Defaults.Exposed › Einrichtung › SPF

SPF bei AWS Route 53 einrichten

Legen Sie in Ihrer Route-53-Hosted-Zone einen SPF-Eintrag an, damit Mailanbieter Ihre echten E-Mails von Fälschungen unterscheiden können.

Warum das für Ihr Geschäft wichtig ist

SPF (Sender Policy Framework) ist ein kurzer Vermerk in der DNS Ihrer Domain, der festhält, welche Mailserver E-Mails in Ihrem Namen versenden dürfen. Erhält jemand eine Nachricht, die angeblich von Ihnen stammt, prüft sein Mailanbieter diese Liste. Steht der absendende Server nicht darauf, wirkt die Nachricht verdächtig — und landet entweder im Spam oder wird ganz blockiert.

Einfach gesagt: SPF macht es schwerer, dass jemand Ihr Unternehmen per E-Mail vortäuscht, und es hilft, dass Ihre echten E-Mails im Posteingang statt im Junk-Ordner ankommen. Es ist ein Eintrag, er ist kostenlos und dauert wenige Minuten.

Vorab: Wird Ihre DNS überhaupt von Route 53 betrieben?

Das ist der Schritt, den die meisten falsch machen. Ein DNS-Eintrag wirkt nur, wenn Route 53 die DNS-Anfragen für Ihre Domain beantwortet.

Route 53 ist ein DNS-Anbieter, kein Postfachanbieter — es beantwortet DNS-Anfragen, betreibt aber nicht Ihre Postfächer. Zwei Dinge sind hier entscheidend:

• Die Hosted Zone muss die aktive sein. Öffnen Sie in der Route-53-Konsole Hosted zones und wählen Sie Ihre Domain aus. Notieren Sie die vier NS-Werte (Nameserver), die für diese Zone angezeigt werden.
• Die Nameserver Ihrer Domain müssen auf diese Werte zeigen. Haben Sie die Domain über Route 53 registriert (unter Registered domains), passt das meist schon zusammen. Haben Sie sie aber anderswo registriert oder gibt es mehr als eine Hosted Zone für dieselbe Domain, zeigen die aktiven Nameserver womöglich ganz woandershin — und alles, was Sie hier anlegen, bewirkt nichts. Prüfen Sie die Nameserver bei Ihrem Registrar und stellen Sie sicher, dass sie mit den vier NS-Werten dieser Hosted Zone übereinstimmen. Tun sie das nicht, legen Sie den SPF-Eintrag stattdessen dort an, wo Ihre DNS tatsächlich liegt.

Klären Sie zuerst eine Tatsache: Wer versendet Ihre E-Mails?

SPF muss jeden Dienst nennen, der E-Mails für Ihre Domain versendet. Häufige Beispiele sind Google Workspace, Microsoft 365 oder der Anbieter, der Ihre Postfächer betreibt. Jeder von ihnen veröffentlicht einen Wert für Ihren SPF-Eintrag (oft etwas wie include:_spf.google.com für Google oder include:spf.protection.outlook.com für Microsoft 365). Sehen Sie in den Hilfeseiten Ihres Mailanbieters nach dem genauen Wert — das ist der Teil, den Sie richtig hinbekommen müssen.

Versenden Sie über Amazon SES (Amazons eigenen E-Mail-Versanddienst), nutzt SES standardmäßig einen anderen Mechanismus, und SPF ist für SES optional — haben Sie jedoch eine eigene MAIL-FROM-Domain in SES eingerichtet, folgen Sie genau den SES-Anweisungen dafür. SES ist ein von Route 53 getrennter Dienst; Route 53 speichert lediglich den DNS-Eintrag.

Schritt für Schritt bei Route 53

1. Melden Sie sich in der AWS-Konsole an und öffnen Sie Route 53.
2. Wählen Sie im linken Menü Hosted zones und klicken Sie auf den Namen Ihrer Domain.
3. Klicken Sie auf Create record.
4. Erscheint ein Assistent mit Routing-Policy-Optionen, wechseln Sie zur einfachen Form (achten Sie auf Quick create record) — SPF braucht keines der erweiterten Routings.
5. Lassen Sie das Feld Record name leer. Ein leerer Name bedeutet “die Domain selbst”. Die Konsole zeigt Ihre Domain neben dem Feld an, Sie müssen sie also nicht erneut eintippen.
6. Setzen Sie Record type auf TXT.
7. Geben Sie im Feld Value Ihren SPF-Text in doppelte Anführungszeichen gesetzt ein: "v=spf1 include:_spf.google.com ~all" Ersetzen Sie den include:-Teil durch die Werte, die Ihnen Ihr tatsächlicher Mailanbieter vorgibt. Die umschließenden Anführungszeichen sind in Route 53 erforderlich — siehe die Stolperfallen unten.
8. Belassen Sie die TTL auf dem Standardwert (300 Sekunden sind in Ordnung).
9. Klicken Sie auf Create records.

Stolperfallen bei Route 53

• TXT-Werte müssen in doppelten Anführungszeichen stehen. Anders als manche DNS-Anbieter, die den Wert für Sie einfassen, erwartet Route 53, dass Sie die Anführungszeichen selbst eintippen. Geben Sie "v=spf1 ... ~all" ein, nicht v=spf1 ... ~all. Die Anführungszeichen wegzulassen ist der mit Abstand häufigste Fehler bei Route 53.
• Lassen Sie den Record name für die Root-Domain leer. Ein leerer Name bedeutet die Domain selbst. Tippen Sie Ihren vollständigen Domainnamen in das Feld Name, hängt Route 53 die Zone erneut an, und Sie erhalten ihredomain.com.ihredomain.com — einen Eintrag, der nie geprüft wird.
• Nur ein SPF-Eintrag pro Domain. Sie können nicht zwei v=spf1-TXT-Einträge haben — Mailanbieter werten das als fehlerhaft. Existiert bereits ein TXT-Eintrag an der Wurzel, bearbeiten Sie ihn, um den neuen Dienst zu ergänzen, statt einen zweiten SPF-Eintrag anzulegen.
• Richtige Hosted Zone, richtiges Konto. Haben Sie mehrere Hosted Zones (oder mehrere AWS-Konten), bearbeitet man leicht die falsche. Stellen Sie sicher, dass die Zone, die Sie bearbeiten, diejenige ist, deren NS-Werte mit Ihren aktiven Nameservern übereinstimmen.
• ~all vs. -all. ~all (Softfail) bedeutet “alles nicht Aufgelistete ist verdächtig”; -all (Hardfail) bedeutet “alles nicht Aufgelistete ablehnen”. Beginnen Sie mit ~all, solange Sie noch prüfen, ob alles korrekt versendet, und stellen Sie auf -all um, sobald Sie sicher sind, dass Ihre Liste vollständig ist.
• Änderungen wirken nicht sofort. DNS-Aktualisierungen können von wenigen Minuten bis zu einigen Stunden dauern, bis sie sich verbreiten.

Prüfen, ob es funktioniert hat

Sobald Sie den Eintrag gespeichert und ihm etwas Zeit zum Wirksamwerden gegeben haben, prüfen Sie ihn mit der kostenlosen Prüfung auf dieser Seite. Sie sagt Ihnen in verständlicher Sprache, ob Ihr SPF-Eintrag vorhanden und korrekt aufgebaut ist.

Fertig? Prüfen Sie Ihre Domain kostenlos um zu bestätigen, dass es funktioniert hat – und sehen Sie Ihre vollständige Bewertung über alle 34 Prüfungen.