É correto ter vários registos SPF no seu domínio? A resposta pode surpreendê-lo! Os registos SPF são cruciais para a autenticação do correio eletrónico, mas ter mais do que um pode, na verdade, prejudicar a sua capacidade de entrega.
Ter vários registos SPF é um dos erros SPF mais comuns com que os proprietários de domínios se deparam. Pode invalidar completamente o seu SPF e levar ao SPF PermError. Para perceber porque é que isto acontece, precisamos de saber como funciona o SPF e porque é que ter mais do que um registo SPF pode causar problemas na autenticação.
*Dica profissional: Efectue a sua verificação de registos de domínio hoje para encontrar erros na configuração do seu registo SPF.
Como funcionam os registos SPF
Sender Policy Framework ou SPF é um protocolo popular de autenticação de correio eletrónico que funciona através da listagem de todas as fontes de envio autorizadas que têm permissão para enviar correio eletrónico em nome do seu domínio.
Durante uma verificação SPF, os MTAs receptores executam pedidos de consulta DNS, ou pesquisas DNS, para validar o endereço do caminho de retorno do seu correio eletrónico, comparando-o com a lista de endereços IP mencionados no seu registo SPF. Se for encontrada uma correspondência, o correio eletrónico passa no SPF, caso contrário, falha no SPF.
Assim, configurar o SPF é simplesmente publicar um registo DNS TXT que começa com a sintaxe "v=spf1".
O mito dos múltiplos registos SPF
Embora alguns serviços possam sugerir a adição de registos SPF separados, a verdade é que um domínio só pode ter um registo SPF. Isto deve-se ao facto de a norma SPF (RFC 4408) proíbe estritamente a existência de vários registos.
Durante uma verificação SPF, o encontro de vários registos conduz a um "PermError", confundindo essencialmente o servidor recetor.
Quando um MTA recetor começa a efetuar a autenticação SPF numa mensagem de correio eletrónico, vai buscar todos os registos TXT do DNS que começam por "v=spf1". Se o SPF não estiver configurado para o domínio de envio e não for encontrado nenhum registo SPF no DNS, é devolvido um resultado Nenhum. Pelo contrário, se forem encontrados vários registos SPF que comecem por "v=spf1" para o mesmo domínio, é devolvido um SPF PermError é devolvido.
O problema com múltiplos registos SPF
A utilização de múltiplos registos SPF ou simplesmente a existência de múltiplos registos SPF para um domínio pode ter consequências graves, tais como:
- E-mails que vão parar às pastas de spam
- E-mails totalmente rejeitados
Este é um problema muito comum. Vários relatórios de análise de domínios pelo PowerDMARC revelaram que um dos erros mais comuns que os proprietários de domínios cometem é ter mais de 1 registo SPF por domínio. Este erro contribui para uma das principais razões para ter configurações SPF erróneas.
Exemplo de registos SPF múltiplos
Segue-se um exemplo de vários registos SPF separados publicados para o mesmo domínio.
O caminho errado:
| TIPO DE GRAVAÇÃO | NOME DO DOMÍNIO | VALOR DE REGISTO | TTL |
|---|---|---|---|
| TXT | exemplodomain.com | v=spf1 include:_spf.zoho.com -all | padrão |
| TXT | exemplodomain.com | v=spf1 include:_spf.google.com -all | padrão |
Neste exemplo, para o domínio exampledomain.com, foram publicados 2 registos SPF DNS TXT separados no DNS do domínio. Neste caso, a autenticação SPF falha com um resultado de erro permanente devolvido para o seu domínio. Cada uma destas inclusões é tratada como registos separados, resultando em vários registos SPF no mesmo domínio.
O caminho certo:
| TIPO DE GRAVAÇÃO | NOME DO DOMÍNIO | VALOR DE REGISTO | TTL |
|---|---|---|---|
| TXT | exemplodomain.com | v=spf1 include:_spf.zoho.com include:_spf.google.com -tudo | padrão |
Neste exemplo, o domínio exampledomain.com tem apenas um único registo SPF DNS TXT em vez de vários registos SPF. Isto é conseguido através da adição dos mecanismos de inclusão múltipla SPF num único registo. O registo é válido e o SPF não devolveria um resultado PermError neste caso.
*Dica profissional: Saiba como otimizar os registos SPF da forma correcta para evitar erros de registo SPF no futuro.
Como resolver o problema dos registos SPF múltiplos?
Corrigir o erro de múltiplos registos SPF é fácil com o PowerDMARC! Siga os passos abaixo para configurar corretamente o SPF multiple includes para o seu domínio:
Passo 1: Confirmar o erro de registos múltiplos SPF
O primeiro passo é verificar se existem registos múltiplos SPF. Registe-se gratuitamente no PowerDMARC e utilize a nossa ferramenta geradora de registos SPF para confirmar a presença deste erro.
