Proton
What is Sender Policy Framework (SPF)?

Sender Policy Framework (SPF) ist eine Methode zur E-Mail-Authentifizierung, die überprüft, ob eine Nachricht von einem autorisierten Mailserver gesendet wurde. Lerne, wie es funktioniert und wie es dabei hilft, deine E-Mail-Domain zu schützen.

Zusammen mit DKIM und DMARC(neues Fenster) ist SPF eine der Hauptmethoden, mit denen Internetdienstanbieter (ISPs) und E-Mail-Plattformen Spam und Phishing-Angriffe identifizieren und blockieren.

Wir erklären SPF, wie es funktioniert und warum du es benötigst, um deine Domain zu schützen und sicherzustellen, dass deine Nachrichten zugestellt werden.

Was ist Sender Policy Framework (SPF)?
Wofür wird SPF verwendet?
Worin unterscheidet sich SPF von DKIM und DMARC
Wie funktioniert SPF?
Was ist ein SPF-Eintrag?
SPF und E-Mail-Weiterleitung
Warum SPF verwenden?
Spammer und Betrüger überlisten
E-Mail-Zustellbarkeit verbessern
Deinen Domain-Ruf stärken
Einfache SPF-Authentifizierung mit Proton Mail

Was ist Sender Policy Framework (SPF)?

Sender Policy Framework (SPF) ist ein E-Mail-Authentifizierungsprotokoll, das es dir ermöglicht, die Server zu spezifizieren, die berechtigt sind, E-Mails von deiner eigenen Domain zu senden, und es Betrügern erschwert, deine Adresse zu fälschen (zu spoofen).

Wenn du E-Mails von einer eigenen Domain (zum Beispiel von nutzer@deinedomain.de) sendest, kannst du die IP-Adressen(neues Fenster) der Mailserver auflisten, die berechtigt sind, deine E-Mails zu senden. Durch die Überprüfung deiner Liste von IP-Adressen können E-Mail-Dienste und ISPs erkennen, ob die Nachricht von einem vertrauenswürdigen Server stammt.

Wofür wird SPF verwendet?

SPF ist eine der Hauptmethoden, die E-Mail-Server zur Authentifizierung von E-Mails nutzen. Es hilft E-Mail-Anbietern, gefälschte Adressen zu identifizieren und Spam- sowie Phishing-E-Mails zu blockieren.

Allerdings ist SPF allein nicht ausreichend, um gefälschte Nachrichten zu erkennen, da die Absenderadresse (das Von-Feld) gefälscht werden kann. Durch die Verwendung von SPF zusammen mit DKIM und DMARC können E-Mail-Anbieter überprüfen, ob die Domain des Absenders mit dem Von-Feld übereinstimmt und somit bestätigen, dass die Adresse nicht gefälscht ist.

Worin unterscheidet sich SPF von DKIM und DMARC

SPF, DKIM und DMARC sind E-Mail-Authentifizierungsprotokolle, die dazu dienen, zu verifizieren, dass E-Mails von einem legitimen Absender gesendet wurden, sie funktionieren jedoch alle unterschiedlich. So arbeiten sie zusammen:

  • SPF (Sender Policy Framework) überprüft, ob eine E-Mail von einer IP-Adresse versendet wurde, die autorisiert ist, E-Mails vom Domain des Absenders zu senden.
  • DKIM (DomainKeys Identified Mail) überprüft kryptografisch, dass die Absenderadresse und der Inhalt der Nachricht während der Übertragung nicht verändert wurden.
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance) stellt sicher, dass die Domain in den DKIM- und SPF-Überprüfungen mit der Absenderdomain im From-Feld übereinstimmt. Es legt auch fest, wie E-Mail-Dienstanbieter eine Nachricht, die sowohl DKIM als auch SPF nicht besteht, zustellen sollen – akzeptieren, ablehnen oder als Spam markieren.

Erfahre, wie du SPF, DKIM und DMARC mit Proton Mail einrichtest

Proton Mail Button holen

Wie funktioniert SPF?

SPF überprüft, ob eine eingehende E-Mail von einem Mailserver gesendet wurde, der autorisiert ist, E-Mails von dieser Domain zu senden.

