SPF: Was kann ich dagegen tun, wenn meine E-Mails im Spamfilter beim Empfänger landen?

Ein SPF-Eintrag ist ein DNS-Eintrag, der die IP-Adressen der offiziellen E-Mail-Server und Domänen einer Organisation enthält, die E-Mails im Namen Ihres Unternehmens versenden können. SPF hält Cyberkriminelle davon ab, Ihre Domäne zu fälschen, so dass Spam-Filter sie mit geringerer Wahrscheinlichkeit auf eine schwarze Liste setzen. Dieser bessere Ruf verbessert die Zustellbarkeit Ihrer legitimen E-Mails. Wenn Sie ein E-Mail-System eines Drittanbieters (z. B. Google Suite) zur Verwaltung von E-Mails verwenden, benötigen Sie einen SPF-Eintrag, der den E-Mail-Servern der Empfänger mitteilt, dass der Absender berechtigt ist, Nachrichten im Namen Ihres Unternehmens zu versenden. Wenn Sie keinen SPF-Eintrag haben, kann der E-Mail-Server des Empfängers den Empfänger warnen, dass die Nachricht von einem Phishing-Angreifer stammen könnte. Bei einigen E-Mail-Servern für Unternehmen verwirft das System die Nachricht oder sendet sie direkt an den Spam-Posteingang des Empfängers, so dass der Empfänger sie möglicherweise nie erhält.

Da viele Empfänger Spam-Nachrichten in ihrem Posteingang nicht lesen, haben Unternehmen, die den gewünschten Empfänger nicht erreichen können, Schwierigkeiten, mit Kunden und potenziellen Interessenten zu kommunizieren. Viele der größeren E-Mail-Systeme verfügen bereits über eine SPF-Erkennung, so dass sich jeder Domänenbesitzer die Zeit nehmen sollte, einen Eintrag zu seinen DNS-Servern hinzuzufügen, damit die E-Mail-Nachrichten den Posteingang des Empfängers erreichen. Persönliche E-Mail-Systeme von Drittanbietern wie Google, Hotmail und Yahoo verfügen bereits über SPF-Einträge, so dass Sie für persönliche E-Mail-Konten keinen Eintrag hinzufügen müssen.

Ein SPF-Eintrag enthält mehr als nur eine IP-Adresse. Er weist den Empfängerserver auch an, was zu tun ist, wenn die Absender-IP nicht mit der Liste der autorisierten IP-Adressen übereinstimmt. Da IP-Adressen sowohl IPv4 als auch IPv6 sein können, können Sie in einem SPF-Eintrag beide Versionen definieren. Jede E-Mail-Nachricht enthält zwei „Kopfzeilen“, eine sichtbare Kopfzeile, die Sie oben in jeder E-Mail-Nachricht sehen können, und eine versteckte, technische Kopfzeile. Jeder Header enthält eine „Absender“-E-Mail-Adresse: diejenige, die Sie im sichtbaren Header sehen (auch bekannt als „Header from“ oder „Friendly from“), und die „Envelope from“-Adresse, die im verborgenen technischen Header der E-Mail enthalten ist (auch bekannt als Return Path oder mfrom). Hier ein Beispiele dafür, wie der Eintrag im Header aussieht:

Die „ip4“- und „ip6“-Einträge sind die IPv4- und IPv6-Adressen für Ihre autorisierten E-Mail-Server. Sie können mehrere IP-Adressen auflisten, indem Sie diese durch ein Leerzeichen trennen und das Präfix „ip4“ oder „ip6“ sowie einen Doppelpunkt verwenden. Der folgende SPF-Eintrag definiert zum Beispiel zwei IPv4-Adressen als autorisierte Server:

Die „include“-Direktive zeigt an, dass die definierte Drittanbieter-Domäne E-Mails im Namen Ihrer Organisation versenden kann. Nehmen wir zum Beispiel an, dass Sie Massen-Marketing-E-Mails über einen Drittanbieter versenden. Nehmen Sie diesen Drittanbieter in Ihren SPF-Eintrag auf, damit die E-Mail-Server der Empfänger die Nachrichten nicht ablehnen oder in eine Spam-Box stellen.

Schließlich ist die Direktive „-all“ wichtig und teilt dem Empfängerserver mit, welche Richtlinien er verwenden soll, wenn der Absender keine autorisierte IP-Adresse verwendet. Mit der Direktive „-all“ wird der Empfängerserver angewiesen, das Flag auf „fail“ zu setzen. Es gibt zwei weitere Optionen. Die Direktive „~all“ führt zu einem „Soft Fail“, das zwar den Posteingang des Empfängers erreicht, aber eine Warnung hinterlässt, dass die Nachricht bösartig sein könnte. Die Direktive „+all“ umgeht alle Sicherheitsbeschränkungen und weist den Empfängerserver an, die Nachricht auf „pass“ zu setzen, d. h. jeder Absender kann den Posteingang des Empfängers erreichen. Die letztgenannte Einstellung gilt als unsicher und sollte vermieden werden.

