SPF
Allgemein
Sender Policy Framework, kurz SPF, ist eine Technik, die das Fälschen des Absenders einer E-Mail auf SMTP-Ebene erschwert. Dazu wird in der DNS-Zone einer Domäne ein sog. Resource Record vom Typ TXT oder SPF mit Informationen darüber hinterlegt, welche Computer E-Mails für diese Domäne versenden dürfen. Anhand dieser Informationen soll nach RFC 4408 der Empfangs-Server dann sowohl die "MAIL FROM"-Identität als auch die "HELO"-Identität des Senders nachprüfen. Absenderangaben im E-Mail-Header werden nicht überprüft.
Software Support
SPF Checks koennen in SpamAssassin aktiviert werden. Dies geschieht unter FreeBSD durch den Switch WITH_SPF_QUERY=yes und erfordert das Perlmodul p5-Mail-SPF-Query.
SPF Ressource Records
Hier das Beispiel der pilgerer.org. Die Pilgerer moechten sicherstellen das nur die 4 Hosts aus dem Beispiel unten Email im Namen der pilgerer.org verschicken duerfen. Da das ganze noch in der Testphase ist, ist SoftFail aktiviert damit sichergestellt ist das bei einer eventuellen Fehlkonfiguration nicht alles abgeleht wird auf Seiten des Empfaengers.
IN TXT "v=spf1 a:malvolio.pilgerer.org a:trial.pilgerer.de a:oberon.pilgerer.org ~all"
Q. |
Ergebnis-Code |
Beschreibung |
+ |
Pass |
die Direktive definiert autorisierte Sender; dies ist der Standard, d.h. ist kein Qualifikator angegeben, so wird + angenommen |
- |
Fail |
die Direktive definiert nicht autorisierte Sender |
~ |
die Direktive definiert nicht autorisierte Sender, der Empfänger soll diesen Fehlschlag aber großzügig behandeln; dieser Qualifikator ist für Testzwecke gedacht |
|
? |
Neutral |
die Direktive definiert Sender, über deren Legitimität nichts ausgesagt werden soll; dieses Ergebnis muss vom Empfänger wie das gänzliche Fehlen eines SPF-Records behandelt werden |
Folgende Tabelle zeigt einige gängige Mechanismen:
Mech. |
Direktive trifft zu, wenn... |
all |
immer |
a |
...ein A-(oder AAAA-)Record der befragten (oder explizit angegebenen) Domäne die IP-Adresse des Senders enthält |
mx |
...ein MX-Record der befragten (oder explizit angegebenen) Domäne die IP-Adresse des Senders enthält |
ip4 |
...die angegebene IPv4-Adresse die IP-Adresse des Senders ist bzw. das angegebene IPv4-Subnetz diese enthält |
Links und Wizard
http://www.openspf.org/wizard.html gibt die DNS Eintraege via Webfrontend eingabe aus.
