Neste artigo, vamos discutir os registros do SPF e o por que \u00e9 essencial implementar esta t\u00e9cnica para a seguran\u00e7a de e-mail<\/a>.<\/p>\n Confira nosso\u00a0<\/b>guia em v\u00eddeo sobre o registro SPF<\/a><\/b><\/p>\n Antes de chegarmos ao que \u00e9 um registro SPF, vamos entender primeiro o que \u00e9 SPF.<\/p>\n O Sender Policy Framework (SPF) refere-se a um m\u00e9todo de autentica\u00e7\u00e3o de e-mails projetado para identificar endere\u00e7os de remetente falsificados durante a entrega de e-mails.<\/p>\n Atacantes frequentemente falsificam endere\u00e7os de remetentes<\/a>, fazendo-os parecer genu\u00ednos, como o endere\u00e7o de um usu\u00e1rio regular. O SPF pode ajudar a detectar estas mensagens e coloc\u00e1-las em quarentena, desviando de seus ataques.<\/p>\n SPF permite que o servidor na extremidade receptora verifique se um e-mail parecendo vir de um determinado dom\u00ednio \u00e9 realmente origin\u00e1rio de um endere\u00e7o IP autorizado daquele dom\u00ednio. A lista contendo todos os endere\u00e7os IP e hosts autorizados para um dom\u00ednio espec\u00edfico pode ser encontrada nos registros DNS<\/a> desse dom\u00ednio.<\/p>\n\n Um registro SPF \u00e9 um tipo de registro TXT<\/a> publicado em um arquivo de zona DNS, contendo uma lista de todos os servidores de e-mail autorizados que podem enviar e-mails em nome do seu dom\u00ednio. \u00c9 uma implanta\u00e7\u00e3o do SPF que deve ser adicionado ao seu DNS<\/a> para identificar e mitigar o envio de e-mails maliciosos com endere\u00e7os falsificados em nome do seu dom\u00ednio.<\/p>\n Os spammers realizam a falsifica\u00e7\u00e3o de e-mails criando um e-mail usando endere\u00e7os de remetente falsificados, j\u00e1 que a maioria dos servidores de e-mail n\u00e3o realiza autentica\u00e7\u00e3o. Eles ent\u00e3o editam o endere\u00e7o do remetente de um e-mail falsificando cabe\u00e7alhos de e-mail<\/a>, fazendo com que ele pare\u00e7a genu\u00edno como se os e-mails fossem enviados do seu dom\u00ednio.<\/p>\n Este processo \u00e9 chamado de spoofing, e permite aos spammers enganar os usu\u00e1rios e ganhar seus dados privados e causar danos \u00e0 reputa\u00e7\u00e3o.<\/p>\n Hoje, quase todos os e-mails maliciosos carregam endere\u00e7os falsos. Como resultado, as pessoas cujos endere\u00e7os de e-mail os atacantes roubaram sofrem danos \u00e0 reputa\u00e7\u00e3o, perdem tempo na corre\u00e7\u00e3o de mensagens trocadas, recebem seus endere\u00e7os IP na lista negra, etc.<\/p>\n Portanto, a cria\u00e7\u00e3o de registros SPF \u00e9 necess\u00e1ria para melhorar a entregabilidade<\/a> e seguran\u00e7a de seus e-mails.<\/p>\n Em geral, um registro SPF \u00e9 definido usando um tipo de registro TXT (n\u00e3o confundir com o registro do tipo de arquivo SPF legado).<\/p>\n Um registro SPF come\u00e7a com um “v”, indicando a vers\u00e3o SPF utilizada. Atualmente, essa vers\u00e3o deve ser “spf1”, pois \u00e9 reconhecida pela mais ampla gama de servidores de troca de e-mail.<\/p>\n Depois disso, outros termos seguem que definem as regras para os hosts que enviam e-mails do dom\u00ednio em quest\u00e3o. Estes termos tamb\u00e9m podem fornecer mais informa\u00e7\u00f5es para o processamento de registros do SPF.<\/p>\n Aqui est\u00e1 como um registro SPF \u00e9 e o que cada parte dele significa:<\/p>\n Qualquer computador pode enviar e-mails alegando ser de qualquer endere\u00e7o, conforme permitido pelo protocolo SMTP<\/a>. Atacantes e golpistas exploram isso usando endere\u00e7os falsificados, que s\u00e3o dif\u00edceis de rastrear.<\/p>\n Uma t\u00e9cnica similar \u00e9 usada em ataques de phishing, onde os atacantes enganam os usu\u00e1rios para revelarem suas informa\u00e7\u00f5es pessoais ou comerciais, imitando um site ou servi\u00e7o genu\u00edno dos usu\u00e1rios com frequ\u00eancia.<\/p>\n Para contornar isso, o SPF permite que o propriet\u00e1rio de um dom\u00ednio defina quais computadores t\u00eam a autoriza\u00e7\u00e3o para enviar e-mails daquele dom\u00ednio, usando registros DNS. Al\u00e9m disso, os receptores podem rejeitar um e-mail de uma fonte n\u00e3o autorizada ap\u00f3s verificar seu endere\u00e7o a partir dos registros SPF, antes de receberem o corpo do e-mail.<\/p>\n Como vimos no exemplo acima, um registro SPF est\u00e1 na forma de uma entrada TXT listando todos os endere\u00e7os IP dos servidores de e-mail autorizados para voc\u00ea. Voc\u00ea pode ter um ou v\u00e1rios endere\u00e7os IP autorizados configurados para enviar e-mails em uma entrada do SPF.<\/p>\n Quando um usu\u00e1rio autorizado envia um e-mail com um registro SPF ativado, o servidor de e-mail do destinat\u00e1rio executa uma pesquisa DNS para localizar a entrada TXT e determinar se o endere\u00e7o IP<\/a> do remetente est\u00e1 autorizado.