["48432.js","47514.js","14759.js"]
["48418.css","16238.css","15731.css","15730.css","15516.css","14755.css","14756.css"]
["14757.html"]
  • Iniciar Sessão
  • Inscrição
  • Contacte-nos
PowerDMARC
  • Características
    • PowerDMARC
    • Alojamento DKIM
    • PowerSPF
    • PowerBIMI
    • PowerMTA-STS
    • PowerTLS-RPT
    • PowerAlerts
  • Serviços
    • Serviços de Implantação
    • Serviços Geridos
    • Serviços de apoio
    • Benefícios do serviço
  • Fixação de preços
  • Caixa de ferramentas eléctricas
  • Parceiros
    • Programa de Revenda
    • Programa MSSP
    • Parceiros Tecnológicos
    • Parceiros da indústria
    • Encontrar um parceiro
    • Torne-se um parceiro
  • Recursos
    • O que é DMARC? - Um Guia Detalhado
    • Folhas de dados
    • Estudos de casos
    • DMARC no seu país
    • DMARC por Indústria
    • Apoio
    • Blog
    • Formação em DMARC
  • Sobre
    • A nossa empresa
    • Clientes
    • Contacte-nos
    • Reservar uma demonstração
    • Eventos
  • Menu Menu

Compreender as limitações do SPF na Autenticação de Email

Blogs
Compreender as limitações do SPF na autenticação de correio electrónico

Quadro de Política de Remetentes ou SPF não é suficiente quando se trata de proteger e-mails corporativos de phishing e spamming ataques. O limite SPF no número máximo de consultas DNS e o desalinhamento do endereço e domínio causam erros de implementação que resultam em problemas de entregabilidade de correio electrónico. Este blog discute estes problemas e como o DMARC ajuda a ultrapassar estas limitações do SPF.

Quais são as limitações dos registos do SPF?

Existem 2 grandes limites do SPF que tornam um pouco difícil a sua implementação e manutenção. 

1. O limite SPF 10-Lookup

Quando um utilizador consulta o servidor DNS, os seus recursos de validação como largura de banda, tempo, CPU e memória são utilizados. Para evitar qualquer carga sobre o validador, há um limite SPF de 10 consultas adicionais. Contudo, a consulta DNS para o registo da política do SPF em si não conta para este limite.

De acordo com a RFC7208 secção 4.6.4o servidor de correio do destinatário não deve continuar a processar uma vez atingido o limite de 10 looksup. Neste caso, o e-mail rejeita a validação do SPF com um erro de Permerror. O SPF Permerror é uma das mensagens que normalmente aparecem no processo de implementação do SPF. Provoca a não entrega do correio electrónico e ocorre se existirem múltiplos registos SPF num domínio, um erro de sintaxe aparece, ou devido a limites de registo SPF excedidos.

Pode utilizar o SPF verificador de registos ferramenta para eliminar este erro e assegurar conversas seguras por correio electrónico.

Além disso, de acordo com o RFC, uma consulta DNS de um nome de anfitrião encontrado num Registo MX não deve gerar mais de 10 Um registo ou registos AAAA. Se uma consulta DNS PTR gerar mais de 10 resultados, apenas os primeiros 10 resultados são exibidos e utilizados.

2. O Leitível Humano do Endereço

A segunda limitação do SPF é que os registos SPF se aplicam a domínios específicos de Retorno-Percurso e não ao endereço From. Os destinatários geralmente não prestam muita atenção ao endereço de Retorno-Path e só se concentram no endereço De quando abrem um e-mail. Os hackers aproveitam esta lacuna para tentar ataques de phishing forjando o endereço de De.

O Impacto do Tamanho de Registo SPF na Entrega de Email

Quando um destinatário ultrapassa o limite de registo SPF, não consegue verificar o SPF e ocorre um Permerror. Pode-se observar este erro quando se utiliza a monitorização DMARC. O destinatário pode escolher como lidar com e-mails com falha do Permerror. Podem escolhê-lo para rejeitar a sua entrada, o que significa que o correio electrónico seria devolvido. Alguns destinatários configuram-no para mostrar um resultado SPF 'neutro' (como se nenhum SPF fosse utilizado). Podem também escolher 'falhar' ou 'softfail', o que significa que as mensagens de correio electrónico que falham as verificações de autenticação SPF não são rejeitadas, mas aterram na pasta de spam. 

Estes resultados são também determinados considerando os resultados de DMARC, DKIM, e a classificação de spam. Exceder o limite do SPF impacta a entregabilidade do correio electrónico, reduzindo a probabilidade de o correio electrónico aterrar na caixa de entrada primária dos destinatários pretendidos.

O validador avalia a política do SPF da esquerda para a direita e quando é encontrada uma correspondência no endereço IP do remetente, o processo pára. Agora, dependendo do remetente, um validador pode nem sempre atingir o limite de pesquisa mesmo que a política do SPF exija mais de 10 pesquisas para avaliar completamente. Isto cria dificuldades na identificação de problemas de entregabilidade de correio electrónico relacionados com o limite de registo SPF. 

