Corrigir o erro de SPF: Ultrapassar o limite de demasiadas pesquisas de DNS do SPF

Blog

Saiba como corrigir o SPF Permerror reduzindo as pesquisas de DNS, optimizando os registos SPF e evitando armadilhas comuns, como exceder o limite de 10 pesquisas de DNS.

por Maitham Al Lawati

Tempo de leitura: 9 min
Corrigir o erro de SPF: Ultrapassar o limite de demasiadas pesquisas de DNS do SPF
Índice-

O SPF (Sender Policy Framework) é um protocolo de autenticação de correio eletrónico que verifica os seus remetentes de correio eletrónico para confirmar a sua legitimidade. Sem registos SPF, qualquer pessoa pode enviar e-mails em nome do seu domínio! Funciona como um ponto de controlo de segurança, verificando se autorizou um remetente a enviar e-mails a partir do seu domínio ou se um impostor está a tentar utilizar indevidamente o seu nome de domínio. 

No entanto, o SPF não é perfeito! O SPF vem com um conjunto de regras e limitações, cujo cumprimento pode fazer ou quebrar o seu protocolo SPF! Uma delas é o limite de 10 pesquisas de DNS, que restringe o número de pesquisas de SPF permitidas a 10 por sessão de autenticação. Se isso não for feito, ocorrerão erros permanentes de SPF - mais popularmente conhecidos como SPF Permerror.

Takeaways de chaves

  • O SPF Permerror indica que existe um problema fundamental com o registo SPF de um domínio, impedindo uma avaliação precisa.
  • Exceder o limite de 10 pesquisas de DNS pode causar problemas graves, como a rejeição de correio eletrónico ou a classificação como spam.
  • Os erros de sintaxe no registo SPF podem dar origem a Permerror, o que exige uma formatação e verificação cuidadosas.
  • Os registos SPF de grandes dimensões podem exceder os limites de caracteres estabelecidos, contribuindo para problemas de capacidade de entrega e potenciais erros SPF.
  • A utilização de ferramentas de nivelamento de SPF pode ajudar a otimizar os registos para evitar Permerrors e melhorar a autenticação de e-mail.

O que é o SPF Permerror?

Um SPF PermError (Erro permanente) ocorre quando existe um problema crítico com o registo SPF (Sender Policy Framework) que impede a sua correta avaliação. Normalmente, este erro significa que o registo SPF é inválido ou está mal configurado. Ao contrário do SPF 'fail' (uma falha temporária de autenticação), o Permerror indica uma má configuração permanente.

O erro de SPF pode ter um impacto negativo na capacidade de entrega do seu correio eletrónico, levando a rejeições de correio eletrónico e spam. Pode também reduzir a eficácia do DMARC se tiver confiado apenas no SPF para a sua configuração DMARC.

Simplifique o Permerror SPF com PowerDMARC!

Qual é a diferença entre SPF fail e Permerror?

A diferença entre o SPF fail e o Permerror reside nos erros encontrados durante a autenticação SPF:

1. Falha de SPF: Quando um servidor de e-mail verifica o registo SPF do domínio de um remetente e determina que o servidor de envio não está autorizado a enviar e-mails em nome desse domínio, resulta numa falha de SPF.

Tipo de erro: Erro temporário

Causa: O endereço IP ou o domínio do remetente não está listado no registo SPF.

Exemplo de cenário: Um terceiro não autorizado está a tentar enviar e-mails em nome do seu domínio.

Possíveis correcções: Certificar-se de que o IP do servidor de envio está incluído no registo SPF.

2. SPF Permerror: O SPF Permerror, abreviatura de SPF permanent error (erro permanente do SPF), ocorre quando existe um problema crítico com o registo SPF que o impede de ser corretamente avaliado. Um Permerror indica que o registo SPF não pode ser processado com precisão, tornando impossível determinar se o servidor de envio é autorizado ou não.

Tipo de erro: Erro permanente

Causa: Erros de sintaxe, demasiadas pesquisas no DNS, múltiplos registos SPF.

Exemplo de cenário: Exceder o limite de 10 pesquisas de DNS para SPF.

Possíveis correcções: Utilizar macros SPF no seu registo ou um serviço de nivelamento SPF.

O que é que causa o Permerror SPF?

