SPF todos

SPF existe no DNS do seu domínio como um registo TXT com um monte de mecanismos e modificadores que representam instruções específicas. O SPF todos os mecanismos estão presentes na extremidade direita de um registo SPF, precedido por "-" ou "~". Vejamos qual é a diferença entre o SPF -all e ~todos os mecanismos para determinar quando os deve configurar.

SPF - queda vs ~tudo

Tanto o SPF -all como ~todos os mecanismos significam "NOT PASS" para autenticação SPF. Em tempos recentes, para uma maioria de provedores de serviços de correio electrónico, não há diferença entre o mecanismo -all e ~all, e o mesmo resultado é devolvido. No entanto, não era este o caso há alguns anos atrás.

Como funcionava o mecanismo SPF all (Softfail vs Fail) antes do DMARC?

O DMARC foi criado muito tempo depois de o SPF já ter estado no mercado como protocolo padrão de autenticação de correio electrónico. Nesta altura, o mecanismo SPF -all softfail funcionava da seguinte forma: 

Suponhamos que o seu registo SPF era: 

v=spf1 include:spf.domain.com ~all (onde ~todos significam SPF Softfail)

O servidor de e-mail do seu receptor teria efectuado uma pesquisa DNS para consultar o DNS do remetente para o seu registo SPF. Se o domínio Return-path do e-mail não estivesse listado no registo do remetente, o servidor receptor teria devolvido um resultado SPF "NOT PASS" mas teria entregue o e-mail para a caixa de entrada do receptor.

Agora vamos supor que o seu registo SPF era: 

v=spf1 include:spf.domain.com -all (onde -tudo significa falha do SPF)

O servidor de e-mail do seu receptor teria efectuado uma pesquisa DNS para consultar o DNS do remetente para o seu registo SPF. Se o domínio Return-path do e-mail não estivesse listado no registo do remetente, o servidor receptor teria devolvido um resultado SPF "NOT PASS", mas neste caso, o e-mail teria foi rejeitado e não entregue para a caixa de entrada do receptor.

Leia mais sobre a história do Quadro de Política de Remetentes

Como é que os fornecedores de serviços de correio electrónico lidam agora com o mecanismo SPF -all vs ~all?

Embora seja livre de utilizar SPF -all ou ~all para a maioria dos provedores de caixas de correio no momento actual sem ter de se preocupar com falhas de entrega de e-mails legítimos, pode surgir uma situação em que um servidor rejeita o seu correio electrónico em caso de -todos os atributos.

Só para estar no lado mais seguro, pode evitar usar o mecanismo SPF hard fail -all enquanto cria o seu registo SPF. É assim que o faz:

  • Abrir o PowerDMARC Gerador de registos SPF para começar a criar um disco de graça
  • Depois de incluir os endereços IP e os domínios ou os seus remetentes de correio electrónico, desça até à última secção designada para instruir os servidores de correio electrónico sobre o quão estritos devem ser ao verificar as suas mensagens
  • Escolha a opção "Soft-fail" antes de carregar no botão "Generate SPF Record" (Gerar Registo SPF)

O que é que recomendamos? SPF - queda ou SPF ~ queda

Os problemas de entregabilidade de correio electrónico relacionados com o mecanismo SPF -all podem ocorrer em ocasiões muito raras. Este não é um problema recorrente com o qual se deparará frequentemente. Para garantir que nunca se deparará com este problema, pode tomar as seguintes medidas:

  • Configurar DMARC para as suas mensagens de correio electrónico, e permitir a elaboração de relatórios DMARC
  • Defina a sua política DMARC para monitorizar e inspeccionar de perto os seus resultados de autenticação SPF para detectar quaisquer inconsistências na entregabilidade do correio electrónico
  • Se tudo for bom, pode usar o - todo o mecanismo no seu registo SPF. Recomendamos a utilização do atributo hard fail, uma vez que afirma que está confiante quanto à autenticidade dos seus e-mails, o que pode aumentar a reputação do seu domínio.

Se não estiver actualmente seguro de utilizar SPF -all, pode seguir estes passos:

  • Estabelecer um registo SPF usando o mecanismo ~all
  • Configure DMARC para os seus emails, e active o relatório DMARC
  • Defina a sua política DMARC para rejeitar

Resolução de problemas de outros erros do SPF

Enquanto utiliza ferramentas em linha, pode deparar-se frequentemente com o "Não foi encontrado nenhum registo SPF"que é um estado de erro comum resultante de um resultado nulo devolvido quando um servidor consultou o registo SPF do seu domínio. Cobrimos um artigo em detalhe falando sobre esta questão e ajudando os utilizadores a resolvê-la. Clique no texto ligado para saber mais!

Se tiver DMARC em vigor para o seu domínio sobre SPF, os servidores de correio electrónico verificarão a política DMARC do seu domínio para estabelecer como deseja que as mensagens de correio electrónico não autenticadas sejam tratadas. Esta política para DMARC determinará se os seus emails são entregues, colocados em quarentena, ou rejeitados. 

O DMARC rejeita ajuda a proteger o seu domínio contra uma variedade de ataques de imitação como falsificação, phishing, e resgates.