<\/p>\n Se n\u00e3o encontrar nenhum registro SPF, ent\u00e3o enviaria uma mensagem de “hard fail” ou “soft fail” para o remetente.<\/p>\n Se o servidor do receptor rejeitar aquele dom\u00ednio, o usu\u00e1rio n\u00e3o autorizado ou cliente deve receber uma mensagem de rejei\u00e7\u00e3o (“hard fail”). Mas se o cliente for um agente de transfer\u00eancia de mensagens (MTA), neste caso, um e-mail de rejei\u00e7\u00e3o para o endere\u00e7o real do envelope ser\u00e1 gerado (“soft fail”).<\/p>\n Os registros do SPF s\u00e3o compostos de v\u00e1rias partes diferentes, come\u00e7ando com o n\u00famero da vers\u00e3o.<\/p>\n Todos os registros SPF come\u00e7am com um n\u00famero de vers\u00e3o, que deve ser autorizado por mecanismos que definem remetentes v\u00e1lidos. O n\u00famero de vers\u00e3o do SPF, como o spf1, \u00e9 seguido por uma string contendo mecanismos, quantificadores e modificadores.<\/p>\n Os mecanismos descrevem os hosts designados como remetentes autorizados para um determinado dom\u00ednio. Um registro SPF pode ter zero ou m\u00faltiplos mecanismos. Alguns dos mecanismos comuns nos registros SPF s\u00e3o:<\/p>\n Estes definem todos os endere\u00e7os IP que est\u00e3o autorizados a enviar e-mails a partir do dom\u00ednio.<\/p>\n Os mecanismos t\u00eam um quantificador para definir como eles podem lidar com uma partida.<\/p>\n Um servidor de e-mail compara o endere\u00e7o IP do remetente com a lista de endere\u00e7os IP autorizados nos mecanismos. Quando ele encontra uma correspond\u00eancia para o endere\u00e7o IP em um dos mecanismos do SPF, ele ir\u00e1 implementar a regra para o tratamento de resultados. E a regra padr\u00e3o para isso \u00e9 Os quatro quantificadores s\u00e3o os seguintes:<\/p>\n Quando voc\u00ea n\u00e3o v\u00ea nenhum quantificador em um registro SPF, isso significa que o quantificador Os modificadores permitem que voc\u00ea amplie a framework. Eles s\u00e3o pares de valores ou nomes separados pelo sinal Os dois modificadores mais amplamente utilizados s\u00e3o:<\/p>\n Se o seu dom\u00ednio tem um registro SPF, ele ir\u00e1 diminuir as chances de receber e-mails maliciosos e forjados, aumentando a seguran\u00e7a do seu e-mail e protegendo contra ciberataques e spammers<\/a>.<\/p>\n Um registro SPF tamb\u00e9m aumenta a credibilidade do seu dom\u00ednio e reduz as chances de ser exclu\u00eddo pelos filtros de spam. Isso ajuda os e-mails leg\u00edtimos a encontrar o caminho at\u00e9 voc\u00ea mais rapidamente.<\/p>\n Al\u00e9m disso, adicionar registros SPF em seu dom\u00ednio tornou-se cada vez mais crucial para verificar quais remetentes podem enviar e-mails em nome do seu dom\u00ednio. Ele oferece muitos benef\u00edcios, que exploramos a seguir.<\/p>\n Os registros SPF ajudam a aumentar a seguran\u00e7a de e-mails tanto para indiv\u00edduos quanto para empresas. Na era da seguran\u00e7a cibern\u00e9tica, onde usu\u00e1rios de todo o mundo s\u00e3o afetados por crimes cibern\u00e9ticos, voc\u00ea deve tomar medidas para proteger sua caixa de entrada.<\/p>\n Adicionar registros SPF \u00e9 uma maneira de fazer exatamente isso. Ao tornar mais desafiador para os atacantes de e-mail, as mensagens de spam t\u00eam menos probabilidade de chegar em sua caixa de entrada; portanto, sua seguran\u00e7a de e-mail aumenta.<\/p>\n Se um dom\u00ednio n\u00e3o possuir um registro SPF, seus e-mails podem ser rejeitados ou marcados como spam pelos servidores. E se isso acontecer repetidamente, sua capacidade de enviar e-mails com sucesso para o seu p\u00fablico-alvo (tamb\u00e9m conhecida como entregabilidade) diminui.<\/p>\n Isso se torna um obst\u00e1culo para indiv\u00edduos e empresas que utilizam esses dom\u00ednios para alcan\u00e7ar seus clientes-alvo, funcion\u00e1rios, fornecedores e outras pessoas relacionadas.<\/p>\n Se seus usu\u00e1rios recebem constantemente e-mails de atacantes que se fazem passar por sua empresa<\/a>, a credibilidade do seu dom\u00ednio est\u00e1 em risco. Os maus atores tamb\u00e9m podem prejudicar seus clientes e funcion\u00e1rios ao expor seus dados pessoais, o que prejudicar\u00e1 ainda mais sua reputa\u00e7\u00e3o<\/a>.<\/p>\n \u00c9 por isso que \u00e9 essencial proteger seu dom\u00ednio de tais incidentes com a ajuda dos registros SPF. Ao restringir o envio de e-mails apenas aos endere\u00e7os IP autorizados listados nos registros, voc\u00ea evitar\u00e1 mensagens de spam e reduzir\u00e1 a probabilidade de tais ataques.<\/p>\n O sistema de verifica\u00e7\u00e3o de e-mails DMARC<\/a> garante que somente usu\u00e1rios autorizados enviem e-mails em nome do seu dom\u00ednio.