O seu comprimento de registo SPF tem um limite? Resposta longa curta, sim. O seu limite de registo SPF é um limite de 255 caracteres que pode quebrar o SPF e levar a uma falha de autenticação. Se tem deparado com a mensagem "SPF excede o limite máximo de caracteres", isso implica simplesmente que o registo SPF no seu DNS é mais longo do que o limite de caracteres da string especificada no RFC(RFC 7208). Isto pode ser um problema, especialmente se a entrega dos seus emails estiver fortemente dependente do alinhamento do SPF.

Já tem um registo SPF? Verifique a sua validade com o nosso gratuito verificador SPF.

Optimização do FPS para ficar abaixo do limite de comprimento do FPS

  1. Evite utilizar o mecanismo ptr no seu registo. Isto porque não é actualmente suportado de acordo com as directrizes do RFC para SPF e aumenta ainda mais o número de caracteres na sua string SPF
  2. Se quiser contornar o limite de 255 caracteres para o SPF contornar a mensagem de erro sem falhar SPF, o RFC permite a utilização de várias cadeias de caracteres para um único registo DNS SPF. No entanto, todas estas cadeias de caracteres devem ser ligadas entre si sem qualquer espaço entre elas para que o seu registo seja válido. Certifique-se de que é uma linha contínua e não dividida em múltiplas linhas, uma vez que cada linha é tratada como um registo separado. Registos múltiplos para um único domínio irão quebrar o SPF.
  3. Certifique-se de que remove mecanismos redundantes, repetidos, e NULL dentro do seu registo SPF, o que também acrescenta ao limite de caracteres. Isto assegura que o seu registo é curto, nítido, e válido.
  4. Pode usar o nosso Aplainamento SPF ferramenta para optimizar automaticamente o seu registo que nunca excede o limite de 255 caracteres do FPS

O que acontece quando se excede o limite de caracteres de cordas do SPF?

Se exceder o limite de 255 caracteres para SPF, os seus e-mails falharão a autenticação do receptor, uma vez que o registo no seu DNS será agora considerado inválido. Dependendo da sua política e modo de alinhamento, os seus e-mails podem perder-se em trânsito e nunca ser entregues aos seus destinatários. Recomenda-se que configure um analisador de relatórios DMARC para o seu domínio para obter relatórios sobre autenticação SPF falhada. Com os relatórios activados nestes cenários, receberá uma mensagem de erro do tipo "SPF excede o limite máximo de caracteres" ou o seu DNS comunicará com o BIND para exibir a mensagem: "invalid rdata format: run out of space". Qualquer uma destas situações implica simplesmente que excedeu o limite de registo SPF. 

Limitar o seu limite de registo SPF com PowerSPF

 

PowerSPF é a sua solução de paragem única para todos os problemas relacionados com SPF. Quer seja ficar abaixo do limite de 10, ou restringir o seu comprimento de registo ao limite especificado, o PowerSPF faz tudo instantânea e facilmente!

A optimização dos seus registos DNS para desfrutar de uma implementação sem erros é uma possibilidade com o pacote de segurança de correio electrónico do PowerDMARC. Inscreva-se num teste DMARC para desfrutar de um SPF optimizado de um clique que nunca excede o limite de 255 caracteres do SPF

Se não tem acompanhado todo o debate de DMARC vs SPF, vamos compreender o que são e como o podem ajudar. No caso de ser novo a autenticar por e-mail, é provável que se tenha deparado com termos fugazes como DMARC e SPF e queira compreendê-los melhor para decidir qual deles lhe convém melhor.

O Sender Policy Framework, também conhecido por SPF, permite-lhe guardar em cache uma lista de endereços IP autorizados que são autorizados a enviar e-mails aos seus clientes em seu nome(RFC 4408). Por outro lado, o DMARC ajuda a especificar uma política para e-mails com falhas de autenticação, ajudando os proprietários dos domínios a controlar a austeridade dos seus protocolos de segurança implementados. Dito isto, vamos desenvolver sobre DMARC vs SPF. 

