As macros SPF são uma funcionalidade eficaz e importante do Sender Policy Framework, utilizada quando os proprietários de domínios exigem um registo SPF mais dinâmico e escalável para autenticar os seus domínios de correio eletrónico. A funcionalidade de macros SPF faz parte da sintaxe de registo sintaxe do registo SPFdefinindo sequências de caracteres que são substituídas por metadados de mensagens de correio eletrónico individuais que requerem validação SPF. Isto, por sua vez, ajuda a criar registos SPF simplificados, evitando a geração de registos SPF longos e complicados.
Nós da PowerDMARC projetamos nossa solução de gerenciamento de SPF aclamada pela crítica - PowerSPF PowerSPF de uma forma que utiliza as tecnologias SPF Flattening e SPF Macros para oferecer uma grande flexibilidade no que diz respeito à autenticação SPF e à otimização dos registos. Ao longo dos anos, o PowerSPF tornou-se um dos favoritos dos clientes devido à sua facilidade de utilização e eficácia.
Para saber mais, pode visitar o documento oficial da IETF.
Explicação das macros SPF
As macros SPF são sequências de caracteres que podem ser utilizadas para simplificar a configuração do seu registo SPF, substituindo os mecanismos definidos no referido registo SPF DNS TXT, como explicado no RFC 7208, secção 7.
Os registos SPF são, na sua maioria, simples e as instruções para os servidores dos destinatários relativamente ao tratamento de mensagens de correio eletrónico ilegítimas provenientes do seu domínio podem ser estabelecidas utilizando mecanismos, qualificadores e modificadores SPF. No entanto, há certas situações em que os mecanismos SPF não são suficientes e as macros SPF têm de ser utilizadas.
As macros SPF são representadas por um sinal de percentagem (%) e incluem uma combinação de duas ou mais letras, modificadores e delimitadores. Durante o processo de autenticação SPF, as macros SPF são avaliadas e substituídas pelos seus valores correspondentes, conforme explicado em
Por exemplo, %s e %d denotam o endereço do remetente e o nome de domínio associado à identidade verificada, respetivamente.
Modificadores como r, l ou o são aplicados para extrair elementos específicos do endereço ou domínio, e delimitadores como - ou . ajudam a separar diferentes elementos dentro da macro.
Tipos de macros SPF
As macros SPF são denotadas por diferentes alfabetos ou caracteres individuais que são colocados entre chavetas { } e precedidos por um sinal de percentagem (%), que se refere a mecanismos específicos no seu registo SPF. Aqui estão as macros principais.
- %{s}: The “s” Macro represents the sender’s email address. Example- Mark@domain.com.
- %{l}: It’s used to denote the local part of the sender. Example- Mark.
- %{o}: This highlights the sender’s domain. Example: domain.com.
- %{d}: Similar to “o”, this Macro represents the authoritative sending domain. In most cases it is the same as the sender’s domain however, it may differ in some cases.
- %{i}: It’s used to extract the IP address of the sender of the message, e.g. 192.168.1.100
- %{h}: The hostname specified by the HELO or EHLO command used during the SMTP connection when the message is being sent is referred to by the %{h} macro.
Existem muitas outras macros que podem ser especificadas no seu registo, no entanto, listamos algumas das mais comuns.
Como é que as macros SPF funcionam?
Com as macros SPF, os proprietários de domínios podem especificar referências a determinados mecanismos no seu registo SPF, substituindo assim esses mecanismos. Durante uma consulta DNS pelo MTA recetor, as referências são então utilizadas para extrair os mecanismos e expandir o seu registo, ajudando a criar registos SPF mais geríveis e adaptáveis.
Segue-se um exemplo de macros utilizadas num registo SPF
“v=spf1 include:%{i}_.%{d}._spf.powerdmarc.com ~all”
- Aqui, o include: contém as macros SPF.
- Existem duas macros SPF, cada uma representada por uma sequência de caracteres de sinal de percentagem, chaveta à esquerda, letra de macro e chaveta à direita. No exemplo acima, %{i} indica o endereço IP do remetente e %{d} representa o domínio do remetente a partir do comando 'MAIL FROM'.
- Considerando o IP 192.168.1.100 como o endereço IP do domínio de envio, quando uma mensagem de correio eletrónico é enviada a partir deste IP, o servidor de receção inicia uma consulta DNS para procurar o registo DNS SPF do domínio
- Quando o recetor consulta o registo SPF do domínio emissor, depara-se com macros SPF que são posteriormente substituídas pelos valores correspondentes.
- Este registo SPF expandido é então examinado para determinar se o correio eletrónico consegue ou não passar a validação SPF, ou se falha a verificação.
Quando é que as macros são utilizadas no registo SPF?
As macros SPF podem ser utilizadas numa série de cenários diferentes, dependendo das necessidades dos proprietários de domínios. Podem ser úteis se pretender simplificar uma infraestrutura complexa de autenticação de correio eletrónico, se utilizar vários serviços de tratamento de correio eletrónico de terceiros ou se pretender simplesmente reduzir o tamanho do seu registo SPF.
De seguida, apresentam-se alguns casos comuns em que as macros SPF podem revelar-se vantajosas:
Organizações com uma infraestrutura multi-domínio
As organizações de nível empresarial que operam vários domínios são os utilizadores mais adequados para as macros SPF, embora possam ser utilizadas por organizações de todas as dimensões. As macros proporcionam uma flexibilidade substancialmente maior e uma otimização eficaz dos registos SPF em comparação com os métodos tradicionais de nivelamento, para garantir que o SPF funciona sem problemas mesmo em ambientes com vários domínios. Isto também elimina a necessidade de criar vários registos SPF.