Como Reduzir o Número de Consultas Exigidas?

É difícil para alguns proprietários de domínios permanecerem dentro do limite SPF de 10 consultas, uma vez que os hábitos de troca de correio electrónico mudaram significativamente desde 2006 (altura em que o RFC4408 foi implementado). Agora, as empresas utilizam múltiplos programas e serviços baseados na nuvem com um único domínio. Assim, apresentam-se a seguir algumas formas de ultrapassar esta limitação comum do SPF.

  • Remover serviços não utilizados

Avalie o seu registo SF e verifique se existem quaisquer serviços não utilizados ou não requeridos. Consulte-o para o 'incluir" ou outros mecanismos que mostram domínios de serviços que já não estão a ser utilizados.

  • Remover os valores por defeito do SPF

A política padrão do SPF é normalmente definida para 'v=spf1 a mx'. Uma vez que a maioria dos registos A e AAAA são utilizados para servidores web que não podem enviar e-mails, daí o 'a" emx mecanismo não são necessários.

  • Evite Utilizar o ptr Mecanismo

O ptr mecanismo é altamente desencorajado devido à fraca segurança e falta de fiabilidade. O mecanismo causa o problema dos limites do FPS ao exigir mais pesquisas. Por conseguinte, deve ser evitado tanto quanto possível

  • Evite Utilizar o mx Mecanismo

O mx é utilizado para a recepção de e-mails, e não necessariamente para o seu envio. É por isso que se pode evitar utilizá-lo para se manter dentro do limite de registo SPF estabelecido nas pesquisas. Se for um utilizador do serviço de correio electrónico baseado na nuvem, utilize o 'incluir mecanismo, em vez disso.

  • Usar IPv6 ou IPv4 

O IPv4 e o IPv6 não precisam de pesquisas adicionais, o que significa que não precisam de exceder o limite do SPF de não mais de 10 pesquisas. No entanto, é necessário manter-se actualizado e manter os dois mecanismos regularmente, uma vez que são mais propensos a erros quando não estão recondicionados.

  • Não Aplanar Registos SPF

Alguns recursos afirmam que quanto mais achatada (ou mais curta) a política do SPF, melhor será a reputação do domínio. Sugerem este método para permanecer dentro dos limites de registo do SPF estabelecidos nas pesquisas. No entanto, o nivelamento é desencorajado, pois torna o seu registo mais propenso a erros e requer actualizações regulares. 

O Papel do DMARC na Superação das Limitações do SPF

O DMARC aborda a limitação do SPF de leitura humana a partir do endereço, exigindo uma correspondência ou alinhamento entre o campo de leitura humana e o servidor autenticado pelo SPF.

Assim, se um e-mail passar o SPF verifica mas o domínio não é o mesmo que o endereço From, DMARC anula essa autenticação. Isto significa que o correio electrónico não passa no teste de autenticação.

Como é que o SPF regista a aplanamento ajuda a ultrapassar o limite de 10 consultas DNS

Aplainamento de registos SPF é uma técnica utilizada para optimizar os registos SPF (Sender Policy Framework) a fim de ultrapassar o limite de 10 DNS de procura de SPF. O limite de 10 consultas ao DNS é uma restrição imposta por muitos resolvedores DNS, que limita o número de consultas DNS que podem ser realizadas quando se verifica um registo SPF para um domínio.

Quando um e-mail é recebido, o servidor de correio do destinatário consulta o DNS do domínio do remetente para o seu registo SPF para verificar se o remetente está autorizado a enviar e-mails a partir desse domínio. No entanto, se o registo SPF contiver muitos registos aninhados, pode exceder rapidamente o limite de 10 consultas DNS, levando a falhas de verificação SPF e a detecções de spam falso-positivo.

Para ultrapassar esta limitação, é utilizado o aplainamento de registos SPF. O achatamento de registos SPF é uma técnica que substitui todas as declarações aninhadas num registo SPF com os seus correspondentes endereços IP ou intervalos CIDR. Isto reduz o número de consultas DNS necessárias para verificar o registo SPF, uma vez que cada domínio incluído já não é consultado individualmente.

Ao aplanar o registo SPF, o número de consultas DNS necessárias para verificar o registo SPF é significativamente reduzido, permitindo que as mensagens de correio electrónico passem a verificação SPF mesmo que o registo original tivesse mais de 10 consultas DNS. Esta técnica também reduz o risco de falhas na validação do registo SPF devido a interrupções do tempo de consulta DNS ou a problemas temporários no servidor DNS.

Desafios da implementação do SPF nas grandes empresas

O SPF forçou a limitação de não mais de 10 consultas para evitar Ataques DoS e DDoS. Infelizmente, estas pesquisas podem somar-se muito rapidamente, especialmente nas grandes empresas. No entanto, anteriormente as empresas operavam os seus próprios servidores de correio, agora utilizam remetentes de terceiros. Isto cria um problema, uma vez que cada um pode ocupar até 3 ou 4 servidores, e atinge o limite muito rapidamente.