Em alternativa, pode procurar manualmente o seu registo no seu DNS. Se estiver a utilizar um fornecedor de alojamento DNS como Cloudflare, CloudDNS, DNS Made Easy, Namecheap ou outros, o processo não será o mesmo para cada fornecedor. No entanto, os passos gerais habituais são entrar na sua consola de gestão de DNS, aceder ao seu editor de zona de DNS e clicar em Gerir Domínios. Poderá encontrar os seus registos DNS para SPF na zona DNS do seu domínio.
Passo 2: Eliminar os registos SPF múltiplos para um único domínio
Se o seu domínio contiver vários registos para SPF, é altura de editar os registos DNS e eliminar todos os registos, exceto um. Certifique-se de que fica com um único registo SPF por domínio.
Passo 3: Combinar registos SPF
Por fim, edite o registo SPF único restante para combinar várias inclusões. Esta é uma forma fácil de corrigir o erro e, ao mesmo tempo, permite-lhe incluir vários registos SPF num único registo.
- Introduza a sua Consola de Gestão de DNS
- Clique para Editar o seu registo SPF
- Na sintaxe, utilize o mecanismo "include" do SPF para incluir vários domínios que pretende autorizar. Segue-se um exemplo de combinação de registos SPF em 1:
Pode continuar a adicionar mais "includes" ao mesmo registo SPF para autorizar todos os seus serviços de terceiros. Uma vez concluído, certifique-se de que guarda o seu registo no DNS.
Nota: Em vez da política de imposição (-all), pode configurar (~all) para uma abordagem mais indulgente e flexível durante a falha do SPF.
Passos para adicionar vários registos SPF
Se utilizar vários fornecedores de correio eletrónico para um único domínio, a configuração de vários registos SPF separados é a forma errada de configurar o SPF para eles. Em vez disso, eis o que precisa de fazer:
1. O PowerDMARC pode ajudá-lo a adicionar facilmente vários registos SPF para o seu domínio. Utilize a nossa ferramenta geradora de registos SPF para criar um registo gratuito.
2. No campo "Autorizar domínios ou serviços de terceiros que enviam e-mails em nome deste domínio", introduza todos os fornecedores de terceiros que deseja autorizar. Este é um passo importante para fundir registos SPF.
3. Copie e cole o registo SPF único gerado que contém vários registos SPF para os seus remetentes autorizados no seu DNS. Guarde o registo.
O problema de um registo SPF com várias inclusões
Ter o SPF incluído várias vezes nem sempre é a abordagem correcta. Embora a combinação de registos SPF desta forma o ajude a eliminar o erro de registos múltiplos SPF, pode dar origem a outros erros. Todos os fornecedores de serviços de correio eletrónico adicionam uma pesquisa de DNS durante a autenticação SPF. Ter várias inclusões no seu registo SPF equivale a muitas pesquisas. No entanto, o RFC especifica que o limite máximo de pesquisa para SPF é 10.
Exceder o limite de pesquisa SPF 10 também pode devolver SPF PermError e quebrar SPF.
Para ficar abaixo do limite de 10 pesquisas de DNS para SPF:
- Pode aplanar manualmente o seu registo SPF. No entanto, o nivelamento manual para obter todos os endereços IP por trás do mecanismo de inclusão pode levar a um registo extenso que pode exceder o limite de cadeia de caracteres para SPF.
- Ou, pode escolher Macros SPF. As macros ajudam-no a respeitar os limites de pesquisa e de comprimento de caracteres.
Para evitar múltiplos registos SPF e outros erros comuns, utilize a solução SPF alojada do PowerDMARC. Integramos macros no seu registo SPF para garantir que desfruta de um SPF sem erros, optimizado e atualizado.
Além disso, pode configurar o nosso Analisador DMARC para configurar o DMARC para os seus domínios. O DMARC ajuda-o a proteger-se contra ataques de phishing, falsificação e abuso de domínios.
Palavras finais
Ter um único registo SPF bem configurado é essencial para otimizar a capacidade de entrega de correio eletrónico. Neste blogue, explicámos como pode combinar registos SPF num só para uma configuração SPF sem erros. Embora o SPF seja um excelente primeiro passo, considere a possibilidade de explorar outros métodos de autenticação de correio eletrónico, como o DKIM e o DMARC, para uma proteção ainda melhor.
Para explorar mais soluções de segurança de domínios para simplificar a segurança das suas mensagens de correio eletrónico contacte-nos hoje mesmo!
- A Blockchain pode ajudar a melhorar a segurança do e-mail? - 9 de maio de 2024
- Proxies de centro de dados: Revelando o cavalo de batalha do mundo proxy - 7 de maio de 2024
- Kimsuky explora políticas DMARC "Nenhum" em recentes ataques de phishing - 6 de maio de 2024