W3NDT crafted by Stefan Wendt

Hosteurope SPF Analyse

Hosteurope? GoDaddy? secureserver.net

Bei meinen Untersuchungen zu DI.DAY und self-hosted Emails bin ich darüber gestolpert wie Hosteurope seine SPF Records für Kunden gestallt. Mir war schon vor einiger Zeit aufgefallen, dass die SPF Einträge viel umfangreicher waren als erwartet. Jetzt hab ich mir kurz Zeit genommen einmal etwas genauer zu gucken ...

https://www.hosteurope.de/faq/server/virtual-server/vs-mail-relay
Welchen SPF-Record muss ich setzen, wenn ich ausschließlich von meinem Virtual Server 10+ E-Mails versenden will?
Wenn Sie ausschließlich E-Mails von Ihrem Server und damit über unser Mail-Relay versenden möchten, empfehlen wir, folgenden SPF-Record zu setzen:

v=spf1 a mx include:secureserver.net -all

Kurzer Check der TXT Records in meiner Hosteurope-Nachbarschaft zeigt, dass dies auch so konfiguriert ist.

Stand Januar 2026

dig txt secureserver.net
; <<>> DiG 9.18.44-1~deb12u1-Debian <<>> txt secureserver.net ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53795 ;; flags: qr rd ra; QUERY: 1, ANSWER: 14, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1232 ; COOKIE: 7d9f06e1e17fa0cd01000000697e2b540b8ea69e2fae3bcd (good) ;; QUESTION SECTION: ;secureserver.net. IN TXT ;; ANSWER SECTION: secureserver.net. 67 IN TXT "v=spf1 include:spf-0.secureserver.net -all" secureserver.net. 67 IN TXT "fng0c8fmqejpe7misd5vcmpnrk" secureserver.net. 67 IN TXT "g5a10ihs5emfg8o8s0e44pvktv" secureserver.net. 67 IN TXT "gf1bnvgsl5bmekl6e1mke3c46c" secureserver.net. 67 IN TXT "jmopedihhbdn45hsiqpofgqdkc" secureserver.net. 67 IN TXT "MS=ms16109570" secureserver.net. 67 IN TXT "atlassian-domain-verification=0FFz3ZaXmdxD7yHY5Q/nI2dnLHDM5Zi0tdvyuYN1JFWq3UIZMf6FaDJgsku9N2m3" secureserver.net. 67 IN TXT "346ialadasm76nq2cnknil4d9j" secureserver.net. 67 IN TXT "google-site-verification=j69AKsEjg61mFSXTyJPzvpL1eYRp60akMqRxa4XAuLM" secureserver.net. 67 IN TXT "google-site-verification=GsYntSQyy_tSrRvMasP01vF3DBuaZMp1FHSkxva6E-I" secureserver.net. 67 IN TXT "IPROTA_D17772-XXX.TXT" secureserver.net. 67 IN TXT "dropbox-domain-verification=t39mlntxpsqg" secureserver.net. 67 IN TXT "o1dr1dj6fdb2tdi7f8hcisd183" secureserver.net. 67 IN TXT "google-site-verification=DtWHFdJMCINP0RBgPprxsCo6ZMeIy_xHi0XO8FcKmVI"

Die autorisierten IPs sind hier nicht direkt gelistet, sondern werden über einen Include aus einem weiteren TXT SPF Eintrag von spf-0.secureserver.net gezogen.

dig txt spf-0.secureserver.net
; <<>> DiG 9.18.44-1~deb12u1-Debian <<>> txt spf-0.secureserver.net ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28395 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1232 ; COOKIE: b2a0662ced77495901000000697e2b7723f91769e58f55b7 (good) ;; QUESTION SECTION: ;spf-0.secureserver.net. IN TXT ;; ANSWER SECTION: spf-0.secureserver.net. 1463 IN TXT "v=spf1 ip4:64.202.168.0/24 ip4:97.74.135.0/24 ip4:72.167.238.0/24 ip4:72.167.234.0/24 ip4:72.167.218.0/24 ip4:68.178.252.0/24 ip4:68.178.213.0/24 ip4:216.69.139.0/24 ip4:208.109.80.0/24 ip4:92.204.81.0/24 ip4:198.71.224.0/19 ip4:184.168.224.0/24 ip4:184.1" "68.200.0/24 ip4:184.168.131.0/24 ip4:184.168.128.0/24 ip4:92.204.65.0/28 ip4:182.50.132.0/24 ip4:173.201.192.0/23 ip4:72.167.168.0/24 ip4:92.204.71.0/24 ip4:132.148.124.0/24 ip4:72.167.172.0/24 ip4:188.121.52.0/24 ip4:188.121.53.0/24 ip4:52.89.65.132 ip4:" "54.214.222.76 ip4:54.184.82.65 ip4:52.26.164.15 ip4:68.178.181.0/24 ip4:50.63.8.0/22 ip4:208.109.194.0/24 ip4:80.237.138.192/26 include:spf.protection.outlook.com -all" ;; Query time: 0 msec ;; SERVER: 10.255.251.80#53(10.255.251.80) (UDP) ;; WHEN: Sat Jan 31 16:19:03 UTC 2026 ;; MSG SIZE rcvd: 771

