Compreender as limitações do SPF na Autenticação de Email

Sender Policy Framework ou SPF não é suficiente quando se trata de proteger o correio eletrónico das empresas contra phishing e spamming ataques de phishing e spam. O limite do SPF para o número máximo de pesquisas no DNS e o desalinhamento do endereço De e do domínio causam erros de implementação que resultam em problemas de entrega de correio eletrónico. Este blogue aborda estes problemas e a forma como o DMARC ajuda a ultrapassar estas limitações do SPF.

Quais são as limitações dos registos do SPF?

Existem 2 grandes limites do SPF que tornam um pouco difícil a sua implementação e manutenção. 

1. O limite SPF 10-Lookup

Quando um utilizador consulta o servidor DNS, os seus recursos de validação como largura de banda, tempo, CPU e memória são utilizados. Para evitar qualquer carga sobre o validador, há um limite SPF de 10 consultas adicionais. Contudo, a consulta DNS para o registo da política do SPF em si não conta para este limite.

De acordo com a RFC7208 secção 4.6.4o servidor de correio do destinatário não deve continuar a processar uma vez atingido o limite de 10 looksup. Neste caso, o e-mail rejeita a validação do SPF com um erro de Permerror. O SPF Permerror é uma das mensagens que normalmente aparecem no processo de implementação do SPF. Provoca a não entrega do correio electrónico e ocorre se existirem múltiplos registos SPF num domínio, um erro de sintaxe aparece, ou devido a limites de registo SPF excedidos.

Pode utilizar o SPF verificador de registos ferramenta para eliminar este erro e assegurar conversas seguras por correio electrónico.

Além disso, de acordo com o RFC, uma consulta DNS de um nome de anfitrião encontrado num Registo MX não deve gerar mais de 10 Um registo ou registos AAAA. Se uma consulta DNS PTR gerar mais de 10 resultados, apenas os primeiros 10 resultados são exibidos e utilizados.

2. O Leitível Humano do Endereço

A segunda limitação do SPF é que os registos SPF se aplicam a domínios específicos de Retorno-Percurso e não ao endereço From. Os destinatários geralmente não prestam muita atenção ao endereço de Retorno-Path e só se concentram no endereço De quando abrem um e-mail. Os hackers aproveitam esta lacuna para tentar ataques de phishing forjando o endereço de De.

O Impacto do Tamanho de Registo SPF na Entrega de Email

Quando um destinatário excede o limite de registos SPF, falha nas verificações SPF e ocorre um Permerror. É possível observar este erro quando se utiliza a monitorização DMARC. O destinatário pode escolher a forma de lidar com as mensagens de correio eletrónico com falha de Permerror. Pode optar por rejeitar a sua entrada, o que significa que o correio eletrónico será devolvido. Alguns destinatários configuram-no para mostrar um resultado SPF "neutro" (como se não fosse utilizado nenhum SPF). Também podem optar por "falhar" ou "falha suave", o que significa que os e-mails que falham as verificações de autenticação SPF não são rejeitados, mas vão parar à pasta de spam. 

Estes resultados são também determinados considerando os resultados de DMARC, DKIM, e a classificação de spam. Exceder o limite do SPF impacta a entregabilidade do correio electrónico, reduzindo a probabilidade de o correio electrónico aterrar na caixa de entrada primária dos destinatários pretendidos.

O validador avalia a política do SPF da esquerda para a direita e quando é encontrada uma correspondência no endereço IP do remetente, o processo pára. Agora, dependendo do remetente, um validador pode nem sempre atingir o limite de pesquisa mesmo que a política do SPF exija mais de 10 pesquisas para avaliar completamente. Isto cria dificuldades na identificação de problemas de entregabilidade de correio electrónico relacionados com o limite de registo SPF. 

Como Reduzir o Número de Consultas Exigidas?

É difícil para alguns proprietários de domínios permanecerem dentro do limite SPF de 10 consultas, uma vez que os hábitos de troca de correio electrónico mudaram significativamente desde 2006 (altura em que o RFC4408 foi implementado). Agora, as empresas utilizam múltiplos programas e serviços baseados na nuvem com um único domínio. Assim, apresentam-se a seguir algumas formas de ultrapassar esta limitação comum do SPF.

• Remover serviços não utilizados

Avalie o seu registo SF e verifique se existem quaisquer serviços não utilizados ou não requeridos. Consulte-o para o 'incluir" ou outros mecanismos que mostram domínios de serviços que já não estão a ser utilizados.

• Remover os valores por defeito do SPF

A política padrão do SPF é normalmente definida para 'v=spf1 a mx'. Uma vez que a maioria dos registos A e AAAA são utilizados para servidores web que não podem enviar e-mails, daí o 'a" emx mecanismo não são necessários.

