SPF-Records und abgelehnte E-Mails

Viele von euch nutzen (hoffentlich) SPF-Records als einen Baustein der sicheren E-Mail-Kommunikation und als Beitrag zur Spamvermeidung.

Was ist SPF?

SPF hilft, um das fälschen von Absendeadressen zu verhindern. Die Beispiel-Firma Fabrikam Inc. nutzt SPF und hat einen entsprechenden Eintrag dazu in der DNS-Zone für fabrikam.com:

fabrikam.com txt “v=spf1 mx -all”

Dieser Eintrag gibt an, dass nur die eingetragenen MX-Records E-Mails mit der Absendeadresse @fabrikam.com versenden dürfen. (Ok, ihr wisst, was ich meine – ein MX-Record kann natürlich keine E-Mails versenden, aber die dazu gehörende IP-Adresse…)

Nehmen wir in diesem Beispiel an, dass folgende MX- und A-Einträge für Fabrikam.com existieren:

MX 10 mail.fabrikam.com

MX 20 mail1.fabrikam.com

A mail 207.46.130.106

A mail1 131.107.115.215

Somit sind lediglich die Mailserver mit den IP-Adressen 131.107.115.215 und 207.46.130.106 autorisiert, E-Mails mit @fabrikam.com zu versenden.

Eigentlich ein relativ einfaches und sicheres Verfahren, das aber auch seine Schwachstellen hat. Die häufigste Schwachstelle ist meist leider der Administrator :-(

Bei uns im Unternehmen nutzten wir selbstverständlich seit einiger Zeit SPF für ein- und ausgehende E-Mails. Exchange Server 2007 Edge bietet da ja eine gute Unterstützung an. Wir haben Exchange so konfiguriert, dass er fehlgeschlagene SPF-Überprüfungen ablehnt. Das bedeutet, dass Mails, die angeblich von @fabrikam.com stammen aber über einen anderen Server als 131.107.115.215 oder 207.46.130.106 gesendet werden, einfach abgelehnt werden.

Schön, und warum blogge ich dazu?

Ganz einfach: Im täglichen Betrieb bekomme ich immer wieder Anrufe und Mitteilungen von Absendern, deren E-Mails bei uns abgewiesen wurden. Häufig stellt sich dann heraus, dass die E-Mail eben aufgrund der SPF-Konfiguration abgewiesen wurde. Und natürlich ist die Aufregung und das Unverständnis darüber recht groß, warum wir uns erlauben, E-Mails abzulehnen.

Aber habe ich eine andere Chance? Nein! Denn wer einen SPF-Record konfiguriert, tut das bewusst. Weil er verhindern möchte, dass seine Absendeadresse missbräuchlich verwendet wird. Ok, so weit so gut. Warum werden Mails dann dennoch abgewiesen, wenn sie doch vom eigentlichen Absender stammen? Ein häufiges Beispiel sind Registrierungsmails von Webportalen, die mit der selben Adresse wie die betreibende/zugehörende Firma versendet werden. Leider hat der Webserver meist eine andere IP-Adresse und versendet E-Mails direkt ohne über den Unternehmens-Mailserver zu gehen. Wenn das beim SPF-Design nicht berücksichtigt wurde, muss das schief gehen. Deshalb werden die E-Mails abgelehnt.

Und was ist nun die Moral von der Geschichte?

Liebe E-Mail-Administratoren: Wenn ihr SPF einsetzt (was ich für eine gute Idee halte!), dann bitte auch richtig! So vermeidet ihr unnötigen Frust!

 

Weitere Informationen:

In unserem bald erscheinenden Buch Sichere Messaging-Infrastruktur mit Microsoft Forefront gehen wir darauf natürlich auch ein.

Viele Grüße
Dieter


Dieter Rauscher
MVP Forefront