SPF (Sender Policy Framework)
Was ist SPF (Sender Policy Framework)?
SPF (Sender Policy Framework)E-Mail-Authentifizierungsmechanismus nach RFC 7208, mit dem eine Domain im DNS festlegt, welche IPs oder Hosts berechtigt sind, mit ihrer Domain im Envelope-MAIL-FROM zu senden.
Das Sender Policy Framework (SPF), spezifiziert in RFC 7208, erlaubt Domain-Inhabern, einen TXT-Record (z. B. v=spf1 ip4:192.0.2.0/24 include:_spf.example.net -all) mit erlaubten Absendern zu veröffentlichen. Empfangende MTAs prüfen die Domain im SMTP-MAIL-FROM (Return-Path) gegen diese Policy und liefern Ergebnisse wie pass, fail, softfail, neutral oder temperror. SPF authentifiziert nur den Envelope-Absender, nicht den sichtbaren From:-Header, und stoppt daher allein keine Anzeige-Namen-Spoofs. SPF ist neben DKIM eine der drei Grundlagen von DMARC. Wichtig sind das Einhalten des Limits von zehn DNS-Lookups, geeignete Qualifier und der Einsatz von -all (Hard Fail) statt ~all für echte Durchsetzung.
● Beispiele
- 01
Veröffentlichung von v=spf1 include:_spf.google.com -all, um ausgehende Google-Workspace-IPs zu erlauben und alles andere abzulehnen.
- 02
Nutzung eines SPF-Flattening-Dienstes, um die Grenze von zehn DNS-Lookups einzuhalten.
● Häufige Fragen
Was ist SPF (Sender Policy Framework)?
E-Mail-Authentifizierungsmechanismus nach RFC 7208, mit dem eine Domain im DNS festlegt, welche IPs oder Hosts berechtigt sind, mit ihrer Domain im Envelope-MAIL-FROM zu senden. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet SPF (Sender Policy Framework)?
E-Mail-Authentifizierungsmechanismus nach RFC 7208, mit dem eine Domain im DNS festlegt, welche IPs oder Hosts berechtigt sind, mit ihrer Domain im Envelope-MAIL-FROM zu senden.
Wie funktioniert SPF (Sender Policy Framework)?
Das Sender Policy Framework (SPF), spezifiziert in RFC 7208, erlaubt Domain-Inhabern, einen TXT-Record (z. B. v=spf1 ip4:192.0.2.0/24 include:_spf.example.net -all) mit erlaubten Absendern zu veröffentlichen. Empfangende MTAs prüfen die Domain im SMTP-MAIL-FROM (Return-Path) gegen diese Policy und liefern Ergebnisse wie pass, fail, softfail, neutral oder temperror. SPF authentifiziert nur den Envelope-Absender, nicht den sichtbaren From:-Header, und stoppt daher allein keine Anzeige-Namen-Spoofs. SPF ist neben DKIM eine der drei Grundlagen von DMARC. Wichtig sind das Einhalten des Limits von zehn DNS-Lookups, geeignete Qualifier und der Einsatz von -all (Hard Fail) statt ~all für echte Durchsetzung.
Wie schützt man sich gegen SPF (Sender Policy Framework)?
Schutzmaßnahmen gegen SPF (Sender Policy Framework) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für SPF (Sender Policy Framework)?
Übliche alternative Bezeichnungen: Sender Policy Framework.
● Verwandte Begriffe
- network-security№ 333
DMARC
E-Mail-Authentifizierungsstandard nach RFC 7489, mit dem Domain-Inhaber eine Richtlinie veröffentlichen, wie Empfänger Nachrichten behandeln sollen, die SPF/DKIM und Alignment verfehlen.
- network-security№ 330
DKIM
E-Mail-Authentifizierungsstandard nach RFC 6376, mit dem die Absenderdomain ausgehende Nachrichten kryptografisch signiert, sodass Empfänger Header- und Body-Integrität prüfen können.
- attacks№ 375
E-Mail-Spoofing
Fälschen von E-Mail-Headern, sodass eine Nachricht von einem vertrauenswürdigen Absender zu stammen scheint – meist zur Vorbereitung von Phishing, Betrug oder Malware-Verteilung.
- attacks№ 135
Business Email Compromise
Gezielter Betrug, bei dem ein Angreifer ein Geschäftspostfach imitiert oder übernimmt, um Mitarbeiter zu Überweisungen, Zahlungsdatenänderungen oder Datenherausgabe zu bewegen.
- network-security№ 984
Secure Email Gateway
Perimeter- oder Cloud-Dienst, der eingehende und ausgehende E-Mails auf Spam, Phishing, Malware, Datenabfluss und Policy-Verstöße prüft, bevor sie das Postfach erreichen.
- network-security№ 095
BIMI
E-Mail-Standard, der das Anzeigen eines verifizierten Marken-Logos neben authentifizierten Nachrichten in unterstützenden Clients ermöglicht, sofern die Domain eine DMARC-Policy von Quarantine oder Reject einsetzt.