SPF - MX & Sender Policy Framework

Share

SPF - Sender Policy Framework

Ein SPF ist ein DNS TXT Record einer Domain der abgefragt wird, um zu überprüfen,
ob die IP des Mailsender auch berechtigt ist, für diese Domain Mails 

zu versenden.
Für einen eigenen MX ist ein SPF Record immer sinnvoll, die Einrichtung ist einfach.

Beispiel:
Ein Mailproxy -z.B. Sophos UTM Astaro- bekommt von der IP 93.159.209.200 eine Mail mit der Absenderdomain @172.16.40.213

Die Abfrage (mit dem Tool TXT Record Lookup) der SPF-Einträge der Domain ergibt:
v=spf1 mx:neise.de  -all
spf2.0/pra ptr:utm.neise.de -all

Der MX der Domain Neise.de ist utm.neise.de, die Auflösung der Subdomain utm.neise.de ergibt aber die IP 92.50.88.102.
Damit ist klar, dass die IP 93.159.209.200 nicht autorisiert ist, Mail mit der Absender Domain @utmfaq.de zu versenden. Auch wenn diese IP einen RDNS mit der Auflösung st1.consultorpc.com hat, den SMTP Banner  st1.consultorpc.com ausgibt und somit ein vollständig konfigurierter Mailrelay/Smarthost ist .

 

Der SPF ist ein weiteres Sicherheitsmerkmal, mit welchem man überprüfen kann, ob ein Mailsender auch berechtigt sind, Mails der Absende-Domain zu versenden. Ein SPF muss für jede Domain einzeln eingerichtet werden.

 

-
Senden Sie mit dem Tool Wormly eine Mail an Ihren MX, mit der eigenen Domäne als Absender:

Tragen Sie unter
SMTP Server: Dem MX Ihrer Domain ein
Sender E-Mail: [email protected]
Recipient email: Ihre Mailadresse [email protected]

Falls Greylisting benutzt wird, muss man die Mail einfach nach ca. 5 Min nochmal senden.
Mit einem eingerichteten SPF kann die Mail nicht versendet werden, die UTM antwortet dann so:

220 utm.neise.de ESMTP ready.
SMTP -> FROM SERVER:
250-utm.neise.de Hello node-mec2.wormly.com [184.72.226.23]
250-SIZE 125829120
250-PIPELINING
250-AUTH PLAIN LOGIN
250-STARTTLS
250 HELP
MAIL FROM: [email protected]
SMTP -> FROM SERVER:
250 OK
RCPT TO: [email protected]
SMTP -> FROM SERVER:
550 184.72.226.23 is not allowed to send mail from neise.de
SMTP -> ERROR: RCPT not accepted from server: 550 184.72.226.23 is not allowed to send mail from neise.de

-
Bedeutung einiger Einträge eines SPF:
v=spf1 = Version der SPF, in diesem Fall 1
mx:MeineDomain.de = MX Record der Domain ist der erlaubte Mailsender //sinnvoll
a:MeineDomain.de = jeder  DNS A/AAA Record der Domäne //Nicht sinnvoll
-all = Verbot aller Anderen, die nicht aufgeführt sind (+all würde alle erlauben) // notwendig

Der SPF "v=spf1 mx:neise.de  -all"
bedeutet das alle als MX eingetragenen Server/Subdomains von neise.de erlaubte Mailsender sind, in diesem Fall:
utm.neise.de mit der IPv4 92.50.88.102 und
IPv6  2001:4dd0:fbd5:3999::1

-
Wenn Ihre Sophos UTM eine feste IP hat und SMTP Proxy (Mailempfänger) und Smarthost (Mailsender) ist (so wie in Eigener MX -Mailexchange- & Smarthost mit fester IP beschrieben), können Sie den diese beiden Eintrags als TXT im DNS Server Ihre Webseitenproviders setzten:
v=spf1 mx:MeineDomain.de -all
spf2.0/pra ptr:MeinMX.MeineDomain.de -all

Wenn die interne und externe Domain gleich sind, müssen Sie den SPF DNS Eintrag auch im internen DNS-Server vornehmen.
Bei allen DNS Einträgen beachten: TTL von 60 bis 120 Minuten setzten.

Aktivieren Sie die SPF Abfrage in der UTM unter Email Protection
Email Protection -> SMTP |Antispam| "Advanced anti-spam features" 'Perform SPF check' aktivieren.

Einen Wizard zum Erstellen des SPD Eintrages finden unter den Links

DKIM = DomainKeys Identified Mail sollte auch noch eingerichtet werden.

DMARC - Domain-based Message Authentication, Reporting and Conformance

Münster AD 2013

Share