SPF wurde als Maßnahme gegen Spam entwickelt. Es handelt sich dabei um ein Verfahren, das verhindern soll, dass Absenderadressen von E-Mails gefälscht werden können. Somit soll unterbunden werden, dass unberechtigte Personen eine ihnen nicht gehörende E-Mail-Adresse nutzen, um zum Beispiel Werbemails oder Schadsoftware an unbedarfte User zu verschicken. Bei SPF trägt der Inhaber einer Domain in das Domain Name System (DNS) diejenigen Computer ein, die dazu berechtigt sind, E-Mails für die entsprechende Domain zu verschicken. Eine missbräuchliche Nutzung der domaingebundenen E-Mail-Adressen durch unberechtigte Dritte soll dadurch zuverlässig unterbunden werden.
So funktioniert SPF
Indem der Inhaber einer Domain in der DNS-Zone einen sogenannten Resource Record hinterlegt (als .txt-Datei), legt er fest, welche Rechner Mails von der betreffenden Domain verschicken dürfen. Im Resource Record trägt er dazu die IP-Adressen dieser Mail Transfer Agents (MTA) ein. Geht nun eine E-Mail beim Empfänger ein, dann prüft dieser zunächst, welche Domain durch den Absender in den Feldern „Mail from“ bzw. „HELO“ (in der SMTP-Verbindung) angegeben wurde. Nun ruft der Empfänger die SPF-Daten zu dieser Domain aus dem DNS ab. Er vergleicht die darin eingetragenen IP-Adressen der erlaubten MTAs mit der des Absenders. Stimmen Sie überein, ist die E-Mail authentisch. Andernfalls wird die Mail verworfen, da sie von einem ungültigen Absender stammt. Durch Sender Policy Framework (SPF) lässt sich die Nachverfolgbarkeit von E-Mails verbessern, was zum Schutz vor Spam und Phishing beitragen kann. Spam kann jedoch nicht direkt bekämpft werden, da SPF ausschließlich der Verhinderung von Absender-Adressfälschungen dient.
Probleme mit Sender Policy Framework (SPF) bei Mail-Umleitungen
Die Verwendung von SPF kann einige Tücken mit sich bringen. Lässt der Empfänger zum Beispiel seine E-Mails an eine Adresse unterhalb? einer anderen Domain umleiten, so sieht das empfangende System die Absender-IP in Verbindung mit der umleitenden Domain. Dies ist in der Regel in de SPF Records nicht berücksichtigt, sodass eine solche E-Mail als unautorisiert angesehen wird. Dieses Problem kann auf zweierlei Arten umgangen werden. Zum einen indem die weiterleitende Domain durch ein Whitelisting von der SPF-Prüfung ausgenommen wird. Dann allerdings sollten die weiterleitenden Systeme die Prüfung durchführen. Andererseits ist es möglich, dass das umleitende System die weiterzuleitenden Mails auf seine eigene Domain umschreibt, also den Absender verändert.
Ein Nachteil von SPF besteht darin, dass nur wenige Endbenutzer Kenntnis davon haben. Gerade bei E-Mail Umleitungen kann es also vorkommen, dass ein solche Nutzer keine E-Mails mehr von solchen SPF-geschützten Domains erhalten kann, da er nichts von der Notwendigkeit eines Whitelistings für diese weiß.