Zuerst musst du einen SPF-Eintrag erstellen, der die IP-Adressen der Mailserver auflistet, die autorisiert sind, E-Mails von deiner Domain zu senden. Dann bist du bereit, Nachrichten mit SPF wie folgt zu senden:

  1. Du sendest eine E-Mail, zum Beispiel von der Adresse du@deinedomain.de. Angenommen, die Nachricht wird von einem deiner autorisierten E-Mail-Server mit der IP-Adresse 185.70.40.111 gesendet.
  2. Wenn die E-Mail ankommt, überprüft der empfangende Mailserver die Absenderadresse im Return-Path (auch bekannt als MAIL FROM) Feld des E-Mail-Headers und sucht den SPF-Eintrag für deine Domain (in diesem Beispiel, deinedomain.de).
  3. Der empfangende Mailserver überprüft, ob die IP-Adresse, von der die Mail gesendet wurde (185.70.40.111), in deinem SPF-Eintrag aufgeführt ist.
  4. Wenn die IP-Adresse aufgeführt ist, besteht die Nachricht den SPF-Test; wenn nicht, fällt sie durch.
Diagramm, das zeigt, wie SPF (Sender Policy Framework) funktioniert
Wie SPF (Sender Policy Framework) funktioniert

Beachte, dass in Schritt 2. der empfangende Mailserver den SPF-Eintrag für die Domain im Return-Path-Feld nachschlägt, welches nicht dasselbe sein muss wie die Domain im From-Feld. Selbst wenn die Domain in der From-Adresse gefälscht ist und sich von der im Return-Path unterscheidet, kann eine Nachricht den SPF-Test bestehen.

Deshalb benötigst du DMARC, um zu überprüfen, ob die Domain in den SPF- und DKIM-Überprüfungen mit der Absenderadresse im From-Feld übereinstimmt.

Was ist ein SPF-Eintrag?

Ein SPF-Eintrag ist eine Art von DNS-Texteintrag(neues Fenster), der die IP-Adressen der Server auflistet, die autorisiert sind, E-Mails von einer bestimmten Domain zu senden. SPF-Einträge werden auf dem DNS-Server der Domain veröffentlicht, sodass jeder empfangende Mailserver die Liste nachschlagen kann, um zu überprüfen, ob eine E-Mail von einem vertrauenswürdigen Server gesendet wurde.

Beispiel für einen SPF-Eintrag

Hier ist ein Beispiel für einen SPF-Eintrag mit einer Erklärung, was er bedeutet:

Beispiel für einen SPF-Eintrag beim Domain-Registrar Namecheap
Beispiel für einen SPF-Eintrag beim Domain-Registrar Namecheap
v=spf1 ip4:185.70.40.111 include:_spf.protonmail.ch mx ~all
  • v=spf1: Die SPF-Versionnummer. Jeder SPF-Eintrag muss mit diesem Tag beginnen.
  • ip4: Die IP-Adressen der Server, die berechtigt sind, E-Mails von deiner Domain zu senden. Es können IPv4- oder IPv6-Adressen(neues Fenster) sein; IPv6-Adressen verwenden das Tag ip6.
  • include: Weist den Server an, die SPF-Einträge der zusätzlich genannten Domain zu überprüfen. In diesem Beispiel würde der Server _spf.protonmail.ch aufrufen und die dort gefundenen IP-Adressen zur Liste der autorisierten Adressen hinzufügen.
  • mx: Alle IP-Adressen, die mit den Mailservern in den MX-Einträgen(neues Fenster) der sendenden Domain übereinstimmen. Zum Beispiel verwendet Proton Mail mail.protonmail.ch und mailsec.protonmail.ch.
  • ~all: Sagt den empfangenden E-Mail-Servern, was zu tun ist, wenn eine E-Mail das SPF nicht besteht. Die drei häufigsten all Tags sind:
    • ~all: Markiere die Nachricht als verdächtig
    • –all: Lehne die Nachricht ab
    • ?all: Der empfangende E-Mail-Server entscheidet (neutrale Empfehlung)

Seit der Einführung von DMARC verwenden jedoch viele E-Mail-Anbieter, einschließlich Proton Mail, diese all Tags nicht mehr. Neben der Überprüfung, ob das Feld Von mit der Domain in den SPF- und DKIM-Prüfungen übereinstimmt, gibt DMARC den Servern vor, was mit Nachrichten zu tun ist, die diese Prüfungen nicht bestehen, wodurch die all Tags überflüssig werden.

