Uma tecnologia de segurança como a Sender Policy Framework (SPF) pode ser inestimável em um mundo atormentado por ataques on-line e mensagens de spam.

A Cibersegurança é uma grande preocupação para todos, desde indivíduos e empresas até entidades governamentais. Riscos de segurança, tais como falsificação de e-mails, ataques de phishing, spam e outros esquemas maliciosos, se tornaram constantes, visando dados, aplicativos, redes e pessoas.

Como resultado, os proprietários do site podem sofrer perda de dados, dinheiro, reputação e confiança do cliente. E os e-mails são uma das rotas de ataque mais fáceis.

SPF é uma técnica popular de validação de e-mail que pode ajudar a evitar esses ataques, detectando a falsificação de e-mails e prevenindo o spam. Usar um registro SPF também pode ajudar a evitar que seus e-mails sejam marcados como spam por outros servidores antes de atingir seu público-alvo.

Neste artigo, vamos discutir os registros do SPF e o por que é essencial implementar esta técnica para a segurança de e-mail.

Confira nosso guia em vídeo sobre o registro SPF

O que significa FPS?

Antes de chegarmos ao que é um registro SPF, vamos entender primeiro o que é SPF.

O Sender Policy Framework (SPF) refere-se a um método de autenticação de e-mails projetado para identificar endereços de remetente falsificados durante a entrega de e-mails.

SPF procedimento de trabalho.
SPF procedimento de trabalho. (Fonte da imagem: DMRC)

Atacantes frequentemente falsificam endereços de remetentes, fazendo-os parecer genuínos, como o endereço de um usuário regular. O SPF pode ajudar a detectar estas mensagens e colocá-las em quarentena, desviando de seus ataques.

SPF permite que o servidor na extremidade receptora verifique se um e-mail parecendo vir de um determinado domínio é realmente originário de um endereço IP autorizado daquele domínio. A lista contendo todos os endereços IP e hosts autorizados para um domínio específico pode ser encontrada nos registros DNS desse domínio.

O que é um registro SPF?

Um registro SPF é um tipo de registro TXT publicado em um arquivo de zona DNS, contendo uma lista de todos os servidores de e-mail autorizados que podem enviar e-mails em nome do seu domínio. É uma implantação do SPF que deve ser adicionado ao seu DNS para identificar e mitigar o envio de e-mails maliciosos com endereços falsificados em nome do seu domínio.

SPF record.
SPF record. (Fonte da imagem: Par)

Os spammers realizam a falsificação de e-mails criando um e-mail usando endereços de remetente falsificados, já que a maioria dos servidores de e-mail não realiza autenticação. Eles então editam o endereço do remetente de um e-mail falsificando cabeçalhos de e-mail, fazendo com que ele pareça genuíno como se os e-mails fossem enviados do seu domínio.

Este processo é chamado de spoofing, e permite aos spammers enganar os usuários e ganhar seus dados privados e causar danos à reputação.

Hoje, quase todos os e-mails maliciosos carregam endereços falsos. Como resultado, as pessoas cujos endereços de e-mail os atacantes roubaram sofrem danos à reputação, perdem tempo na correção de mensagens trocadas, recebem seus endereços IP na lista negra, etc.

Portanto, a criação de registros SPF é necessária para melhorar a entregabilidade e segurança de seus e-mails.

Sintaxe dos registros SPF

Em geral, um registro SPF é definido usando um tipo de registro TXT (não confundir com o registro do tipo de arquivo SPF legado).

Um registro SPF começa com um “v”, indicando a versão SPF utilizada. Atualmente, essa versão deve ser “spf1”, pois é reconhecida pela mais ampla gama de servidores de troca de e-mail.

Depois disso, outros termos seguem que definem as regras para os hosts que enviam e-mails do domínio em questão. Estes termos também podem fornecer mais informações para o processamento de registros do SPF.

Exemplo de um registro SPF

Aqui está como um registro SPF é e o que cada parte dele significa:

v=spf1 a include:_spf.google.com -all
  • v=spf1 é o SPF versão 1, um componente que identifica um registro TXT como um registro SPF.
  • a autoriza o host detectado no registro A do domínio a enviar os e-mails.
  • include: é usado para autorizar e-mails que o remetente pode enviar em nome de um domínio (aqui, google.com).
  • -all informa ao servidor do receptor que os endereços não listados neste registro SPF são não autorizados a enviar qualquer e-mail. Ele também diz aos servidores para rejeitar tais endereços.

Como funciona um registro SPF?

Qualquer computador pode enviar e-mails alegando ser de qualquer endereço, conforme permitido pelo protocolo SMTP. Atacantes e golpistas exploram isso usando endereços falsificados, que são difíceis de rastrear.

