SPF: Softfail oder Hardfail?

Veröffentlicht am von Gerald

Beim Einrichten des SPF (Sender Policy Framework) für die E-Mail-Authentifizierung gibt es die Optionen “Softfail” und “Hardfail”, um festzulegen, wie mit E-Mails umgegangen werden soll, die die SPF-Prüfung nicht bestehen.

Die Wahl zwischen Softfail und Hardfail hängt von deinen individuellen Bedürfnissen und Anforderungen ab. Softfail ist flexibler und ermöglicht eine Zustellung von E-Mails, auch wenn sie die SPF-Prüfung nicht bestehen. Es kann in Situationen nützlich sein, in denen die SPF-Konfiguration komplex ist oder legitime E-Mails von anderen Servern gesendet werden. Hardfail ist strenger und bietet eine robustere Sicherheit, um unautorisierte E-Mails abzulehnen oder als Spam zu markieren.

SPF allein ist keine umfassende E-Mail-Sicherheitslösung. Es sollte als Teil eines umfassenderen Sicherheitsansatzes wie DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting, and Conformance) verwendet werden, um die E-Mail-Authentifizierung zu verbessern und Spoofing-Angriffe zu bekämpfen.

Hier sind die Unterschiede zwischen den beiden Optionen:

Softfail

Wenn du “Softfail” verwendest, fügst du dem SPF-Eintrag deiner DNS-Konfiguration den Mechanismus “~all” hinzu. Das bedeutet, dass du signalisierst, dass andere Server, die E-Mails im Namen deiner Domain senden, zwar nicht autorisiert sind, aber nicht vollständig abgelehnt werden sollten. Mit Softfail soll angezeigt werden, dass eine Prüfung fehlgeschlagen ist, aber die E-Mail dennoch zugestellt werden kann. Es liegt dann im Ermessen des Empfängers, wie die E-Mail behandelt wird. Einige E-Mail-Server können sie als verdächtig markieren oder in den Spam-Ordner verschieben.

Hardfail

Wenn du “Hardfail” verwendest, fügst du dem SPF-Eintrag deiner DNS-Konfiguration den Mechanismus “-all” hinzu. Dies signalisiert, dass nur E-Mails von den in deinem SPF-Eintrag aufgeführten Servern als autorisiert gelten. Wenn eine E-Mail von einem anderen Server gesendet wird, wird sie als nicht autorisiert betrachtet und kann abgelehnt oder als Spam markiert werden. Hardfail bietet eine strengere Kontrolle, um Spoofing und betrügerische Aktivitäten zu verhindern.