SPF (Sender Policy Framework) é uma tecnologia que impede que domínios não autorizados enviem emails em nome do seu domínio. Os registros SPF são essenciais para melhorar a capacidade de entrega dos seus emails. Provedores de serviços como Hotmail, MSN e outros utilizam essa ferramenta para validar remetentes e garantir a entrega dos emails.

O SPF funciona verificando se o servidor que enviou a mensagem está autorizado a fazê-lo em nome de um determinado domínio. Isso é feito através da consulta a um registro TXT na tabela DNS do domínio, encontrado no campo “MAIL FROM” da mensagem (ou seja, o Return-Path).

A configuração correta do SPF é fundamental e contribui significativamente para o sucesso da entrega dos seus emails.

O envio entre servidores SMTP

Quando se envia um email por meio de um cliente de email ou serviço de webmail, ele se conecta a um servidor SMTP que é responsável pelo envio da mensagem para uma ou várias contas de email. Esse servidor remetente se conecta ao servidor do destinatário e transmite a mensagem para armazenamento e leitura posterior.

No entanto, devido à falta de autenticação entre todos os servidores SMTP, qualquer servidor remetente pode se identificar como responsável pelo transporte da mensagem, permitindo que usuários mal-intencionados falsifiquem a identidade do remetente para benefício próprio. Isso é usado em práticas indesejadas, como spam, phishing e envio de vírus, onde ocultar a identidade real do remetente é de interesse para o ofensor.

Para lidar com esse problema, é necessário verificar o percurso pelo qual o email passou até o servidor do destinatário. Isso envolve criar uma “Lista de remetentes bloqueados” que relaciona servidores usados para enviar emails falsificados. No entanto, essa abordagem pode resultar em inconveniências, como bloquear o uso regular do servidor por pessoas que não estão envolvidas em práticas de falsificação. Eles podem enfrentar sanções e bloqueios devido ao mau uso do servidor com o qual estão associados.

SPF

O SPF verifica o cabeçalho do email para determinar se o servidor de envio (SMTP) está autorizado a enviar a mensagem, com base na lista de endereços IP associados ao domínio do remetente.

Além disso, o SPF também permite que o domínio indique se outros endereços IP além da lista autorizada podem enviar emails em seu nome. Essa configuração é feita pelo administrador do domínio na entrada TXT da zona de DNS, seguindo as regras estabelecidas na RFC 4408. Quando o SPF está ativo e o IP utilizado para enviar o email não está autorizado, a mensagem será rejeitada.

Exemplo:

Digamos que uma mensagem com From/Reply-To/Return-Path [email protected] seja enviada disparada por um servidor (usaremos como exemplo o IP 200.185.56.154) para a Hostnet.

  • A Hostnet verifica se o IP do servidor de remetente (200.185.56.154) esta no registro TXT no DNS do fulanodetal.com.br.
  • Se estiver incluído no registro TXT do domínio que está no campo From/Reply-To/Return-Path (fulanodetal.com.br), o servidor da Hostnet recebe a mensagem normalmente.
  • Se este servidor não estiver incluído no registro TXT, ele retorna uma mensagem de erro.

SPF na Hostnet

Por padrão o SPF já é criado de forma automática na tabela de DNS do domínio, trazendo esta segurança extra para o nosso cliente.

Exemplo de SPF de um domínio na Hostnet:

Como editar o SPF do meu domínio?

O SPF pode ser alterado através do Painel de Controle, para quem usa o serviço de e-mail da Hostnet ( UltraMail ).

Acesse o menu: E-mail >> Configurações de Segurança

Depois no final da tela clique na opção Configurar SPF, conforme a imagem abaixo:

Na próxima tela informe o SPF que deseja incluir, caso precise de ajuda siga o exemplo que aparece na tela.
Depois clique em Editar.

Se você envia mensagens de outro provedor de email ou faz o envio de e-mail marketing através de outra empresa, lembre-se de configurar o DMARC corretamente nesse provedor, especialmente a chave do DKIM, caso isso não seja feito suas mensagens não serão certificadas e não serão recebidas pelos destinatários hospedados na Hostnet e por outros provedores protegidos pelo padrão de segurança DMARC. Contate seu provedor de envio de emails para mais informações.

Exemplo de edição:

O cliente usa o serviço de e-mail marketing da Dinamize, e deseja adicionar o SPF v=spf1 include:1806.meuspf.com ~all

A regra atual está assim:

Vamos alterar para:

Atributos do SPF

A entrada SPF, pode ter 3 atributos diferentes que alteram o modo como o servidor de destino tratará mensagens enviadas de servidores que não estejam presentes na mesma.

Esses atributos são:

  • Fail (-all) >> significa que se o endereço do MTA mandando a mensagem não bater com nenhum dos endereços/domínios listados antes na regra a mensagem vai ser rejeitada;
  • Softfail (~all) >> significa que ela não vai ser rejeitada, apenas marcada com a falha do SPF, e o MTA recebendo a mensagem vai decidir o que fazer com ela (por exemplo, marcar como spam ou colocar alguma outra flag);
  • Neutral (?all) >> se a verificação do SPF falhar, nada é feito (é como se o domínio não tivesse SPF em caso de falha).

Testando o SPF

Abaixo são listados alguns comandos que podem ser executados para verificar se a configuração está correta.

O mais simples é acessar a seguinte URL( http://tools.bevhost.com/cgi-bin/dnslookup ) digitar o seu domínio no primeiro campo e submeter o formulário.
Abaixo do mesmo irá aparecer uma série de informações, você deve verificar que após ANSWER SECTION haverá uma linha com a sua configuração.

Abaixo segue um exemplo:

;; ANSWER SECTION:
comocriarmeusite.com.br. 3600 IN
TXT "v=spf1 a:mxq.f1.k8.com.br ?all"

Comandos para teste:

  • Linux >> host -t txt seudominio.com
  • Windows >> nslookup (enter) set type=txt (enter) seudominio.com
  • Mac >> dig txt seudominio.com

Links úteis:

Páginas Relacionadas