<\/p>\n Suas pol\u00edticas tamb\u00e9m instruem os servidores sobre como lidar com e-mails com checagens falhadas do DKIM e SPF. DMARC instrui que tais e-mails devem ser marcados como rejeitados, spam, ou entregues.<\/p>\n Ele tamb\u00e9m capacita os administradores de dom\u00ednio a receber relat\u00f3rios destacando as atividades de e-mail e fazer os ajustes necess\u00e1rios em suas pol\u00edticas.<\/p>\n Voc\u00ea precisa configurar um registro SPF para o seu dom\u00ednio<\/a> se voc\u00ea enviar e-mails comerciais e transacionais para seus clientes, funcion\u00e1rios ou fornecedores. O uso de diferentes solu\u00e7\u00f5es de seguran\u00e7a de e-mail torna sua entregabilidade e seguran\u00e7a de e-mail fortes.<\/p>\n Portanto, se voc\u00ea quiser que seus e-mails cheguem com sucesso ao destino pretendido, o uso de registros SPF ir\u00e1 garantir isso e fornecer uma melhor seguran\u00e7a aos seus dom\u00ednios e e-mails. Ele ir\u00e1 filtrar e-mails forjados de phishers e spammers e proteger sua reputa\u00e7\u00e3o.<\/p>\n Aqui est\u00e1 como voc\u00ea pode adicionar, criar e editar seus registros SPF.<\/p>\n Antes de voc\u00ea come\u00e7ar a criar um registro SPF, \u00e9 necess\u00e1rio entender se o seu envio de e-mail exige que voc\u00ea o fa\u00e7a em primeiro lugar.<\/p>\n Primeiro, \u00e9 importante entender o caminho de retorno (Return Path) de um e-mail. O SPF gira em torno do dom\u00ednio utilizado no Return-Path, em vez do dom\u00ednio DE (FROM). Portanto, no in\u00edcio, descubra o Return-Path utilizado para o envio de seus e-mails.<\/p>\n Al\u00e9m disso, certos servi\u00e7os de envio de e-mails (ESPs), como o Google, podem utilizar o nome do seu dom\u00ednio no seu Return-Path. Isso requer que voc\u00ea crie um registro SPF para o seu pr\u00f3prio dom\u00ednio.<\/p>\n No entanto, outros ESPs, como o Postmark, podem utilizar o seu pr\u00f3prio dom\u00ednio no Return-Path, onde voc\u00ea n\u00e3o precisa configurar um SPF por conta pr\u00f3pria; seu ESP deve fazer isso em seu lugar.<\/p>\n Agora que voc\u00ea sabe por que \u00e9 necess\u00e1rio configurar um registro SPF, vamos entender o processo passo a passo de como fazer isso.<\/p>\n As organiza\u00e7\u00f5es podem ter v\u00e1rios lugares de onde enviam um e-mail. Ent\u00e3o, no primeiro passo para criar um registro SPF, voc\u00ea deve identificar quais endere\u00e7os IP voc\u00ea usa do seu dom\u00ednio para enviar os e-mails. Liste todos os seus endere\u00e7os IP e servidores de e-mail correspondentes em um documento de texto ou planilha eletr\u00f4nica.<\/p>\n Al\u00e9m disso, descubra quais s\u00e3o todas as vias utilizadas para enviar e-mails em nome da sua marca. Pode ser um servidor web, um servidor de e-mail no escrit\u00f3rio como o Microsoft Exchange, o servidor de e-mail do seu ESP, um servidor de e-mail pertencente ao provedor de e-mail do seu cliente, ou um servidor de e-mail de terceiros<\/a>.<\/p>\n Mas se voc\u00ea n\u00e3o tiver certeza de seus endere\u00e7os IP, voc\u00ea pode entrar em contato com seu ESP e obter a lista completa contendo todos os endere\u00e7os IP relacionados \u00e0 sua conta. Outra op\u00e7\u00e3o poderia ser discutir isso com o seu Administrador de Sistema. Eles podem listar todos os endere\u00e7os IP usados pela sua empresa.<\/p>\n Uma organiza\u00e7\u00e3o pode possuir muitos dom\u00ednios. A partir disso, eles podem dedicar alguns de seus dom\u00ednios ao envio de e-mails e outros para diferentes prop\u00f3sitos.<\/p>\n No passo n\u00famero 2, voc\u00ea precisar\u00e1 criar um registro SPF para cada dom\u00ednio que voc\u00ea possui, quer os dom\u00ednios sejam ou n\u00e3o usados para e-mails ou qualquer outro prop\u00f3sito.<\/p>\n Isso acontece porque os criminosos cibern\u00e9ticos podem tentar falsificar os endere\u00e7os de remetentes usando dom\u00ednios que voc\u00ea normalmente n\u00e3o usa para enviar e-mails. Esses dom\u00ednios n\u00e3o estar\u00e3o protegidos com SPF, ao contr\u00e1rio dos que s\u00e3o usados regularmente para envio de e-mails.<\/p>\n O SPF compara o endere\u00e7o IP do servidor de e-mail remetente com uma lista contendo endere\u00e7os IP autorizados do remetente publicados pelo remetente em seu registro DNS<\/a>\u00a0para validar a identidade do remetente e manter seus e-mails seguros.<\/p>\n Para criar um registro SPF, voc\u00ea deve escrever uma tag Al\u00e9m disso, caso voc\u00ea use uma solu\u00e7\u00e3o de terceiros para enviar e-mails em nome do seu dom\u00ednio:<\/p>\n Agora, o seu SPF pode se parecer com algo assim:<\/p>\n Isso \u00e9 para seus dom\u00ednios que est\u00e3o autorizados a enviar e-mails em seu nome. Mas para seus outros dom\u00ednios, voc\u00ea deve excluir modificadores (exceto Aqui est\u00e1 como seu registro SPF pode procurar por dom\u00ednios que voc\u00ea n\u00e3o usa para enviar e-mails \u00c9 assim que voc\u00ea pode criar seu registro SPF. Depois disso, basta public\u00e1-lo.