Limite SPF

  • Sobre
  • Últimos Posts
Ahona Rudra
Gestor de Marketing Digital e Escritor de Conteúdos no PowerDMARC
Ahona trabalha como Gestor de Marketing Digital e Escritor de Conteúdos no PowerDMARC. É uma escritora apaixonada, blogueira, e especialista de marketing em cibersegurança e tecnologia da informação.
Últimos posts de Ahona Rudra (ver todos)
  • O que é um e-mail de phishing? Fique alerta e evite cair na armadilha! - 31 de maio de 2023
  • Corrigir "DKIM none message not signed"- Guia de resolução de problemas - 31 de maio de 2023
  • Corrigir o erro de SPF: Superar Demasiadas Pesquisas de DNS - 30 de maio de 2023
27 de Fevereiro de 2023/por Ahona Rudra
Etiquetas:limite SPF, Limites SPF, Limites SPF, Limites SPF, Limites SPF, Limites SPF de registos
Partilhar esta entrada
  • Partilhar no Facebook
  • Partilhar no Twitter
  • Partilhar no WhatsApp
  • Partilhar no LinkedIn
  • Partilhar por correio
Pode também gostar de
SPF Permerror - Demasiadas pesquisas de DNSCorrigir o erro de SPF: Superar demasiadas pesquisas de DNS
spf limiteComo fixar "SPF excede o limite máximo de caracteres"?
blogue de optimização do spfComo optimizar o registo do SPF?

Proteja o seu e-mail

Parar a Falsificação de E-mails e Melhorar a Entrega de E-mails

15 dias de teste grátis!


Categorias

  • Blogs
  • Notícias
  • Comunicados de imprensa

Blogs mais recentes

  • correio electrónico de phishing
    O que é um e-mail de phishing? Fique atento e evite cair na armadilha!31 de maio de 2023 - 21:05h
  • Como corrigir "Mensagem DKIM none não assinada"
    Corrigir "DKIM none message not signed"- Guia de resolução de problemas31 de maio de 2023 - 15:35h
  • SPF Permerror - Demasiadas pesquisas de DNS
    Corrigir o erro de SPF: Superar demasiadas pesquisas de DNS30 de maio de 2023 - 17:14
  • Os 5 principais serviços geridos de cibersegurança em 2023
    Os 5 principais serviços gerenciados de segurança cibernética em 202329 de maio de 2023 - 10:00 am
logotipo powerdmarc
SOC2 GDPR PowerDMARC comliant GDPR serviço comercial da coroa
powerdmarc certificado pela aliança cibernética global csa

Conhecimento

O que é a Autenticação por Email?
O que é DMARC?
O que é a Política DMARC?
O que é o SPF?
O que é o DKIM?
O que é o BIMI?
O que é MTA-STS?
O que é TLS-RPT?
O que é RUA?
O que é RUF?
AntiSpam vs DMARC
DMARC Alinhamento
Conformidade DMARC
Aplicação do DMARC
Guia de Implementação BIMI
Permerror
MTA-STS & TLS-RPT Guia de Implementação

Ferramentas

Gerador de Registos DMARC grátis
Verificador de registos DMARC gratuito
Gerador de registos SPF gratuito
Pesquisa de registos SPF gratuitos
Gerador de Registos DKIM grátis
Pesquisa de registos DKIM gratuitos
Gerador de Registos BIMI Grátis
Pesquisa de registos BIMI grátis
Procura de registos FCrDNS gratuitos
Verificador de registos TLS-RPT gratuito
Verificador de registos MTA-STS gratuito
Gerador de Registos TLS-RPT grátis

Produto

Visita ao produto
Características
PowerSPF
PowerBIMI
PowerMTA-STS
PowerTLS-RPT
PowerAlerts
Documentação API
Serviços Geridos
Protecção contra a Falsificação de Email
Protecção da marca
Anti Phishing
DMARC para o Office365
DMARC para Google Mail GSuite
DMARC para Zimbra
Formação gratuita em DMARC

Experimente-nos

Contacte-nos
Teste gratuito
Demonstração do livro
Parceria
Fixação de preços
FAQ
Apoio
Blog
Eventos
Pedido de recurso
Registo de alterações
Estado do sistema

  • English
  • Français
  • Dansk
  • Nederlands
  • Deutsch
  • Русский
  • Polski
  • Español
  • Italiano
  • 日本語
  • 中文 (简体)
  • Norsk
  • Svenska
  • 한국어
© PowerDMARC é uma marca registada.
  • Twitter
  • Youtube
  • LinkedIn
  • Facebook
  • Instagram
  • Contacte-nos
  • Termos e Condições
  • Política de Privacidade
  • Política de Biscoitos
  • Política de Segurança
  • Conformidade
  • Aviso GDPR
  • Mapa do sítio
Como introduzir valores TXT no DNS do Google Cloud?Como introduzir valores TXT no Google Cloud DNSO que é o Malware como um Serviço MaaSMalware-as-a-Service (MaaS): O que é e como evitá-lo?
Rolar para o topo
["14758.html"]