O SPF Permerror pode ser causado por uma variedade de factores, como demasiadas pesquisas de DNS que excedem o limite do SPF, erros de sintaxe e problemas de configuração. Vamos explorar quais são eles: 

1. Erros de sintaxe SPF

Uma formatação ou sintaxe incorrecta no registo SPF pode desencadear um Permerror. Caracteres em falta ou mal colocados, como aspas ou dois pontos, podem levar a problemas de análise. Esses erros podem ocorrer devido a:

  • Caracteres em falta ou mal colocados, como aspas (") e dois pontos (:)
  • Mecanismos ou qualificadores incorretamente formatados
  • Definições de macro inválidas

Exemplos:

Dois pontos em falta: v=spf1 include_spf.example.com -all

Qualificadores mal colocados: v=spf1 +mx a:mail.example.com -all

2. Problemas de configuração do DNS

Os problemas de configuração do DNS envolvem problemas relacionados com a configuração do Sistema de Nomes de Domínio (DNS) para registos SPF. Estes problemas podem incluir:

  • Configuração DNS incorrecta ou incompleta para o domínio ou para os registos SPF associados.
  • Localizações de registos SPF inválidas, como apontar para entradas DNS inexistentes ou incorrectas.

Exemplo:

A configuração incorrecta ou incompleta do DNS, a localização inválida do registo SPF ou a associação incorrecta com o domínio correspondente podem conduzir a falhas na avaliação.

3. Demasiadas pesquisas de DNS

Os limites de pesquisa DNS são restrições impostas pelas especificações SPF para evitar consultas DNS excessivas durante a avaliação SPF. Estes limites incluem:

  • É permitido um máximo de 10 pesquisas de DNS durante a avaliação SPF.
  • É permitido um máximo de 2 pesquisas "void" durante a avaliação SPF.

Se estes limites forem ultrapassados, o resultado é um Permerror.

Exemplo:

Um registo SPF que inclui vários mecanismos de inclusão que conduzem a mais de 10 pesquisas no DNS.

Registos SPF de grandes dimensões

Os registos SPF sobredimensionados ocorrem quando o tamanho do registo SPF excede as limitações definidas pela IETF, conforme descrito nos documentos RFC. Os registos SPF estão limitados a 255 caracteres por cadeia, enquanto os registos TXT permitem até 512 bytes. As causas dos registos SPF de tamanho excessivo incluem:

  • Incluir numerosos mecanismos, qualificadores ou modificadores, o que conduz a um número excessivo de caracteres.
  • Entradas redundantes ou desnecessárias no registo SPF, aumentando o seu tamanho.

Exemplo:

Um único registo SPF com inclusão extensiva de endereços IP, redes ou serviços de terceiros.

Qual é o limite de 10 pesquisas de DNS?

O limite de 10 pesquisas de DNS é uma restrição imposta aos registos Sender Policy Framework (SPF), o que significa que quando um servidor de correio eletrónico recebe um correio eletrónico, só pode efetuar até 10 pesquisas de DNS para recuperar registos SPF associados ao domínio de envio.

Esta limitação ajuda a evitar consultas de DNS excessivas e potenciais problemas de desempenho durante a entrega do correio electrónico. Se o registo SPF de um domínio exceder o limite de 10 pesquisas de DNS, alguns servidores de correio electrónico podem tratar o SPF como inválido ou rejeitar completamente o correio electrónico. Por conseguinte, é crucial gerir cuidadosamente e optimizar o número de pesquisas de DNS num registo SPF para garantir a entrega adequada do correio electrónico e a validação do SPF.

Porque é que o RFC especifica este limite rigoroso de procura de DNS SPF para domínios?

Embora o limite de registos SPF possa parecer uma limitação SPF bastante indesejada, não é necessariamente assim. O limite de pesquisa SPF DNS foi implementado para bloquear ataques de negação de serviço (como mencionado em RFC 7208).

Por exemplo, um agente de ameaças cria um registo SPF num domínio falso com referência a um domínio empresarial legítimo para enviar emails em massa para vários servidores receptores. O limite de 10 pesquisas evita que os atacantes sobrecarreguem os receptores com consultas DNS recursivas (por exemplo, um registo SPF malicioso que obriga a mais de 100 pesquisas por correio eletrónico).

Como é que demasiadas pesquisas de DNS afectam os seus e-mails?

Se houver demasiadas pesquisas de DNS envolvidas no registo SPF, isso pode ter um impacto sem precedentes nos seus e-mails. Demasiadas pesquisas de DNS podem causar inconsistências na capacidade de entrega e acionar o SPF Permerror. 

1. Pode causar atrasos na entrega

As pesquisas excessivas de DNS podem aumentar o tempo necessário para processar registos SPF. Isto pode causar atrasos na entrega de correio electrónico, uma vez que o servidor de recepção tem de esperar pelas respostas de vários servidores DNS.