<\/p>\n Uma vez que voc\u00ea tenha definido o registro SPF, o pr\u00f3ximo passo \u00e9 public\u00e1-lo em seu DNS. Existem dois m\u00e9todos para fazer isso:<\/p>\n Isso permitir\u00e1 que os receptores da caixas de e-mails como Gmail<\/a>, Hotmail, Mailbird, etc., solicitem o registro SPF.<\/p>\n Al\u00e9m disso, se voc\u00ea quiser atualizar os registros DNS:<\/p>\n Ap\u00f3s voc\u00ea ter criado seu registro SPF e publicado, voc\u00ea pode usar um verificador de registro SPF para testar o registro SPF. Existem muitas op\u00e7\u00f5es dispon\u00edveis no mercado para verificadores de registros SPF, tais como Dmarcian, Agari, Mimecast, etc.<\/p>\n A realiza\u00e7\u00e3o de um teste ir\u00e1 ajud\u00e1-lo a verificar a validade do seu registro SPF e ver a lista contendo todos os servidores autorizados que podem enviar e-mails em nome do seu dom\u00ednio. Se voc\u00ea n\u00e3o conseguir ver um endere\u00e7o IP leg\u00edtimo listado, voc\u00ea pode incluir o endere\u00e7o IP de envio restante e atualizar seu registro.<\/p>\n Voc\u00ea deve acessar o painel de controle DNS do seu dom\u00ednio para poder adicionar um registro SPF. Se voc\u00ea usa um provedor de hospedagem de sites, como Kinsta, o processo de adi\u00e7\u00e3o de um registro SPF ao seu DNS ser\u00e1 mais simples. Voc\u00ea pode consultar a documenta\u00e7\u00e3o e seguir os passos para fazer isso.<\/p>\n Em geral, os provedores de servi\u00e7os de e-mail publicam registros SPF para permitir o envio de e-mails de seus dom\u00ednios. Mas se voc\u00ea n\u00e3o tem uma ideia sobre isso ou seu provedor gerencia seus registros DNS, voc\u00ea pode encaminhar isso para o seu departamento de TI.<\/p>\n Embora a adi\u00e7\u00e3o de registros SPF lhe proporcione benef\u00edcios em termos de seguran\u00e7a de e-mail, entregabilidade<\/a>, e outros, existem certas limita\u00e7\u00f5es para eles. Vamos falar sobre essas limita\u00e7\u00f5es.<\/p>\n Vers\u00f5es anteriores do SPF foram usadas para verificar as configura\u00e7\u00f5es nos registros DNS TXT do dom\u00ednio remetente, a fim de facilitar uma implanta\u00e7\u00e3o e testes mais r\u00e1pidos. Os registros DNS TXT foram projetados para serem textos em formato livre sem nenhuma sem\u00e2ntica anexada a eles.<\/p>\n Entretanto, um registro de recurso type-99 foi designado pela IANA para a SPF em 2005. Isso resultou na redu\u00e7\u00e3o do uso do SPF, j\u00e1 que os usu\u00e1rios estavam sobrecarregados pelos dois mecanismos, que eram confusos para eles. Em 2014, ele foi descontinuado.<\/p>\n O SPF foi originalmente projetado para evitar que os atacantes falsifiquem o endere\u00e7o “envelope-from” de um e-mail. No entanto, muitos agora est\u00e3o fazendo isso apenas no campo “From” do cabe\u00e7alho do e-mail, vis\u00edvel para os destinat\u00e1rios em vez de ser processado pelo seu MTA (Mail Transfer Agent). Isso aumenta os riscos de falsifica\u00e7\u00e3o.<\/p>\n Embora seja poss\u00edvel usar SPF com DMARC para verificar o campo “From” do cabe\u00e7alho do e-mail, pode ser necess\u00e1ria uma solu\u00e7\u00e3o avan\u00e7ada e mais robusta para se proteger contra a falsifica\u00e7\u00e3o do nome de exibi\u00e7\u00e3o, em vez de depender apenas do SPF.<\/p>\n Al\u00e9m disso, \u00e9 desafiador atualizar os registros SPF ao adicionar fluxos de e-mail ou alterar seu provedor de servi\u00e7os de internet (ISP). Os registros SPF tamb\u00e9m podem interferir no encaminhamento de mensagens simples e n\u00e3o garantem a autentica\u00e7\u00e3o de e-mail.<\/p>\n Antes de descobrirmos as melhores pr\u00e1ticas para criar e manter registros SPF, vamos primeiro falar sobre algumas pr\u00e1ticas gerais.<\/p>\n Depois dessas pr\u00e1ticas gerais, vamos falar sobre algumas das melhores pr\u00e1ticas para registros SPF.<\/p>\n O SPF inclui muitos mecanismos poderosos e complexos, mas n\u00e3o \u00e9 necess\u00e1rio usar todos eles em seus registros SPF. Mantenha seus registros SPF simples e defina apenas o n\u00famero necess\u00e1rio de registros SPF, n\u00e3o mais do que isso.<\/p>\n Isso vale para o mecanismo Adicione as faixas na nota\u00e7\u00e3o CIDR, porque um \u00fanico erro pode alterar dramaticamente o valor. Ent\u00e3o, se um atacante conseguir comprometer alguns de seus sistemas e um deles possuir o endere\u00e7o IP pertencente a esta faixa, isso pode ser fatal. Eles podem usar mal o endere\u00e7o IP devidamente autenticado para enviar e-mails de spam. Isso pode prejudicar sua reputa\u00e7\u00e3o, levar \u00e0 perda de dados e resultar no seu dom\u00ednio ser sinalizado como spam pelos provedores de e-mail<\/a>.