Spannend! Es fällt einem sofort der Include von spf.protection.outlook.com ins Auge. Außerdem sind das auch schon ohne Microsoft recht viele IP Adressen.

dig txt spf-0.secureserver.net | grep "spf1" | sed -e 's/" "//g' | tr " " " " | grep ip4 | cut -d ":" -f2 | cut -d "/" -f1
; <<>> DiG 9.18.44-1~deb12u1-Debian <<>> txt spf-0.secureserver.net 64.202.168.0 97.74.135.0 72.167.238.0 72.167.234.0 72.167.218.0 68.178.252.0 68.178.213.0 216.69.139.0 208.109.80.0 92.204.81.0 198.71.224.0 184.168.224.0 184.168.200.0 184.168.131.0 184.168.128.0 92.204.65.0 182.50.132.0 173.201.192.0 72.167.168.0 92.204.71.0 132.148.124.0 72.167.172.0 188.121.52.0 188.121.53.0 52.89.65.132 54.214.222.76 54.184.82.65 52.26.164.15 68.178.181.0 50.63.8.0 208.109.194.0 80.237.138.192

Wenn man jetzt traceroute und whois benutzt um zu gucken was das für Adressen sind, stellt man fest, dass die meisten Adressen auf den ersten Blick nichts mit Hosteurope zu tun haben.

whois tracerout
82.50.132.0/24 GODADDYCOM 182.50.132.0 - 182.50.133.255 ?? GoDaddy Singapore ?? 184.168.128.0/24 GoDaddy.com 184.168.0.0 - 184.168.255.255 ?? GoDaddy PHX3 ?? 188.121.52.0/24 Go Daddy Netherlands B.V. 188.121.52.0 - 188.121.55.255 ?? ae30.sxb1-cr-vega ?? 52.26.164.15 Amazon Technologies Inc. m2.test.cloud.em.secureserver.net. 52.89.65.132 Amazon Technologies Inc. m1.dev.cloud.em.secureserver.net. 54.184.82.65 Amazon.com, Inc. m1.test.cloud.em.secureserver.net. 54.214.222.76 Amazon.com, Inc. m2.dev.cloud.em.secureserver.net. 72.167.168.0/24 GODADDY-AWS 72.167.172.0/24 GoDaddy AWS 80.237.138.192/26 Host Europe GmbH 92.204.65.0/28 HEG Mass

Es macht den Eindruck, als wären alle Systeme, die im GoDaddy Universum und deren Tochterfirmen potentiell Emails versenden können, in einer einzigen Liste zusammengefasst.

Fazit

Als Kunde würde man sich wünschen, dass der SPF Eintrag selektiv nur wirklich die Systeme listet, auf denen man auch tatsächlich für SMTP out konfiguriert ist. Da Hosteurope wahrscheinlich in vielen Fällen Kontrolle über DNS Einträge hat, sollte es technisch auch möglich sein ohne das Kunden manuell Änderungen durchführen müssen. Selbst wenn DNS Hosting vom Kunden separat betrieben wird sollten präzise SPF Listen technisch und organisatorisch möglich sein. Das dort immer das ganze Microsoft Univerum mit aufgeführt ist, ohne das Microsoft jemals eine Email im Namen der jeweiligen Domain versendet, ist erschreckend. Eine SPF Liste, die jede Menge "fremd Server" umfasst widerspricht der Idee von SPF. Wenn es sich bei den 4 AWS System tatsächlich um TEST/DEV Systeme handelt, dann wären diese Einträge kritisch zu bewerten. Das Mischen von PROD und DEV/TEST sollte grundsätzlich vermieden werden.