Uma técnica similar é usada em ataques de phishing, onde os atacantes enganam os usuários para revelarem suas informações pessoais ou comerciais, imitando um site ou serviço genuíno dos usuários com frequência.

Para contornar isso, o SPF permite que o proprietário de um domínio defina quais computadores têm a autorização para enviar e-mails daquele domínio, usando registros DNS. Além disso, os receptores podem rejeitar um e-mail de uma fonte não autorizada após verificar seu endereço a partir dos registros SPF, antes de receberem o corpo do e-mail.

Como vimos no exemplo acima, um registro SPF está na forma de uma entrada TXT listando todos os endereços IP dos servidores de e-mail autorizados para você. Você pode ter um ou vários endereços IP autorizados configurados para enviar e-mails em uma entrada do SPF.

Modelo de funcionamento do SPF.
Modelo de funcionamento do SPF. (Fonte da imagem: CyberPunk)

Quando um usuário autorizado envia um e-mail com um registro SPF ativado, o servidor de e-mail do destinatário executa uma pesquisa DNS para localizar a entrada TXT e determinar se o endereço IP do remetente está autorizado.

Se não encontrar nenhum registro SPF, então enviaria uma mensagem de “hard fail” ou “soft fail” para o remetente.

Se o servidor do receptor rejeitar aquele domínio, o usuário não autorizado ou cliente deve receber uma mensagem de rejeição (“hard fail”). Mas se o cliente for um agente de transferência de mensagens (MTA), neste caso, um e-mail de rejeição para o endereço real do envelope será gerado (“soft fail”).

Componentes de um registro SPF

Os registros do SPF são compostos de várias partes diferentes, começando com o número da versão.

Número da versão

Todos os registros SPF começam com um número de versão, que deve ser autorizado por mecanismos que definem remetentes válidos. O número de versão do SPF, como o spf1, é seguido por uma string contendo mecanismos, quantificadores e modificadores.

Mecanismos

Os mecanismos descrevem os hosts designados como remetentes autorizados para um determinado domínio. Um registro SPF pode ter zero ou múltiplos mecanismos. Alguns dos mecanismos comuns nos registros SPF são:

  • a: Especifica todos os endereços IP em um registro DNS A (exemplo: v=spf1 a:google.com -all). É usado no último e define a regra para lidar com um IP do remetente que não corresponde a nenhum mecanismo anterior.
  • mx: Define todos os registros A em direção ao registro MX pertencente a cada host. Exemplo v=spf1 mx mx:google.com -all
  • include:: Define outros domínios autorizados (exemplo: v=spf1 include:outlook.microsoft.com -all). Se a política daquele domínio em particular passar, então este mecanismo também passará. Você precisa da extensão de redirecionamento se você quiser alcançar a delegação total com a política de outro domínio.
  • ptr: Define todos os registros A para o registro PTR de cada host (exemplo: v=spf1 ptr:domain.com -all). Entretanto, você deve evitar este mecanismo, se possível.
  • all: Combina todos os endereços IP remotos e locais e é usado no final do registro SPF (exemplo: v=spf1 +all).
  • exists: Isso especifica os domínios assinados como uma exceção de acordo com a definição do SPF. Quando uma consulta é executada em um determinado domínio, ela será uma correspondência ao obter um resultado. Ele é usado raramente e oferece correspondências mais complicadas como consultas DNSBL.
  • ip4: Usado para definir um endereço IPv4, por exemplo, v=spf1 ip4:192.0.0.1 – tudo.
  • ip6: Usado para definir um endereço IPv6, por exemplo, v=spf1 ip6:2001:db8::8a2e:370:7334 -all

Estes definem todos os endereços IP que estão autorizados a enviar e-mails a partir do domínio.

Quantificadores

Os mecanismos têm um quantificador para definir como eles podem lidar com uma partida.

Um servidor de e-mail compara o endereço IP do remetente com a lista de endereços IP autorizados nos mecanismos. Quando ele encontra uma correspondência para o endereço IP em um dos mecanismos do SPF, ele irá implementar a regra para o tratamento de resultados. E a regra padrão para isso é pass ou +.

Os quatro quantificadores são os seguintes:

  • + representa o resultado PASS. Se o endereço passar no teste, a mensagem deve ser aceita (exemplo: v=spf1 +all). Você pode omiti-la porque, por exemplo, +mx e mx são o mesmo.
  • - é para o HARDFAIL, instruindo que o endereço falhou no teste e o e-mail deve ser rejeitado (exemplo: v=spf1 -all).
  • ~ representa o SOFTFAIL e é pronunciado como um til. Isso significa que o endereço falhou no teste; entretanto, o resultado não é definitivo. Você pode aceitar e etiquetar um e-mail não conforme (exemplo: v=spf1 ~all).
  • ? representa NEUTRAL onde o endereço não falhou ou passou no teste e você é livre para aceitá-lo ou rejeitá-lo (exemplo: v=spf1 ?all).

