Awareness

Was ist SPF und warum hilft es gegen Phishing?

Aktualisiert am

Das Sender Policy Framework (Abk. SPF) ist eine Maßnahme zur Reduzierung von E-Mail Spam & Spoofing. Die Erkennung, ob ein E-Mail Server die Berechtigung hat E-Mails mit einer bestimmten Absenderadresse zu versenden, steht hierbei im Vordergrund.

Das Spoofing von E-Mail Adressen ist eine große Herausforderungen für Laien. Ohne einen detaillierten Blick sehen E-Mails vertrauenswürdig aus und öffnen Tür und Tor für die Umsetzung unterschiedlicher Cyber-Angriffe.

Hat der E-Mail-Server die Berechtigung? Durch SPF wird das überprüft!

Mit der Hilfe diverser Seiten (z.B. emkai[.]cz) ist das einfache Spoofen von E-Mail-Adressen ohne viel Aufwand möglich. Gerade die oft belächelten Skript-Kiddies machen mit der Hilfe der bereitgestellten Webseite Unfug und täuschen Klein- und Kleinstunternehmen.

Um den Missbrauch mit E-Mail-Adressen einzugrenzen wurde das Sender Policy Framework ins Leben gerufen. E-Mail-Server überprüfen die DNS Records und stellen transparent sicher, dass der Sender der E-Mail die Erlaubnis hat im Namen der Domain Mails zu versenden.

Der Implementierungsaufwand ist überschaubar und gehört mittlerweile zum Standard

Die Verwaltung von Domains und der Pflege von DNS-Einträgen sollte fachmännisch durchgeführt werden. Mit einer größer werdenden Infrastruktur steigen auch die Anforderungen. Der SPF Eintrag im DNS gehört mittlerweile zum Standardeintrag.

Fehlen diese, kann das gerade für Unternehmen die keine bis wenige IT-Sicherheitsmaßnahmen ergriffen haben zu einem großen Problem werden. Bei vielen Anbietern werden die entsprechenden SPF Records standardmäßig gesetzt, ohne das eine Handlung nötig wird. Ein SPF Record hat nichts mit dem Blacklisting einer Domain zu tun.

Wächst jedoch die Infrastruktur, zieht der E-Mail-Server um oder sollen auch andere Domains im eigenen Namen E-Mails versenden, so muss der SPF Eintrag im DNS Record angepasst werden.

Besitzt meine Domain einen SPF Record?

Ob die eigene Domain über einen validen SPF Record verfügt lässt sich auf verschiedenen Wege überprüfen. So kann ein manueller Blick in die DNS Records vorgenommen werden. Dafür muss man sich bei dem Domainregistrar einloggen und die entsprechenden Einträge manuell sichten. Nicht immer hat man jedoch die Rechte auf den entsprechenden Domainregistrar zuzugreifen.

Es gibt Webseiten, die haben sich auf die Prüfung des SPF Records spezialisiert. So wird die Webseite spf-record.de von nicmanager betrieben und gibt detaillierte Informationen über das Vorhandensein eines Records aus, sowie potenzielle Mängel.

Erfolgreiche SPF Pruefung
Die Prüfung auf das Vorhandensein eines SPF Records war erfolgreich. Quelle: spf-record.de

Wie funktioniert das Sender Policy Framework?

Durch hinterlegte, öffentliche Einträge im Domain Name System (i.d.R. als TXT Eintrag) kann der E-Mail-Server der E-Mails empfängt überprüfen, ob der E-Mail-Server der E-Mails sendet dazu berechtigt ist im Namen der Domain Mails zu versenden. Im TXT Eintrag des DNS Records ist hinterlegt wie mit E-Mails umgegangen werden soll die einer Prüfung nicht standhalten.

SPF wird oft im Zusammenspiel mit DMARC und DKIM eingesetzt

Das Problem von Spam und Spoofing wird aber auch mit dem SPF alleine nicht abgeschafft. Ausgefeilte Angriffsmethoden der Cyberkriminellen machen es möglich Schutzmaßnahmen auszuhebeln oder umgehen zu lassen. Dabei ist das Sender Policy Framework nur eine von drei Möglichkeiten zur Steigerung der Sicherheit beim Versand und dem Empfangen von E-Mails:

  1. Was ist DKIM?
    DomainKeys Identified Mail ist ein auf asymmetrische Verschlüsselung und Signaturen basiertes Verfahren. Mit der Hilfe dieses Verfahren lassen sich Spam- und Phishing Kampagnen eindämmen. Mailserver die das Verfahren unterstützen können die Authentizität, also die Echtheit, der versendenden Domains sicherstellen.
  2. Was ist DMARC?
    Das Domain-based Message Authentication Reporting and Conformance (DMARC) ist ein etablierter Standard, der den Missbrauch von E-Mails durch Spam und Phishing eindämmen soll. Große Betreiber informieren darüber, wie viele E-Mails behandelt worden sind. Der Standard ist im RFC 7489 beschrieben.
Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.