Sender Policy Framework (SPF)

GFI MailEssentials bietet Unterstützung für das Sender Policy Framework (SPF). Mit Hilfe des SPF können Sie feststellen, ob die Absenderadresse einer empfangenen E-Mail gefälscht wurde. Das Fälschen von Absenderadressen ist eine beliebte Methode von Spammern, unerkannt zu bleiben und wird mittlerweile von den meisten Versendern unerwünschter Werbebotschaften eingesetzt.

Das SPF ist bereits von vielen großen Providern und Unternehmen eingeführt worden und erfreut sich einer wachsenden Beliebtheit. Beim SPF lassen Unternehmen im bestehenden Domain Name System (DNS) zusätzlich Angaben zu den IP-Adressen ihrer E-Mail-Server eintragen. Wird beispielsweise eine E-Mail von xyz@UnternehmenABC.com verschickt, muss UnternehmenABC im Rahmen des SPF einen SPF-Eintrag veröffentlicht haben, damit Empfänger per SPF-Abfrage im DNS überprüfen können, ob die IP-Adresse zu der angeblichen Absender-Domäne von UnternehmenABC passt oder gefälscht ist. Hat UnternehmenABC keinen SPF-Eintrag veröffentlicht, wird als Ergebnis der SPF-Abfrage „unknown" ausgegeben.

Funktionsweise von SPF

Mit Hilfe von öffentlichen Einträgen (DNS) leiten Domänen Dienstanfragen an Rechner weiter, die den Dienst (Web, E-Mail usw.) bereitstellen. Domänen veröffentlichen bereits E-Mail-Einträge (MX-Einträge), um Anwender darüber zu informieren, welche Server E-Mails für diese Domänen empfangen.

Beim Sender Policy Framework veröffentlichen Domänen nun in ihren DNS einen Texteintrag, der auch Informationen dazu liefert, welche Server Mitteilungen von dieser Domäne verschicken. Wird eine E-Mail von einer Domäne empfangen, kann GFI MailEssentials diesen Eintrag kontrollieren um festzustellen, ob die E-Mail tatsächlich vom angeblichen Absender stammt.

Um diese Funktion von GFI MailEssentials nutzen zu können, müssen Sie selbst jedoch keine SPF-Einträge veröffentlichen. Sollten Sie dies dennoch wünschen, können Sie hierfür den SPF-Assistenten nutzen unter http://spf.pobox.com/wizard.html

Beispiel für eine SPF-Kontrolle

Um unerkannt zu bleiben, fälschen Spammer die Absenderadresse ihrer Mitteilungen und verschicken sie z. B. unter dem Namen „UnternehmenABC".

Hierbei wird eine Verbindung mit Ihrem E-Mail-Server von einer beliebigen IP-Adresse hergestellt, nicht jedoch vom UnternehmenABC.

Wenn Sie nun diese Spam-Mitteilung erhalten, steht unter MAIL FROM: gefaelschte_Adresse@UnternehmenABC.com. Diese unzuverlässige Angabe können Sie dank SPF nun jedoch auf ihre Richtigkeit überprüfen. Dafür muss lediglich bei UnternehmenABC abgefragt werden, ob die IP-Adresse in der empfangenen Nachricht tatsächlich aus dem Unternehmensnetzwerk stammt.

Hat UnternehmenABC nun bereits einen SPF-Eintrag veröffentlicht, erfährt GFI MailEssentials über diesen im DNS veröffentlichten SPF-Eintrag, ob der sendende E-Mail-Server tatsächlich von UnternehmenABC für den E-Mail-Versand autorisiert wurde.

Kommt von UnternehmenABC die Rückmeldung, dass der sendende Server bekannt ist, wird die Mitteilung akzeptiert und die Authentizität des Absenders ist gesichert. Besteht die Mitteilung den SPF-Test jedoch nicht, ist die Absenderadresse gefälscht. Somit stammt die E-Mail vermutlicht von einem Spammer.