Quando você não vê nenhum quantificador em um registro SPF, isso significa que o quantificador +all é aplicado.

Modificadores

Os modificadores permitem que você amplie a framework. Eles são pares de valores ou nomes separados pelo sinal = e fornecem mais informações. Os registros SPF também podem ter zero, um ou dois modificadores, mas eles podem aparecer apenas uma vez, no final do registro.

Os dois modificadores mais amplamente utilizados são:

  • redirect: Usado para enviar uma consulta para outros domínios. Este modificador é fácil de entender comparado a outros mecanismos e modificadores, sendo usado quando você tem vários domínios e precisa usar o mesmo registro SPF em todos os lugares.
  • exp: Usado para fornecer uma explicação quando um quantificador FAIL está incluído em um mecanismo combinado. Esta explicação será colocada no registro SPF.

Por que você precisa dos registros SPF?

Se o seu domínio tem um registro SPF, ele irá diminuir as chances de receber e-mails maliciosos e forjados, aumentando a segurança do seu e-mail e protegendo contra ciberataques e spammers.

Um registro SPF também aumenta a credibilidade do seu domínio e reduz as chances de ser excluído pelos filtros de spam. Isso ajuda os e-mails legítimos a encontrar o caminho até você mais rapidamente.

Além disso, adicionar registros SPF em seu domínio tornou-se cada vez mais crucial para verificar quais remetentes podem enviar e-mails em nome do seu domínio. Ele oferece muitos benefícios, que exploramos a seguir.

Aumento da segurança de e-mail

Segurança de E-mail.
Segurança de E-mail. (Fonte de imagem: Zero 1 Zero Inovações)

Os registros SPF ajudam a aumentar a segurança de e-mails tanto para indivíduos quanto para empresas. Na era da segurança cibernética, onde usuários de todo o mundo são afetados por crimes cibernéticos, você deve tomar medidas para proteger sua caixa de entrada.

Adicionar registros SPF é uma maneira de fazer exatamente isso. Ao tornar mais desafiador para os atacantes de e-mail, as mensagens de spam têm menos probabilidade de chegar em sua caixa de entrada; portanto, sua segurança de e-mail aumenta.

Melhoria da entrega de e-mails

Se um domínio não possuir um registro SPF, seus e-mails podem ser rejeitados ou marcados como spam pelos servidores. E se isso acontecer repetidamente, sua capacidade de enviar e-mails com sucesso para o seu público-alvo (também conhecida como entregabilidade) diminui.

Isso se torna um obstáculo para indivíduos e empresas que utilizam esses domínios para alcançar seus clientes-alvo, funcionários, fornecedores e outras pessoas relacionadas.

Melhoria da reputação de domínios

Reputação de domínio.
Reputação de domínio. (Fonte da imagem: Rejoiner)

Se seus usuários recebem constantemente e-mails de atacantes que se fazem passar por sua empresa, a credibilidade do seu domínio está em risco. Os maus atores também podem prejudicar seus clientes e funcionários ao expor seus dados pessoais, o que prejudicará ainda mais sua reputação.

É por isso que é essencial proteger seu domínio de tais incidentes com a ajuda dos registros SPF. Ao restringir o envio de e-mails apenas aos endereços IP autorizados listados nos registros, você evitará mensagens de spam e reduzirá a probabilidade de tais ataques.

Conformidade DMARC

O sistema de verificação de e-mails DMARC garante que somente usuários autorizados enviem e-mails em nome do seu domínio.

Suas políticas também instruem os servidores sobre como lidar com e-mails com checagens falhadas do DKIM e SPF. DMARC instrui que tais e-mails devem ser marcados como rejeitados, spam, ou entregues.

Ele também capacita os administradores de domínio a receber relatórios destacando as atividades de e-mail e fazer os ajustes necessários em suas políticas.

Quem precisa de um registro SPF?

Você precisa configurar um registro SPF para o seu domínio se você enviar e-mails comerciais e transacionais para seus clientes, funcionários ou fornecedores. O uso de diferentes soluções de segurança de e-mail torna sua entregabilidade e segurança de e-mail fortes.

  • Negócios e indivíduos: Com uma técnica de autenticação de e-mail como os registros SPF em vigor, empresas e indivíduos podem verificar se um e-mail é enviado em nome do seu domínio ou se alguém está fazendo isso para seus ganhos pessoais e enganando seus membros. E você pode tornar isso ainda mais forte usando registros SPF com DMARC ou DKIM para especificar uma política de autenticação completa para todos os seus e-mails.
  • ISPs: Os registros SPF são benéficos para os ISPs. Se eles não tiverem configurado um registro SPF corretamente, eles podem ter que realizar uma filtragem de e-mails novamente. Além disso, uma autenticação falhada diz que há uma possibilidade de que seus e-mails estejam sendo bloqueados ou reconhecidos como spam por muitos servidores.

