Os proprietários de domínios com SPF ativado utilizam frequentemente o Gmail para monitorizar os resultados da autenticação e garantir que os seus domínios SPF não são erróneos e foram definidos com as configurações correctas. O Gmail devolve frequentemente um estado SPF Best Guess quando não consegue encontrar um registo SPF publicado para o domínio de envio de e-mail.
Este guia explica quando e porque é que o Gmail lhe diz que o resultado é uma "Melhor estimativa".
Quando é que o Gmail devolve o estado "Best Guess" do SPF?
O Gmail pode devolver um estado SPF "Melhor estimativa" quando o domínio do remetente não tem um registo SPF claro publicado nas suas definições de DNS. Nesses casos, o Gmail tenta fazer uma estimativa sobre a política SPF com base no histórico de dados de e-mail e no comportamento do remetente. Este estado de "Melhor estimativa" não é tão fiável como um registo SPF bem definido, mas permite ao Gmail fornecer um certo nível de autenticação de e-mail.
Exemplo de resultado de "melhor palpite" do Gmail
Received-SPF: pass (google.com: o registo de melhor estimativa para o domínio de companyname@domain.com designa 12.43.77.991 como remetente permitido)
Este exemplo indica que o Gmail não consegue encontrar um registo SPF oficial publicado no DNS para o domínio.com.
O Gmail finge!
O que o Gmail quer dizer quando diz "Melhor palpite" é que criou um registo SPF não oficial para um domínio com base em observações feitas por ele sobre esse domínio. Na realidade, esse registo SPF não é publicado no DNS e o Gmail está simplesmente a fazer uma suposição sobre ele. Não há certezas, pelo que se agradece a discrição do proprietário do domínio.
Não temos a certeza dos factores que a Google considera para sintetizar um registo SPF para um domínio, no entanto, de acordo com o guia de resolução de problemas do Gmail, pode ser devido a:
- Um registo ou configuração SPF em falta
- Configuração SPF inválida ou incorrecta
- Problemas ou interrupções relacionadas com o DNS
É possível resolver este problema?
Para resolver o estado SPF "Best Guess" e melhorar a capacidade de entrega de correio eletrónico como proprietário de um domínio, deve configurar um registo SPF válido nas definições de DNS do seu domínio. Seguem-se algumas sugestões sobre como o fazer:
Compreender os registos SPF
Os registos SPF (Sender Policy Framework) são registos DNS TXT que especificam quais os servidores de correio autorizados a enviar e-mails em nome do seu domínio. Evita que os spammers forjem e-mails utilizando o seu domínio. O registo SPF é definido num formato específico que inclui os endereços IP ou os nomes de domínio dos seus servidores de correio.
Verificar registos SPF existentes
Antes de efetuar quaisquer alterações, verifique se já existe um registo SPF para o seu domínio. Para o efeito, pode utilizar verificadores de registos SPF online ou ferramentas de pesquisa de DNS. Se encontrar um registo SPF existente, avalie-o para ver se inclui todos os servidores de correio legítimos utilizados para enviar mensagens de correio eletrónico a partir do seu domínio.
Criar um novo registo SPF
Se não existir um registo SPF ou se o registo existente estiver incompleto ou incorreto, terá de criar um novo. Pode criar o registo SPF como um registo DNS TXT com as informações relevantes.
Determinar os seus servidores de correio
Identifique os servidores de correio eletrónico que estão autorizados a enviar mensagens de correio eletrónico em nome do seu domínio. Normalmente, isto inclui o seu próprio servidor de correio eletrónico e qualquer fornecedor de serviços de correio eletrónico de terceiros que utilize para enviar mensagens de correio eletrónico a partir do seu domínio.
Formatar o registo SPF
Os registos SPF são escritos com uma sintaxe específica. Consistem na etiqueta "v=spf1", seguida dos mecanismos que definem quais os servidores autorizados a enviar e-mails para o seu domínio. Alguns mecanismos comuns incluem "a" (para o registo A do domínio), "mx" (para o registo MX do domínio), "include" (para incluir registos SPF de outros domínios) e "ip4" ou "ip6" (para endereços IP específicos).
Por exemplo, um registo SPF simples que permite que os servidores MX do domínio e um endereço IP específico enviem mensagens de correio eletrónico teria o seguinte aspeto:
v=spf1 mx ip4:192.0.2.10 -all
Evitar a utilização do "melhor palpite"
Para evitar que o Gmail e outros fornecedores de correio eletrónico façam suposições "Best Guess" sobre a sua política SPF, certifique-se de que o seu registo SPF está completo e preciso. Evite usar o mecanismo "todos" com uma falha suave "~" ou a ausência de um mecanismo que possa levar a uma política SPF permissiva. Em vez disso, utilize uma falha grave "-all" no final do seu registo SPF para especificar que todos os outros servidores devem ser considerados não autorizados.
Publicar o registo SPF
Depois de ter criado o registo SPF, adicione-o como um registo DNS TXT nas definições de DNS do seu domínio. Normalmente, isto pode ser feito através do painel de controlo do seu fornecedor de serviços de registo de domínios ou da interface de gestão de DNS. Lembre-se que as alterações de DNS podem demorar algum tempo a propagar-se pela Internet.
Teste o seu registo SPF
Depois de publicar o registo SPF, utilize o nosso verificador de registos SPF para verificar a sua correção. Este passo ajudá-lo-á a garantir que o seu registo SPF está corretamente configurado e será eficaz na prevenção da falsificação de e-mails.
Por fim, a Google também recomenda que entre em contacto com o seu fornecedor de alojamento de domínios para resolver problemas de DNS que possam levar ao estado de melhor estimativa SPF.
O SPF não é autossuficiente
O SPF tem algumas deficiências (como limite de pesquisaa quebra do SPF no reencaminhamento de correio eletrónico e o desafio de manter e atualizar a informação dos registos SPF) que podem ser compensadas complementando as suas implementações SPF com DKIM e DMARC. Estes protocolos de segurança de correio eletrónico reduzem o risco de remetentes não autorizados enviarem mensagens do seu domínio, evitando potenciais ataques de phishing e falsificação.
O PowerDMARC oferece uma gama de serviços DMARC que atendem a diferentes necessidades comerciais e parâmetros operacionais. Entre em contacto connosco para qualquer assunto relacionado com o DMARC; a nossa equipa gostaria de conversar consigo!
- Como configurar o DMARC no Office 365? Guia passo a passo - 6 de maio de 2024
- Códigos de erro SMTP Yahoo explicados - 1 de maio de 2024
- SPF Softfail Vs Hardfail: Qual é a diferença? - 26 de abril de 2024