<\/p>\n Devido \u00e0 preval\u00eancia desse risco, os provedores de caixa de e-mail tornaram-se vigilantes e bloqueiam dom\u00ednios que lhes parecem suspeitos, a fim de evitar tais ocorr\u00eancias. Eles limitam os tamanhos de intervalos CIDR permitidos para serem considerados v\u00e1lidos nos registros SPF.<\/p>\n Evite usar a declara\u00e7\u00e3o A declara\u00e7\u00e3o Em geral, os dom\u00ednios t\u00eam apenas um registro SPF, o que significa que ele pode armazenar apenas um registro TXT, come\u00e7ando com a declara\u00e7\u00e3o Esta limita\u00e7\u00e3o do SPF \u00e9 violada com frequ\u00eancia. Muitos tentam adicionar v\u00e1rios registros porque podem ter implementado v\u00e1rios servi\u00e7os em seu dom\u00ednio, onde cada provedor de servi\u00e7os pode exigir que eles criem e adicionem um registro SPF ao seu dom\u00ednio.<\/p>\n Registros duplicados prejudicam sua capacidade de entrega de e-mails, convidam a riscos de seguran\u00e7a e podem manchar sua reputa\u00e7\u00e3o. Grandes provedores de servi\u00e7os de e-mail como Google e Microsoft t\u00eam t\u00e9cnicas para limitar tais danos e corrigir automaticamente os registros duplicados. Mas sistemas de e-mail menores podem n\u00e3o o fazer.<\/p>\n Quando voc\u00ea identifica registros SPF duplicados, voc\u00ea deve tratar imediatamente do problema, o que \u00e9 bastante f\u00e1cil de corrigir. Organiza\u00e7\u00f5es com v\u00e1rios registros SPF podem fundi-los em uma \u00fanica declara\u00e7\u00e3o. A combina\u00e7\u00e3o de dois registros SPF ir\u00e1 garantir que Os registros SPF podem ter at\u00e9 255 caracteres para uma \u00fanica string, de acordo com a RFC. Esta \u00e9 uma limita\u00e7\u00e3o para todos os registros TXT em um DNS.<\/p>\n Como explicado anteriormente, qualquer registro SPF que n\u00e3o cumpra esta diretriz pode envolver erros permanentes ou tempor\u00e1rios nos sistemas de e-mail do destinat\u00e1rio. Embora seu gerente DNS possa impedir que voc\u00ea v\u00e1 al\u00e9m deste limite, isso pode resultar em problemas enquanto armazena registros mais longos.<\/p>\n Mesmo que voc\u00ea possa manter os registros com apenas 255 caracteres em uma \u00fanica string, h\u00e1 uma op\u00e7\u00e3o para criar v\u00e1rias strings em um registro DNS. Assim, quando um servidor de e-mail receptor come\u00e7a a analisar o registro SPF e encontra m\u00faltiplas strings em um registro, ele as combina em uma ordem espec\u00edfica, sem espa\u00e7os.<\/p>\n Uma vez que isso seja feito, o servidor de e-mail verificaria o conte\u00fado. Novamente, tenha em mente que ainda h\u00e1 uma limita\u00e7\u00e3o ao n\u00famero total de caracteres em seu registro, mesmo que voc\u00ea possa adicionar v\u00e1rias strings de caracteres. Entender este limite pode ser um desafio, mas ele garante que os pacotes DNS n\u00e3o excedam 512 bytes, que \u00e9 um comprimento de plano recomendado pelo UDP.<\/p>\n No entanto, se o seu registro SPF exceder esse limite, crie sub-registros e divida um \u00fanico registro em v\u00e1rios registros para evitar problemas de verifica\u00e7\u00e3o SPF. Ao dividir seus registros SPF, inclua cada sub-registro na parte principal. Tome cuidado, pois isso pode gerar um n\u00famero excessivo de solicita\u00e7\u00f5es DNS, o que pode ser um problema de seguran\u00e7a que requer corre\u00e7\u00e3o.<\/p>\n Al\u00e9m de manter 255 caracteres em uma string, voc\u00ea tamb\u00e9m deve limitar o n\u00famero de pesquisas DNS. As especifica\u00e7\u00f5es da RFC instruem a n\u00e3o realizar mais do que 10 pesquisas DNS no registro. Ela ajuda a prevenir problemas como loops DNS infinitos e Distributed Denial of Service (DDoS)<\/a>.<\/p>\n Mas o que realmente acontece quando voc\u00ea faz mais de 10 pesquisas em seu curr\u00edculo?<\/p>\n Isso resultar\u00e1 em um erro permanente durante a autentica\u00e7\u00e3o do SPF. Os mecanismos SPF – Entretanto, os mecanismos – Al\u00e9m disso, esteja ciente de que as declara\u00e7\u00f5es aninhadas incluem declara\u00e7\u00f5es como sub-correspond\u00eancias usadas para desintegrar um registro maior. Isso pode aumentar as consultas DNS geradas pelo seu registro SPF. Portanto, quando voc\u00ea usa um servi\u00e7o de terceiros, certifique-se de que eles n\u00e3o usem consultas DNS excessivas nos registros SPF.<\/p>\n Todas as entradas SPF resolvem para uma sub-rede ou endere\u00e7o IP.