Como configurar um registo SPF? - Guia de configuração de SPF

O correio eletrónico é uma ferramenta essencial para as empresas, e a maioria de nós depende dele diariamente para comunicar. No entanto, à medida que o número de utilizadores de correio eletrónico aumentou, também aumentou o problema do spam, da falsificação de correio eletrónico, do phishing e da fraude por correio eletrónico. Estes tipos de ataques podem causar danos significativos, incluindo perda de reputação, perdas financeiras e violações de dados. Para evitar estes ataques, as empresas devem tomar medidas proactivas para proteger os seus sistemas de correio eletrónico. Uma das formas de o fazer é através da configuração de um SPF.

Os principais fornecedores de correio eletrónico, como o Yahoo Mail e o Google Workspace, recomendam protocolos de autenticação de correio eletrónico como o Sender Policy Framework (SPF), o DomainKeys Identified Mail (DKIM) e o Domain-based Message Authentication, Reporting, and Conformance (DMARC) para proteger os destinatários de correio eletrónico de potenciais fraudes.

SPF na segurança do correio eletrónico - Explicação 

O que é o SPF? SPF significa Sender Policy Framework. Um protocolo de autenticação de correio eletrónico que lhe permite especificar quais os servidores autorizados a enviar e-mails para o seu domínio. O SPF funciona adicionando um registo DNS à configuração DNS do seu domínio, que lista os endereços IP dos seus servidores de correio eletrónico. Este registo indica a outros servidores de correio eletrónico que quaisquer mensagens de correio eletrónico enviadas do seu domínio que não provenham de endereços IP autorizados devem ser rejeitadas.

A configuração de um registo SPF válido é essencial para evitar que utilizadores não autorizados enviem e-mails utilizando o seu nome de domínio. Por exemplo, spammers ou atacantes podem usar o seu nome de domínio para enviar spam ou e-mails de phishingo que pode prejudicar a sua reputação, levar ao bloqueio e comprometer a segurança dos seus clientes e funcionários.

Simplifique a configuração do SPF com o PowerDMARC!

Componentes do SPF 

Os principais componentes de um registo registo SPF no DNS são os seguintes:

1. Versão (v=spf1):
   Especifica a versão do SPF, começando sempre por v=spf1.
2. IP4 e IP6 (ip4: / ip6:):
   Lista os endereços IPv4 e IPv6 autorizados a enviar e-mails para o domínio.
3. Mecanismos A e MX (a: / mx:):
   • a: permite e-mails de servidores cujos IPs correspondem ao registo A do domínio.
   • mx: permite e-mails de servidores listados nos registos MX (Mail Exchange) do domínio.
4. Mecanismo de inclusão (include:):
   Permite que os registos SPF de outros domínios autorizem remetentes, útil quando serviços de terceiros enviam e-mails em nome do seu domínio.
5. Todos os mecanismos (todos):
   Define uma regra predefinida no final do registo SPF. As opções são:
   • -tudo: Falha grave (rejeita IPs não autorizados).
   • ~Tudo: Falha suave (marca IPs não autorizados como suspeitos).
   • ?todos: Neutro (nenhuma ação é tomada em IPs não autorizados).
   • +tudo: Pass (permite todos os IPs, raramente recomendado).
6. Redirecionar (redirect=):
   Aponta para o registo SPF de outro domínio, se o quiser utilizar em vez de criar o seu próprio registo.
7. Modificadores:
   Regras opcionais para afinação, embora menos comuns.

Exemplo de SPF

v=spf1 ip4:192.168.1.1 include:_spf.thirdparty.com -all

Este exemplo permite e-mails de 192.168.1.1 e inclui um registo SPF de terceiros, rejeitando e-mails de outros IPs com -todos.

