
SPF (Sender Policy Framework) é uma tecnologia que impede que domínios não autorizados enviem emails em nome do seu domínio. Os registros SPF são essenciais para melhorar a capacidade de entrega dos seus emails. Provedores de serviços como Hotmail, MSN e outros utilizam essa ferramenta para validar remetentes e garantir a entrega dos emails.
O SPF funciona verificando se o servidor que enviou a mensagem está autorizado a fazê-lo em nome de um determinado domínio. Isso é feito através da consulta a um registro TXT na tabela DNS do domínio, encontrado no campo “MAIL FROM” da mensagem (ou seja, o Return-Path).
A configuração correta do SPF é fundamental e contribui significativamente para o sucesso da entrega dos seus emails.
O envio entre servidores SMTP
Quando se envia um email por meio de um cliente de email ou serviço de webmail, ele se conecta a um servidor SMTP que é responsável pelo envio da mensagem para uma ou várias contas de email. Esse servidor remetente se conecta ao servidor do destinatário e transmite a mensagem para armazenamento e leitura posterior.
No entanto, devido à falta de autenticação entre todos os servidores SMTP, qualquer servidor remetente pode se identificar como responsável pelo transporte da mensagem, permitindo que usuários mal-intencionados falsifiquem a identidade do remetente para benefício próprio. Isso é usado em práticas indesejadas, como spam, phishing e envio de vírus, onde ocultar a identidade real do remetente é de interesse para o ofensor.
Para lidar com esse problema, é necessário verificar o percurso pelo qual o email passou até o servidor do destinatário. Isso envolve criar uma “Lista de remetentes bloqueados” que relaciona servidores usados para enviar emails falsificados. No entanto, essa abordagem pode resultar em inconveniências, como bloquear o uso regular do servidor por pessoas que não estão envolvidas em práticas de falsificação. Eles podem enfrentar sanções e bloqueios devido ao mau uso do servidor com o qual estão associados.
SPF
O SPF verifica o cabeçalho do email para determinar se o servidor de envio (SMTP) está autorizado a enviar a mensagem, com base na lista de endereços IP associados ao domínio do remetente.
Além disso, o SPF também permite que o domínio indique se outros endereços IP além da lista autorizada podem enviar emails em seu nome. Essa configuração é feita pelo administrador do domínio na entrada TXT da zona de DNS, seguindo as regras estabelecidas na RFC 4408. Quando o SPF está ativo e o IP utilizado para enviar o email não está autorizado, a mensagem será rejeitada.
Exemplo:
Digamos que uma mensagem com From/Reply-To/Return-Path teste@fulanodetal.com.br seja enviada disparada por um servidor (usaremos como exemplo o IP 200.185.56.154) para a Hostnet.
- A Hostnet verifica se o IP do servidor de remetente (200.185.56.154) esta no registro TXT no DNS do fulanodetal.com.br.
- Se estiver incluído no registro TXT do domínio que está no campo From/Reply-To/Return-Path (fulanodetal.com.br), o servidor da Hostnet recebe a mensagem normalmente.
- Se este servidor não estiver incluído no registro TXT, ele retorna uma mensagem de erro.
SPF na Hostnet
Por padrão o SPF já é criado de forma automática na tabela de DNS do domínio, trazendo esta segurança extra para o nosso cliente.
Exemplo de SPF de um domínio na Hostnet:
Como editar o SPF do meu domínio?
O SPF pode ser alterado através do Painel de Controle, para quem usa o serviço de e-mail da Hostnet ( UltraMail ).
Acesse o menu: Email >> Configurações de Segurança
Depois no final da tela clique na opção Configurar SPF, conforme a imagem abaixo:
Na próxima tela informe o SPF que deseja incluir, caso precise de ajuda siga o exemplo que aparece na tela.
Depois clique em Enviar.
Se você envia mensagens de outro provedor de email ou faz o envio de e-mail marketing através de outra empresa, lembre-se de configurar o DMARC corretamente nesse provedor, especialmente a chave do DKIM, caso isso não seja feito suas mensagens não serão certificadas e não serão recebidas pelos destinatários hospedados na Hostnet e por outros provedores protegidos pelo padrão de segurança DMARC. Contate seu provedor de envio de emails para mais informações.
Exemplo de edição:
O cliente usa o serviço de e-mail marketing da Dinamize, e deseja adicionar o SPF v=spf1 include:1806.meuspf.com ~all
A regra atual está assim:
Vamos alterar para:
Atributos do SPF
A entrada SPF, pode ter 3 atributos diferentes que alteram o modo como o servidor de destino tratará mensagens enviadas de servidores que não estejam presentes na mesma.
Esses atributos são:
- Fail (-all) >> significa que se o endereço do MTA mandando a mensagem não bater com nenhum dos endereços/domínios listados antes na regra a mensagem vai ser rejeitada;
- Softfail (~all) >> significa que ela não vai ser rejeitada, apenas marcada com a falha do SPF, e o MTA recebendo a mensagem vai decidir o que fazer com ela (por exemplo, marcar como spam ou colocar alguma outra flag);
- Neutral (?all) >> se a verificação do SPF falhar, nada é feito (é como se o domínio não tivesse SPF em caso de falha).
Testando o SPF
Abaixo são listados alguns comandos que podem ser executados para verificar se a configuração está correta.
O mais simples é acessar a seguinte URL( http://tools.bevhost.com/cgi-bin/dnslookup ) digitar o seu domínio no primeiro campo e submeter o formulário.
Abaixo do mesmo irá aparecer uma série de informações, você deve verificar que após ANSWER SECTION haverá uma linha com a sua configuração.
Abaixo segue um exemplo:
;; ANSWER SECTION: comocriarmeusite.com.br. 3600 IN TXT "v=spf1 a:mxq.f1.k8.com.br ?all"
Comandos para teste:
- Linux >> host -t txt seudominio.com
- Windows >> nslookup (enter) set type=txt (enter) seudominio.com
- Mac >> dig txt seudominio.com