<\/p>\n Sub-redes e endere\u00e7os IP duplicados podem ser facilmente gerados enquanto se cria uma lista de endere\u00e7os IP e sistemas autorizados a enviar e-mails. Normalmente, isso pode acontecer quando voc\u00ea adiciona a declara\u00e7\u00e3o A melhor pr\u00e1tica a seguir aqui poderia ser usar a nota\u00e7\u00e3o ip4 ou ipv6, se o endere\u00e7o IP do servidor raramente mudar. Isso permitir\u00e1 que os destinat\u00e1rios evitem qualquer consulta ao DNS. Al\u00e9m disso, voc\u00ea pode especificar um intervalo de endere\u00e7os IP se voc\u00ea tiver uma longa lista contendo servidores de e-mail de sa\u00edda, desde que as pesquisas DNS para cada registro SPF sejam limitadas a dez.<\/p>\n Al\u00e9m disso, voc\u00ea pode considerar mais algumas coisas:<\/p>\n DomainKeys Identified Mail (DKIM) fornece uma chave de criptografia e assinatura digital que verifica que uma mensagem de e-mail n\u00e3o foi falsificada ou alterada. Como o DKIM usa assinaturas digitais criptogr\u00e1ficas, voc\u00ea deve seguir algumas das melhores pr\u00e1ticas para proteger seu dom\u00ednio.<\/p>\n A Autentica\u00e7\u00e3o e Conformidade de Mensagens Baseadas no Dom\u00ednio (DMARC) unifica os mecanismos de autentica\u00e7\u00e3o SPF e DKIM em uma framework comum e permite que os propriet\u00e1rios de dom\u00ednios declarem como gostariam que um e-mail desse dom\u00ednio fosse tratado se ele falhar em um teste de autoriza\u00e7\u00e3o.<\/p>\n O uso do DMARC vem com muitos benef\u00edcios. Ele fornece a voc\u00ea um recurso de relat\u00f3rio e permite que voc\u00ea sinalize aos provedores de servi\u00e7os de e-mail para bloquear mensagens que falharam na autentica\u00e7\u00e3o e s\u00e3o enviadas em nome do seu dom\u00ednio. Isso ajuda a identificar e bloquear mensagens fraudulentas enviadas do seu dom\u00ednio, ajudando a proteger seus clientes e a melhorar a reputa\u00e7\u00e3o do seu dom\u00ednio.<\/p>\n Ent\u00e3o, se voc\u00ea ainda n\u00e3o usa DMARC, comece a us\u00e1-lo imediatamente. E se voc\u00ea usar, certifique-se de que suas mensagens incluam “alinhamento de identificadores” Esse alinhamento \u00e9 essencial para um e-mail passar na verifica\u00e7\u00e3o do DMARC. Mas se voc\u00ea n\u00e3o o incluir enquanto estiver usando DMARC, ele enviar\u00e1 seus e-mails diretamente para a lista de suspeitos.<\/p>\n Voc\u00ea pode usar algumas ferramentas para verificar os registros do SPF. Essas ferramentas s\u00e3o conhecidas como ferramentas de verifica\u00e7\u00e3o de registros SPF ou verificadores de registros SPF.<\/p>\n Um verificador de registro SPF ajuda a garantir a validade de um registro SPF verificando v\u00e1rios par\u00e2metros:<\/p>\n Exemplos de verificadores de registros SPF incluem Dmarcian, Agari, e Mimecast, entre outros.<\/p>\n\n Como os riscos de ciberseguran\u00e7a est\u00e3o evoluindo e afetando indiv\u00edduos e empresas, voc\u00ea deve assegurar-se de implementar tantas camadas de seguran\u00e7a quanto poss\u00edvel para permanecer protegido. Voc\u00ea pode usar muitas t\u00e9cnicas, ferramentas, solu\u00e7\u00f5es e servi\u00e7os de seguran\u00e7a para proteger seus dados, rede, aplicativos e sistemas.<\/p>\n Adicionar um registro SPF ao seu dom\u00ednio \u00e9 uma daquelas t\u00e9cnicas que podem ajudar a proteger os ativos e a reputa\u00e7\u00e3o do seu neg\u00f3cio, impedindo que os spammers enviem e-mails em nome do seu dom\u00ednio.<\/p>\n Usar um SPF sozinho pode n\u00e3o lhe oferecer prote\u00e7\u00e3o completa; portanto, use DKIM e DMARC com seus registros SPF. Esta estrat\u00e9gia \u00e9 mais eficiente na detec\u00e7\u00e3o de riscos de seguran\u00e7a como a falsifica\u00e7\u00e3o de e-mails, a coloca\u00e7\u00e3o de servidores na lista negra e a marca\u00e7\u00e3o como spam.<\/p>\n Portanto, se voc\u00ea usar essas t\u00e9cnicas, certifique-se de seguir as melhores pr\u00e1ticas listadas acima para registros SPF, DKIM e DMARC, e use um verificador de registros SPF para testar a validade do seu registro.<\/p>\n","protected":false},"excerpt":{"rendered":" Uma tecnologia de seguran\u00e7a como a Sender Policy Framework (SPF) pode ser inestim\u00e1vel em um mundo atormentado por ataques on-line e mensagens de spam. A Ciberseguran\u00e7a …<\/p>\n","protected":false},"author":164,"featured_media":51667,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_kinsta_gated_content":false,"_kinsta_gated_content_redirect":"","footnotes":""},"tags":[47,39,492,932,933],"topic":[966,1004],"class_list":["post-51666","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","tag-dns","tag-email","tag-email-deliverability","tag-recor","tag-spf","topic-dicas-de-e-mail-marketing","topic-dicas-de-seguranca"],"yoast_head":"\nO que significa FPS?<\/h2>\n
![\"SPF](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/spfrecord-1.png\")
O que \u00e9 um registro SPF?<\/h2>\n
![\"SPF](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/SPF-Record-1.png\")
Sintaxe dos registros SPF<\/h3>\n
Exemplo de um registro SPF<\/h3>\n