• Evite Utilizar o ptr Mecanismo

O ptr mecanismo é altamente desencorajado devido à fraca segurança e falta de fiabilidade. O mecanismo causa o problema dos limites do FPS ao exigir mais pesquisas. Por conseguinte, deve ser evitado tanto quanto possível

• Evite Utilizar o mx Mecanismo

O mx é utilizado para a recepção de e-mails, e não necessariamente para o seu envio. É por isso que se pode evitar utilizá-lo para se manter dentro do limite de registo SPF estabelecido nas pesquisas. Se for um utilizador do serviço de correio electrónico baseado na nuvem, utilize o 'incluir mecanismo, em vez disso.

• Usar IPv6 ou IPv4 

O IPv4 e o IPv6 não precisam de pesquisas adicionais, o que significa que não precisam de exceder o limite do SPF de não mais de 10 pesquisas. No entanto, é necessário manter-se actualizado e manter os dois mecanismos regularmente, uma vez que são mais propensos a erros quando não estão recondicionados.

• Não Aplanar Registos SPF

Alguns recursos afirmam que quanto mais achatada (ou mais curta) a política do SPF, melhor será a reputação do domínio. Sugerem este método para permanecer dentro dos limites de registo do SPF estabelecidos nas pesquisas. No entanto, o nivelamento é desencorajado, pois torna o seu registo mais propenso a erros e requer actualizações regulares. 

O Papel do DMARC na Superação das Limitações do SPF

O DMARC aborda a limitação do SPF de leitura humana a partir do endereço, exigindo uma correspondência ou alinhamento entre o campo de leitura humana e o servidor autenticado pelo SPF.

Assim, se um e-mail passar o SPF verifica mas o domínio não é o mesmo que o endereço From, DMARC anula essa autenticação. Isto significa que o correio electrónico não passa no teste de autenticação.

Como é que o SPF regista a aplanamento ajuda a ultrapassar o limite de 10 consultas DNS

Aplainamento de registos SPF é uma técnica utilizada para optimizar os registos SPF (Sender Policy Framework) a fim de ultrapassar o limite de 10 DNS de procura de SPF. O limite de 10 consultas ao DNS é uma restrição imposta por muitos resolvedores DNS, que limita o número de consultas DNS que podem ser realizadas quando se verifica um registo SPF para um domínio.

Quando um e-mail é recebido, o servidor de correio do destinatário consulta o DNS do domínio do remetente para o seu registo SPF para verificar se o remetente está autorizado a enviar e-mails a partir desse domínio. No entanto, se o registo SPF contiver muitos registos aninhados, pode exceder rapidamente o limite de 10 consultas DNS, levando a falhas de verificação SPF e a detecções de spam falso-positivo.

Para ultrapassar esta limitação, é utilizado o aplainamento de registos SPF. O achatamento de registos SPF é uma técnica que substitui todas as declarações aninhadas num registo SPF com os seus correspondentes endereços IP ou intervalos CIDR. Isto reduz o número de consultas DNS necessárias para verificar o registo SPF, uma vez que cada domínio incluído já não é consultado individualmente.

Ao aplanar o registo SPF, o número de consultas DNS necessárias para verificar o registo SPF é significativamente reduzido, permitindo que as mensagens de correio electrónico passem a verificação SPF mesmo que o registo original tivesse mais de 10 consultas DNS. Esta técnica também reduz o risco de falhas na validação do registo SPF devido a interrupções do tempo de consulta DNS ou a problemas temporários no servidor DNS.

Desafios da implementação do SPF nas grandes empresas

O SPF forçou a limitação de não mais de 10 consultas para evitar Ataques DoS e DDoS. Infelizmente, estas pesquisas podem somar-se muito rapidamente, especialmente nas grandes empresas. No entanto, anteriormente as empresas operavam os seus próprios servidores de correio, agora utilizam remetentes de terceiros. Isto cria um problema, uma vez que cada um pode ocupar até 3 ou 4 servidores, e atinge o limite muito rapidamente.

• Sobre
• Últimos Posts

Ahona Rudra

Ahona é gerente de marketing da PowerDMARC, com mais de 5 anos de experiência em escrever sobre tópicos de segurança cibernética, especializada em segurança de domínio e e-mail. Ahona possui uma pós-graduação em Jornalismo e Comunicação, solidificando sua carreira no setor de segurança desde 2019.

Últimos posts de Ahona Rudra (ver todos)

• Kimsuky explora políticas DMARC "Nenhum" em recentes ataques de phishing - 6 de maio de 2024
• Aumento de fraudes fiscais e ataques de imitação de e-mail do IRS durante a época fiscal - 2 de maio de 2024
• Segurança de e-mail 101 para combater fraudes de criptografia - 30 de abril de 2024