SPF

De Wiki Hostnet
Ir para: navegação, pesquisa
Spf.png


SPF ( Sender Policy Framework ) é uma tecnologia que evita que outros domínios enviem emails não autorizados em nome de seu domínio.
Os registros SPF são importantes para aumentar e otimizar a entregabilidade de seus e-mails. Provedores como Hotmail, MSN e outros, fazem uso desta ferramenta para validar os remetentes e aprovar a entrega dos e-mails.
O sistema SPF baseia-se em verificar se o servidor que enviou a mensagem a partir de um determinado domínio está autorizado para fazê-lo.
A consulta é feita a um registro do tipo TXT na tabela de DNS do domínio encontrado no campo "MAIL FROM" da mensagem (ou seja, o Return-Path da mesma).
A configuração do SPF é essencial e garante um aumento significativo no sucesso da entrega dos e-mails.


Tabela de conteúdo

O envio entre servidores SMTP

Quando envia-se uma mensagem de correio eletrônico a partir de um software cliente de correio eletrônico (como o Microsoft Outlook, o Apple Mail ou o Mozilla Thunderbird), ou mesmo através de um serviço de webmail, este se conecta a um servidor SMTP. Este servidor é aquele que faz o envio da mensagem, para uma ou várias contas de correio eletrônicos. Este servidor (servidor remetente) é o encarregado de se conectar com o servidor onde está armazenada a conta de correio do destinatário (servidor do destinatário) e de transmitir a mensagem para seu armazenamento e posterior leitura pelo destinatário.

Infelizmente é impossível ter a autenticação habilitada entre todos os servidores SMTP. Logo, devido a isto, qualquer servidor remetente pode se identificar como o responsável pelo transporte da mensagem de origem de um nome de domínio. Com isso os usuários mal intencionados aproveitam para falsificar a identidade do correio eletrônico e usá-la em benefício próprio.

O envio de e-mail não solicitado (o popular SPAM) e outras técnicas, como phishing o envio de vírus, em quase todos os casos é interessante para o ofensor esconder a real identidade do remetente, ou utilizar um endereço de cliente que possa ser confiável.

O primeiro passo para controlar este problema é verificar o caminho pelo qual o e-mail percorreu, para chegar até o servidor do destinatário. Assim monta-se o que chamamos de "lista negra", relacionando servidores que são usados para envio de e-mails falsificados. Isto traz inconveniências, como pessoas que usam este servidor para enviar e-mails comuns, não forjados. Eles podem vir a sofrer sanções e bloqueios devido ao mau uso do servidor ao qual estão vinculados.


SPF

O SPF verifica no cabeçalho do e-mail se o servidor que faz o envio dos e-mails (SMTP) está autorizado a enviar a mensagem, com base na relação de endereços IP que correspondem ao domínio do remetente.

O SPF também pode informar se o domínio autoriza ou não que outros endereços IP fora desta relação enviem e-mails em seu nome. O administrador configura esta relação na entrada TXT da zona de DNS seguindo as regras da RFC 4408. Caso este sistema esteja ativo e o IP solicitado seja diferente dos autorizados, o e-mail será rejeitado.


Exemplo:

Digamos que uma mensagem com From/Reply-To/Return-Path teste@fulanodetal.com.br seja enviada disparada por um servidor (usaremos como exemplo o IP 200.185.56.154) para a Hostnet.

  • A Hostnet verifica se o IP do servidor de remetente (200.185.56.154) esta no registro TXT no DNS do fulanodetal.com.br.
  • Se estiver incluído no registro TXT do domínio que está no campo From/Reply-To/Return-Path (fulanodetal.com.br), o servidor da Hostnet recebe a mensagem normalmente.
  • Se este servidor não estiver incluído no registro TXT, ele retorna uma mensagem de erro.


SPF na Hostnet

Por padrão o SPF já é criado de forma automática na tabela de DNS do domínio, trazendo esta segurança extra para o nosso cliente.

Exemplo de SPF de um domínio na Hostnet:


Spf1.png


Como editar o SPF do meu domínio?

O SPF pode ser alterado através do Painel de Controle, para quem usa o serviço de e-mail da Hostnet ( UltraMail ).


Acesse o menu: E-mail >> Configurações de Segurança


Menuconfseg.png


Depois no final da tela clique na opção Configurar regra SPF, conforme a imagem abaixo:


Spf12.png


Na próxima tela informe o SPF que deseja incluir, caso precise de ajuda siga o exemplo que aparece na tela.
Depois clique em Editar.


Spf13.png


Se você envia mensagens de outro provedor de email ou faz o envio de e-mail marketing através de outra empresa, lembre-se de configurar o DMARC corretamente nesse provedor, especialmente a chave do DKIM, caso isso não seja feito suas mensagens não serão certificadas e não serão recebidas pelos destinatários hospedados na Hostnet e por outros provedores protegidos pelo padrão de segurança DMARC. Contate seu provedor de envio de emails para mais informações.


Exemplo de edição:

O cliente usa o serviço de e-mail marketing da Dinamize, e deseja adicionar o SPF v=spf1 include:1806.meuspf.com ~all

A regra atual está assim:


Spf14.png


Vamos alterar para:


Spf15.png


Atributos do SPF

A entrada SPF, pode ter 3 atributos diferentes que alteram o modo como o servidor de destino tratará mensagens enviadas de servidores que não estejam presentes na mesma.

Esses atributos são:

  • fail (-all) >> significa que se o endereço do MTA mandando a mensagem não bater com nenhum dos endereços/domínios listados antes na regra a mensagem vai ser rejeitada;
  • softfail (~all) >> significa que ela não vai ser rejeitada, apenas marcada com a falha do SPF, e o MTA recebendo a mensagem vai decidir o que fazer com ela (por exemplo, marcar como spam ou colocar alguma outra flag);
  • neutral (?all) >> se a verificação do SPF falhar, nada é feito (é como se o domínio não tivesse SPF em caso de falha).


Testando o SPF

Abaixo são listados alguns comandos que podem ser executados para verificar se a configuração está correta.

O mais simples é acessar a seguinte URL( http://tools.bevhost.com/cgi-bin/dnslookup ) digitar o seu domínio no primeiro campo e submeter o formulário.
Abaixo do mesmo irá aparecer uma série de informações, você deve verificar que após ANSWER SECTION haverá uma linha com a sua configuração.

Abaixo segue um exemplo:

;; ANSWER SECTION:
comocriarmeusite.com.br. 3600 IN
TXT "v=spf1 a:mxq.f1.k8.com.br ?all"

Comandos para teste:

  • Linux >> host -t txt seudominio.com
  • Windows >> nslookup (enter) set type=txt (enter) seudominio.com
  • Mac >> dig txt seudominio.com


Veja também:


Links úteis:

Ferramentas pessoais
Espaços nominais
Variantes
Ações
Navegação
Ferramentas