SPF Record erstellen und prüfen
Erstellt: 28.03.2022 Bearbeitet: 29.09.2024
SPF (Sender Policy Framework) ist ein recht einfaches verfahren, um missbrauch der eigenen E-Mails ein wenig zu schützen. Mit dem SPF Domain Rekord gibt man an, aus welschen Netz, E-Mails der eigenen Domain versendet werden dürfen.
SPF Record abfragen
Der einfachste weg ist wohl mit host oder dig einen einfache DNS abfrage zu machen, das geht z.b. mit
host -t TXT gmx.de|grep -i spf
dig heise.de TXT|grep -i spf
dig gmx.de TXT|grep -i spf
dig gmx.net TXT|grep -i spf
nslookup -q=TXT gmx.net|grep -i spf
Bedeutung der felder
| Feld | Bedeutung |
|---|---|
| v | Version des Records, v=spf1 z.B. |
| ip4 | IPv4 Adresse oder Adress-rang, z.B. ip4:1.2.3.0/24 |
| ip6 | IPv6 Adresse oder Adress-rang, z.B. ip6:2a02:2e0:3fe:1001::/64 |
| a | ein A- oder AAAA-Record der befragten (oder explizit angegebenen) Domäne die IP-Adresse des Senders enthält |
| mx | ein MX-Record der befragten (oder explizit angegebenen) Domäne die IP-Adresse des Senders enthält |
| -all | Alle anderen hier nicht aufgeführten Sender sind nicht autorisiert und sollen abgewiesen werden. |
| ~all | Softfail, nicht autorisierte Sender, der Empfänger soll diesen Fehlschlag aber großzügig behandeln. |
| ?all | Neutral, die Direktive definiert Sender, über deren Legitimität nichts ausgesagt werden soll; der Sender muss so behandelt werden, als wenn kein Qualifikator angegeben wäre. |
| include | eine zusätzliche SPF-Anfrage zur im Include-Statement angegebenen Domain die IP-Adresse des Senders enthält z.B. include:_spfdiv.heise.de |
| redirect | Der SPF-Record einer anderen Domain soll eingeholt und ausgewertet werden z.B. redirect=gmx.net |
Beispiel
Aus den Test Abfragen sollte sich der restliche Aufbau von selber erklären.
Im Grunde ist es immer „Version, Regelwerk der eigenen Infrastruktur, Rest mit all“
Beispiel: v=spf1 mx:mx.domain.com a:domain.com ip4:1.2.3.0/24 ~all