v=spf1 a include:_spf.google.com -all<\/pre>\n
\n
v=spf1<\/code> \u00e9 o SPF vers\u00e3o 1, um componente que identifica um registro TXT como um registro SPF.<\/li>\na<\/code> autoriza o host detectado no registro A do dom\u00ednio a enviar os e-mails.<\/li>\ninclude:<\/code> \u00e9 usado para autorizar e-mails que o remetente pode enviar em nome de um dom\u00ednio (aqui, google.com).<\/li>\n-all<\/code> informa ao servidor do receptor que os endere\u00e7os n\u00e3o listados neste registro SPF s\u00e3o n\u00e3o autorizados a enviar qualquer e-mail. Ele tamb\u00e9m diz aos servidores para rejeitar tais endere\u00e7os.<\/li>\n<\/ul>\nComo funciona um registro SPF?<\/h2>\n
![\"Modelo](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/SPF-Record-Works-1-1.jpg\")
Componentes de um registro SPF<\/h2>\n
N\u00famero da vers\u00e3o<\/h3>\n
Mecanismos<\/h3>\n
\n
a<\/code>:<\/strong> Especifica todos os endere\u00e7os IP em um registro DNS A (exemplo: v=spf1 a:google.com -all<\/code>). \u00c9 usado no \u00faltimo e define a regra para lidar com um IP do remetente que n\u00e3o corresponde a nenhum mecanismo anterior.<\/li>\nmx<\/code>:<\/strong> Define todos os registros A em dire\u00e7\u00e3o ao registro MX pertencente a cada host. Exemplo v=spf1 mx mx:google.com -all<\/code><\/li>\ninclude:<\/code>:<\/strong> Define outros dom\u00ednios autorizados (exemplo: v=spf1 include:outlook.microsoft.com -all<\/code>). Se a pol\u00edtica daquele dom\u00ednio em particular passar, ent\u00e3o este mecanismo tamb\u00e9m passar\u00e1. Voc\u00ea precisa da extens\u00e3o de redirecionamento se voc\u00ea quiser alcan\u00e7ar a delega\u00e7\u00e3o total com a pol\u00edtica de outro dom\u00ednio.<\/li>\nptr<\/code>:<\/strong> Define todos os registros A para o registro PTR de cada host (exemplo: v=spf1 ptr:domain.com -all<\/code>). Entretanto, voc\u00ea deve evitar este mecanismo, se poss\u00edvel.<\/li>\nall<\/code>:<\/strong> Combina todos os endere\u00e7os IP remotos e locais e \u00e9 usado no final do registro SPF (exemplo: v=spf1 +all<\/code>).<\/li>\nexists<\/code>:<\/strong> Isso especifica os dom\u00ednios assinados como uma exce\u00e7\u00e3o de acordo com a defini\u00e7\u00e3o do SPF. Quando uma consulta \u00e9 executada em um determinado dom\u00ednio, ela ser\u00e1 uma correspond\u00eancia ao obter um resultado. Ele \u00e9 usado raramente e oferece correspond\u00eancias mais complicadas como consultas DNSBL.<\/li>\nip4<\/code>:<\/strong> Usado para definir um endere\u00e7o IPv4, por exemplo, v=spf1 ip4:192.0.0.1 – tudo.<\/li>\nip6<\/code>:<\/strong> Usado para definir um endere\u00e7o IPv6, por exemplo, v=spf1 ip6:2001:db8::8a2e:370:7334 -all<\/li>\n<\/ul>\nQuantificadores<\/h3>\n
pass<\/code> ou +<\/code>.<\/p>\n\n
+<\/code><\/strong> representa o resultado PASS. Se o endere\u00e7o passar no teste, a mensagem deve ser aceita (exemplo: v=spf1 +all<\/code>). Voc\u00ea pode omiti-la porque, por exemplo, +mx<\/code> e mx<\/code> s\u00e3o o mesmo.<\/li>\n-<\/code><\/strong> \u00e9 para o HARDFAIL, instruindo que o endere\u00e7o falhou no teste e o e-mail deve ser rejeitado (exemplo: v=spf1 -all<\/code>).<\/li>\n~<\/code><\/strong> representa o SOFTFAIL e \u00e9 pronunciado como um til. Isso significa que o endere\u00e7o falhou no teste; entretanto, o resultado n\u00e3o \u00e9 definitivo. Voc\u00ea pode aceitar e etiquetar um e-mail n\u00e3o conforme (exemplo: v=spf1 ~all<\/code>).<\/li>\n?<\/code><\/strong> representa NEUTRAL onde o endere\u00e7o n\u00e3o falhou ou passou no teste e voc\u00ea \u00e9 livre para aceit\u00e1-lo ou rejeit\u00e1-lo (exemplo: v=spf1 ?all<\/code>).<\/li>\n<\/ul>\n+all<\/code> \u00e9 aplicado.<\/p>\nModificadores<\/h3>\n
=<\/code> e fornecem mais informa\u00e7\u00f5es. Os registros SPF tamb\u00e9m podem ter zero, um ou dois modificadores, mas eles podem aparecer apenas uma vez, no final do registro.<\/p>\n\n
redirect<\/code>:<\/strong> Usado para enviar uma consulta para outros dom\u00ednios. Este modificador \u00e9 f\u00e1cil de entender comparado a outros mecanismos e modificadores, sendo usado quando voc\u00ea tem v\u00e1rios dom\u00ednios e precisa usar o mesmo registro SPF em todos os lugares.<\/li>\nexp<\/code>:<\/strong> Usado para fornecer uma explica\u00e7\u00e3o quando um quantificador FAIL est\u00e1 inclu\u00eddo em um mecanismo combinado. Esta explica\u00e7\u00e3o ser\u00e1 colocada no registro SPF.<\/li>\n<\/ul>\nPor que voc\u00ea precisa dos registros SPF?<\/h2>\n
Aumento da seguran\u00e7a de e-mail<\/h3>\n
![\"Seguran\u00e7a](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/Email-Security.jpg\")
Melhoria da entrega de e-mails<\/h3>\n
Melhoria da reputa\u00e7\u00e3o de dom\u00ednios<\/h3>\n
