Sender Policy Framework (SPF): Eine Schutzebene in der E-Mail-Infrastruktur

Hatte schon einmal jemand (spielerisch oder böswillig) Ihr Telefon und schrieb jemandem eine SMS, der vorgab, Sie zu sein? Es fühlt sich nicht sehr gut an, oder? Selbst nachdem Sie dem Empfänger die Wahrheit erklärt haben, wird er in Zukunft wahrscheinlich misstrauisch gegenüber all Ihren Nachrichten sein. Und Sie werden wahrscheinlich viel vorsichtiger sein, wem Sie Ihr Telefon ausleihen. Das Vertrauen ist gebrochen.

Ein ähnliches Szenario ist in der E-Mail-Welt möglich, und potenzielle Phisher benötigen Ihren Benutzernamen und Ihr Passwort nicht, um sich als Ihr Unternehmen auszugeben. Gruselig, oder?

Glücklicherweise kennen wir einen einfachen, nicht ganz so geheimen Trick, um den Ruf Ihrer Marke zu schützen. Es heißt Sender Policy Framework (SPF) und ist ein Lebensretter für die E-Mail-Reputation.

Wenn E-Mails von einem Server zu einem anderen gesendet werden, wird SMTP (Simple Mail Transfer Protocol) verwendet, um eine Nachricht vom Absender an den Empfänger zu übermitteln. Als SMTP-Dienst erleichtert Twilio SendGrid diesen Vorgang.

Eine Sicherheitslücke in der E-Mail-Infrastruktur ist die Fähigkeit jedes Absenders oder Hosts, sich selbst und seine E-Mail als beliebige Domäne zu identifizieren (ähnlich wie Menschen TONNENweise Donald Trump-Twitter-Konten erstellt haben). Dies macht es für Empfänger schwierig, darauf zu vertrauen, dass eine Nachricht tatsächlich von dem stammt, von dem sie angeblich stammt. Es beunruhigt Absender auch, wenn sie wissen, dass jeder da draußen E-Mails von ihrer Domain senden und möglicherweise den Ruf ihrer Marke schädigen kann.

Empfänger verlieren das Vertrauen in die E-Mail-Authentizität und Absender sind paranoide Betrüger, die sich als ihre Marke ausgeben – nicht gut für irgendjemanden! Ein Teil der Lösung ist der SPF-Eintrag, der in einem TXT-Eintrag im DNS gespeichert wird. In diesem Artikel werden wir alle Aspekte des Lichtschutzfaktors untersuchen – von dem, was es ist, bis zur Entdeckung von Fehlern bei Ihrem eigenen, wir decken alles ab.

Was ist ein SPF-Eintrag?

SPF steht für Sender Policy Framework. Es handelt sich um eine E-Mail-Authentifizierungsmethode, mit deren Hilfe die Mailserver identifiziert werden können, die E-Mails von einer bestimmten Domäne senden dürfen. Mithilfe dieses Validierungsprotokolls können ISPs feststellen, wann Spoofer und Phisher versuchen, E-Mails von Ihrer Domain zu fälschen, um schädliche E-Mails an Ihre Benutzer zu senden.

Mit SPF können sich Empfänger darauf verlassen, dass die E-Mail-Nachrichten, die sie erhalten, von der Person stammen, die sie erwarten. Und Absender können beruhigt sein, da sie wissen, dass Phisher kein E-Mail-Spoofing betreiben oder ihre Zielgruppe von ihrer Marke aus phishing.

Technisch gesehen ist ein SPF-Eintrag eine kurze Textzeile, die der Administrator einer Domain seinem TXT-Eintrag hinzufügt. Der txt-Eintrag wird im DNS (Domain Name System) zusammen mit ihren A-, PTR- und MX-Einträgen gespeichert. Ein SPF-Eintrag sieht etwa so aus:

„v=spf1 ip4:12.34.56.78 include:example.com -all“

Wie SPF funktioniert

Die obige Textzeile wird verwendet, um dem empfangenden SMTP-Server mitzuteilen, welche Hosts E-Mails von einer bestimmten Domäne senden dürfen.