Im obigen Beispiel autorisiert der SPF-Eintrag den Versand von E-Mails von:

  • 185.70.40.111
  • Den IP-Adressen, die in _spf.protonmail.ch gefunden wurden
  • Den IP-Adressen der Mailserver, die in den MX-Einträgen der Domain aufgeführt sind

Wenn eine E-Mail von dieser Domain von einer IP-Adresse empfangen wird, die nicht oben aufgeführt ist, scheitert die Nachricht am SPF und wird als verdächtig behandelt.

SPF und E-Mail-Weiterleitung

Eine Einschränkung von SPF ist, dass es bei weitergeleiteten E-Mails nicht zuverlässig funktioniert.

Wenn eine Nachricht weitergeleitet wird und der sendende Mailserver die ursprüngliche E-Mail-Adresse des Absenders im Feld Return-Path (MAIL FROM) durch die Adresse des Weiterleiters ersetzt, wird der empfangende Server den SPF-Eintrag der Domain des Weiterleiters überprüfen. In diesem Fall sollte die Nachricht das SPF bestehen.

Aber nicht alle E-Mail-Plattformen schreiben das Feld Return-Path beim Weiterleiten neu. Wenn der Mailserver die ursprüngliche Adresse des Absenders im Feld Return-Path beibehält, wird der empfangende Mailserver den SPF-Eintrag des ursprünglichen Absenders überprüfen. Da dies die IP-Adresse des weiterleitenden Servers nicht einschließt, scheitert die Nachricht.

Glücklicherweise kann eine E-Mail, auch wenn sie beim SPF scheitert, immer noch die DKIM-Prüfung bestehen, da DKIM den Inhalt einer Nachricht verifiziert und nicht deren sendende IP-Adresse. Solange du den Inhalt und die Struktur der ursprünglichen Nachricht nicht änderst, sollte sie das DKIM bestehen.

Warum SPF verwenden?

Zusammen mit DKIM und DMARC ist SPF einer der Hauptwege, um deine Domain zu schützen und sicherzustellen, dass deine E-Mails zugestellt werden. Hier sind die Gründe, warum du es verwenden solltest:

Schlage Spammer und Betrüger

SPF erschwert es Cyberkriminellen, Nachrichten zu versenden, die vorgeben, von deiner eigenen Domain zu stammen (E-Mail-Spoofing). Das Festlegen vertrauenswürdiger Mailserver mit SPF hilft dabei, Betrüger davon abzuhalten, deine Domain für Spam und Phishing-Angriffe zu nutzen.

Verbessere die Zustellbarkeit deiner E-Mails

SPF hilft Internetdienstanbietern und E-Mail-Plattformen, legitime E-Mails zu identifizieren. Die Verwendung von SPF erhöht also die Chance, dass deine Nachrichten zugestellt werden, anstatt im Spam-Ordner zu landen.

Stärke den Ruf deiner Domain

Je mehr deine E-Mails Authentifizierungsprüfungen wie SPF bestehen, desto mehr verbesserst du den Ruf deiner Domain bei E-Mail-Plattformen. SPF kann also langfristig die Zustellbarkeit deiner E-Mails verbessern.

Einfache SPF-Authentifizierung mit Proton Mail

Wenn du eine eigene Domain besitzt, empfehlen wir dringend, SPF zusammen mit DKIM und DMARC einzurichten, um deine E-Mail-Sicherheit und Zustellbarkeit zu verbessern.

Alle drei zu implementieren ist einfach, wenn du einen bezahlten Proton Mail-Tarif hast. Wir erklären, wie du deine eigene Domain einrichtest und DKIM, SPF und DMARC mit einem einfachen Assistenten konfigurierst.

Hol dir Proton Mail Plus für eine einzelne Domain oder Proton Unlimited mit Unterstützung für drei Domains, 15 Adressen, 500 GB Speicher und unbegrenzte hide-my-email-Aliasse.

Wenn du ein Unternehmen hast, kannst du deine E-Mails mit Proton for Business absichern.

Oder wenn du einfach einen intuitiven, sicheren E-Mail-Dienst ausprobieren möchtest, der deine Privatsphäre respektiert, hol dir Proton Mail kostenlos. Alle Proton-Tarife beinhalten Ende-zu-Ende-verschlüsseltes Proton Mail, Proton Calendar, Proton Drive und Proton VPN(neues Fenster). Komm zu uns und bleib sicher!

Verwandte Artikel

Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
  • Privatsphäre-Richtlinien
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.
A graphic interpretation of a block of how many gigabytes in a terabyte
en
Learn how many GB are in a TB and discover the best way to securely store and share your files — no matter their size.