Weitere Informationen zu SPF und der detaillierten Funktionsweise finden Sie auf der SPF-Web-Site unter http://spf.pobox.com.

SPF auf einem SMTP-Server (Gateway) im Netzwerk-Perimeter

Der Perimeter-SMTP-Server ist der Server, der E-Mails direkt aus dem Internet empfängt. Falls GFI MailEssentials auf einem solchen Server installiert ist, müssen Sie keine weiteren Einstellungen vornehmen. Eine Konfigurierung der entsprechenden Optionen über die Registerkarte „Perimeter-SMTP-Server" unter den Eigenschaften des Knotens „Anti-Spam" ist somit nicht erforderlich.

SPF auf einem SMTP-Server (Gateway) außerhalb des Netzwerk-Perimeters

Wurde GFI MailEssentials nicht auf einem Perimeter-SMTP-Server installiert, müssen über die Registerkarte „Perimeter-SMTP-Server" unter den Eigenschaften des Knotens „Anti-Spam" entsprechende Einstellungen vorgenommen werden. Klicken Sie hierfür mit der rechten Maustaste auf den Knoten „Anti-Spam" > „Eigenschaften" und dann auf die Registerkarte „Perimeter-SMTP-Server".

Falls Sie nicht wissen, ob GFI MailEssentials auf Ihrem Perimeter-SMTP-Server installiert ist, können Sie mit Hilfe der Schaltfläche „Autom. Suche" einen MX-Lookup per DNS-Server durchführen und die IP-Adresse Ihres Perimeter-SMTP-Servers automatisch definieren lassen.

Weitere Informationen zur Konfigurierung der Einstellungen zum Perimeter-SMTP-Server erhalten Sie im Kapitel „Festlegung des Perimeter-(Gateway)-SMTP-Servers".

Konfigurierung der SPF-Funktionen

Die SPF-Funktionen werden über den Knoten „Anti-Spam" > „Sender Policy Framework" konfiguriert. Mit einem rechten Mausklick auf diesen Knoten rufen Sie die SPF-Eigenschaften auf.

SPF-Blockierungsstufe

Über die Blockierungsstufe können Sie die Empfindlichkeit der SPF-Kontrollen festlegen. Vier verschiedene Stufen stehen zur Auswahl:

Keine - Keine Mitteilungen blockieren. Bei Auswahl dieser Option werden eingehende E-Mails nicht per SPF-Überprüfung kontrolliert.

Niedrig - Es werden nur solche Mitteilungen blockiert, deren Absenderadresse eindeutig als gefälscht identifiziert wurde (SPF "fail"). Hierdurch werden alle Mitteilungen mit gefälschten Absenderadressen als Spam gekennzeichnet.

Mittel - Es werden Mitteilungen blockiert, deren Absenderadresse gefälscht zu sein scheint (SPF „fail" und „softfail"). Hierdurch werden alle Mitteilungen, deren Absenderadresse anscheinend gefälscht wurde, als Spam gekennzeichnet. Diese Einstellung wird als Standardeinstellung empfohlen.

Hoch - Hierbei werden alle Mitteilungen blockiert, bei denen die Authentizität des Absenders nicht erwiesen ist (SPF „fail", „softfail", „neutral", „none" und „unknown"). Bei dieser Option werden alle eingehenden Mitteilungen als Spam behandelt, wenn die Absenderadresse nicht eindeutig als authentisch identifiziert werden konnte. Da die meisten E-Mail-Server bislang noch keinen SPF-Eintrag besitzen, sollte diese Einstellung zurzeit nicht verwendet werden.

