ProtonBlog(new window)
Per RSS abonnieren
What is Sender Policy Framework (SPF)?

Was ist SPF (Sender Policy Framework)?

diese Seite teilen

Sender Policy Framework (SPF) ist eine Methode zur E-Mail-Authentifizierung, die überprüft, ob eine Nachricht von einem autorisierten Mailserver gesendet wurde. Lerne, wie es funktioniert und wie es dabei hilft, deine E-Mail-Domain zu schützen.

Zusammen mit DKIM und DMARC(new window) ist SPF eine der Hauptmethoden, mit denen Internetdienstanbieter (ISPs) und E-Mail-Plattformen Spam und Phishing-Angriffe identifizieren und blockieren.

Wir erklären SPF, wie es funktioniert und warum du es benötigst, um deine Domain zu schützen und sicherzustellen, dass deine Nachrichten zugestellt werden.

Was ist Sender Policy Framework (SPF)?
Wofür wird SPF verwendet?
Worin unterscheidet sich SPF von DKIM und DMARC
Wie funktioniert SPF?
Was ist ein SPF-Eintrag?
SPF und E-Mail-Weiterleitung
Warum SPF verwenden?
Spammer und Betrüger überlisten
E-Mail-Zustellbarkeit verbessern
Deinen Domain-Ruf stärken
Einfache SPF-Authentifizierung mit Proton Mail

Was ist Sender Policy Framework (SPF)?

Sender Policy Framework (SPF) ist ein E-Mail-Authentifizierungsprotokoll, das es dir ermöglicht, die Server zu spezifizieren, die berechtigt sind, E-Mails von deiner eigenen Domain zu senden, und es Betrügern erschwert, deine Adresse zu fälschen (zu spoofen).

Wenn du E-Mails von einer eigenen Domain (zum Beispiel von nutzer@deinedomain.de) sendest, kannst du die IP-Adressen(new window) der Mailserver auflisten, die berechtigt sind, deine E-Mails zu senden. Durch die Überprüfung deiner Liste von IP-Adressen können E-Mail-Dienste und ISPs erkennen, ob die Nachricht von einem vertrauenswürdigen Server stammt.

Wofür wird SPF verwendet?

SPF ist eine der Hauptmethoden, die E-Mail-Server zur Authentifizierung von E-Mails nutzen. Es hilft E-Mail-Anbietern, gefälschte Adressen zu identifizieren und Spam- sowie Phishing-E-Mails zu blockieren.

Allerdings ist SPF allein nicht ausreichend, um gefälschte Nachrichten zu erkennen, da die Absenderadresse (das Von-Feld) gefälscht werden kann. Durch die Verwendung von SPF zusammen mit DKIM und DMARC können E-Mail-Anbieter überprüfen, ob die Domain des Absenders mit dem Von-Feld übereinstimmt und somit bestätigen, dass die Adresse nicht gefälscht ist.

Worin unterscheidet sich SPF von DKIM und DMARC

SPF, DKIM und DMARC sind E-Mail-Authentifizierungsprotokolle, die dazu dienen, zu verifizieren, dass E-Mails von einem legitimen Absender gesendet wurden, sie funktionieren jedoch alle unterschiedlich. So arbeiten sie zusammen:

  • SPF (Sender Policy Framework) überprüft, ob eine E-Mail von einer IP-Adresse versendet wurde, die autorisiert ist, E-Mails vom Domain des Absenders zu senden.
  • DKIM (DomainKeys Identified Mail) überprüft kryptografisch, dass die Absenderadresse und der Inhalt der Nachricht während der Übertragung nicht verändert wurden.
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance) stellt sicher, dass die Domain in den DKIM- und SPF-Überprüfungen mit der Absenderdomain im From-Feld übereinstimmt. Es legt auch fest, wie E-Mail-Dienstanbieter eine Nachricht, die sowohl DKIM als auch SPF nicht besteht, zustellen sollen – akzeptieren, ablehnen oder als Spam markieren.

Erfahre, wie du SPF, DKIM und DMARC mit Proton Mail einrichtest

Proton Mail Button holen

Wie funktioniert SPF?

SPF überprüft, ob eine eingehende E-Mail von einem Mailserver gesendet wurde, der autorisiert ist, E-Mails von dieser Domain zu senden.

Zuerst musst du einen SPF-Eintrag erstellen, der die IP-Adressen der Mailserver auflistet, die autorisiert sind, E-Mails von deiner Domain zu senden. Dann bist du bereit, Nachrichten mit SPF wie folgt zu senden:

  1. Du sendest eine E-Mail, zum Beispiel von der Adresse du@deinedomain.de. Angenommen, die Nachricht wird von einem deiner autorisierten E-Mail-Server mit der IP-Adresse 185.70.40.111 gesendet.
  2. Wenn die E-Mail ankommt, überprüft der empfangende Mailserver die Absenderadresse im Return-Path (auch bekannt als MAIL FROM) Feld des E-Mail-Headers und sucht den SPF-Eintrag für deine Domain (in diesem Beispiel, deinedomain.de).
  3. Der empfangende Mailserver überprüft, ob die IP-Adresse, von der die Mail gesendet wurde (185.70.40.111), in deinem SPF-Eintrag aufgeführt ist.
  4. Wenn die IP-Adresse aufgeführt ist, besteht die Nachricht den SPF-Test; wenn nicht, fällt sie durch.
Diagramm, das zeigt, wie SPF (Sender Policy Framework) funktioniert
Wie SPF (Sender Policy Framework) funktioniert