Dominar as definições de SPF

Uma configuração SPF refere-se à configuração do protocolo de autenticação de correio eletrónico SPF no DNS de um proprietário de domínio. Uma configuração SPF permite-lhe autorizar as suas fontes de envio legítimas, certificando-se de que os servidores receptores conseguem distinguir facilmente entre um remetente de correio eletrónico genuíno e um que está apenas a fazer-se passar por um nome de domínio legítimo. É um passo necessário na validação de correio eletrónico, para ajudar na proteção contra ciberataques baseados em correio eletrónico. 

Como configurar e adicionar registos SPF

Uma configuração SPF é essencial não só para as suas fontes activas, mas também para os seus domínios que não enviam, para garantir que estão seguros contra utilizações maliciosas. A configuração de um registo SPF é um processo simples, que envolve os seguintes passos:

Passo 1: Determinar os seus servidores de correio eletrónico

O primeiro passo é determinar que servidores estão autorizados a enviar e-mails para o seu domínio. Estes servidores podem incluir o seu servidor de correio eletrónico, qualquer fornecedor de serviços de correio eletrónico de terceiros que utilize ou qualquer outro servidor que envie mensagens de correio eletrónico utilizando o seu nome de domínio.

Passo 2: Criar um registo SPF

Depois de ter identificado os servidores de correio eletrónico autorizados, pode criar um registo SPF utilizando uma ferramenta geradora de registos SPF. Um registo SPF é um registo TXT (texto) na configuração DNS do seu domínio, que é essencial para a sua configuração SPF. Pode utilizar uma sintaxe simples para criar o seu registo SPF, tal como:

v=spf1 ip4:<IP address> -all

In this example, the “v=spf1” indicates that this is an SPF record, and “ip4:<IP address>” indicates the IP address of the authorized email server. The “-all” at the end indicates that any emails that do not come from authorized IP addresses should be rejected.

Passo 3: Publique o seu registo SPF

Depois de criar o seu registo SPF, tem de o publicar no DNS do seu domínio. Os administradores do domínio podem fazer as actualizações de DNS necessárias para ativar o protocolo facilmente. Pode fazê-lo iniciando sessão no sítio Web do seu fornecedor de DNS e adicionando um novo registo TXT com o seu registo SPF. Em alternativa, pode pedir à sua equipa de TI ou ao seu fornecedor de alojamento que o faça por si.

Passo 4: Teste o seu registo SPF

Depois de ter publicado o seu registo SPF, é essencial testá-lo para se certificar de que está a funcionar corretamente. Pode utilizar verificadores de registos SPFonline, como o fornecido pela MXToolbox, para testar o seu registo SPF. Estas ferramentas dir-lhe-ão se o seu registo SPF é válido e se está configurado corretamente.

5 ideias erradas sobre registos SPF 

Há certos mitos sobre o registo SPF que circulam na Internet e que podem levar as pessoas a tomar decisões incorrectas. Vamos acabar com eles um a um: 

1. O SPF por si só pode impedir a falsificação 

Isto não é verdade. A configuração do SPF, por si só, não pode impedir ciberataques como a falsificação de identidade ou a falsificação de identidade. Para os evitar, o SPF tem de ser combinado com o DMARC (Domain-based Message Authentication, Reporting, and Conformance), que permite aos proprietários de domínios rejeitarem mensagens de correio eletrónico fraudulentas enviadas do seu próprio domínio. 

2. Pode utilizar +all no seu registo SPF

A utilização de +all permite que qualquer servidor envie mensagens de correio eletrónico em nome do seu domínio. Isto anula o objetivo do protocolo SPF. Em vez disso, recomenda-se a utilização de ~all ou -all para implementar o SPF de forma eficaz no seu domínio. 

3. O SPF funciona para e-mails reencaminhados 

Todos nós gostaríamos que isso fosse verdade. Infelizmente, em cenários de reencaminhamento de correio, o SPF falha, devido a alterações nas informações do cabeçalho efectuadas por servidores intermediários. Nesses casos, protocolos como o DKIM ou, de preferência, o ARC podem ser úteis para uma autenticação eficaz do correio eletrónico. 

