30 Nov 2006

Sys-Admins und Webmaster: NUTZT SPF

Ein Aufruf an alle Sys-Admins und Webmaster, wenn ihr die Möglichkeit dazu habt richtet bitte für alle Domains die ihr verwaltet oder besitzt so genannte SPF-Einträge im DNS-System ein.
Das Prinzip ist recht einfach: die SPF-Einträge geben an, welche Hosts die Erlaubnis haben Emails für die entsprechende Domain zu verschicken.
Fängt nun ein Spammer an mit gefälschten Absender-Adressen Spammails zu verschicken kann ein SPF-sprechender Mailserver einfach per DNS-Anfrage nachschauen, ob diese IP überhaupt für diese Domain Emails verschicken darf. Ist dies der Fall wird die Email angenommen und wie erwartet verarbeitet. Andernfalls jedoch wird die Email einfach zurück gewiesen.

Nun mögen einige von euch denken: Nö, das ist mir zu viel Arbeit und zu kompliziert. Ist es nicht! Je Domain ist es nur eine einzige Zeile in der DNS-Zone und wenn ihr selber von diesem Feature profitieren wollt (was ihr vermutlich wollt) dann müsst ihr sicherstellen, ob ihr einen SPF-fähigen MTA nutzt und dann die Funktion einstellen.
Den SPF-Eintrag für euren DNS-Server könnt ihr unter SPF: A Sender Policy Framework to Prevent Email Forgery sehr einfach erstellen. Dauert ca 5 min und anschließend reicht es den Domainnamen gegen die weiteren zu Bearbeitenden auszutauschen … und im schlimmsten Fall die IP an zu passen.

Um lokalen Nutzern das verschicken von Emails von einem POP3/SMTP-Client wie z.B. Thunderbird oder Outlook zu ermöglichen ist dann nur noch die Authentifizierung notwendig, welche die SPF-Regel außer Kraft setzt und euren eigenen MTA für eure eigenen Emails öffnet.

Sobald ihr diese Änderungen umgesetzt habt und Emails auch selber nur noch empfangt, wenn die Prüfung des SPF-Eintrags nicht fehlschlägt reduzieren sich eure Spammails erheblich – glaubt mir, ich spreche hier aus reiner Erfahrung.

SPF rulez