Der SPF-Eintrag wird normalerweise sehr früh in der SMTP-Konversation überprüft, lange bevor der Nachrichtentext übertragen wurde. Wenn versucht wird, eine Nachricht zu senden, wird eine TCP-Verbindung zwischen dem Sender und dem empfangenden Server geöffnet.

Sobald die Verbindung hergestellt ist, wird ein HELO-Befehl ausgegeben, der dem empfangenden Server im Wesentlichen mitteilt, welche Domäne versucht, ihm E-Mails zu senden. Darauf folgt ein MAIL FROM-Befehl, der dem empfangenden Server mitteilt, von welcher E-Mail-Adresse die Nachricht stammt. Die Domäne, die im Befehl MAIL FROM (auch bekannt als Envelope From und Return Path) gefunden wird, ist die Domäne, die für die SPF-Eintragsprüfung verwendet wird.

Angenommen, eine Nachricht wurde empfangen und die MAIL FROM-Adresse lautet luke@example.com. Der empfangende Server überprüft die öffentlichen DNS-Einträge für example.com und sucht nach einem TXT-Eintrag, der mit v=spf1 beginnt. Wenn es keinen TXT-Eintrag gibt, der mit v=spf1 beginnt, wird die Authentifizierung bestanden. Wenn es mehr als einen TXT-Eintrag mit v=spf1 gibt, kann ein Fehler auftreten.

Angenommen, man wird gefunden, und es sieht aus wie in unserem Beispiel von vorhin:

„v=spf1 ip4:12.34.56.78 include:example.com -all“

Der empfangende Server prüft nun, ob die IP-Adresse des SMTP-Clients, der versucht, die Nachricht zu senden, im SPF-Eintrag enthalten ist. Wenn die IP-Adresse aufgeführt ist, besteht die Nachricht die SPF-Authentifizierung.

Das Wesentliche: Jedes Stück des SPF-Datensatzes aufschlüsseln

Ein SPF-Eintrag besteht aus verschiedenen Mechanismen, darunter:

ENTHALTEN

Immer gefolgt von einem Domänennamen. Wenn der empfangende Server auf einen Include-Mechanismus stößt, wird der SPF-Eintrag für diese Domäne überprüft. Wenn die IP des Absenders in diesem Datensatz auftaucht, ist die E-Mail authentifiziert und die SPF-Prüfung ist beendet. Wenn es nicht gefunden wird, fährt die SPF-Prüfung mit dem nächsten Mechanismus fort.

EIN

Auch gefolgt von einem Domänennamen. In diesem Fall sucht der SPF jedoch einfach nach IP-Adressen, die dieser Domain zugeordnet sind. Wenn es mit der IP des Absenders übereinstimmt, wird es bestanden und die SPF-Prüfung wird beendet. Wenn nicht, geht es weiter zum nächsten Mechanismus.

MX

Ähnlich wie „A“. Es folgt immer ein Domänenname. Wenn die aufgelistete Domäne in die IP-Adresse des sendenden Clients aufgelöst wird, wird die Authentifizierung bestanden und die SPF-Prüfung durchgeführt. Wenn nicht, geht es weiter zum nächsten Mechanismus.

IP4 und IP6

Immer gefolgt von einer bestimmten IP-Adresse oder einem CIDR-Bereich. Wenn die IP des sendenden Clients nach einem IP4- oder IP6-Mechanismus aufgelistet wird, wird die Authentifizierung bestanden und die SPF-Prüfung durchgeführt. Wenn nicht, geht es weiter zum nächsten Mechanismus.

PTR

Sollte niemals in SPF-Einträge aufgenommen werden. Aus technischen Gründen sind sie fehleranfällig und kosten viel Speicher und Bandbreite für die Auflösung der empfangenden Server. Einige Server lassen eine SPF-Authentifizierung aufgrund des Vorhandenseins eines PTR-Mechanismus fehlschlagen.