2. Pode conduzir a erros de tempo limite 

As pesquisas de DNS envolvem comunicação entre o servidor receptor e os servidores DNS. Demasiadas pesquisas de DNS aumentam a probabilidade de erros de timeout, resultando em falhas de avaliação SPF ou tempos de entrega prolongados.

3. Pode aumentar o risco de Permerror SPF

Se o registo SPF exceder estes limites de pesquisa, pode desencadear um Permerror, indicando que o registo SPF não pode ser processado com precisão. O correio electrónico pode ser assinalado como suspeito ou potencialmente rejeitado.

4. Pode resultar numa avaliação incompleta do SPF

Se o servidor de recepção encontrar um erro de limite de pesquisa de DNS ou de tempo limite devido a demasiadas pesquisas de DNS no SPF, pode terminar prematuramente a avaliação do SPF. 

Como corrigir o erro de SPF e ultrapassar o limite de 10 pesquisas de DNS?

Para resolver o SPF Permerror, garanta uma utilização eficiente da pesquisa através do nivelamento do SPF, para que possa otimizar o seu registo SPF de modo a manter-se abaixo do limite de 10 pesquisas de DNS durante as verificações.

1. Corrigir o Permerror reduzindo manualmente os Lookups

Pode substituir os mecanismos de "inclusão" e/ou "redireccionamento" do SPF por endereços IP. Embora isso corrija o SPF Permerror, não é a solução ideal. Isto porque o comprimento do seu registo após a adição da longa lista de IPs pode exceder o limite de caracteres e provocar mais erros. 

Por exemplo, considere o seguinte registo SPF com vários mecanismos de "inclusão":

v=spf1 include:_spf.example.com include:_spf.anotherexample.com -all

Para reduzir as pesquisas no DNS, pode substituir os mecanismos "include" por endereços IP:

v=spf1 ip4:192.0.2.1 ip4:203.0.113.5 -all

Neste exemplo, os domínios _spf.example.com e _spf.anotherexample.com foram substituídos pelos seus endereços IP correspondentes (192.0.2.1 e 203.0.113.5, respetivamente).

Embora essa redução manual de pesquisas de DNS possa atenuar o SPF Permerror, é essencial considerar as possíveis limitações. Uma preocupação significativa é o limite de caracteres dos registos SPF. A adição de uma longa lista de endereços IP pode exceder esse limite, levando a erros adicionais. Por isso, é necessário um planeamento e otimização cuidadosos para garantir que o registo SPF se mantém dentro do número de caracteres permitido.

Aviso: A substituição manual de 'include' por IPs é frágil - os IPs de terceiros mudam frequentemente!

2. Corrigir o Permerror usando uma ferramenta de otimização automática de SPF

Uma forma mais eficaz de evitar erros de SPF é implementar um programa de SPF achatada ou, melhor ainda, Macros SPF. Uma solução que engloba ambos num serviço alojado automático e sem complicações é o PowerSPF. Isto não só garante que se mantém dentro do limite de 10 pesquisas de DNS, como também o mantém atualizado sobre quaisquer alterações feitas pelos seus fornecedores de serviços de correio eletrónico e vendedores que frequentemente adicionam ou alteram os seus endereços IP.

O que é ainda melhor é que não são precisos mais do que alguns cliques! Os passos para utilizar a ferramenta são apresentados abaixo: 

1. Registe-se no PowerDMARC gratuitamente

2. Aceda a Serviços alojados > PowerSPF

3. Crie o seu registo SPF seguindo as instruções fornecidas pela ferramenta

4. Clique para ativar o botão PowerSPF

5. Publique o registo SPF personalizado do PowerSPF no seu DNS, após o que o estado "pendente" será convertido para o estado "ativado"

E já está! Esta é a maneira mais rápida, fácil e eficaz de evitar o erro de SPF. O PowerSPF automatiza o nivelamento, garantindo a conformidade e as actualizações automáticas quando os fornecedores alteram os IPs.

Estratégias avançadas para otimização de SPF

Achatamento de SPF é o processo de conversão de várias instruções "include" e outras pesquisas baseadas no DNS numa lista simplificada de endereços IP. Esta abordagem reduz o número de consultas DNS durante a avaliação SPF.

Vantagens e desvantagens do achatamento do SPF

VantagensDesvantagens
Pesquisas de DNS reduzidasAs alterações de endereço IP podem quebrar o SPF
Minimização de erros SPF como o PermerrorUma lista de IPs longa pode exceder o limite de comprimento do SPF
Melhor controlo e visão geral dos registos SPFSe forem necessárias actualizações manuais, a sua manutenção pode ser difícil.

