseres SPF-Eintrag-Checkersvorab überprüfen
.
Schritt 3: Veröffentlichen Sie Ihren SPF-Eintrag in Ihrem DNS.
Nachdem Sie Ihren SPF-TXT-Eintrag definiert haben, ist es nun an der Zeit, diesen Eintrag in Ihrem DNS zu veröffentlichen. Auf diese Weise können E-Mail-Empfänger wie (Gmail, Hotmail und andere) diese anfordern. Ein SPF-Eintrag muss von Ihrem DNS-Verwalter in Ihrem DNS veröffentlicht werden. Dies kann eine interne Funktion in Ihrem Unternehmen sein; Sie können selbst Zugriff auf ein von Ihrem DNS-Anbieter bereitgestelltes Dashboard haben oder Ihren DNS-Anbieter bitten, den Eintrag zu veröffentlichen. Bitte überprüfen Sie vor der Veröffentlichung Ihre DNS-Einstellungen sorgfältig, damit Sie nicht den falschen TXT-Eintrag überschreiben.
Bitte stellen Sie sicher, dass Ihr SPF-Eintrag die maximale Anzahl von 10 Lookups nicht überschreitet! Bitte beachten Sie, dass auch „verschachtelte Suchvorgänge“ gezählt werden. Wenn eine „enthaltene“ Domain über einen A- und einen MX-Lookup verfügt, zählen diese ebenfalls als Lookups für Ihre Domain. Sie können Ihren SPF-Eintrag mithilfe unseres kostenlosen SPF-Eintrag-Checkersvorab überprüfen.
Greifen Sie auf Ihren DNS-Manager zu
Ihr SPF-Eintrag muss in Ihrem DNS veröffentlicht werden:
- Melden Sie sich in Ihrem Domain-Konto bei Ihrem Domain-Hosting-Anbieter an.
- Suchen Sie die Seite, auf der Sie die DNS-Einträge Ihrer Domain aktualisieren können (etwa unter „DNS-Verwaltung“ oder „Namensserver-Verwaltung“).
- Wählen Sie die Domain aus, deren Einträge Sie ändern möchten.
- Öffnen Sie den DNS-Manager.
- Melden Sie sich in Ihrem Domain-Konto bei Ihrem Domain-Hosting-Anbieter an.
- Erstellen Sie einen neuen TXT-Eintrag im Abschnitt TXT (Text).
- Setzen Sie das Host-Feld auf den Namen Ihrer Domain.
- Füllen Sie das TXT-Wert-Feld mit Ihrem SPF-Eintrag (d. h. “v=spf1 a mx include: exampledomain.com ~all””).
- Geben Sie die Time To Live (TTL) an, geben Sie 3600 ein oder belassen Sie den Standardwert.
- Klicken Sie auf „Speichern“ oder „Eintrag hinzufügen“, um den SPF-TXT-Eintrag in Ihrem DNS zu veröffentlichen.
Falls Sie bereits über einen SPF-Eintrag verfügen, aktualisieren Sie diesen Eintrag, anstatt einen zweiten anzulegen, da mehrere SPF-Einträge für dieselbe Domain dazu führen können, dass SPF-Prüfungen fehlschlagen.
Es kann bis zu 48 Stunden dauern, bis Ihr neuer SPF-Eintrag in Kraft tritt. Wenden Sie sich an Ihren Domain-Host, wenn Sie Hilfe beim Hinzufügen von TXT-Einträgen benötigen.
Schritt 4: Testen Sie Ihren SPF-Datensatz mit der Prüfung für SPF-Einträge.
Die Einrichtung eines SPF-Eintrags ist ein wesentlicher Bestandteil Ihrer technischen Einstellungen. Erfahren Sie mehr darüber,wie Sie Ihren SPF-Eintrag überprüfen und validieren können, oder testen Sie Ihren SPF-Eintrag direkt mit unserem SPF-Eintrag-Checker .
DMARC Analyzer bietet einen kostenlosen SPF-Record-Checker zur Überprüfung Ihres SPF-Recordsan.
Der SPF-Record ist korrekt konfiguriert, wenn:
- die Prüfung für SPF-Einträge einen SPF-Eintrag gefunden hat.
- Ihr SPF-Eintrag die maximale Anzahl von 10 Lookups nicht überschreitet.
- die konfigurierten IP-Adressen echte Adressen sind, die zum Versenden von E-Mails verwendet werden.
Es stehen zahlreiche SPF-Tags zur Verfügung. Weitere Informationen finden Sie auf der Seite mit den Erläuterungen zu den SPF-Komponenten .
SPF und DMARC
SPF ist eine der E-Mail-Authentifizierungsmethoden, auf denen DMARC basiert. Das E-Mail-Validierungssystem DMARC stellt eine Verbindung zwischen SPF und DKIM her. DMARC nutzt das Ergebnis der SPF-Prüfungen und führt zusätzlich eine Überprüfung der Übereinstimmung der Domänen durch, um das Ergebnis zu ermitteln. Erfahren Sie mehr über DMARC .
Alle Informationen zum Sender Policy Framework (SPF). Erfahren Sie,wie Sie einen SPF-Eintrag überprüfen können . Überprüfen Sie Ihren SPF-Eintrag mit dem SPF-Eintrag-Checker .
Stärken Sie die Sicherheit Ihrer Domain mit einem SPF-TXT-Eintrag
Das Erstellen eines SPF-TXT-Eintrags ist ein wichtiger Schritt zum Schutz Ihrer Domain vor E-Mail-Spoofing und unbefugter Nutzung. Von
Durch die Veröffentlichung eines ordnungsgemäß konfigurierten SPF-Eintrags in Ihrem DNS tragen Sie dazu bei, dass nur zugelassene Mailserver Nachrichten im Namen Ihrer Domain an
versenden können. Wenn Sie die in dieser Anleitung beschriebenen Schritte befolgen, können Sie Ihren SPF-Eintrag erstellen, veröffentlichen und
überprüfen, damit er wie vorgesehen funktioniert. Wenn Sie sich die Zeit nehmen, SPF korrekt zu konfigurieren, stärken Sie Ihre
gesamte E-Mail-Authentifizierungsstrategie und tragen dazu bei, Angreifer daran zu hindern, Ihre Domain zum Versenden böswilliger E-Mails zu nutzen.