4. Os registos SPF têm pesquisas de DNS ilimitadas 

O RFC especifica um máximo de 10 pesquisas de DNS para registos SPF, excedendo esse limite, obtém-se um resultado de erro de SPF. É essencial utilizar métodos de otimização do SPF, como o nivelamento, ou, de preferência, macros SPF, para garantir que se mantém sempre dentro dos limites do SPF.

5. Com o SPF, pode "instalar e esquecer"! 

Não cometa este erro de SPF! É necessário atualizar os seus registos SPF de tempos a tempos, para que a sua lista de remetentes actualizada possa enviar e-mails em nome do seu domínio! Este é um passo importante para garantir que os e-mails legítimos não sejam bloqueados pelo servidor do destinatário. 

Como funciona o registo SPF?

• O proprietário do domínio cria um registo SPF manualmente ou utilizando uma ferramenta online que especifica as fontes de envio que estão autorizadas a enviar mensagens de correio eletrónico em nome do domínio. 
• Quando uma mensagem de correio eletrónico é enviada, o servidor do destinatário efectua uma consulta DNS no DNS do remetente para procurar o registo SPF e verificar se existem fontes autorizadas. 
• Se houver uma correspondência, o correio eletrónico chega em segurança à caixa de entrada; caso contrário, o correio eletrónico pode ser assinalado como suspeito. Isto depende do qualificador de ação (~all, -all, ?all) definido pelo proprietário do domínio no registo SPF. 

Sugestões para uma configuração exacta do SPF

Seguem-se algumas dicas para criar uma configuração sólida de registos SPF:

• Incluir todos os servidores de email autorizados: Certifique-se de que inclui todos os servidores de email autorizados a enviar emails para o seu domínio na sua configuração SPF. Isto pode incluir o seu servidor de correio eletrónico, fornecedores de serviços de correio eletrónico de terceiros ou qualquer outro servidor que envie correio eletrónico utilizando o seu nome de domínio.
• Utilizar o mecanismo "-tudo": O mecanismo "-all" no fim do seu registo SPF diz a outros servidores de e-mail para rejeitarem quaisquer e-mails que não provenham de endereços IP autorizados. Este é um passo crítico para evitar que utilizadores não autorizados enviem mensagens de correio electrónico utilizando o seu nome de domínio.
• Utilizar o mecanismo "include": O mecanismo "include" permite-lhe incluir registos SPF de outros domínios. Isto pode ser útil se utilizar um fornecedor de serviços de correio eletrónico de terceiros para enviar mensagens de correio eletrónico para o seu domínio. Pode incluir o registo SPF deles na sua configuração SPF para se certificar de que os e-mails enviados a partir dos seus servidores também são autenticados.
• Utilize o mecanismo "~all" para testar: O mecanismo "~all" diz a outros servidores de correio eletrónico para marcarem quaisquer mensagens de correio eletrónico que não provenham dos endereços IP autorizados como "falhas suaves". Isto significa que estes e-mails continuarão a ser entregues, mas serão marcados como suspeitos. Pode utilizar este mecanismo durante os testes para se certificar de que o seu registo SPF está a funcionar corretamente sem rejeitar imediatamente os e-mails.
• Mantenha o seu registo SPF actualizado: À medida que a sua infra-estrutura de e-mail muda, certifique-se de actualizar o seu registo SPF para reflectir estas mudanças. Isto pode incluir a adição de novos servidores de correio electrónico ou a remoção dos antigos.

Benefícios de otimizar suas configurações de SPF com o PowerDMARC

O limite de pesquisa de DNS é uma restrição imposta pelos servidores de correio eletrónico. Limita o número de pesquisas de DNS que podem ser efectuadas ao verificar o registo SPF de um e-mail. Este limite é normalmente definido em 10 pesquisas de DNS e, se o servidor de correio eletrónico exceder este limite, o SPF pode falhar e causar problemas de entrega de correio eletrónico.

Achatamento SPF é uma técnica utilizada para reduzir o número de pesquisas de DNS necessárias para verificar o registo SPF de um e-mail. Funciona através da combinação de vários registos SPF num único registo, o que pode reduzir o número de pesquisas de DNS necessárias para autenticar um e-mail.

