Achtung, jetzt wirds kompliziert. Wir implementieren jetzt einen SPF-Eintrag für unsere Domains. Wow, hört sich gut an, oder? Ich will nicht groß erklären was SPF-Einträge sind und was sie tun, das könnt ihr auf der Website von OpenSPF nachlesen, nur soviel:
Ein SPF-Eintrag legt per DNS fest, welche Server für das Versenden (nicht Empfangen!) von E-Mails unter einer Domain zuständig sind. Beispiel: Meine Domain "domain1.de" hat einen ausgehenden Mailserver mit dem Namen "smtp.domain1.de". Jetzt lege ich per SPF-Eintrag fest, dass nur E-Mails wirklich von mir sind, die über den Server "smtp.domain1.de" verschickt wurden.
Szenario 1: Herr M. erhält eine E-Mail von "hans.schneider (a) domain1.de". Als Absenderdomain steht im Kopf der Mail "smtp.domain1.de". Der empfangende Mailserver unterstützt die OpenSPF-Abfrage und stellt fest, dass der genannte Server für diese Domain zuständig ist => E-Mail ist kein SPAM und wird zugestellt.
Szenario 2: Herr M. erhält eine E-Mail von "hans.schneider (a) domain1.de". Als Absenderdomain steht im Kopf der Mail "mail.anderedomain.com". Der empfangende Mailserver unterstützt die OpenSPF-Abfrage und stellt fest, dass der genannte Server für diese Domain NICHT zuständig ist => E-Mail wird als SPAM erkannt und wird NICHT zugestellt.
Soweit so gut, aber wie sieht nun so ein SPF-Eintrag aus? Für unseren MaraDNS gilt eine ähnliche Syntax wie auch für den weit verbreiteten DNS-Server "Bind". Der Eintrag 'SPF' ist noch relativ neu und noch nicht so weit verbreitet. Daher solltest du jeweils zwei Einträge machen, einen mit 'SPF', den anderen mit 'IN TXT'. Die restliche Syntax bleibt die gleiche.
Beispiele:
- Für die Domain "domain1.de" existiert mindestens ein MX-Eintrag (bspw. "smtp.domain1.de"). Diese sind auch für ausgehende Mails zuständig. Alle anderen Hostnamen (www.domain1.de, forum.domain1.de etc) werden nicht für den Mailversand genutzt (verdeutlicht durch '-all'):
domain1.de. SPF 'v=spf1 mx:domain1.de -all' - Für die Domain "domain1.de" gibt es nur einen Ausgangsserver. Dieser heißt "smtp.domain1.de". Außer diesem wird kein anderer Host zum Versand von Mails benutzt:
domain1.de. SPF 'v=spf1 a:smtp.domain1.de -all' - E-Mails unter der Domain "domain2.de" benutzen den Mailserver von "domain1.de". Das heißt also, dass es keinen eigenen Postausgangsserver für "domain2.de" gibt. E-Mails die also von "smtp.domain2.de" verschickt würden, sind als SPAM zu erkennen:
domain2.de. SPF 'v=spf1 -all'
Noch ein paar wichtige Hinweise, die du unbedingt beachten solltest:
- Jede deiner Domains sollte einen SPF-Eintrag erhalten, auch wenn du nur wie im dritten Beispiel aussagst, dass es für diese Domain keinen Postausgangsserver gibt.
- Diese Einträge sind im Zonefile der jeweiligen Domain einzutragen.
- Es werden nur die PostAUSGANGS-Server angegeben.
- Es gibt noch viel mehr Parameter, die du alle auf der Website von openSPF einsehen kannst.
- Wenn dein Postausgangsserver keinen Hostnamen hat oder du die IP angeben willst, so kannst du auch einfach "ip4:x.x.x.x" angeben.
ACHTUNG: Mir scheint als ob hier die Jail-IP verwendet wird. Daher rate ich vom Einsatz von "ip4:x.x.x.x" dringend ab! - SPF-Einträge sind nur für Posteingangsserver dienlich, die entsprechende Abfragen vornehmen. Auch wenn dein Mailserver diese Funktion nicht unterstützt, solltest du dennoch solche Einträge haben, sodass deine Mails nicht versehentlich abgelehnt werden.
Einen Kommentar hinzufügen