Eine Einf�hrung in SPF
ArticleCategory: [Choose a category, translators: do not
translate this, see list below for available categories]
Software Development
AuthorImage:[Here we need a little image from you]
![[Photo of the Author]](../../common/images/BrunoSousa.jpg)
TranslationInfo:[Author + translation history. mailto: or
http://homepage]
original in en Bruno
Sousa
en to de Viktor Horvath
AboutTheAuthor:[A small biography about the author]
Bruno studiert in Portugal. Seine Freizeit widmet er Linux und der
Photographie.
Abstract:[Here you write a little summary]
SPF steht f�r Sender Policy Framework [Rahmenwerk f�r
Absender-Richtlinien], und es soll ein Standard gegen die F�lschung von
e-mail-Absenderadressen sein. Dieser Artikel bietet eine kurze Einf�hrung
in SPF und seine Vor- und Nachteile.
ArticleIllustration:[One image that will end up at the top
of the article]
![[Illustration]](../../common/images2/article354.gif)
ArticleBody:[The main part of the article]
SPF entstand im Jahre 2003; sein Erfinder Meng Weng Wong griff die besten
Features von Reverse MX und DMP (Designated Mailer Protocol) auf.
SPF benutzt das Feld Return-Path (oder MAIL FROM) aus dem e-mail-Kopf, denn
alle MTAs [Mail Transfer Agents, also Mailserver wie z.B. sendmail,
A.d.�.] arbeiten damit. Es gibt auch eine neue Idee von Microsoft,
Purported Responsible Address (PRA) [zu deutsch etwa: vorgegebene verantwortliche
Adresse]. PRA bezieht sich auf die Adresse des Nutzers, die ein MUA [Mail User
Agent, also ein e-mail-Programm, A.d.�.] wie Thunderbird benutzt.
Wenn wir nun SPF und PRA kombinieren, k�nnen wir eine Sender-ID erhalten,
die dem Empf�nger die Pr�fung des MAIL FROM-Felds (SPF-Check) und der PRA
erm�glicht. Wahrscheinlich werden die MTAs das MAIL FROM-Feld pr�fen und
die MUAs die PRA.
SPF braucht zur korrekten Arbeit DNS. Das bedeutet, da� die „reverse
MX“-Daten ver�ffentlicht werden m�ssen, die angeben, welche Rechner
e-mails der Dom�ne versenden. Das ist etwas anderes als die heute benutzten
MX-Daten, die angeben, welche Rechner e-mails der Dom�ne
empfangen.
Was ben�tigt SPF?
Um dein System mit SPF zu sch�tzen, mu�t du:
- deinem DNS-Eintrag den TXT-Record hinzuf�gen; dort befindet sich die
Information, die SPF abfragt.
- dein e-mail-System (qmail, sendmail) f�r SPF konfigurieren,
d.h. so, da� es f�r jede auf deinem Server eingehende Nachricht die
Pr�fung durchf�hrt.
Der erste Schritt wird auf dem DNS-Server der jeweiligen Dom�ne
durchgef�hrt. Im n�chsten Abschnitt besprechen wir die Details eines
solchen Records. Du mu�t die Syntax kennen, die dein DNS-Server benutzt
(bind oder djbdns). Aber keine Sorge, auf der offizielle SPF-Webseite gibt es
einen exzellenten Wizard, der dir helfen wird.
Der TXT-Record von SPF
Die SPF-Daten sind in einem TXT-Record enthalten, und zwar in folgendem Format:
v=spf1 [[pre] type [ext] ] ... [mod]
Die Bedeutung jedes Parameters ist wie folgt:
| Parameter |
BeschreibungDescription |
| v=spf1 | Version von SPF. Beim
Sender-ID-Verfahren k�nntest du auf „v=spf2“ sto�en. |
| pre | Definiert einen R�ckgabewert, wenn
eine �bereinstimmung gefunden wird.
Die m�glichen Werte sind:
| Wert | Beschreibung |
| + | Standard: Erfolg, wenn ein Test
beweiskr�ftig ist. |
| - | Test
fehlgeschlagen. Dieser Wert wird normalerweise f�r
„-all“ benutzt, um zu sagen, da� es keine
fr�heren Treffer gibt. |
| ~ | „Sanfter“
Fehlschlag. Dieser Wert wird normalerweise benutzt, wenn
ein Test nicht beweiskr�ftig ist. |
| ? | Neutral. Dieser Wert wird
normalerweise benutzt, wenn ein Test nicht beweiskr�ftig
ist. |
|
| type | Bestimmt den Typ, der f�r die
Verifikation benutzt werden soll.
Die m�glichen Werte sind:
| Wert | Beschreibung |
| include | um die Tests einer
angegebenen Dom�ne miteinzubeziehen.
Schreibweise: „include:domain“ |
| all | um die Testsequenz zu beenden.
Bei „-all“ wird erfolglos abgebrochen, wenn nicht alle Tests bis
hierhin erf�llt sind. Wenn man sich nicht sicher ist, kann
man die Form „?all“ benutzen, was
bedeutet, da� der Test mit Erfolg beendet wird.
|
| ip4 | Benutze IPv4 zur Verifikation.
Das kann in den Formen „ip4:ipv4“ oder „ip4:ipv4/cidr“
geschrieben werden, um einen Bereich anzugeben. Dieser Typ wird
sehr empfohlen, denn er verursacht die geringste Last auf
den DNS-Servern.
|
| ip6 | Benutze IPv6 zur Verifikation. |
| a | Benutze einen Dom�nennamen zur Verifikation.
Ein DNS-Lookup wird f�r ein „A RR“ durchgef�hrt.