Eis um exemplo de como o achatamento do SPF pode ajudar:

Digamos que a sua empresa utiliza vários serviços de terceiros para enviar mensagens de correio eletrónico. Isso pode incluir software de automação de marketing, um sistema de helpdesk e uma ferramenta de CRM para pequenas empresas. Cada um destes serviços será adicionado à lista de endereços IP no seu registo SPF de DNS ou em registos SPF individuais para cada um destes serviços e, se os incluísse a todos no registo SPF do seu domínio, ultrapassaria o limite de 10 pesquisas de DNS.

Utilizando SPF flattening, é possível combinar todos estes IPs redundantes num único include. Isto significa que quando um servidor de e-mail efectua uma pesquisa DNS para verificar o seu registo SPF, só precisa de efectuar uma única pesquisa ou algumas pesquisas, em vez de múltiplas pesquisas para cada um dos registos SPF e endereços IP individuais.

Resumindo 

Uma configuração SPF é um passo crucial para proteger o seu sistema de correio eletrónico e evitar fraudes de correio eletrónico. Ao criar um registo SPF e publicá-lo na configuração DNS do seu domínio, pode certificar-se de que os e-mails enviados a partir do seu domínio são autenticados e impedir que utilizadores não autorizados enviem e-mails utilizando o seu nome de domínio. Seguindo as dicas descritas acima, pode criar um registo SPF forte e proteger o seu sistema de correio eletrónico.

Perguntas frequentes sobre a configuração de um registo SPF

Posso dividir um SPF grande?

A divisão de um registo SPF grande em registos mais pequenos não é recomendada devido aos limites de caracteres SPF e às restrições adicionais contra a publicação de mais do que um registo SPF para o mesmo domínio. Em vez disso, tente estas tácticas: 

1. Torne o seu registo SPF simples e conciso 
2. Utilizar menos includes e combinar intervalos de IP 
3. Utilizar soluções de gestão de SPF e serviços de terceiros

Porque é que o registo SPF é utilizado?

Um registo SPF é utilizado para garantir que apenas fontes autorizadas podem enviar mensagens de correio eletrónico em nome do seu domínio, limitando a exposição externa e as tentativas de falsificação de identidade. 

Quando é que precisa de FPS?

Como protocolo de autenticação de correio eletrónico, o SPF é necessário para garantir que as comunicações por correio eletrónico podem ser verificadas quanto à sua autenticidade e cumprir os mais recentes mandatos da indústria. Saiba mais sobre a importância da configuração do SPF.

Como optimizar o registo do SPF?

Pode otimizar o seu registo SPF manualmente, acedendo ao seu DNS e efectuando as alterações necessárias. No entanto, uma opção mais fácil e sem complicações é implementar serviços de otimização SPF de terceiros que ofereçam otimização de achatamento ou de macros para a gestão de registos SPF. 

Como é que sei que o meu registo SPF está definido?

Pode verificar o seu registo SPF utilizando uma ferramenta de pesquisa de registos SPF para confirmar se o seu registo SPF está corretamente definido.

• Sobre
• Últimos Posts

Ahona Rudra

Especialista em segurança de domínios e e-mails da PowerDMARC

Ahona é gerente de marketing da PowerDMARC, com mais de 5 anos de experiência em escrever sobre tópicos de segurança cibernética, especializada em segurança de domínio e e-mail. Ahona possui uma pós-graduação em Jornalismo e Comunicação, solidificando sua carreira no setor de segurança desde 2019.

Últimos posts de Ahona Rudra (ver todos)

• A Microsoft reforça as regras do remetente de correio eletrónico: Principais actualizações que não deve perder - 3 de abril de 2025
• Configuração do DKIM: Guia passo a passo para configurar o DKIM para segurança de e-mail (2025) - 31 de março de 2025
• PowerDMARC é reconhecido como líder de rede para DMARC no G2 Spring Reports 2025 - 26 de março de 2025