Portanto, se você quiser que seus e-mails cheguem com sucesso ao destino pretendido, o uso de registros SPF irá garantir isso e fornecer uma melhor segurança aos seus domínios e e-mails. Ele irá filtrar e-mails forjados de phishers e spammers e proteger sua reputação.

Como criar, adicionar e editar registros SPF

Aqui está como você pode adicionar, criar e editar seus registros SPF.

Como criar um registro SPF

Criar um registro SPF.
Criar um registro SPF. (Fonte da imagem: SendPulse)

Antes de você começar a criar um registro SPF, é necessário entender se o seu envio de e-mail exige que você o faça em primeiro lugar.

Primeiro, é importante entender o caminho de retorno (Return Path) de um e-mail. O SPF gira em torno do domínio utilizado no Return-Path, em vez do domínio DE (FROM). Portanto, no início, descubra o Return-Path utilizado para o envio de seus e-mails.

Além disso, certos serviços de envio de e-mails (ESPs), como o Google, podem utilizar o nome do seu domínio no seu Return-Path. Isso requer que você crie um registro SPF para o seu próprio domínio.

No entanto, outros ESPs, como o Postmark, podem utilizar o seu próprio domínio no Return-Path, onde você não precisa configurar um SPF por conta própria; seu ESP deve fazer isso em seu lugar.

Agora que você sabe por que é necessário configurar um registro SPF, vamos entender o processo passo a passo de como fazer isso.

Passo 1: Identifique os endereços IP que enviam e-mails

As organizações podem ter vários lugares de onde enviam um e-mail. Então, no primeiro passo para criar um registro SPF, você deve identificar quais endereços IP você usa do seu domínio para enviar os e-mails. Liste todos os seus endereços IP e servidores de e-mail correspondentes em um documento de texto ou planilha eletrônica.

Além disso, descubra quais são todas as vias utilizadas para enviar e-mails em nome da sua marca. Pode ser um servidor web, um servidor de e-mail no escritório como o Microsoft Exchange, o servidor de e-mail do seu ESP, um servidor de e-mail pertencente ao provedor de e-mail do seu cliente, ou um servidor de e-mail de terceiros.

Mas se você não tiver certeza de seus endereços IP, você pode entrar em contato com seu ESP e obter a lista completa contendo todos os endereços IP relacionados à sua conta. Outra opção poderia ser discutir isso com o seu Administrador de Sistema. Eles podem listar todos os endereços IP usados pela sua empresa.

Passo 2: Liste os domínios de envio

Uma organização pode possuir muitos domínios. A partir disso, eles podem dedicar alguns de seus domínios ao envio de e-mails e outros para diferentes propósitos.

No passo número 2, você precisará criar um registro SPF para cada domínio que você possui, quer os domínios sejam ou não usados para e-mails ou qualquer outro propósito.

Isso acontece porque os criminosos cibernéticos podem tentar falsificar os endereços de remetentes usando domínios que você normalmente não usa para enviar e-mails. Esses domínios não estarão protegidos com SPF, ao contrário dos que são usados regularmente para envio de e-mails.

Passo 3: Configure o registro SPF

O SPF compara o endereço IP do servidor de e-mail remetente com uma lista contendo endereços IP autorizados do remetente publicados pelo remetente em seu registro DNS para validar a identidade do remetente e manter seus e-mails seguros.

Para criar um registro SPF, você deve escrever uma tag v=spf1, seguida dos endereços IP autorizados para o envio de e-mails. Exemplo v=spf1 ip4:192.0.0.1 -all

Além disso, caso você use uma solução de terceiros para enviar e-mails em nome do seu domínio:

  • Adicione include no registro SPF para especificar que o terceiro é um remetente legítimo. Por exemplo, você pode escrever include:google.com
  • Após adicionar todos os endereços IP autorizados associados ao seu domínio, termine o registro SPF com uma tag – -all ou ~all. Aqui, a tag -all significa uma HARD SPF FAIL enquanto a tag ~all significa uma SOFT SPF FAIL. Entretanto, para os principais provedores de caixas de e-mail tanto -all quanto ~all resultará em uma falha do SPF. Mas, em geral, -all é usado com frequência, uma vez que é mais seguro.
  • Crie seus registros SPF de tal forma que não exceda 255 caracteres e evite adicionar mais de 10 declarações incluídas, também conhecidas como “lookups”

Agora, o seu SPF pode se parecer com algo assim:

v=spf1 ip4:192.0.0.1 include:google.com -all

Isso é para seus domínios que estão autorizados a enviar e-mails em seu nome. Mas para seus outros domínios, você deve excluir modificadores (exceto -all) no registro SPF.

