Um die Postfächer unserer Kunden besser vor Spam zu schützen, planen wir eine Umstellung der Prüfung von SPF-Einträgen. Was genau das bedeutet und wie sich das Verhalten ändert, beschreiben wir in diesem Beitrag.

Doch zunächst: Was genau ist SPF?
SPF (Sender Policy Framework) wurde entwickelt, um das Fälschen von Absenderadressen in E-Mails zu verhindern. Das funktioniert wie folgt:

Mit einem SPF-Eintrag kann ein Domaininhaber seine Domain so konfigurieren, dass über E-Mailadressen der Domain nur aus bestimmten Bereichen, also z.B. aus seinem Heimnetzwerk, dem Büro etc. gesendet werden darf.  

Man legt also fest, dass Absender unter der Domain nur über bestimmte IP-Adressen oder Netzwerkbereiche senden dürfen.

Kurz zur Erklärung: Nameserver

An dieser Stelle möchten wir kurz erklären, was es mit Nameserver-Einträgen auf sich hat. Das ist wichtig, um die Funktion von SPF zu verstehen. Wenn Sie sich mit Nameservereinstellungen bereits auskennen, überspringen Sie diesen Part bitte einfach.

Für jede Domain sind in den Nameservern technische (keine persönlichen!) Informationen hinterlegt, die jeder abfragen kann.

Stellen Sie sich vor: Jemand gibt im Browser die Adresse Ihrer Webseite ein – und sie öffnet sich. Im Hintergrund passiert (vereinfacht gesagt) Folgendes: Der Browser Ihres Besuchers schickt eine Anfrage los, und sucht in den Nameservern nach Informationen dazu, wo im Internet er Ihre Webseite findet. Das ist ein wenig so, als würde er in den Gelben Seiten blättern. Im Eintrag zu Ihrer Domain (im sogenannten Zonefile) findet er alle Informationen. Also z.B., auf welchem Webserver Ihre Webseite liegt. Aber auch, welcher Mailserver E-Mails für Ihre Domain entgegennimmt und eben auch den SPF-Eintrag, sofern einer vorhanden ist.  
Wird nun eine E-Mail über diese Domain geschickt, prüft der Mailserver des Empfängers, ob ein SPF-Eintrag existiert und wenn ja, ob die IP-Adresse des Absenders in dem SPF-Eintrag erlaubt wurde.  

Ist alles in Ordnung, wird die E-Mail zugestellt.

Wenn nicht, reagiert der empfangende Mailserver entsprechend. Wie genau – das kommt darauf an, wie der Mailserver konfiguriert ist. Und an dieser Stelle nehmen wir nun eine Änderung bei unseren Mailservern vor.  

Wie verhält sich die SPF-Prüfung momentan?
Wenn unser Mailserver eine E-Mail entgegennimmt, prüft er den SPF-Eintrag der absendenden Domain und fügt je nachdem folgende Informationen zum Header hinzu:

Es existiert ein SPF-Eintrag, der mit dem Absender übereinstimmt:

X-Received-SPF: pass ( mx04.ispgateway.de: domain of sender-domain.tld designates Sender-Server-IP as permitted sender )
Es existiert ein SPF-Eintrag, der nicht mit dem Absender übereinstimmt:

X-Received-SPF: fail ( mx02.ispgateway.de: domain of sender-domain.tld does not designate Sender-Server-IP as permitted sender )
Es existiert kein SPF-Eintrag:  

X-Received-SPF: none ( mx15.ispgateway.de: domain of sender-domain.tld does not provide an SPF record )
Der komplette Header einer E-Mail wird in der Regel nicht direkt in Ihrem E-Mailprogramm angezeigt, sondern kann über die Einstellungen eingeblendet werden.
Es passiert erst einmal nichts weiter.  

Sie können nun aber selbst entscheiden, ob eine Prüfung des Headers stattfinden soll, indem Sie für das Postfach einen individuellen Mailfilter über Ihr Kundenmenü einrichten.

Was wird geändert?  
Besteht ein SPF-Record bei einer Domain, und die Informationen des Absenders stimmen nicht damit überein, wird die E-Mail künftig nicht mehr nur im Header markiert, sondern sie wird von unseren Mailservern abgelehnt. Folgende Fehlermeldung geht an den Absender zurück:  

„mail@sender-domain.tld is not allowed to send mail from sender-domain.tld. Help at/Hilfe unter www.mfaq.info“

Das bedeutet, dass Sie nicht mehr selbst konfigurieren müssen, ob solche E-Mails abgelehnt werden sollen.