Er kann „a:domain“, „a:domain/cidr“ oder
„a/cidr“ geschrieben werden.
|
| mx | Benutze den DNS MX RR-Eintrag zur Verifikation.
Der MX RR-Eintrag legt den empfangenden MTA fest; ist er z.B. nicht derselbe
wie der sendende MTA, werden die auf MX basierenden Tests
fehlschlagen.
Er kann „mx:domain“, „mx:domain/cidr“ oder
„mx/cidr“ geschrieben werden.
|
| ptr | Benutze den DNS PTR RR-Eintrag
zur Verifikation.
In diesem Fall wird ein PTR RR-Eintrag und eine
Reverse-Map-Anfrage benutzt. Wenn der erfragte Hostname in
derselben Dom�ne liegt, ist die Kommunikation verifiziert.
Er wird „ptr:domain“ geschrieben.
|
| exist | Test f�r die Existenz einer Dom�ne.
Er wird „exist:domain“ geschrieben. |
|
| ext | Bestimmt eine optionale Erweiterung des
Typs. Wird es weggelassen, wird nur ein einzelner Record-Typ
f�r die Abfrage benutzt. |
| mod | Die letzte Typ-Direktive; dient als Record-Modifier.
| Modifier | Beschreibung |
| redirect | Leitet die Verifikation
weiter, so da� die SPF-Eintr�ge der angegebenen Dom�ne
benutzt werden.
Schreibweise: „redirect=domain“. |
| exp | Dieser Eintrag mu� der letzte sein;
er erm�glicht eine individuelle Fehlermeldung.
IN TXT "v=spf1 mx -all exp=getlost.example.com"
getlost IN TXT "Sie sind nicht autorisiert, e-mail f�r diese Dom�ne zu versenden."
|
|
Hey, ich bin ein ISP
ISPs werden etwas „�rger“ mit ihren wechselnden Nutzern haben,
wenn sie Mechanismen wie SMTP-nach-POP statt SASL SMTP benutzen.
Nun ja, wenn du ein ISP bist und dich um Spam und Adre�f�lschungen
sorgst, mu�t du deine e-mail-Politik �berdenken und mit SPF anfangen.
Hier sind einige Punkte, denen du folgen k�nntest.
- Zuerst konfiguriere deinen MTA f�r die Benutzung von SASL,
z.B. kannst du ihn auf die Ports 25 und 587 legen.
- Warne deine Nutzer �ber die Politik, die du gerade verfolgst
(spf.pobox.com zeigt ein Beispiel, siehe Verweise).
- Gib deinen Nutzern eine Toleranzfrist, d.h. du ver�ffentlichst zwar
deine SPF-Daten im DNS, aber mit sanft fehlschlagenden Tests (~all) statt
gew�hnlichen (-all).
Damit sch�tzt du deine Server, deine Kunden und die restliche Welt vor
Spam...
Es gibt viele Informationen f�r dich auf der offiziellen SPF-Webseite,
worauf wartest du?
Worauf mu� man aufpassen?
SPF ist eine perfekte L�sung, sich gegen Adre�betrug zu sch�tzen. Es hat jedoch
eine Beschr�nkung: Herk�mmliche e-mail-Weiterleitung funktioniert nicht
l�nger. Dein MTA kann nicht einfach e-mails empfangen und weitersenden. Du
mu�t die Sender-Adresse neu schreiben. Patches f�r die gel�ufigen MTAs
werden auf der SPF-Seite
bereitgestellt. In anderen Worten, wenn du SPF-DNS-Eintr�ge
ver�ffentlichst, solltest du auch deinen MTA f�r das Neuschreiben der
Sender-Adressen aktualisieren, sogar wenn du noch keine SPF-Eintr�ge
�berpr�fst.
Schlu�folgerungen
Du glaubst vielleicht, da� die Implementation von SPF etwas
verwirrend ist. Tats�chlich ist es nicht kompliziert, und im �brigen hast
du einen gro�artigen Wizard, der dir bei der Bew�ltigung deiner Mission
hilft (siehe Verweise).
Wenn du dir Sorgen �ber Spam machst, hilft dir SPF, indem es deine
Dom�ne vor F�lschungen sch�tzt, und alles, was du dazu tun mu�t, ist, eine
Textzeile auf deinem DNS-Server zu �ndern und deinen Mailserver zu
konfigurieren.
Die Vorteile von SPF sind gro�. Jedoch, wie ich einmal jemandem gesagt
habe, ist es kein Unterschied wie Tag und Nacht. Der Nutzen von SPF kommt
mit der Zeit, wenn es andere auch einsetzen.
Ich habe die Sender-ID und ihren Bezug zu SPF erw�hnt, aber keine
n�heren Erkl�rungen gegeben. Wahrscheinlich kennst du bereits den Grund
daf�r; die Politik von Microsoft ist immer dieselbe: Softwarepatente. Bei
den Verweisen kannst du die Position von openspf.org zur Sender-ID
lesen.
In einem folgenden Artikel werden wir �ber die Konfiguration des MTA
sprechen, bis dann!
Ich wollte dir eine kurze Einf�hrung zu SPF bieten. Wenn du mehr
dar�ber erfahren willst, folge einfach den Referenzen, mit deren Hilfe
dieser Artikel geschrieben wurde.
Referenzen [engl.]
Die offizielle SPF-Webseite
Die offizielle FAQ von SPF
Der offizielle SPF-Wizard
Die Position von openspf.org bez�glich der Sender-ID
Ein
exzellenter Artikel �ber Sender-ID und SPF
Warne deine Nutzer
�ber die SASL-Umstellung
HOWTO -
Wie man einen SPF-Record schreibt