Aqui está como seu registro SPF pode procurar por domínios que você não usa para enviar e-mails v=spf1 –all

É assim que você pode criar seu registro SPF. Depois disso, basta publicá-lo.

Passo 4: Publique o registro SPF

Uma vez que você tenha definido o registro SPF, o próximo passo é publicá-lo em seu DNS. Existem dois métodos para fazer isso:

  1. Trabalhe com o seu administrador DNS interno e o instrua para publicar o registro SPF no seu DNS. Seu provedor de DNS fornecerá a você um painel que você pode acessar e realizar a tarefa de publicação facilmente.
  2. Você pode pedir diretamente ao provedor de serviços DNS que publique seu registro SPF no DNS.

Isso permitirá que os receptores da caixas de e-mails como Gmail, Hotmail, Mailbird, etc., solicitem o registro SPF.

Além disso, se você quiser atualizar os registros DNS:

  1. Acesse a conta de domínio que você comprou do seu provedor de hospedagem de domínios
  2. Escolha o domínio cujos registros você deseja atualizar
  3. Vá para a página onde seus registros DNS são armazenados, que pode ser um gerenciador DNS
  4. Crie um novo registro TXT e defina o nome do seu domínio como o campo Host
  5. Preencha o campo “TXT Value” com o registro SPF e especifique um Time To Live (TTL)
  6. Clique em “Add Record” ou “Save” para publicar o novo registro SPF no seu DNS.

Passo 5: Teste o registro do FPS

Após você ter criado seu registro SPF e publicado, você pode usar um verificador de registro SPF para testar o registro SPF. Existem muitas opções disponíveis no mercado para verificadores de registros SPF, tais como Dmarcian, Agari, Mimecast, etc.

A realização de um teste irá ajudá-lo a verificar a validade do seu registro SPF e ver a lista contendo todos os servidores autorizados que podem enviar e-mails em nome do seu domínio. Se você não conseguir ver um endereço IP legítimo listado, você pode incluir o endereço IP de envio restante e atualizar seu registro.

Como adicionar um registro SPF ao seu domínio

Adicione um registro SPF.
Adicione um registro SPF. (Fonte da imagem: One)

Você deve acessar o painel de controle DNS do seu domínio para poder adicionar um registro SPF. Se você usa um provedor de hospedagem de sites, como Kinsta, o processo de adição de um registro SPF ao seu DNS será mais simples. Você pode consultar a documentação e seguir os passos para fazer isso.

Em geral, os provedores de serviços de e-mail publicam registros SPF para permitir o envio de e-mails de seus domínios. Mas se você não tem uma ideia sobre isso ou seu provedor gerencia seus registros DNS, você pode encaminhar isso para o seu departamento de TI.

Limitações dos registros SPF

Embora a adição de registros SPF lhe proporcione benefícios em termos de segurança de e-mail, entregabilidade, e outros, existem certas limitações para eles. Vamos falar sobre essas limitações.

Registros SPF DNS

Versões anteriores do SPF foram usadas para verificar as configurações nos registros DNS TXT do domínio remetente, a fim de facilitar uma implantação e testes mais rápidos. Os registros DNS TXT foram projetados para serem textos em formato livre sem nenhuma semântica anexada a eles.

Entretanto, um registro de recurso type-99 foi designado pela IANA para a SPF em 2005. Isso resultou na redução do uso do SPF, já que os usuários estavam sobrecarregados pelos dois mecanismos, que eram confusos para eles. Em 2014, ele foi descontinuado.

Problemas de cabeçalho

O SPF foi originalmente projetado para evitar que os atacantes falsifiquem o endereço “envelope-from” de um e-mail. No entanto, muitos agora estão fazendo isso apenas no campo “From” do cabeçalho do e-mail, visível para os destinatários em vez de ser processado pelo seu MTA (Mail Transfer Agent). Isso aumenta os riscos de falsificação.

Embora seja possível usar SPF com DMARC para verificar o campo “From” do cabeçalho do e-mail, pode ser necessária uma solução avançada e mais robusta para se proteger contra a falsificação do nome de exibição, em vez de depender apenas do SPF.

Além disso, é desafiador atualizar os registros SPF ao adicionar fluxos de e-mail ou alterar seu provedor de serviços de internet (ISP). Os registros SPF também podem interferir no encaminhamento de mensagens simples e não garantem a autenticação de e-mail.

Melhores práticas de registros SPF

Antes de descobrirmos as melhores práticas para criar e manter registros SPF, vamos primeiro falar sobre algumas práticas gerais.