Já utilizei SPF, ainda preciso de DMARC?

SPF não fornece aos proprietários de domínios um mecanismo para enviar relatórios de entregas falhadas e tentativas de personificação. É aqui que entra em jogo o DMARC. Se activar os relatórios DMARC para os seus domínios, poderá receber notificações sobre os resultados da autenticação SPF, o que inclui mas não se limita a tentativas de entrega falhadas e de falsificação. Esta é uma característica importante que deve ser uma adição indispensável ao seu pacote de segurança de correio electrónico, mesmo que tenha apenas SPF implantado para os seus domínios.

A monitorização dos seus domínios pode ser útil no processamento de informações sobre o desempenho dos seus e-mails e na medição da taxa de sucesso das suas campanhas de e-mail marketing. Também o ajuda a responder mais rapidamente a ataques e a colocar na lista negra endereços de remetentes suspeitos. 

Posso utilizar DMARC sem DKIM?

Sim. É possível publicar um registo DMARC mesmo sem a presença de um registo DKIM no seu DNS. Isto porque, para que as suas mensagens electrónicas sejam consideradas conformes ao DMARC, precisam de passar ou a autenticação SPF ou DKIM e não ambas. Se não tiver um registo DKIM em vigor, a recepção de MTAs apenas verifica o alinhamento SPF que determina a autenticidade das mensagens, enquanto que o DKIM falha automaticamente para cada mensagem.

No entanto, esta não é uma situação ideal. Vamos descobrir a razão:

A questão do reencaminhamento de correio electrónico e das listas de correio

No caso de reencaminhamento de e-mails, a sua mensagem passa por um servidor intermediário antes de poder aterrar na caixa de entrada do seu receptor. Este servidor tem um endereço IP diferente que pode não estar incluído no registo SPF do seu domínio. Assim, os e-mails reencaminhados quebram o SPF do lado do receptor.

Se não tiver um registo DKIM, uma falha no SPF resultaria essencialmente numa falha no DMARC. Para uma política definida para rejeitar, os seus e-mails legítimos enviados através de listas de correio não chegariam de todo aos seus destinatários. É por isso que ter tanto o SPF como o DKIM implementados para o seu domínio, e obter uma conformidade DMARC completa alinhando as suas mensagens de correio electrónico com ambos os protocolos é uma melhor forma de assegurar uma entrega sem problemas.

DMARC Vs SPF: Para resumir

 

Para resumir a discussão sobre DMARC vs SPF, a nossa recomendação é começar por publicar um registo TXT para SPF e um registo DMARC mantendo a política em zero, ao mesmo tempo que permite a elaboração de relatórios agregados. Desta forma, pode manter um registo do volume de e-mails que estão a ser encaminhados ou enviados através de listas de correio. Uma política none não terá qualquer efeito sobre a entregabilidade das suas mensagens de correio electrónico, ao mesmo tempo que lhe permite controlar eficazmente os seus domínios.

No entanto, para melhorar as suas defesas contra ataques iminentes de phishing e falsificação, precisa de uma política mais aplicada (p=rejeição/quarantena) para o DMARC. A mera implementação do SPF não oferece qualquer protecção contra a fraude de correio electrónico, para a qual é imperativa uma política de DMARC.