Beachte, dass in Schritt 2. der empfangende Mailserver den SPF-Eintrag für die Domain im Return-Path-Feld nachschlägt, welches nicht dasselbe sein muss wie die Domain im From-Feld. Selbst wenn die Domain in der From-Adresse gefälscht ist und sich von der im Return-Path unterscheidet, kann eine Nachricht den SPF-Test bestehen.

Deshalb benötigst du DMARC, um zu überprüfen, ob die Domain in den SPF- und DKIM-Überprüfungen mit der Absenderadresse im From-Feld übereinstimmt.

Was ist ein SPF-Eintrag?

Ein SPF-Eintrag ist eine Art von DNS-Texteintrag(new window), der die IP-Adressen der Server auflistet, die autorisiert sind, E-Mails von einer bestimmten Domain zu senden. SPF-Einträge werden auf dem DNS-Server der Domain veröffentlicht, sodass jeder empfangende Mailserver die Liste nachschlagen kann, um zu überprüfen, ob eine E-Mail von einem vertrauenswürdigen Server gesendet wurde.

Beispiel für einen SPF-Eintrag

Hier ist ein Beispiel für einen SPF-Eintrag mit einer Erklärung, was er bedeutet:

Beispiel für einen SPF-Eintrag beim Domain-Registrar Namecheap
Beispiel für einen SPF-Eintrag beim Domain-Registrar Namecheap 
v=spf1 ip4:185.70.40.111 include:_spf.protonmail.ch mx ~all
  • v=spf1: Die SPF-Versionnummer. Jeder SPF-Eintrag muss mit diesem Tag beginnen.
  • ip4: Die IP-Adressen der Server, die berechtigt sind, E-Mails von deiner Domain zu senden. Es können IPv4- oder IPv6-Adressen(new window) sein; IPv6-Adressen verwenden das Tag ip6.
  • include: Weist den Server an, die SPF-Einträge der zusätzlich genannten Domain zu überprüfen. In diesem Beispiel würde der Server _spf.protonmail.ch aufrufen und die dort gefundenen IP-Adressen zur Liste der autorisierten Adressen hinzufügen.
  • mx: Alle IP-Adressen, die mit den Mailservern in den MX-Einträgen(new window) der sendenden Domain übereinstimmen. Zum Beispiel verwendet Proton Mail mail.protonmail.ch und mailsec.protonmail.ch.
  • ~all: Sagt den empfangenden E-Mail-Servern, was zu tun ist, wenn eine E-Mail das SPF nicht besteht. Die drei häufigsten all Tags sind:
    • ~all: Markiere die Nachricht als verdächtig
    • –all: Lehne die Nachricht ab
    • ?all: Der empfangende E-Mail-Server entscheidet (neutrale Empfehlung)

Seit der Einführung von DMARC verwenden jedoch viele E-Mail-Anbieter, einschließlich Proton Mail, diese all Tags nicht mehr. Neben der Überprüfung, ob das Feld Von mit der Domain in den SPF- und DKIM-Prüfungen übereinstimmt, gibt DMARC den Servern vor, was mit Nachrichten zu tun ist, die diese Prüfungen nicht bestehen, wodurch die all Tags überflüssig werden.

Im obigen Beispiel autorisiert der SPF-Eintrag den Versand von E-Mails von:

  • 185.70.40.111
  • Den IP-Adressen, die in _spf.protonmail.ch gefunden wurden
  • Den IP-Adressen der Mailserver, die in den MX-Einträgen der Domain aufgeführt sind

Wenn eine E-Mail von dieser Domain von einer IP-Adresse empfangen wird, die nicht oben aufgeführt ist, scheitert die Nachricht am SPF und wird als verdächtig behandelt.

SPF und E-Mail-Weiterleitung

Eine Einschränkung von SPF ist, dass es bei weitergeleiteten E-Mails nicht zuverlässig funktioniert.

Wenn eine Nachricht weitergeleitet wird und der sendende Mailserver die ursprüngliche E-Mail-Adresse des Absenders im Feld Return-Path (MAIL FROM) durch die Adresse des Weiterleiters ersetzt, wird der empfangende Server den SPF-Eintrag der Domain des Weiterleiters überprüfen. In diesem Fall sollte die Nachricht das SPF bestehen.

Aber nicht alle E-Mail-Plattformen schreiben das Feld Return-Path beim Weiterleiten neu. Wenn der Mailserver die ursprüngliche Adresse des Absenders im Feld Return-Path beibehält, wird der empfangende Mailserver den SPF-Eintrag des ursprünglichen Absenders überprüfen. Da dies die IP-Adresse des weiterleitenden Servers nicht einschließt, scheitert die Nachricht.