Wie Sie einen SPF-Eintrag erstellen, hängt von Ihrem DNS-Host ab. Wenn Sie den DNS-Server Ihrer Domänenregistrierungsstelle verwenden, verfügt diese normalerweise über ein Dashboard, in dem Sie DNS-Einträge hinzufügen und löschen können. In diesem Dashboard können Sie einen SPF-Eintrag hinzufügen.

Der erste Schritt besteht darin, Ihren SPF-Eintrag zu erstellen. Sie können die vorherigen Beispiele als Vorlage verwenden, um Ihren eigenen zu erstellen. Ändern Sie die IP-Adressen in Ihre eigenen und löschen Sie die Domäne des Drittanbieters, wenn Sie keine externen E-Mail-Dienste haben, die Nachrichten im Namen Ihres Unternehmens versenden. Nachdem Sie den SPF-Eintrag erstellt haben, können Sie ihn auf Ihrem DNS-Server veröffentlichen.

Ein SPF-Eintrag ist ein TXT-Eintrag, und Ihr DNS-Anbieter lässt Sie diesen Eintragstyp im Dashboard auswählen. In der Regel ist Ihr DNS-Server ein Drittanbieter, bei Ihrem Registrar oder über das Unternehmen verfügbar, das Ihre Domäne hostet. Wenn Sie Hilfe benötigen, helfen Ihnen die meisten Host-Provider bei wichtigen Einstellungen wie DNS-Einträgen.

Um den DNS-Eintrag hinzuzufügen, gehen Sie zu dem Anbieter, der Ihren DNS-Server hostet, und kopieren Sie den von Ihnen erstellten Datensatz in die DNS-Einstellungen und stellen Sie sicher, dass Sie TXT als Eintragstyp wählen. Nachdem Sie den Eintrag gespeichert haben, kann es bis zu 72 Stunden dauern, bis sich die Änderungen im Internet verbreitet haben. Berücksichtigen Sie dies, bevor Sie die neuen Einstellungen testen.

Sie können die neuen Änderungen testen, indem Sie eine Nachricht von Ihrem E-Mail-Anbieter an einen Empfänger senden. Wenn Sie z. B. Google Suite verwenden und einen SPF-Eintrag für Ihre Domäne hinzugefügt haben, können Sie eine Nachricht von Ihrem Geschäftskonto an Ihr persönliches Konto senden, um dies zu testen. Sie müssen sich die E-Mail-Kopfzeilen ansehen, um das Ergebnis der SPF-Abfrage zu ermitteln.

Sie können beispielsweise die Kopfzeilen von Google Mail anzeigen, indem Sie auf die Schaltfläche „Mehr“ in einer Nachricht klicken und die Menüoption „Original anzeigen“ wählen. Das Kopfzeilenfenster wird geöffnet, und im oberen Teil der Kopfzeile werden die Ergebnisse der SPF-Abfrage angezeigt.

Beachten Sie, dass der SPF-Datensatz gültig ist, d. h. diese Nachricht wurde in Google Mail als legitime E-Mail betrachtet und erreichte den Posteingang des Empfängers. Sie können Ihren Spam-Posteingang nach Einträgen durchsuchen, die SPF nicht bestehen, und feststellen, dass Google Mail sie mit einer Warnmeldung kennzeichnet.

Da Phishing-Angriffe weiterhin ein Hauptwerkzeug für Bedrohungsakteure sind, warnen SPF-Datensätze und andere E-Mail-Sicherheitsfunktionen Benutzer, wenn sie bösartige Nachrichten erhalten. Mit SPF-Einträgen können Angreifer Ihre Domäne nicht nutzen, um Phishing-Kampagnen gegen ein gezieltes Opfer zu starten. Sie schützen den Ruf Ihres Unternehmens und Ihre Benutzer davor, Opfer zu werden.

Viele Unternehmen haben in Schulungen zum Thema E-Mail-Betrug für Mitarbeiter und Verbraucher investiert. Doch trotz dieser Investitionen werden die Menschen immer noch durch BEC-Angriffe (Business Email Compromise) getäuscht – gezielte Angriffe mit geringem Volumen, bei denen Mitarbeiter durch das Vortäuschen vertrauenswürdiger Unternehmensidentitäten getäuscht werden – und durch Phishing-Betrug mit Anmeldedaten. Und sie funktionieren. Laut Verizon werden 30 Prozent der Phishing-Nachrichten von gezielten Benutzern geöffnet und 12 Prozent dieser Benutzer klicken auf bösartige Anhänge.

E-Mail-Authentifizierung, nicht Personen, sollte immer Ihre erste Verteidigungslinie gegen betrügerische E-Mail-Angriffe sein. Sie nimmt den Empfängern das Rätselraten ab, indem sie schlechte Nachrichten identifiziert und blockiert, bevor sie den Posteingang erreichen. SPF allein reicht jedoch nicht aus, um Phishing-E-Mails zu blockieren, die auf Ihre Mitarbeiter und Kunden abzielen. Es gibt ein paar große Herausforderungen:

Glücklicherweise können andere E-Mail-Authentifizierungstechnologien diese Lücken schließen.