Das Sender Policy Framework (SPF) ist ein Verfahren, das das Fälschen der Absenderadresse einer E-Mail verhindern soll. Der Administrator einer Domain hinterlegt in der DNS-Zone einen Resource Record vom Typ TXT. In diesen Resource Records sind die IP-Adressen oder der Hostname der Server hinterlegt, die E-Mails versenden dürfen. Der Empfänger der E-Mail prüft dann den Resource Record gegen die Informationen, die im E-Mail Header vorhanden sind und lehnt die E-Mail ab, sollten die Informationen nicht übereinstimmen.


Wir empfehlen grundsätzlich die Verwendung eines SPF-Filters. Sollten Sie den SPF-Filter für Ihre Domain aktivieren wollen, setzen Sie sich bitte mit unserem Kundensupport in Verbindung. Bevor Sie den Kundensupport kontaktieren, müssen Sie die folgenden Entscheidungen treffen:


1. Variante


Der SPF-Filter kann in zwei verschiedenen Varianten verwendet werden:

  • Variante 1: Hier wird die Prüfung nur verwendet, wenn eine E-Mail von einer internen Domain empfangen wird. Hier wird dann der TXT-Record der eigenen Domain geprüft.
  • Variante 2: Hier wird die Prüfung bei allen eingehenden E-Mails angewandt. Hier wird der TXT-Record der sendenden Domain abgerufen und die Informationen im Header gegengeprüft. 


Welche Variante Sie einsetzen, ist Ihnen überlassen. Bei der Variante 2 kann es ggf. zu erhöhten False Positives (korrekte E-Mails werden ungerechtfertigterweise aussortiert) kommen, falls der TXT-Record Fehler aufweist (z.B. eine IP-Adresse inkorrekt ist oder fehlt). Wir empfehlen, mit Variante 1 zu starten und bei Bedarf auf Variante 2 zu wechseln.


2. Hard- oder Softfail


Hornetsecurity's SPF Prüfung besteht aus zwei aufeinanderfolgenden Schritten. Zunächst wird das Mail Attribut des SMTP Envelope Senders analysiert. Hiernach analysieren wir das Mail Attribut des Message Header Senders. Die Prüfung kann zu folgenden Ergebnissen führen:

  1. Hardfail: Die SPF Prüfung des SMTP Envelope Senders ergibt eine Nichtübereinstimmung = Abweisung der E-Mail.
  2. Softfail: Die SPF Prüfung des Message Header Senders (From) ergibt eine Nichtübereinstimmung = Quarantänisierung der E-Mail.


Quarantänisierte E-Mails können durch das Control Panel ausgelöst werden. Um einen Softfail zu vermeiden ist es möglich die IP des sendenen Servers in der Kunden Whitelist im Control Panel einzutragen. Ein Hardfail erfordert eine Anpassung des Sender Resource Records. Spezielle Ausnahmen darüber hinaus sind über den Compliance Filter möglich.


Setzen des TXT-Records


Die benötigten Informationen zum Setzen des SPF-Records können Sie unserer Onboarding-Webseite entnehmen.

Nachdem Sie den TXT-Record gesetzt haben, kontaktieren Sie bitte unseren Kundensupport und teilen Sie uns mit:

  • Welche SPF-Variante Sie einsetzen wollen
  • Für welche Domain der Filter aktiviert werden soll
  • Dass der TXT-Record gesetzt wurde.