Als Beispiel erklärt
Gehen wir davon aus, ein Kunde von Ihnen schickt Ihnen eine E-Mail. Der Kunde kann seine E-Mailadresse bei einem beliebigen Provider haben. Ihr Postfach, das die E-Mail empfangen soll, ist bei tt-pixelmind.

Szenario 1: Ihr Kunde hat keinen SPF-Eintrag gesetzt
Ihr Kunde schickt Ihnen die E-Mail. Unser Mailserver nimmt die E-Mail entgegen und stellt fest, dass Ihr Kunde für seine Domain keinen SPF-Eintrag gesetzt hat. Die E-Mail wird zugestellt.

Szenario 2: Ihr Kunde hat einen SPF-Eintrag gesetzt, der mit dem Absender übereinstimmt
Ihr Kunde schickt Ihnen die E-Mail, unser Mailserver nimmt die E-Mail entgegen. Er prüft den SPF-Eintrag und stellt fest, dass die E-Mail von einer IP-Adresse geschickt wurde, die im SPF-Eintrag zugelassen wurde. Die E-Mail wird zugestellt.

Szenario 3: Ihr Kunde hat einen SPF-Eintrag gesetzt, der mit dem Absender nicht übereinstimmt
Jemand schickt eine E-Mail und benutzt als Absenderadresse die Ihres Kunden. (Das geht leider genau so einfach, wie auf einen Briefumschlag einen falschen Absender zu schreiben und den Brief zur Post zu bringen.)

Unser Mailserver nimmt die E-Mail entgegen und stellt fest, dass ein SPF-Eintrag existiert, die absendende IP-Adresse darin jedoch nicht erlaubt wurde. Bislang hätte unser Mailserver einen Eintrag im Header gesetzt, den Sie vielleicht gar nicht prüfen (dafür hätten Sie manuell einen eigenen Mailfilter einrichten müssen).  

Mit der neuen Einstellung wird die E-Mail abgelehnt, die absendende E-Mailadresse erhält eine Fehlermeldung.  

Hat Ihr Kunde die E-Mail selbst geschickt und sich beim Senden einfach nicht in dem zugelassenen Bereich (den er selbst definiert hat!) befunden, weiß er durch die Fehlermeldung Bescheid, dass Sie die Mail nicht erhalten haben.  

Hat ein Spammer die E-Mailadresse Ihres Kunden missbraucht, bekommt dieser Kunde die Fehlermeldung auch, denn sie geht ja zurück an die Absenderadresse. So bekommt Ihr Kunde mit, dass seine Mailadresse zum Spamversand missbraucht wurde.  

Nur wenn der Spammer irgendeine E-Mailadresse unter der Domain benutzt, kann die Fehlermeldung natürlich nicht zugestellt werden.  

Warum führen wir die Änderung durch?
Durch einen SPF-Record legt der Domaininhaber fest, welche IP-Adressen bzw. welche Netzwerkbereiche E-Mails über seine Domain versenden dürfen.  

Durch das aktuelle Verhalten werden die E-Mails jedoch auch dann zugestellt, wenn der Absender nicht zugelassen ist.  

Durch diese Änderung entsprechen wir also dem Sinn eines SPF-Eintrags: E-Mails aus nicht zugelassenen Bereichen werden direkt abgelehnt – ohne, dass unsere Kunden dafür eigene Mailfilter anlegen müssen.  

Kann ich diese E-Mails trotzdem empfangen?  
Wir stellen auch Mailserver für den Mailempfang bereit, die keine Spamschutz-Prüfungen durchführen.  

Wenn Sie für Ihre Domain diese Server nutzen möchten, gehen Sie bitte wie folgt vor:  

Loggen Sie sich in Ihr Kundemenü ein, wählen Sie ggf. den entsprechenden Auftrag aus und klicken Sie dann in der linken Navigation in der Rubrik „E-Mail“ auf „Spamschutz“.  
Wählen Sie nun die Registerkarte „Reverse-DNS-Prüfung“ und dort den Button „Reverse-DNS-Prüfung konfigurieren“.  
Nun klicken Sie rechts neben der Domain auf „Editieren“ und wählen in dem Dropdown-Menü „Alle Prüfungen inaktiv“.  
Nun werden für diese Domain unsere empfangenden Mailserver verwendet, die keine Spamschutz-Prüfungen für eingehende E-Mails durchführen.

Bitte beachten Sie, dass Sie dadurch in den Postfächern der entsprechenden Domain wahrscheinlich deutlich mehr Spam erhalten werden!