Nachdem Sie die Empfindlichkeit der SPF-Kontrolle festgelegt haben, klicken Sie auf „Übernehmen", um die Einstellungen zu speichern. Wenn Sie bereits in GFI MailEssentials angegeben haben, dass dieser Computer nicht Ihr Perimeter-SMTP-Server ist (siehe auch „Festlegung des Perimeter (Gateway)-SMTP-Servers"), erscheint ein Dialog, der dem oben abgebildeten ähnelt. Er zeigt die Einstellungen des Perimeter-SMTP-Servers, den Sie in GFI MailEssentials konfiguriert haben (d. h. die IPs, die für Ihren Perimeter-SMTP-Server angegeben wurden).

Ist GFI MailEssentials auf Ihrem Perimeter-SMTP-Server installiert oder haben Sie bislang noch nicht angegeben, dass der E-Mail-Server, auf dem GFI MailEssentials installiert ist, kein Perimeter-SMTP-Server ist (siehe „Festlegung des Perimeter (Gateway)-SMTP-Servers"), erscheint unten abgebildeter Dialog.

Screenshot 29 - Hinweis: SPF muss auf dem Perimeter-SMTP-Server installiert sein.

Ist der Computer kein Perimeter-Server, erinnert Sie dieser Dialog daran, dass entsprechende Einstellungen über die Option „Perimeter-SMTP-Server" aus den Eigenschaften des Knotens „Anti-Spam" festgelegt werden müssen (rechter Mausklick auf Knoten „Anti-Spam" > „Eigenschaften" > Registerkarte „Perimeter-SMTP-Server"). Weitere Informationen zur Konfigurierung des Perimeter-SMTP-Servers erhalten Sie im Kapitel „Festlegung des Perimeter (Gateway)-SMTP-Servers" in diesem Kapitel.

Klicken Sie auf "OK", um den Dialog zu schließen. Wenn Sie Ihre DNS-Einstellungen/Dienste testen möchten, klicken Sie auf die Schaltfläche „Testen", die sich über der Schaltfläche „Übernehmen" befindet.

Konfigurierung von Ausnahmen

Über die Registerkarte „Ausnahmen" können Sie IP-Adressen und Empfänger angeben, für die keine SPF-Kontrollen durchgeführt werden sollen.

IP-Ausnahmeliste - In dieser Liste eingetragene IP-Adressen werden von den SPF-Kontrollen automatisch nicht berücksichtigt. Klicken Sie auf „Hinzufügen...", um eine neue IP-Adresse auf die Liste der Ausnahmen zu setzen. Um eine IP-Adresse zu entfernen, markieren Sie diese, und klicken Sie auf „Entfernen". Um alle in der IP-Ausnahmeliste eingetragenen Adressen wieder kontrollieren zu lassen, deaktivieren Sie das Kontrollkästchen neben der IP-Ausnahmeliste.

Empfänger-Ausnahmeliste - Empfänger, die in der Empfänger-Ausnahmeliste eingetragen sind, erhalten stets alle E-Mails, selbst wenn die Mitteilungen per SPF blockiert werden würden. Einträge in der Ausnahmeliste lassen sich wie folgt vornehmen:

Benutzername - z. B. als „Verstoß" angegeben (entspricht z. B. „verstoss@unternehmenabc.com" oder „verstoss@xyz.com").

Domäne - z. B. „@unternehmenabc.com" (entspricht *@unternehmenabc.com, z. B. „michael@unternehmenabc.com", „sabine@unternehmenabc.com" usw.).

Vollständige Adresse - z. B. „peter@unternehmenabc.com„ (entspricht nur der Adresse „peter@unternehmenabc.com").

Um die Empfänger-Ausnahmeliste zu deaktivieren, entfernen Sie bitte das Kontrollkästchen „Empfänger-Ausnahmeliste".

Trusted Forwarder Global Whitelist - Über die Trusted Forwarder Global Whitelist (www.trusted-forwarder.org) steht eine globale Whitelist für SPF-Benutzer zur Verfügung. Diese Whitelist bietet die Möglichkeit, dass legitime Mitteilungen, die über bekannte und vertrauenswürdige E-Mail-Forwarder verschickt werden, nicht von den SPF-Kontrollen abgefangen werden, da die Forwarder bei der Weiterleitung kein Envelope-from Rewriting-System einsetzen. Diese Einstellung ist standardmäßig aktiviert. Sie sollte stets aktiviert bleiben.

