Schutz vor Phishing Attacken: Schritt für Schritt Anleitung zur Erstellung eines SPF-Records

Autor Return Path 

E-Mail-Authentifizierung dient primär dazu sicherzustellen, dass Mailbox Provider und andere Empfänger von E-Mails den Absender einer eingehenden Nachricht als diesen erkennen können.

Um dies zu erreichen gibt es mehrere Authentifizierungsmethoden. SPF ist eine Authentifizierungsmethode, mit der wir uns im Rahmen dieses Blogbeitrags heute auseinandersetzen; ausführliche Informationen zu einer zweiten Authentifizierungsmethode, DKIM, werden wir in einem zweiten Artikel veröffentlichen, der morgen erscheinen wird.

Beide Methoden – SPF und DKIM – sind notwendig, um DMARC (Domain-based Message Authentication, Reporting and Conformance) effektiv nutzen zu können. DMARC wurde Anfang 2012 von einer Arbeitsgruppe bestehend aus 15 Unternehmen inklusive Return Path, Google, Microsoft und Yahoo! ins Leben gerufen, um gemeinsam effektiver im Kampf gegen Phishing vorgehen zu können. Lesen Sie hier das erst gestern erschiene eBook als “Leitfaden zu DMARC”.

Aber zurück zu SPF (Sender Policy Framework). In unserem Glossar können Sie die Definition nachlesen. Praktisch ausgedrückt bedeutet dies aber, dass das E-Mail-Empfangssystem anhand des SPF-Records prüft, ob die E-Mail von einem Server versendet wurde, der dazu von der Domain des Versenders – also beispielsweise Ihrer Domain – autorisiert ist. Damit können Mailbox Provider schnell und wirksam gefälschte E-Mails identifizieren.

Das Verfahren ist denkbar einfach. Wenn der Server eines Mailbox Providers etwa eine E-Mail des Absenders „support@paypal.com“ von einem Server mit der IP-Adresse „212.123.50.1“ empfängt, fragt der SPF-Check die Domain „paypal.com“ danach ab, ob die genannte IP-Adresse von ihr zum Versenden von E-Mails autorisiert ist. Je nachdem wird der Check bestanden – oder eben nicht.

Doch wie implementieren Sie SPF-Authentifizierung für Ihre E-Mails? Die folgenden vier Punkte geben die Antwort.

1. Stellen Sie fest, von welchen Domains aus Ihre E-Mail-Kampagnen versendet werden.

Hierbei geht es zunächst nur um den Domain-Bestandteil der E-Mail-Adresse, d.h. alles nach dem @-Zeichen. Wenn Sie Ihre E-Mails mit den Absenderadressen info@ihredomain.com versenden, benötigen Sie die SPF-Records für „ihredomain.com“.

2. Erfassen Sie die IP-Adressen, die zum Versenden der E-Mails genutzt werden.

Wenn Sie einen Service Provider für den Versand Ihrer E-Mails nutzen, müssen Sie sich von ihm die IP-Adressen geben lassen, über die er für Sie versendet. Wenn Sie ein internes System nutzen, erhalten Sie die IP-Adressen von Ihrem Systemadministrator.

Falls Sie für Ihre E-Mail-Kampagnen dieselbe Domain wie für geschäftliche E-Mails verwenden, lassen Sie sich von Ihrer IT-Abteilung auch alle IP-Adressen geben, die für die geschäftliche E-Mail-Kommunikation genutzt werden.

3. Erstellen Sie Ihren SPF-Datensatz.

Microsoft bietet einen Assistenten für die Erstellung von SPF-Records, der sich in der Praxis bewährt hat. Er findet sich unter http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/ und bietet Ihnen genaue Erklärungen der relevanten Begriffe.

4. Veröffentlichen Sie den SPF-Record im DNS.

Damit Mailserver beim Empfang von E-Mails Ihren SPF-Record prüfen können, muss er im Domain Name System (DNS) für Ihre Domain eingetragen und damit allgemein zugänglich gemacht werden. Wenn Sie einen Hosting Provider wie Strato oder Host Europe nutzen und dieser Ihre DNS-Einträge verwaltet, ist das Verfahren ganz einfach. Im Zweifel lassen Sie sich von Ihrer IT-Abteilung beraten.

Nachdem Sie den SPF-Record mittels des Assistenten erstellt haben, wird er einfach kopiert und als TXT-Datensatz zum DNS-Eintrag Ihrer Domain hinzugefügt.

Ihr SPF-Record sollte jetzt für jeden Mailserver einsehbar sein, an den Sie E-Mails versenden. Versäumen Sie nicht, die Gültigkeit Ihres Eintrags mithilfe von Tools wie http://www.kitterman.com/spf/validate.html zu prüfen. Auf eventuelle Probleme werden Sie außerdem aufmerksam gemacht, wenn Sie als Return Path-Kunde die Inbox Monitor-Lösung verwenden. Diese werden ggfls. in der Spalte unter „Problems“ zu der jeweiligen Kampagne angezeigt:

SPF_Record

Die erste der zwei wesentlichen Voraussetzungen für einen wirksamen Schutz Ihres Brands vor Phishing ist damit erledigt.

In meinem nächsten Beitrag zum Thema werde ich erklären, wie man die DKIM-Verschlüsselung implementiert.

Author Image

About Return Path

Author Archive