5ain7 ga11 . CH || i7-l3ak5. CH || g07r007.CH

Google Apps SPF Records

by on Apr.27, 2010, under Applikationen, DNS, Google Services, Knowledgebase

Um seine Google Apps Mails gegen Mailspoofing-Attacken zu schützen, kann man bei seinem DNS-Server eine TXT oder SPF (falls unterstützt) Record eintragen. Bei Google Apps sollte dies folgendermassen aussehen:

v=spf1 a mx include:aspmx.googlemail.com include:_spf.google.com ~all (in meinem Fall als TXT Record eingetragen).

Wenn man seine Einstellungen testen will, kann man dies via: http://www.kitterman.com/spf/validate.html?.

Aufbau eines SPF-Records [von wikipedia.de]

Jeder SPF-Record beginnt mit einer Versionsnummer – für die aktuelle SPF-Version “v=spf1”. Es folgen beliebig viele Ausdrücke, die in der Reihenfolge von vorne nach hinten ausgewertet werden. Die meisten Ausdrücke sind dabei sog. Direktiven, die dieAutorisierung des Versenders definieren, und bestehen aus einem optionalen Qualifikator und einem sog. Mechanismus, der für eine gegebene Situation (IP-Adresse) entweder einen Treffer oder keinen Treffer ergibt. Der erste Mechanismus, der einen Treffer darstellt, bestimmt das Ergebnis der gesamten Auswertung des SPF-Records.

Es gibt folgende Qualifikatoren:

Q. Ergebnis-Code Beschreibung
+ Pass die Direktive definiert autorisierte Sender; dies ist der Standard, d. h. ist kein Qualifikator angegeben, so wird + angenommen
– Fail die Direktive definiert nicht autorisierte Sender
~ SoftFail die Direktive definiert nicht autorisierte Sender, der Empfänger soll diesen Fehlschlag aber großzügig behandeln; dieser Qualifikator ist für Testzwecke gedacht
? Neutral die Direktive definiert Sender, über deren Legitimität nichts ausgesagt werden soll; Der Sender muss akzeptiert werden.

Folgende Tabelle zeigt einige gängige Mechanismen:

Mech. Direktive trifft zu, wenn …

all immer
a … ein A-(oder AAAA-)Record der befragten (oder explizit angegebenen) Domäne die IP-Adresse des Senders enthält
mx … ein MX-Record der befragten (oder explizit angegebenen) Domäne die IP-Adresse des Senders enthält
ip4 … die angegebene IPv4-Adresse die IP-Adresse des Senders ist bzw. das angegebene IPv4-Subnetz diese enthält
include … eine zusätzliche SPF-Anfrage zur im Include-Statement angegebenen Domain die IP-Adresse des Senders enthält


Leave a Reply

 

Blogroll

A few highly recommended websites...