Grandes infra-estruturas de correio eletrónico
As empresas com infra-estruturas de correio eletrónico complicadas podem ter de incorporar vários mecanismos SPF, melhor optimizados através de macros SPF. Estas macros fornecerão uma forma de definir referências a mecanismos, assegurando que o registo não se torna demasiado longo e permanece abaixo do especificado pela RFC de 512 octetos.
Serviços de terceiros
As organizações que utilizam vários fornecedores de correio eletrónico de terceiros podem agora ficar descansadas, sabendo que o SPF não irá falhar, graças à inclusão de macros SPF que facilitam a otimização de inclusões de terceiros, assegurando ao mesmo tempo que o seu registo não excede os limites permitidos para pesquisas de DNS e nulidades.
As organizações resolvem os desafios do SPF com macros SPF
Pode incluir várias macros SPF num registo e eliminar os problemas comuns detectados durante as inspecções SPF feitas manualmente ou utilizando um verificador SPF. Eis o que pode potencialmente fazer:
1. Evitar Registos SPF Longos que Causam Temperamento
Quando o seu registo SPF tem vários include: pode evitar que o registo fique demasiado longo. No entanto, esta não é uma solução permanente. Ao utilizar macros SPF na configuração SPF do seu domínio, elimina as hipóteses de o seu registo exceder o limite de comprimento especificado pelo RFC para registos TXT do DNS (512 caracteres).
2. Limitar as pesquisas de DNS e Void e atenuar o Permerror
As organizações que utilizam várias fontes de envio de terceiros e fornecedores de correio eletrónico são propensas a exceder as limitações de pesquisa especificadas pelo RFC para consultas de DNS. Isso ocorre porque cada fornecedor adiciona pelo menos uma ou várias pesquisas. Isto pode acumular-se e causar a quebra do registo SPF, resultando em SPF permerror.
Ao utilizar macros SPF para adicionar referências a endereços IP ou domínios destes fornecedores externos, pode limitar as fontes não autorizadas, assegurando ao mesmo tempo que se mantém abaixo dos limites de pesquisa.
Tire partido das macros na sua configuração de SPF com o PowerSPF
As macros SPF têm sido amplamente suportadas pelos MTAs para permitir dinamismo e escalabilidade em termos de autenticação SPF, criação de registos e gestão. O PowerSPF integra perfeitamente as macros SPF para que os nossos clientes possam gerar registos SPF com maior flexibilidade.
Porque é que aplanar o seu registo SPF não é suficiente?
O método tradicional de nivelamento dos SPF revela-se eficaz na maior parte dos casos que envolvem organizações de pequena e média dimensão, com configurações mais simples e menor número de mecanismos SPF. No entanto, as coisas podem tornar-se progressivamente mais difíceis quando os mecanismos aumentam, levando às seguintes situações desfavoráveis:
- O número de pesquisas de DNS pode ir até 10
- O comprimento do último registo DNS pode exceder 512 caracteres (tamanho máximo permitido para o registo DNS TXT)
- Os IPs autorizados e as fontes de envio são visíveis publicamente, o que suscita preocupações de privacidade
Macros SPF - Uma abordagem melhor
Criadas a pensar nas empresas com configurações complexas de SPF, mas igualmente eficazes para as pequenas e médias empresas, as macros em SPF ajudam-no a otimizar e a gerir os seus registos de forma mais eficiente em comparação com a abordagem típica de nivelamento. Eis como:
- As macros no SPF limitam as pesquisas de DNS e de nulidades para que não ultrapassem os limites máximos de 10 e 2, respetivamente
- Mantém o comprimento dos caracteres do seu registo, garantindo que não ultrapassa o limite de 512 caracteres
- Os IPs autorizados e as fontes de envio são substituídos por referências de carácter, escondendo-os do olhar do público
Nivelamento do SPF vs Macros SPF
| Registo SPF inicial (5 pesquisas) | Macros SPF (1 pesquisa) | Nivelamento do SPF (2 pesquisas) |
| v=spf1 include:_spf.google.com include:zcsend.net -all | v=spf1 exists:%{i}.abcde12345.macrospf.powerspf.com -all | abcde12345.powerspf.com:
v=spf1 ip6:2c0f:fb50:4000::/36 ip6:2a00:1450:4000::/36 ip6:2800:3f0:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2404:6800:4000::/36 ip6:2001:4860:4000::/36 ip4:74.125.0.0/16 ip4:35.191.0.0/16 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:72.14.192.0/18 ip4:64.233.160.0/19 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ip4:172.217.192.0/19 ip4:172.217.128.0/19 ip4:172.217.0.0/19 ip4:108.177.96.0/19 ip4:66.249.80.0/20 ip4:66.102.0.0/20 ip4:172.253.112.0/20 ip4:172.217.32.0/20 include:_s1.abcde12345.powerspf.com -all _s1.abcde12345.powerspf.com: v=spf1 ip4:172.217.160.0/20 ip4:172.253.56.0/21 ip4:108.177.8.0/21 ip4:130.211.0.0/22 ip4:136.143.160.0/23 ip4:135.84.82.0/23 ip4:35.190.247.0/24 ip4:165.173.128.0/24 ip4:135.84.81.0/24 -all |
Experimente hoje as nossas soluções SPF - contacte-nos para uma demonstração individual com um especialista experiente em segurança de domínios e correio eletrónico!
- Corrigir o erro de SPF: Ultrapassar o limite de demasiadas pesquisas de DNS do SPF - 26 de abril de 2024
- Como publicar um registo DMARC em 3 passos? - 2 de abril de 2024
- Porque é que o DMARC está a falhar? Corrigir a falha do DMARC em 2024 - 2 de abril de 2024