![\"Reputa\u00e7\u00e3o](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/Domain-Reputation.jpg\")
Conformidade DMARC<\/h3>\n
Quem precisa de um registro SPF?<\/h2>\n
\n
Como criar, adicionar e editar registros SPF<\/h2>\n
Como criar um registro SPF<\/h3>\n
![\"Criar](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/How-to-Create-.jpg\")
Passo 1: Identifique os endere\u00e7os IP que enviam e-mails<\/h4>\n
Passo 2: Liste os dom\u00ednios de envio<\/h4>\n
Passo 3: Configure o registro SPF<\/h4>\n
v=spf1<\/code>, seguida dos endere\u00e7os IP autorizados para o envio de e-mails. Exemplo v=spf1 ip4:192.0.0.1 -all<\/code><\/p>\n\n
include<\/code> no registro SPF para especificar que o terceiro \u00e9 um remetente leg\u00edtimo. Por exemplo, voc\u00ea pode escrever include:google.com<\/code><\/li>\n-all<\/code> ou ~all<\/code>. Aqui, a tag -all<\/code> significa uma HARD SPF FAIL enquanto a tag ~all<\/code> significa uma SOFT SPF FAIL. Entretanto, para os principais provedores de caixas de e-mail tanto -all<\/code> quanto ~all<\/code> resultar\u00e1 em uma falha do SPF. Mas, em geral, -all<\/code> \u00e9 usado com frequ\u00eancia, uma vez que \u00e9 mais seguro.<\/li>\nv=spf1 ip4:192.0.0.1 include:google.com -all<\/code><\/p>\n-all<\/code>) no registro SPF.<\/p>\nv=spf1 \u2013all<\/code><\/p>\nPasso 4: Publique o registro SPF<\/h4>\n
\n
\n
Passo 5: Teste o registro do FPS<\/h4>\n
Como adicionar um registro SPF ao seu dom\u00ednio<\/h3>\n
![\"Adicione](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/How-to-Add.jpg\")
Limita\u00e7\u00f5es dos registros SPF<\/h2>\n
Registros SPF DNS<\/h3>\n
Problemas de cabe\u00e7alho<\/h3>\n
Melhores pr\u00e1ticas de registros SPF<\/h2>\n
\n
+all<\/code> nele. A \u00fanica maneira de usar produtivamente all<\/code> est\u00e1 nos mecanismos ~all<\/code> ou -all<\/code>.<\/li>\n<\/ul>\nUse registros limitados do SPF<\/h3>\n
include:<\/code> Use em um n\u00famero limitado e evite includes aninhados, se poss\u00edvel. Isso evitar\u00e1 exceder o limite de 10 consultas DNS. Voc\u00ea tamb\u00e9m pode adicionar intervalos de endere\u00e7os IP abrangentes de uma vez, em vez de fazer isso individualmente. Isso simplifica o processo e economiza tempo.<\/p>\nEspecifique os intervalos na nota\u00e7\u00e3o CIDR<\/h3>\n
Evite o uso de declara\u00e7\u00f5es +all<\/h3>\n
+all<\/code> em seus registros do SPF. Pode parecer excessivamente permissivo, e detectar este tipo de problema de seguran\u00e7a \u00e9 dif\u00edcil porque estes registros SPF s\u00e3o sintaticamente v\u00e1lidos. Mesmo ferramentas e solu\u00e7\u00f5es de teste para verificar os registros podem n\u00e3o identificar registros excessivamente permissivos.<\/p>\n+all<\/code> permite que o registro SPF permita literalmente que a internet inteira envie e-mails em nome do seu dom\u00ednio, incluindo os maliciosos. Na verdade, os dom\u00ednios envolvidos na distribui\u00e7\u00e3o de spam frequentemente t\u00eam registros SPF que terminam com +all<\/code>. Como resultado, eles podem enviar e-mails de spam contendo malwares<\/a> a partir de qualquer endere\u00e7o IP.<\/p>\nCuidado com registros duplicados<\/h3>\n
v=spf1<\/code>. E se voc\u00ea tentar adicionar v\u00e1rios registros em um dom\u00ednio, isso pode levar a erros permanentes.<\/p>\n![\"Registros](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/duplicate-data-1-1.jpg\")
v=spf1<\/code> permane\u00e7a no in\u00edcio do registro SPF e apare\u00e7a apenas uma vez, enquanto all<\/code> seja mantido no final.<\/p>\nLimite de caracteres<\/h3>\n
Limite as pesquisas DNS<\/h3>\n
include:<\/code>, a<\/code>, PTR<\/code>, mx<\/code>, exists<\/code>, e redirect<\/code> – levar\u00e3o a uma consulta DNS.<\/p>\nall<\/code>, ip4<\/code>, e ip6<\/code> – n\u00e3o contam contra uma consulta DNS.<\/p>\nEvite sub-redes duplicadas e endere\u00e7os IP<\/h3>\n
![\"Endere\u00e7os](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/subnetduplicate-1.jpg\")
include:<\/code> em seu registro SPF, bem como nos registros MX do dom\u00ednio para o provedor de servi\u00e7os de e-mail. Estes IPs podem ser os mesmos, pertencentes \u00e0s sub-redes inclu\u00eddas.<\/p>\n\n
include:<\/code> e evite includes aninhados, se poss\u00edvel.<\/li>\n~all<\/code> ou -all<\/code>, ao inv\u00e9s do mecanismo +all<\/code>.<\/li>\nexists<\/code> SPF, porque se voc\u00ea n\u00e3o o usar corretamente, os riscos de seguran\u00e7a podem se infiltrar atrav\u00e9s dos erros cometidos durante o processo.<\/li>\nUsando o DKIM com SPF<\/h3>\n
\n
Usando DMARC com SPF<\/h3>\n
Como verificar registros SPF<\/h2>\n
Verificador de registros SPF<\/h3>\n
![\"Verifica\u00e7\u00e3o](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/checkspf.png\")
\n
Resumo<\/h2>\n