Glücklicherweise kann eine E-Mail, auch wenn sie beim SPF scheitert, immer noch die DKIM-Prüfung bestehen, da DKIM den Inhalt einer Nachricht verifiziert und nicht deren sendende IP-Adresse. Solange du den Inhalt und die Struktur der ursprünglichen Nachricht nicht änderst, sollte sie das DKIM bestehen.

Warum SPF verwenden?

Zusammen mit DKIM und DMARC ist SPF einer der Hauptwege, um deine Domain zu schützen und sicherzustellen, dass deine E-Mails zugestellt werden. Hier sind die Gründe, warum du es verwenden solltest:

Schlage Spammer und Betrüger

SPF erschwert es Cyberkriminellen, Nachrichten zu versenden, die vorgeben, von deiner eigenen Domain zu stammen (E-Mail-Spoofing). Das Festlegen vertrauenswürdiger Mailserver mit SPF hilft dabei, Betrüger davon abzuhalten, deine Domain für Spam und Phishing-Angriffe zu nutzen.

Verbessere die Zustellbarkeit deiner E-Mails

SPF hilft Internetdienstanbietern und E-Mail-Plattformen, legitime E-Mails zu identifizieren. Die Verwendung von SPF erhöht also die Chance, dass deine Nachrichten zugestellt werden, anstatt im Spam-Ordner zu landen.

Stärke den Ruf deiner Domain

Je mehr deine E-Mails Authentifizierungsprüfungen wie SPF bestehen, desto mehr verbesserst du den Ruf deiner Domain bei E-Mail-Plattformen. SPF kann also langfristig die Zustellbarkeit deiner E-Mails verbessern.

Einfache SPF-Authentifizierung mit Proton Mail

Wenn du eine eigene Domain besitzt, empfehlen wir dringend, SPF zusammen mit DKIM und DMARC einzurichten, um deine E-Mail-Sicherheit und Zustellbarkeit zu verbessern.

Alle drei zu implementieren ist einfach, wenn du einen bezahlten Proton Mail-Tarif hast. Wir erklären, wie du deine eigene Domain einrichtest und DKIM, SPF und DMARC mit einem einfachen Assistenten konfigurierst.

Hol dir Proton Mail Plus für eine einzelne Domain oder Proton Unlimited mit Unterstützung für drei Domains, 15 Adressen, 500 GB Speicher und unbegrenzte hide-my-email-Aliasse.

Wähle deinen Proton Mail Tarif

Wenn du ein Unternehmen hast, kannst du deine E-Mails mit Proton for Business absichern.

Oder wenn du einfach einen intuitiven, sicheren E-Mail-Dienst ausprobieren möchtest, der deine Privatsphäre respektiert, hol dir Proton Mail kostenlos. Alle Proton-Tarife beinhalten Ende-zu-Ende-verschlüsseltes Proton Mail, Proton Calendar, Proton Drive und Proton VPN(new window). Komm zu uns und bleib sicher!

Schütze deine Privatsphäre mit Proton
Kostenloses Konto erstellen

Verwandte Artikel

Sichere, nahtlose Kommunikation ist das Fundament jedes Unternehmens. Da immer mehr Organisationen ihre Daten mit Proton sichern, haben wir unser Ökosystem mit neuen Produkten und Dienstleistungen erheblich erweitert, vom Passwortmanager bis zum Dark
what is a brute force attack
Im Bereich der Cybersicherheit ist der Begriff Brute-Force-Attacke oft zu hören. Eine Brute-Force-Attacke ist jeder Angriff, der nicht auf Finesse setzt, sondern rohe Rechenkraft nutzt, um Sicherheitsmaßnahmen oder sogar die zugrundeliegende Verschlü
Abschnitt 702 des Foreign Intelligence Surveillance Act hat sich als berüchtigte rechtliche Rechtfertigung etabliert, die es Bundesbehörden wie der NSA, CIA und FBI erlaubt, Überwachungen ohne richterlichen Beschluss durchzuführen, wodurch die Daten
Als Reaktion auf die zunehmende Anzahl von Datenpannen bietet Proton Mail zahlenden Abonnenten eine Funktion namens Dark Web Monitoring an. Unser System überprüft, ob deine Anmeldeinformationen oder andere Daten auf illegalen Marktplätzen geleakt wur
Deine E-Mail-Adresse ist deine Online-Identität, und du teilst sie jedes Mal, wenn du einen neuen Account für einen Online-Dienst erstellst. Das bietet zwar Bequemlichkeit, aber es legt auch deine Identität offen, falls Hacker die Dienste, die du nut
proton pass f-droid
Unsere Mission bei Proton ist es, ein Internet zu fördern, das deine Privatsphäre standardmäßig schützt, deine Daten sichert und dir Wahlfreiheit bietet. Heute machen wir mit der Einführung unseres Open-Source-Passwortmanagers Proton Pass im App-Ver