SPF, DKIM & DMARC

SPF prüft ob der *VERSENDENDE MAILSERVER* einer E-Mail berechtigt ist im Namen der Domain zu versenden.

pypolicy-spf läuft auf dem Mailserver und prüft die DNS-Einträge des Versenders, Beispiel:

dummyuser@gmx.de versendet eine Mail an chris@darkrealm.dyndns.org

1. mout.gmx.net (212.227.15.18) sucht im DNS nach dem MX für darkrealm.dyndns.org
2. mout.gmx.net (212.227.15.18) erhält als Ergebnis darkrealm.dyndns.org
3. mout.gmx.net (212.227.15.18) sucht im DNS nach dem A-Eintrag für darkrealm.dyndns.org
4. mout.gmx.net (212.227.15.18) erhält als Ergebnis 91.67.76.188
5. mout.gmx.net (212.227.15.18) verbindet sich zu 91.67.76.188 auf port 25
6. darkrealm.dyndns.org sucht im DNS TXT-Eintrag für die gmx.net-Domain
7. darkrealm.dyndns.org erhält als Ergebnis "v=spf1 ip4:213.165.64.0/23 ip4:74.208.5.64/26 ip4:212.227.126.128/25 ip4:212.227.15.0/25 ip4:212.227.17.0/27 ip4:74.208.4.192/26 ip4:82.165.159.0/24 ip4:217.72.207.0/27 -all"
8. darkrealm.dyndns.org vergleicht mout.gmx.net (212.227.15.18) mit den im SPF-Record eingetragenen IP-Adressen / Adressbereichen
9. falls die IP-Adresse von mout.gmx.net in den IP-Adressbereichen des SPF-Records vorhanden ist wird die Mail akzeptiert, ansonsten wird sie knallhart verworfen (-all)

DKIM prüft ob die empfangene Mail während des Transports geändert wurde.

opendkim läuft auf dem versendendem Mailserver und signiert die Mails mit seinem privatem Schlüssel. Der empfangende Mailserver prüft mittels den im DNS TXT Record <selector>._domainkey.<domain> eingetragenem öffentlichem Schlüssel die Signatur.