Como optimizar o registo do SPF?

Blog

Como optimizar o registo do FPS? Leia as melhores práticas do Sender Policy Framework.

por Maitham Al Lawati

Tempo de leitura: 6 min
Como optimizar o registo do SPF?
Índice-

Neste artigo, iremos explorar como optimizar facilmente o registo SPF para o seu domínio. Tanto para empresas como para pequenas empresas que possuam um domínio de correio electrónico para enviar e receber mensagens entre os seus clientes, parceiros e empregados, é altamente provável que exista um registo SPF por defeito, que foi criado pelo seu fornecedor de serviços da caixa de entrada. Não importa se tem um registo SPF pré-existente ou se precisa de criar um novo, precisa de optimizar correctamente o seu registo SPF para o seu domínio, a fim de garantir que este não cause problemas de entrega de correio electrónico.

Alguns destinatários de correio electrónico exigem estritamente SPF, o que indica que se não tiver um registo SPF publicado para o seu domínio, os seus e-mails podem ser marcados como spam na caixa de entrada do seu receptor. Além disso, o SPF ajuda a detectar fontes não autorizadas que enviam e-mails em nome do seu domínio.

Comecemos por perceber o que é o FPS e porque é que precisa dele?

Takeaways de chaves

  1. O SPF é um protocolo de autenticação de correio eletrónico crucial que ajuda a evitar a falsificação de correio eletrónico, especificando endereços IP autorizados para o envio de correio eletrónico.
  2. A publicação de um registo SPF corretamente formatado no DNS do seu domínio é essencial para garantir a entrega adequada de correio eletrónico e evitar a classificação de spam.
  3. Exceder o limite de 10 pesquisas de DNS ao configurar o SPF pode levar a erros e resultar em problemas de entrega de correio eletrónico.
  4. Verificar e otimizar regularmente o seu registo SPF pode ajudar a evitar desafios comuns, como erros de sintaxe e vários registos SPF para o mesmo domínio.
  5. A utilização de ferramentas automatizadas pode simplificar o processo de gestão e otimização do seu registo SPF para cumprir eficazmente as normas de segurança do correio eletrónico.

Quadro da Política de Remetentes (SPF)

SPF é essencialmente um protocolo padrão de autenticação de e-mail que especifica os endereços IP que estão autorizados a enviar e-mails do seu domínio. Funciona comparando os endereços de remetente com a lista de hosts de envio autorizados e endereços IP para um domínio específico que é publicada no DNS para esse domínio.

O SPF, juntamente com o DMARC (Domain-based Message Authentication, Reporting and Conformance), foi concebido para detetar endereços de remetente falsos durante a entrega de correio eletrónico e evitar ataques de falsificação, phishing e burlas por correio eletrónico.

É importante saber que embora o SPF padrão integrado no seu domínio pelo seu fornecedor de alojamento garanta que os e-mails enviados a partir do seu domínio são autenticados contra SPF se tiver vários fornecedores terceiros para enviar e-mails do seu domínio, este registo SPF preexistente precisa de ser adaptado e modificado para se adequar às suas necessidades. Como pode fazer isso? Vamos explorar duas das formas mais comuns:

  • Criação de um registo SPF novinho em folha
  • Optimização de um registo SPF existente

Simplifique a otimização de registros SPF com o PowerDMARC!

Teste grátis 15 diasMarcar demo

Instruções sobre como optimizar o registo do SPF

Criar um Novo Registo SPF

Criar um registo SPF é simplesmente publicar um registo TXT no DNS do seu domínio para configurar o SPF para o seu domínio. Este é um passo obrigatório que vem antes de começar a optimizar o registo SPF. Se está apenas a começar com a autenticação e não tem a certeza sobre a sintaxe, pode usar o nosso gerador de registos SPF online grátis para criar um registo SPF para o seu domínio.

Uma entrada de registo SPF com uma sintaxe correcta parecerá algo parecido com isto:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Especifica a versão do FPS que está a ser utilizada
ip4/ip6Este mecanismo especifica os endereços IP válidos que estão autorizados a enviar e-mails a partir do seu domínio.
incluirEste mecanismo diz aos servidores receptores para incluir os valores para o registo SPF do domínio especificado.
-tudoEste mecanismo especifica que as mensagens de correio electrónico que não são compatíveis com SPF seriam rejeitadas. Esta é a etiqueta recomendada que pode utilizar durante a publicação do seu registo SPF. Contudo, pode ser substituída por ~ para SPF Soft Fail (e-mails não conformes seriam marcados como soft fail mas continuariam a ser aceites) ou + que especifica que todo e qualquer servidor seria autorizado a enviar e-mails em nome do seu domínio, o que é fortemente desencorajado.

Se já tem SPF configurado para o seu domínio, também pode usar o nosso verificador de registos SPF gratuito para procurar e validar o seu registo SPF e detectar problemas.

Desafios e erros comuns durante a configuração do SPF

1) 10 DNS Lookup limit 

O desafio mais comum enfrentado pelos proprietários de domínios ao configurarem e adoptarem o protocolo de autenticação SPF para o seu domínio é o facto de o SPF ter um limite para o número de pesquisas no DNS, que não pode exceder 10. Para os domínios que dependem de vários fornecedores terceiros, o limite de 10 pesquisas no DNS é facilmente ultrapassado, o que, por sua vez, quebra o SPF e devolve um SPF PermError. Nestes casos, o servidor recetor invalida automaticamente o seu registo SPF e bloqueia-o.