Vantagens de uma solução de software DMARC

Recomendamos a utilização de PowerDMARC's Analisador de relatórios DMARC para obter aconselhamento especializado e tirar o máximo partido das suas normas de autenticação de correio electrónico hoje em dia. Isto ajudá-lo-ia:

  • Mudar para uma política de rejeição à velocidade mais rápida do mercado, sem afectar a sua capacidade de entrega 
  • Ganhe 100% de conformidade DMARC nas suas mensagens de correio electrónico enviadas
  • Monitorize os seus canais de correio electrónico enquanto em p=ninguém para ganhar clareza sobre o volume de correio electrónico reencaminhado 
  • Tome decisões sobre os seus modos e configurações de política de protocolo mais rapidamente e desfrute de uma implementação sem problemas das suas normas de autenticação de correio electrónico implementadas

Para proteger o seu domínio e a sua identidade em linha contra fraudadores que tentam passar à sua frente, precisa de criar DMARC para os seus domínios de correio electrónico. O DMARC funciona através dos esforços cumulativos de autenticação de correio electrónico dos protocolos SPF e DKIM. Subsequentemente, os utilizadores de DMARC também beneficiam da recepção de relatórios sobre problemas de entrega, autenticação, e falhas de alinhamento dos seus emails. Saiba mais sobre o que é DMARC aqui.

Se o seu relatório agregado DMARC diz "SPF alignment failed", vamos discutir o que significa ter o seu SPF em alinhamento e como pode resolver esta questão.

O que é o alinhamento SPF?

Uma mensagem de correio electrónico é composta por vários cabeçalhos diferentes. Cada cabeçalho contém informação sobre certos atributos de uma mensagem de correio electrónico, incluindo a data de envio, de onde foi enviada, e para quem foi enviada. SPF trata de dois tipos de cabeçalhos de mensagens de correio electrónico:

  • The <From:> header
  • O cabeçalho do Caminho de Retorno

Quando o domínio no cabeçalho De: e o domínio no cabeçalho do caminho de retorno corresponde a um e-mail, o alinhamento SPF passa para esse e-mail. No entanto, quando os dois não coincidem, falha consequentemente. O alinhamento SPF é um critério importante que decide se uma mensagem de correio electrónico é legítima ou falsa.

Mostrado acima é um exemplo em que o cabeçalho De: está em alinhamento (corresponde exactamente) com o cabeçalho do caminho de retorno (Mail From), daí que o alinhamento SPF passaria para este e-mail.

Porque é que o alinhamento do SPF falha?

Caso 1: O seu modo de alinhamento SPF está definido para estrito

Enquanto o modo de alinhamento padrão do SPF é relaxado, a definição de um modo de alinhamento rigoroso do SPF pode levar a falhas de alinhamento se o domínio do caminho de retorno for um subdomínio do domínio organizacional raiz, enquanto que o cabeçalho From: incorpora o domínio organizacional. Isto porque para o SPF alinhar num modo estrito, os domínios nos dois cabeçalhos devem ser uma correspondência exacta. Contudo, para um alinhamento relaxado, se os dois domínios partilharem o mesmo domínio de nível superior, o alinhamento SPF passará.

Mostrado acima é um exemplo de um mail que partilha o mesmo domínio de topo mas o nome do domínio não é uma correspondência exacta ( o Mail From domain é um subdomínio da empresa do domínio organizacional.com). Neste caso, se o seu modo de alinhamento SPF estiver definido para "relaxado", o seu correio electrónico passará o alinhamento SPF, no entanto, para um modo estrito, falhará o mesmo. 

Caso 2: O seu domínio tem sido falsificado

Uma razão muito comum para as falhas de alinhamento SPF é a falsificação de domínio. Este é o fenómeno quando um cibercriminoso assume a sua identidade forjando o seu nome de domínio ou endereço para enviar e-mails para os seus receptores. Enquanto o De: domínio ainda ostenta a sua identidade, o cabeçalho Return-path mostra a identidade original do falsificador. Se tiver autenticação SPF para o seu domínio falsificado, o e-mail falha inevitavelmente no alinhamento do lado do receptor.