  • Seu endereço IP de envio deve conter um registro PTR. Ele funciona de forma semelhante a um diretório telefônico invertido, permitindo que você pesquise um endereço IP juntamente com um nome de host. No entanto, pontos de acesso públicos à Internet e endereços IP residenciais para conexões à Internet geralmente não possuem registros PTR. Ele é usado quando há necessidade de verificar conexões de entrada.
  • Use sistemas de autenticação de e-mail. Você pode usar um ou todos os três sistemas de autenticação de e-mail: SPF, DMARC, e DKIM. Remetentes legítimos que usam autenticação de e-mail podem ser facilmente reconhecidos, em comparação com aqueles que não o usam e permanecem com um risco de segurança devido a spam de e-mail. Embora o uso destes sistemas não necessariamente garanta o sucesso do envio de seus e-mails para as caixas de entrada destinadas, ele fornecerá maior proteção. Isso é melhor do que não ter nenhum mecanismo de segurança de e-mail para monitorar e preservar a reputação do remetente.
  • Nunca, jamais use ou inclua um registro com +all nele. A única maneira de usar produtivamente all está nos mecanismos ~all ou -all.

Depois dessas práticas gerais, vamos falar sobre algumas das melhores práticas para registros SPF.

Use registros limitados do SPF

O SPF inclui muitos mecanismos poderosos e complexos, mas não é necessário usar todos eles em seus registros SPF. Mantenha seus registros SPF simples e defina apenas o número necessário de registros SPF, não mais do que isso.

Isso vale para o mecanismo include: Use em um número limitado e evite includes aninhados, se possível. Isso evitará exceder o limite de 10 consultas DNS. Você também pode adicionar intervalos de endereços IP abrangentes de uma vez, em vez de fazer isso individualmente. Isso simplifica o processo e economiza tempo.

Especifique os intervalos na notação CIDR

Adicione as faixas na notação CIDR, porque um único erro pode alterar dramaticamente o valor. Então, se um atacante conseguir comprometer alguns de seus sistemas e um deles possuir o endereço IP pertencente a esta faixa, isso pode ser fatal. Eles podem usar mal o endereço IP devidamente autenticado para enviar e-mails de spam. Isso pode prejudicar sua reputação, levar à perda de dados e resultar no seu domínio ser sinalizado como spam pelos provedores de e-mail.

Devido à prevalência desse risco, os provedores de caixa de e-mail tornaram-se vigilantes e bloqueiam domínios que lhes parecem suspeitos, a fim de evitar tais ocorrências. Eles limitam os tamanhos de intervalos CIDR permitidos para serem considerados válidos nos registros SPF.

Evite o uso de declarações +all

Evite usar a declaração +all em seus registros do SPF. Pode parecer excessivamente permissivo, e detectar este tipo de problema de segurança é difícil porque estes registros SPF são sintaticamente válidos. Mesmo ferramentas e soluções de teste para verificar os registros podem não identificar registros excessivamente permissivos.

A declaração +all permite que o registro SPF permita literalmente que a internet inteira envie e-mails em nome do seu domínio, incluindo os maliciosos. Na verdade, os domínios envolvidos na distribuição de spam frequentemente têm registros SPF que terminam com +all. Como resultado, eles podem enviar e-mails de spam contendo malwares a partir de qualquer endereço IP.

Cuidado com registros duplicados

Em geral, os domínios têm apenas um registro SPF, o que significa que ele pode armazenar apenas um registro TXT, começando com a declaração v=spf1. E se você tentar adicionar vários registros em um domínio, isso pode levar a erros permanentes.

Esta limitação do SPF é violada com frequência. Muitos tentam adicionar vários registros porque podem ter implementado vários serviços em seu domínio, onde cada provedor de serviços pode exigir que eles criem e adicionem um registro SPF ao seu domínio.

Registros duplicados.
Registros duplicados. (Fonte da imagem: Data Axle)

Registros duplicados prejudicam sua capacidade de entrega de e-mails, convidam a riscos de segurança e podem manchar sua reputação. Grandes provedores de serviços de e-mail como Google e Microsoft têm técnicas para limitar tais danos e corrigir automaticamente os registros duplicados. Mas sistemas de e-mail menores podem não o fazer.

Quando você identifica registros SPF duplicados, você deve tratar imediatamente do problema, o que é bastante fácil de corrigir. Organizações com vários registros SPF podem fundi-los em uma única declaração. A combinação de dois registros SPF irá garantir que v=spf1 permaneça no início do registro SPF e apareça apenas uma vez, enquanto all seja mantido no final.

Limite de caracteres

Os registros SPF podem ter até 255 caracteres para uma única string, de acordo com a RFC. Esta é uma limitação para todos os registros TXT em um DNS.

Como explicado anteriormente, qualquer registro SPF que não cumpra esta diretriz pode envolver erros permanentes ou temporários nos sistemas de e-mail do destinatário. Embora seu gerente DNS possa impedir que você vá além deste limite, isso pode resultar em problemas enquanto armazena registros mais longos.

