Fachbegriffe

Domain

Eine Domain ist ein vom Menschen lesbarer Name, über den man einen Ort im Internet finden kann, wie example.com oder example.co.uk.

Es gibt hunderte verschiedene Domainendungen, gennant Top Level Domain (TLD), aus denen man wählen kann. Diese beinhalten mitunter länderspezifische TLDs wie .de (Deutschland) und .fi (Finnland), allgemeine TLDs wie .com (commercial), .org (organisations), .net (networks) und neuere (sponsored) TLDs wie .app, .dev, und .berlin.

Solange ein Domainname verfügbar ist, können Sie diesen über einen Registrar Ihrer Wahl, wie zum Beispiel Hetzner, registrieren. Nachdem Sie die Domain registriert haben, können Sie diese über das Domain Name System (DNS) verwalten. Die autoritativen Nameserver, welche die DNS Zone für Ihre Domain bereitstellen, werden üblicherweise von Ihrem Registrar verwaltet.

Zone

Eine DNS Zone enthält verschiedene Records, die verschiedene öffentliche Informationen speichern. Es gibt mehrere verschiedene Record-Typen, die für unterschiedliche Zwecke genutzt werden, wie A (IPv4-Adresse), AAAA (IPv6-Adresse), MX (Mailserver), NS (Nameserver), TXT (Text) und PTR (Pointer für Reverse DNS).

Beispiel: Ein Record mit dem Namen www, Typen A und dem Wert 198.51.100.1 in der Zone example.com teilt Clients mit, dass Anfragen an www.example.com an den Server mit dieser IPv4-Adresse gesendet werden sollen. Mehrere Records mit demselben Namen und Typen werden auch Resource Record Set (RRset) genannt.

Das DNS ermöglicht auch die Delegierung von Subzonen an andere Nameserver mithilfe von NS-Einträgen.

SPF

SPF steht für Sender Policy Framework und ist eine Technik zur Vermeidung von Spam- oder Virenmails mit gefälschtem Absender.

Da bei SPF in der Zonendatei des Nameservers der Absenderdomain ein spezieller Eintrag eingebaut wird, ist gewährleistet, dass Unbefugte keine Manipulationen vornehmen können.

SPF verhindert aber kein Spam, für den der Versender eine eigene Domain ordnungsgemäß angemeldet hat und greift auch nicht bei nicht existierenden Domains.

Verwendung

Siehe Sender Policy Framework (SPF) Record Syntax

Bei SPF wird ein Record vom Typ TXT in die Zonendatei der Domain eingetragen. In diesem Eintrag werden die berechtigten SMTP-Server zu einer Domäne genannt. Mailserver können bei eingehenden Mails anhand der Absenderdomäne und den Informationen aus dem SPF-Eintrag dieser Domäne feststellen, ob der sendende SMTP-Server überhaupt berechtigt war, diese Mails zu versenden.

Ein SPF-Record sieht beispielsweise so aus:

@  IN  TXT  "v=spf1 mx ip4:213.133.98.98 a:test.example.com -all"

Hier klicken, um ein einfaches Beispiel auszuklappen

Server 1

 IP

📧

203.0.113.1

mail.example.com

Ihre eigene Domain-Zone

example.com

A

mail

203.0.113.1

MX

@

mail.example.com.

TXT

@

"v=spf1 mx -all"

In diesem Beispiel bestimmt der Wert von TXT, dass nur Mailserver, die in den MX-Records gelistet werden, im Namen Ihrer Domain E-Mails versenden dürfen. SPF prüft die IP-Adressen aller MX-Hostnamen. Wenn die IP-Adresse vom sendenden Server mit einer der über die MX-Hostnamen aufgelösten IP-Adressen übereinstimmt, ist der Versand erlaubt.

Im oberen Beispiel zeigt der einzige MX-Record auf mail.example.com. Diese Domain wird auf die IP-Adresse 203.0.113.1 aufgelöst. Das bedeutet, dass nur der Server mit der IP-Adresse 203.0.113.1 berechtigt ist, E-Mails im Namen Ihrer Domain zu versenden.

Mailservern und/oder virenverseuchten Servern, die eine andere IP-Adresse besitzen, ist es nicht erlaubt, Ihre Domain als Absender zu verwenden.

Weiterleitungen von Mails

Weiterleitungen von E-Mails werden nur unterstützt, wenn die Absenderadresse im Envelope vom weiterleitenden Server so umgeschrieben wird, dass die SPF-Einträge der ursprünglichen Absenderdomain nicht mehr stören.

In der Praxis wird allerdings nicht einfach nur die Domain durch die neue Domain ersetzt, da dies von Spammern gezielt für Bounce-Attacken ausgenutzt werden könnte. Eine genaue Beschreibung des SRS-Verfahrens findet man bei libsrs2 unter I want to find out about SRS (PDF-Datei).

Hier klicken, um ein Beispiel auszuklappen

Server 1

 IP
📧

203.0.113.1
mail.example.com

Server 2

 IP
📧

198.51.100.1
client.example.org

Domain-Zonen

example.com

A

mail

203.0.113.1

MX

@

mail.example.com.

TXT

@

"v=spf1 mx -all"

example.org

A

client

198.51.100.1

MX

@

client.example.org.

TXT

@

"v=spf1 mx -all"

Folgend ist SRS (Sender Rewriting Scheme) notwendig, damit weiterleitende Mailserver standardkonform Absenderadressen anpassen können.

Originale E-Mail

👤➡️

holu@example.com

💻➡️

mail.example.com

👤⬅️

client@example.org

💻⬅️

client.example.org

---

Hallo Client, Grüße von Holu!

Weitergeleitete E-Mail

👤➡️

holu@example.com

💻➡️

client.example.org

👤⬅️

john@example.net

💻⬅️

john.example.net

---

Hallo Client, Grüße von Holu!

Weitergeleitete E-Mail mit SRS

👤➡️

client+holu#example.com@example.org

💻➡️

client.example.org

👤⬅️

john@example.net

💻⬅️

john.example.net

---

Hallo Client, Grüße von Holu!

	Originale E-Mail	Weitergeleitete E-Mail	Weitergeleitete E-Mail mit SRS
Absender-Domain	example.com	example.com	example.org
SPF erlaubt	203.0.113.1	203.0.113.1	198.51.100.1
Verwendeter Mailserver	mail.example.com 203.0.113.1	client.example.org 198.51.100.1	client.example.org 198.51.100.1
SPF-Check	ok	fehlgeschlagen	ok

Nachteile von SPF

• Ein Providerwechsel erfordert genaue Planung und Anpassung der SPF-Einträge während der Umzugsphase
• Viele Anwender wissen nichts von Ihren SPF-Einträgen (bzw. den SPF-Einträgen Ihrer Firma) und verwenden nicht autorisierte Mailserver Ihrer lokalen Einwahlprovider. Dies führt natürlich zu Bounces.

Die Nachteile von SPF sollten aber nicht überbewertet werden, SPF ist eine hervorragende Möglichkeit, sich gegen den Missbrauch der eigenen Domain zu schützen.

Weitere Informationen

Sehr ausführliche Informationen zu SPF findet man an folgenden Stellen:

• SMTP+SPF, Sender Policy Framework
• SPF-Mechanismus und Syntax
• SPF-Tester
• SRS-Verfahren