1. Remoção de referências de domínio inválidas ou não utilizadas

Cada declaração de inclusão num registo SPF desencadeia uma pesquisa de DNS separada. Se um domínio já não for relevante (por exemplo, um antigo fornecedor de correio eletrónico que já não é utilizado), manter a sua declaração de inclusão consome pesquisas desnecessariamente, podendo causar falhas de validação SPF. A remoção destas declarações optimiza o registo e melhora a eficiência.

Passos para identificar e remover domínios inválidos ou não utilizados

  1. Reveja o seu registo SPF e liste todas as declarações de inclusão juntamente com as referências de domínio.
  2. Verifique agora a utilização ativa, identificando os domínios que ainda estão a ser utilizados para correio eletrónico de saída.
  3. Utilizar ferramentas de pesquisa de SPF como o PowerDMARC verificador de SPF podem ajudar a verificar se um domínio incluído ainda é válido.
  4. Consulte o seu fornecedor de correio eletrónico para verificar que mecanismos de inclusão são necessários para os serviços de correio eletrónico actuais.
  5. Por fim, remova as instruções include não utilizadas e verifique novamente o seu registo SPF para garantir que está correto.

2. Evitar o mecanismo "ptr" do SPF

O mecanismo ptr no SPF verifica se um endereço IP resolve para um nome de domínio que corresponde ao domínio do remetente. No entanto, esta abordagem tem vários inconvenientes. Para começar, a inclusão da etiqueta PTR pode tornar o processo de autenticação SPF mais lento, uma vez que as pesquisas de DNS invertido (consultas PTR) são demoradas. Também não é muito fiável, pois nem todos os remetentes de correio eletrónico têm registos PTR corretamente configurados. Mais importante ainda, o IETF descontinuou este mecanismo, desencorajando a sua utilização devido aos riscos de segurança e à ineficiência.

3. Eliminação de mecanismos redundantes

Muitos registos SPF contêm mecanismos duplicados ou sobrepostos, tais como várias declarações de inclusão para o mesmo domínio. Esta redundância aumenta a complexidade do SPF e desperdiça pesquisas de DNS valiosas. Uma maneira de contornar isso é: 

  • Identificar duplicações e eliminar mecanismos redundantes.
  • Consolidar e fundir as inclusões se várias estiverem a apontar para o mesmo domínio.
  • Evite a utilização excessiva dos mecanismos "a" e "mx" e utilize-os apenas quando necessário.
  • Por fim, teste sempre a validade do seu registo SPF e certifique-se de que as suas fontes de envio estão actualizadas. 

4. Utilizar os mecanismos ip4 e ip6 

Ao contrário dos mecanismos include, que requerem pesquisas DNS adicionais, os mecanismos ip4 e ip6 listam os endereços IP diretamente no registo SPF. Isto elimina consultas DNS desnecessárias e garante uma autenticação mais rápida.

"Excelente produto e excelente equipa"

Hakob Sharabkhanyan (Diretor Executivo da Hacktech)

"Empresa, produto e fornecedor de MSP fantásticos"

Bill Barnett (Fundador e Presidente da Clearview IT)

AnteriorSeguinte

Corrigir erros SPF para melhorar a capacidade de entrega do seu e-mail

A correção de erros SPF é da maior importância devido a várias razões. Tem um impacto significativo na capacidade de entrega de correio eletrónico, uma vez que os erros SPF podem levar a que os e-mails legítimos sejam marcados como spam ou rejeitados pelos servidores de correio receptores, resultando numa menor probabilidade de chegarem às caixas de entrada dos destinatários. Além disso, o SPF funciona como um mecanismo vital de autenticação do remetente, permitindo que os destinatários de correio eletrónico verifiquem a legitimidade do domínio do remetente. 

Ao resolver os erros SPF, garante que os seus e-mails legítimos são devidamente autenticados, reduzindo o risco de o seu domínio ser explorado para falsificação de e-mails ou ataques de phishing. A resolução dos erros SPF ajuda a salvaguardar a reputação da sua marca, uma vez que as falhas de entrega consistentes e as marcações de spam podem prejudicar a percepção da fiabilidade e credibilidade da sua marca.

Últimas mensagens de Maitham Al Lawati (ver todas)
SPF Softfail Vs SPF Hardfail: Qual é a diferença?spf hardfailSegurança de e-mail 101 para combater fraudes de criptografia