Registerkarte „Aktionen"

Nachdem Sie die SPF-Funktion konfiguriert haben, klicken Sie auf die Registerkarte „Aktionen". Hier können Sie festlegen, was mit E-Mails geschehen soll, die vom SPF-Filter als Spam klassifiziert wurden. Weitere Informationen zu möglichen Aktionen erhalten Sie unter „Aktionen - Umgang mit Spam-Mail" in diesem Kapitel.

Registerkarte „Weitere Optionen"

Nähere Informationen zu dieser Registerkarte erhalten Sie unter „Weitere Optionen" in diesem Kaptitel.

Festlegung des Perimeter (Gateway)-SMTP-Servers

Der Perimeter-SMTP-Server ist der Gateway-Server, der E-Mails verarbeitet, die direkt aus dem Internet empfangen werden.

Solche SMTP-Gateway-Server werden üblicherweise in den DNS MX-Einträgen einer Domäne angegeben und konfiguriert und oftmals in einer Demilitarisierten Zone (DMZ) eingerichtet. Bei der DMZ (siehe Abbildung oben) handelt es sich um ein intern zugängliches Netzwerk, das typischerweise nur für Server eingerichtet wird, auf die von externen Clients im Internet zugegriffen wird, z. B. Web-, FTP- und E-Mail-Server.

Gehen über einen anderen Gateway-Server weitergeleitete E-Mails auf dem Server mit GFI MailEssentials ein, müssen Sie über die Registerkarte „Perimeter-SMTP-Server" unter den Anti-Spam-Eigenschaften die Einstellungen für Ihren SMTP-Gateway-Server angeben, damit der SPF-Filter korrekt funktioniert. Beispiel: Ein englisches Unternehmen empfängt alle seine E-Mails auf einem SMTP-Server in den USA. Da der amerikanische SMTP-Server alle empfangenen Mitteilungen an den lokalen englischen SMTP-Server weiterleitet, handelt es sich bei diesem in den USA betriebenen Server um einen Perimeter-Gateway-Server des Unternehmens. Bei der Installation von GFI MailEssentials auf dem lokalen SMTP-Server in England muss das Unternehmen somit darauf achten, dass dieser lokale Server mit der entsprechenden Option als Perimeter-SMTP-Server ausgeschlossen wird. Zudem müssen die Daten des US-SMTP-Servers korrekt angegeben werden, damit der SPF-Filter funktioniert.

Wurde GFI MailEssentials nicht auf dem Perimeter-SMTP-Server installiert, gehen Sie wie folgt vor:

1. Klicken Sie mit der rechten Maustaste auf den Knoten „Anti-Spam", und wählen Sie „Eigenschaften".

2. Klicken Sie auf die Registerkarte „Perimeter-SMTP-Server", und aktivieren Sie die Option „Dieser Computer ist kein Perimeter-SMTP-Server".

3. Klicken Sie auf die Schaltfläche "Hinzufügen", und geben Sie die IP-Adresse Ihres Perimeter (Gateway)-SMTP-Servers an. Wiederholen Sie diesen Vorgang, wenn Sie weitere Perimeter-SMTP-Server angeben wollen, die bei Ihnen im Einsatz sind. Achten Sie dabei darauf, dass diese Server in der von Ihnen gewünschten Reihenfolge angegeben werden, mit dem wichtigsten Perimeter-Server an erster Stelle.

HINWEIS: Durch Klicken auf die Schaltfläche „Autom. Suche..." wird ein DNS MX-Lookup gestartet, der die IPs der in Ihren lokalen Domänen konfigurierten Perimeter-SMTP-Server automatisch abruft.