A correcção do "alinhamento SPF falhou"

Para corrigir falhas de alinhamento SPF pode: 

  • Defina o seu modo de alinhamento para "relaxado" em vez de "rigoroso 
  • Configure DMARC para o seu domínio, sobre SPF e DKIM, para que mesmo que o seu e-mail falhe o alinhamento do cabeçalho SPF e passe o alinhamento DKIM, ele passe DMARC e seja entregue ao seu destinatário

O nosso Analisador de relatórios DMARC pode ajudá-lo a ganhar 100% de conformidade DMARC nas suas mensagens de correio electrónico enviadas e evitar tentativas de falsificação ou falhas de alinhamento devido a erros de configuração do protocolo. Desfrute de uma experiência de autenticação mais segura e fiável, fazendo hoje o seu teste DMARC grátis!

DMARC é um protocolo padrão de autenticação de e-mail que, quando configurado em cima dos registos SPF e DKIM existentes, ajuda a confirmar se uma ou ambas as verificações de autenticação falharam. Porque é que o DMARC é importante? Digamos que alguém envia um e-mail em nome da sua empresa e esta falha no DMARC, o que significa que pode tomar uma acção de autoridade. O DMARC foi concebido para impedir o spam e o phishing nas suas pistas, ajudando as empresas a lidar com a segurança do correio electrónico. Um dos principais objectivos é ajudar as empresas a proteger as suas marcas e a manter a sua reputação. O DMARC protege o correio electrónico em trânsito e ajuda a prevenir ataques de spoofing e phishing, rejeitando mensagens que não cumprem certos padrões. Os servidores de correio podem também reportar mensagens que recebem de outros servidores de correio para ajudar o remetente a corrigir quaisquer problemas.

A protecção dos seus e-mails é importante para manter os seus clientes a salvo de cibercriminosos que possam roubar as suas informações pessoais. Neste post do blogue, explicaremos a importância do DMARC e o que pode fazer para o implementar correctamente para o seu domínio.

Porque é que o DMARC é importante e porque deve utilizar DMARC?

Se ainda não tem a certeza se deve utilizar DMARC, vamos contar para baixo alguns benefícios que ele proporciona:

  • O DMARC é sobre segurança e entregabilidade de correio electrónico. Fornece relatórios de autenticação robustos, minimiza o phishing, e reduz os falsos positivos.
  • Aumentar a capacidade de entrega e reduzir os saltos
  • Receber relatórios completos sobre como as mensagens são autenticadas
  • O protocolo DMARC ajuda a identificar spammers e impede que mensagens falsas cheguem às caixas de entrada
  • DMARC ajuda a reduzir as hipóteses de as suas mensagens electrónicas serem marcadas ou sinalizadas como spam
  • Dá-lhe melhor visibilidade e autoridade sobre os seus domínios e canais de correio electrónico

Quem pode usar DMARC?

DMARC é apoiado por Microsoft Office 365, Google Workspace, e outras soluções populares baseadas na nuvem. Desde 2010, o DMARC tem sido parte do processo de autenticação de correio electrónico. O seu objectivo era tornar mais difícil para os cibercriminosos o envio de emails de spam a partir de um endereço válido, ajudando a combater a epidemia de ataques de phishing. Os proprietários de domínios de pequenas empresas, bem como as empresas, são encorajados por peritos da indústria a criar um registo DMARC para fornecer instruções sobre como o seu domínio de correio electrónico deve ser protegido. Isto, por sua vez, ajuda a proteger a reputação e identidade da sua marca. 

Como estabelecer o registo DMARC do seu domínio? 

Os passos para configurar o seu domínio com protocolos de autenticação de e-mail são os seguintes: 

  • Criar um registo SPF e verificá-lo usando um verificador SPF para assegurar que o registo é funcional e desprovido de possíveis erros sintácticos
  • Habilite a autenticação DKIM para o seu domínio
  • Finalmente, crie o seu domínio com DMARC e habilite os relatórios DMARC configurando o nosso Analisador de relatórios DMARC gratuito

O DMARC não só ganhou uma importância substancial nos últimos anos como algumas empresas estão a esforçar-se por torná-lo obrigatório para os seus empregados, de modo a evitar a perda de dados e recursos sensíveis. Por conseguinte, é tempo de ter em consideração os seus vários benefícios e de se orientar para uma experiência de correio electrónico mais segura com o DMARC. 