Mesmo que você possa manter os registros com apenas 255 caracteres em uma única string, há uma opção para criar várias strings em um registro DNS. Assim, quando um servidor de e-mail receptor começa a analisar o registro SPF e encontra múltiplas strings em um registro, ele as combina em uma ordem específica, sem espaços.

Uma vez que isso seja feito, o servidor de e-mail verificaria o conteúdo. Novamente, tenha em mente que ainda há uma limitação ao número total de caracteres em seu registro, mesmo que você possa adicionar várias strings de caracteres. Entender este limite pode ser um desafio, mas ele garante que os pacotes DNS não excedam 512 bytes, que é um comprimento de plano recomendado pelo UDP.

No entanto, se o seu registro SPF exceder esse limite, crie sub-registros e divida um único registro em vários registros para evitar problemas de verificação SPF. Ao dividir seus registros SPF, inclua cada sub-registro na parte principal. Tome cuidado, pois isso pode gerar um número excessivo de solicitações DNS, o que pode ser um problema de segurança que requer correção.

Limite as pesquisas DNS

Além de manter 255 caracteres em uma string, você também deve limitar o número de pesquisas DNS. As especificações da RFC instruem a não realizar mais do que 10 pesquisas DNS no registro. Ela ajuda a prevenir problemas como loops DNS infinitos e Distributed Denial of Service (DDoS).

Mas o que realmente acontece quando você faz mais de 10 pesquisas em seu currículo?

Isso resultará em um erro permanente durante a autenticação do SPF. Os mecanismos SPF – include:, a, PTR, mx, exists, e redirect – levarão a uma consulta DNS.

Entretanto, os mecanismos – all, ip4, e ip6 – não contam contra uma consulta DNS.

Além disso, esteja ciente de que as declarações aninhadas incluem declarações como sub-correspondências usadas para desintegrar um registro maior. Isso pode aumentar as consultas DNS geradas pelo seu registro SPF. Portanto, quando você usa um serviço de terceiros, certifique-se de que eles não usem consultas DNS excessivas nos registros SPF.

Evite sub-redes duplicadas e endereços IP

Endereços de IP duplicados.
Endereços de IP duplicados. (Fonte da imagem: YouTube)

Todas as entradas SPF resolvem para uma sub-rede ou endereço IP.

Sub-redes e endereços IP duplicados podem ser facilmente gerados enquanto se cria uma lista de endereços IP e sistemas autorizados a enviar e-mails. Normalmente, isso pode acontecer quando você adiciona a declaração include: em seu registro SPF, bem como nos registros MX do domínio para o provedor de serviços de e-mail. Estes IPs podem ser os mesmos, pertencentes às sub-redes incluídas.

A melhor prática a seguir aqui poderia ser usar a notação ip4 ou ipv6, se o endereço IP do servidor raramente mudar. Isso permitirá que os destinatários evitem qualquer consulta ao DNS. Além disso, você pode especificar um intervalo de endereços IP se você tiver uma longa lista contendo servidores de e-mail de saída, desde que as pesquisas DNS para cada registro SPF sejam limitadas a dez.

Além disso, você pode considerar mais algumas coisas:

  • Use um número limitado de mecanismos include: e evite includes aninhados, se possível.
  • Use os mecanismos ~all ou -all, ao invés do mecanismo +all.
  • Evite usar o mecanismo exists SPF, porque se você não o usar corretamente, os riscos de segurança podem se infiltrar através dos erros cometidos durante o processo.
  • Tente não usar o ‘ptr’ e o mecanismo, já que ele foi depreciado no último rascunho do SPF RFC.
  • Evite atribuir o tipo de registro DNS. Isso não é mais aceito nos registros TXT.
  • Ao especificar blocos de endereços via notação CIDR nos registros SPF, use blocos entre /30 e /16. Os números mais altos após uma barra significam blocos de endereços menores, o que é melhor. Além disso, não use blocos entre /1 e /15 já que alguns destinatários podem ignorá-los.
  • Certifique-se de resolver todos os mecanismos que usam um domínio no registro SPF. Muitas vezes, os administradores de sistema não removem sistemas legados, como um servidor de troca local, substituídos pelos serviços de nuvem do Office365. Mesmo que seja necessário adicionar o Office365 aos registros SPF atualizados, a remoção do sistema legado ainda pode não ter sido atualizada. Nesse caso, o domínio no registro SPF continua presente, mas na realidade não existe mais, levando a uma falha temporária no SPF.
  • Use sistemas de autenticação de e-mail como DKIM e DMARC com SPF para torná-lo mais eficaz na proteção do seu domínio. Então, se você usa DKIM e DMARC, é necessário conhecer as melhores práticas para eles também.