UMLEITEN

Obwohl es sich technisch gesehen um einen Modifikator und nicht um einen Mechanismus handelt, ermöglicht dies dem Administrator einer Domäne, eine Domäne auf den SPF-Eintrag einer anderen Domäne zu verweisen. Wenn die REDIRECT-Funktion verwendet wird, können keine anderen Mechanismen in den SPF-Eintrag aufgenommen werden, einschließlich des „all“-Mechanismus. Beispiel-Umleitungsdatensatz: „v=spf1 Umleitung:example.com“

Die Mechanismen „INCLUDE“, „A“, „MX“, „PTR“, „EXISTS“ und „REDIRECT“ erfordern alle DNS-Lookups, sodass es nicht mehr als 10 davon geben kann. Dies scheint einfach genug, aber dies schließt auch verschachtelte DNS-Lookups ein, was bedeutet, dass ein „INCLUDE“, das zu einem anderen SPF-Eintrag führt, der zwei weitere „INCLUDE“-Mechanismen hat, als drei DNS-Lookups zählen würde. Sie summieren sich schnell!

Was ist mit Twilio SendGrid-Kunden?

Die meisten unserer Absender haben einen CNAME eingerichtet, der ihre Absenderdomäne auf sendgrid.net verweist. Dies bedeutet, dass der empfangende Server den CNAME sieht, der auf sendgrid.net zeigt, und stattdessen diesen SPF-Eintrag überprüft. Wundern Sie sich also nicht, wenn die meisten der von Ihnen abgefragten SPF-Einträge identisch sind.

Weitere spezifische Fragen zu Twilio SendGrid finden Sie auf unserer Dokumentationsseite zum Sender Policy Framework. Es enthält zusätzliche Antworten auf einige allgemeine Fragen und Szenarien.

Wie überprüfe ich meinen SPF-Eintrag?

Nicht jeder verwendet die SPF-Authentifizierung, aber Empfänger, die aufgrund eines SPF-Fehlers ablehnen, lehnen die Zustellung ab. Einige Empfänger können auch E-Mails unter Quarantäne stellen, die SPF nicht bestehen, ohne sie zu blockieren.

Jeder SPF-Eintrag ist etwas anders, aber Sie sollten überprüfen, ob Sie ihn richtig eingegeben haben. Hier sind drei Tools, mit denen Sie Ihre Aufzeichnungen validieren können:

• SPF Testing Tools von Scott Kitterman : Überprüfen Sie, ob bereits ein SPF-Eintrag für Ihre Domain existiert, überprüfen Sie seine Gültigkeit oder testen Sie seine Leistung.
• OpenSPF.org : Überprüfen Sie eine Reihe von Formularen und E-Mail-basierten Testern.
• SPF-Eintragsprüfung: Die SPF-Eintragsprüfung fungiert als SPF-Eintragssuche und -validierung. Es sucht einen SPF-Eintrag für den abgefragten Domänennamen und führt Diagnosetests für den Eintrag durch, wobei Fehler hervorgehoben werden, die die Zustellbarkeit von E-Mails beeinträchtigen könnten.
• SPF Wizard : Der SPF Wizard ist ein browserbasiertes Tool zur Generierung von SPF-Einträgen. Füllen Sie das Formular aus und die Website generiert einen SPF-Eintrag für Sie.

Machen Sie Sender Policy Framework zu einer Priorität

Einfach ausgedrückt: Böswillige E-Mail-Nachrichten schaden Ihrem Unternehmen und beeinträchtigen den E-Mail-Kanal. Wenn Phisher Ihre durch das Sender Policy Framework geschützte Domäne sehen, ist es wahrscheinlicher, dass sie zu einfacheren Zielen übergehen. Obwohl SPF Spam nicht verhindert, kann es als Abschreckung dienen und Sie weniger anfällig für Angriffe machen. Und wer will das nicht, oder? Aus diesem Grund empfehlen wir allen E-Mail-Clients, einen SPF-Eintrag zu erstellen.

In Kombination mit Sender ID, DKIM und DMARC bietet SPF ein zusätzliches Maß an E-Mail-Sicherheit, das Ihre Benutzer besser unterstützt, indem es ISPs hilft, Ihre E-Mails und damit die Spammer richtig zu identifizieren.

Um mehr über SPF und andere Authentifizierungsprotokolle zu erfahren, laden Sie den SendGrid Email Infrastructure Guide herunter .