Os registos DMARC são uma mistura de vários mecanismos ou etiquetas DMARC que comunicam instruções específicas aos servidores de recepção de correio electrónico durante a transferência de correio. Cada uma destas etiquetas de DMARC contém um valor que é definido pelo proprietário do domínio. Hoje vamos discutir o que são etiquetas de DMARC e o que cada uma delas representa. 

Tipos de etiquetas de DMARC

Aqui estão todas as etiquetas DMARC disponíveis que um proprietário de domínio pode especificar no seu registo DMARC:

Etiqueta DMARC Tipo Valor por defeito O que significa
v obrigatório A etiqueta v representa a versão do protocolo DMARC e tem sempre o valor v=DMARC1 
pct opcional 100 Esta etiqueta representa a percentagem de e-mails aos quais o modo de política é aplicável. Leia mais sobre a tag DMARC pct
p obrigatório Esta etiqueta aborda o modo de política DMARC. Pode seleccionar entre rejeição, quarentena, e nenhuma. Saiba mais sobre o que é a política DMARC para obter clareza sobre qual o modo a seleccionar para o seu domínio.
sp opcional O modo de política configurado para o(p) seu(s) domínio(s) principal(is) Especificando a política do subdomínio, a etiqueta sp é configurada para definir um modo de política para os seus subdomínios. Saiba mais sobre DMARC sp tag para compreender quando a deve configurar. 
rua Opcional mas recomendado A etiqueta da rua é uma etiqueta opcional DMARC que especifica o endereço de correio electrónico ou o servidor web para onde as organizações que reportam devem enviar os seus Dados agregados de rua DMARC

Exemplo: rua=mailto:[email protected];

ruf Opcional mas recomendado Da mesma forma, o mecanismo ruf especifica o endereço para o qual o DMARC relatório forense ruf é para ser enviado. Actualmente, nem todas as organizações de relatórios enviam dados forenses. 

Exemplo: ruf=mailto:[email protected]

fo opcional 0 A etiqueta fo atende às opções disponíveis de relatórios de falhas/peritos forenses. Se não tiver activado o ruf para o seu domínio, pode ignorar isto. 

As opções disponíveis para escolher são: 

0: um relatório forense/de falha DMARC é-lhe enviado se o seu e-mail falhar o alinhamento SPF e DKIM

1: um relatório forense/de falha DMARC é enviado para o seu e-mail quando o seu alinhamento SPF ou DKIM falha

d: um relatório de falha do DKIM é enviado se a assinatura do DKIM do e-mail falhar a validação, independentemente do alinhamento

s: um relatório de falha SPF é enviado se o e-mail falhar a avaliação SPF, independentemente do alinhamento.

aspf opcional Esta etiqueta DMARC representa o modo de alinhamento SPF. O valor pode ser ou estrito(s) ou relaxado(r)
adkim opcional Da mesma forma, a etiqueta adkim DMARC representa o modo de alinhamento DKIM, cujo valor pode ser estrito(s) ou relaxado(r) 
rf opcional afrf A etiqueta DMARC rf especifica os vários formatos de relatórios forenses.
ri opcional 86400 O ri tag aborda o intervalo de tempo em segundos entre dois relatórios agregados consecutivos enviados pela organização relatora ao proprietário do domínio.

Para criar um registo para DMARC instantaneamente, use o nosso Gerador DMARC ferramenta. Em alternativa, se tiver um registo existente, verifique a sua validade através da realização de um Pesquisa DMARC.

Inscreva-se hoje de graça Ensaio DMARC para obter aconselhamento especializado sobre como proteger o seu domínio contra falsificadores.