Usando o DKIM com SPF

DomainKeys Identified Mail (DKIM) fornece uma chave de criptografia e assinatura digital que verifica que uma mensagem de e-mail não foi falsificada ou alterada. Como o DKIM usa assinaturas digitais criptográficas, você deve seguir algumas das melhores práticas para proteger seu domínio.

  • É importante alterar regularmente suas chaves criptográficas para evitar que os atacantes as explorem. Muitos remetentes de e-mails usam chaves antigas criadas há anos, o que os atacantes podem explorar com mais facilidade. Para evitar isso, é necessário criar uma nova chave DKIM. Além disso, é recomendável rotacionar as chaves várias vezes ao longo do ano, especialmente se você enviar milhares ou milhões de e-mails em um mês, visando garantir a segurança dos e-mails sensíveis.
  • Para garantir a eficácia das assinaturas digitais, é importante manter o comprimento das chaves de criptografia em pelo menos 1.024 bits. Assinaturas criadas com chaves de comprimento inferior a isso são frequentemente ignoradas, tornando-as menos seguras. Por esse motivo, muitos remetentes estão optando por chaves de 2.048 bits ou até mesmo maiores, para aumentar ainda mais a segurança.
  • Se você é um ESP, não use apenas uma chave DKIM para todos os seus clientes. Atribua a eles uma nova chave DKIM única para seus e-mails.
  • Se você notar algum e-mail com retorno, assine-o usando o DKIM.

Usando DMARC com SPF

A Autenticação e Conformidade de Mensagens Baseadas no Domínio (DMARC) unifica os mecanismos de autenticação SPF e DKIM em uma framework comum e permite que os proprietários de domínios declarem como gostariam que um e-mail desse domínio fosse tratado se ele falhar em um teste de autorização.

O uso do DMARC vem com muitos benefícios. Ele fornece a você um recurso de relatório e permite que você sinalize aos provedores de serviços de e-mail para bloquear mensagens que falharam na autenticação e são enviadas em nome do seu domínio. Isso ajuda a identificar e bloquear mensagens fraudulentas enviadas do seu domínio, ajudando a proteger seus clientes e a melhorar a reputação do seu domínio.

Então, se você ainda não usa DMARC, comece a usá-lo imediatamente. E se você usar, certifique-se de que suas mensagens incluam “alinhamento de identificadores” Esse alinhamento é essencial para um e-mail passar na verificação do DMARC. Mas se você não o incluir enquanto estiver usando DMARC, ele enviará seus e-mails diretamente para a lista de suspeitos.

Como verificar registros SPF

Você pode usar algumas ferramentas para verificar os registros do SPF. Essas ferramentas são conhecidas como ferramentas de verificação de registros SPF ou verificadores de registros SPF.

Verificador de registros SPF

Verificação do registro SPF.
Verificação do registro SPF. (Fonte da imagem: John Hanley)

Um verificador de registro SPF ajuda a garantir a validade de um registro SPF verificando vários parâmetros:

  1. Existência do registro: Isso é usado para confirmar se um dado registro SPF realmente existe em um DNS ou não.
  2. Registros múltiplos: Um único registro SPF é permitido em um DNS. Então, um verificador de registros SPF verifica se existe apenas um registro ou múltiplos.
  3. Pesquisas máximas: O número máximo de consultas SPF que deve ser feito é limitado a 10. Portanto, o verificador de registros SPF descobre o número total de pesquisas e se ele excede 10 ou não.
  4. Mecanismo PTR: A ferramenta verifica o uso de um mecanismo PTR uma vez que não é recomendado o uso deste mecanismo.

Exemplos de verificadores de registros SPF incluem Dmarcian, Agari, e Mimecast, entre outros.

Resumo

Como os riscos de cibersegurança estão evoluindo e afetando indivíduos e empresas, você deve assegurar-se de implementar tantas camadas de segurança quanto possível para permanecer protegido. Você pode usar muitas técnicas, ferramentas, soluções e serviços de segurança para proteger seus dados, rede, aplicativos e sistemas.

Adicionar um registro SPF ao seu domínio é uma daquelas técnicas que podem ajudar a proteger os ativos e a reputação do seu negócio, impedindo que os spammers enviem e-mails em nome do seu domínio.

Usar um SPF sozinho pode não lhe oferecer proteção completa; portanto, use DKIM e DMARC com seus registros SPF. Esta estratégia é mais eficiente na detecção de riscos de segurança como a falsificação de e-mails, a colocação de servidores na lista negra e a marcação como spam.

Portanto, se você usar essas técnicas, certifique-se de seguir as melhores práticas listadas acima para registros SPF, DKIM e DMARC, e use um verificador de registros SPF para testar a validade do seu registro.