SPF ist leider notwendig geworden. Und für viele eine bittere Pille. Im Moment versuche ich gerade aktiv zu verhindern, dass meinem Arbeitgeber so etwas, wie dieses hier – link – passiert, sprich in meinem Namen oder im Namen meines Arbeitgebers werden Mails versendet, mit böswilligem Inhalt. Bei 1und1 ist ein wenig Suche notwendig und der Twitter-Support hat mir dankenswerterweise die richtigen Tipps gegeben.
Bei SPF verifiziert der eingehende Mailserver beim gegnerischen DNS, ob dort ein SPF-Eintrag gesetzt ist. Ist dem so, kann der Mailserver abfragen, ob der RDNS-Eintrag der absenden Mailserver-IP vom Absender tatsächlich genehmigt wurde. So kann ich verhindern, dass Mails in meinem Namen von fremden Mailservern versendet werden.
In meinem Fall wünsche ich mir, dass unser primärer MX (Unser Exchange mit statischer IP) und unsere Website bei 1und1 Emails versenden darf. Würde ich lediglich unseren eigenen Mailserver eintragen, so würden die Mailserver die Benachrichtigungen unserer Webseite höchstwahrscheinlich ablehnen. Unseren eigenen Mailserver habe ich als mx-variable im SPF, nur als was sendet unsere Website? Das ist die Frage.
Einige Blogs sind der Meinung, man müsse lediglich _spf.1und1.de inkludieren. Das ist falsch, hier werden nämlich so viele DNS-Einträge zurückgeliefert, dass der gegnerische Mailserver schnell die Lust an der Arbeit verliert:
Eine Anfrage per Twitter bei der @1und1hilfe Hotline ergab:
@joemj Hab nochmal nachgeschaut.. Offiziell supporten wir bspw. „v=spf1 a:https://t.co/cDa0QdUeFM -all“. Als TXT-Eintrag. /mi
— 1&1 Hosting Support (@1und1hilfe) 1. Februar 2016
Und so kann ich „mout.kundenserver.de“ einfach als A-Eintrag inkludieren. Der Korrekte Eintrag (zunächst mit Softfail) für unsere Domain „xxxxx“ lautet also:
v=spf1 mx a:mout.kundenserver.de ~all
Und so wird unser eigener MX (unser Mailserver) und der CGI-Handler von 1und1 korrekt abgearbeitet und andere Mailserver, die der Meinung wären, sie wären xxxxx.xx haben das Nachsehen. Wenn Du nicht so genau weißt, wie Du einen SPF-Eintrag korrekt konfigurierst, kannst Du z.B. auch spf-record.de besuchen.