A etiqueta pct DMARC faz parte deste registo e diz a um receptor de correio electrónico qual a percentagem de mensagens ao abrigo desta política que será afectada. Se o proprietário de um domínio quiser especificar o que fazer com um e-mail que falhe a autenticação, os registos DMARC podem ajudá-lo com isso. Uma empresa pode publicar um registo de texto no DNS e especificar o que pretende que aconteça a mensagens de correio electrónico que falhem o alinhamento da fonte, determinando se deve entregá-lo, colocá-lo em quarentena, ou mesmo rejeitá-lo abertamente. 

O que é que pct significa em DMARC?

Um registo TXT para qualquer protocolo de autenticação de correio electrónico contém um monte de mecanismos ou etiquetas que significam instruções dedicadas aos servidores de recepção de correio electrónico. Num registo DMARC, pct é um acrónimo de percentagem que é incluído para endereçar a percentagem de e-mails aos quais a política DMARC definida pelo proprietário do domínio é aplicada.

Porque é que precisa da etiqueta pct DMARC?

A etiqueta pct é uma forma frequentemente ignorada, mas ainda assim eficaz de estabelecer e testar as políticas DMARC do seu domínio. Um registo DMARC com uma etiqueta percentual parece algo como o seguinte: 

v=DMARC1; p=rejeitar; pct=100; rua=mailto:[email protected];

No registo DMARC DNS mostrado acima, a percentagem de e-mails para os quais a política de rejeição DMARC é aplicável é de 100%. 

O tempo que leva para um domínio passar de não utilizar DMARC, para utilizar as configurações mais restritivas, é um período de subida de gama. Isto destina-se a dar aos domínios tempo para se tornarem confortáveis com as suas novas configurações. Para algumas empresas, isto pode demorar alguns meses. É possível que os domínios façam uma actualização instantânea, mas isto é invulgar devido ao risco de erros ou reclamações mais elevados. A etiqueta pct foi concebida como uma forma de aplicar gradualmente as políticas DMARC para reduzir o período de implementação para as empresas em linha. A intenção é poder implementá-la primeiro para um lote mais pequeno de e-mails antes de a implementar totalmente em todo o fluxo de correio, como no caso mostrado abaixo: 

v=DMARC1; p=rejeitar; pct=50; rua=mailto:[email protected];

Neste registo DNS DMARC, a política de rejeição de DMARC aplica-se apenas a 50% dos e-mails, enquanto a outra metade do volume é sujeita a uma política de quarentena para DMARC, que é a segunda política mais rigorosa em linha. 

O que acontecerá se não incluir uma etiqueta pct no seu registo DMARC?

Ao criar um registo DMARC utilizando um Gerador de registos DMARCpode optar por não definir uma etiqueta pct e deixar esse critério vazio. Neste caso, a definição padrão para pct é definida para 100, o que significa que a sua política definida se aplicará a todas as suas mensagens de correio electrónico. Assim, se quiser definir uma política para todas as suas mensagens de correio electrónico, uma forma mais simples de o fazer seria deixar o critério pct em branco, como neste exemplo:

v=DMARC1; p=quarantina; rua=mailto:[email protected];

Advertência: Se pretende uma política aplicada para o DMARC, não publique um registo com pct=0

A lógica por detrás disto é simples: se pretende definir uma política de rejeição ou quarentena no seu registo, pretende essencialmente que a política seja cobrada sobre as suas mensagens de correio electrónico de saída. Definir o seu pct a 0 anula o seu esforço, uma vez que a sua política é agora aplicável a zero e-mails. Isto é o mesmo que ter o seu modo de política definido em p=nenhuma. 

Nota: A fim de proteger o seu domínio de ataques de falsificação e impedir quaisquer hipóteses de o seu domínio ser imitado por atacantes, a política ideal deve ser DMARC em p=rejeição; pct=100;

Mude para a aplicação da lei DMARC com segurança iniciando a sua viagem DMARC com PowerDMARC. Faça uma viagem grátis Ensaio DMARC hoje!