Mecanismos que iniciam as pesquisas DNS: Modificador MX, A, INCLUDE, REDIRECT

2) SPF Void Lookup 

As pesquisas de vazio referem-se às pesquisas DNS que ou devolvem a resposta NOERROR ou a resposta NXDOMAIN (resposta nula). Ao implementar o SPF é recomendado assegurar que as pesquisas DNS não devolvem uma resposta nula.

3) SPF Laço recursivo

Este erro indica que o registo SPF para o seu domínio especificado contém questões recorrentes com um ou mais dos mecanismos INCLUDE. Isto ocorre quando um dos domínios especificados na etiqueta INCLUDE contém um domínio cujo registo SPF contém a etiqueta INCLUDE do domínio original. Isto leva a um loop interminável que faz com que os servidores de correio electrónico efectuem continuamente pesquisas DNS para os registos SPF. Isto leva, em última análise, a exceder o limite de 10 consultas ao DNS, resultando em e-mails com falhas no SPF.

4) Erros de sintaxe 

Um registo SPF pode existir no DNS do seu domínio, mas não tem qualquer utilidade se contiver erros de sintaxe. Se o seu registo SPF TXT contiver espaços brancos desnecessários enquanto digita o nome do domínio ou o nome do mecanismo, a string que precede o espaço extra seria completamente ignorada pelo servidor receptor enquanto executa uma pesquisa, invalidando assim o registo SPF.

5) Múltiplos registos SPF para o mesmo domínio

Um único domínio pode ter apenas uma entrada SPF TXT no DNS. Se o seu domínio contiver mais de um registo SPF, o servidor receptor invalida todos eles, fazendo com que os e-mails falhem SPF.

6) Comprimento do registo do SPF 

O comprimento máximo de um registo SPF no DNS é limitado a 255 caracteres. Contudo, este limite pode ser excedido e um registo TXT para SPF pode conter várias cadeias concatenadas, mas não além de um limite de 512 caracteres, para caber na resposta à consulta DNS (de acordo com o RFC 4408). Embora isto tenha sido revisto mais tarde, os destinatários que dependessem de versões mais antigas do DNS não seriam capazes de validar e-mails enviados a partir de domínios contendo um longo registo SPF.

Optimizar o seu registo SPF

A fim de modificar rapidamente o seu registo SPF pode utilizar as seguintes melhores práticas SPF:

  • Tente escrever as suas fontes de e-mail por ordem decrescente de importância da esquerda para a direita no seu registo SPF
  • Remover fontes de correio electrónico obsoletas do seu DNS
  • Utilizar mecanismos IP4/IP6 em vez de A e MX
  • Mantenha o seu número de mecanismos de INCLUIR o mais baixo possível e evite aninhar-se inclui
  • Não publique mais do que um registo SPF para o mesmo domínio no seu DNS
  • Certifique-se de que o seu registo SPF não contém quaisquer espaços brancos redundantes ou erros de sintaxe

Nota sobre o achatamento do SPF:

Achatamento de SPFque converte mecanismos como INCLUDE numa única lista de endereços IP, pode reduzir significativamente o número de pesquisas de DNS no seu registo SPF, ajudando a evitar o limite de 10 pesquisas de DNS. No entanto, nem sempre é recomendado porque:

  1. Infraestrutura dinâmica: Se o seu fornecedor de serviços de correio eletrónico atualizar os IPs de envio, terá de atualizar manualmente o seu registo SPF nivelado de cada vez, o que implica uma elevada manutenção.
  2. Comprimento do registo: O achatamento pode resultar em registos SPF excessivamente longos, que podem exceder os limites de consulta do DNS, causando erros.

Solução: Se optar por aplanar o seu registo SPF, pode utilizar ferramentas de nivelamento de SPF para simplificar o processo e manter os seus registos actualizados dinamicamente.

Optimização do seu registo SPF facilitada com PowerSPF

Pode ir em frente e tentar implementar todas as modificações acima mencionadas para optimizar manualmente o seu registo SPF, ou pode esquecer o incómodo e confiar no nosso PowerSPF dinâmico para fazer tudo isso por si automaticamente! PowerSPF ajuda-o a optimizar o seu registo SPF com um único clique, no qual pode:

  • Adicionar ou remover fontes de envio com facilidade
  • Actualize facilmente os registos sem ter de fazer alterações manuais ao seu DNS
  • Obtenha um registo auto SPF optimizado com um simples clique de um botão
  • Permanecer sempre abaixo do limite de 10 consultas DNS
  • Atenuar com sucesso PermError
  • Esqueça os erros de sintaxe dos registos SPF e os problemas de configuração
  • Tiramos o fardo de resolver as limitações do SPF em seu nome

Inscreva-se hoje com o PowerDMARC para licitar adieu às limitações do SPF para sempre!  

Últimas mensagens de Maitham Al Lawati (ver todas)
Como pode a autenticação de e-mail ajudar a melhorar a entregabilidade do e-mail? entrega do correio electrónico do blogueMSSP powerdmarcPorque é que os Prestadores de Serviços de Segurança Geridos (MSSPs/MSPs) precisam de oferecer DMARC ...