Corrigir o erro de SPF: Ultrapassar o limite de demasiadas pesquisas de DNS do SPF
por
Tempo de leitura: 9 min
Um SPF Permerror indica que foi encontrado um erro permanente durante o processamento do registo SPF de um domínio. Os proprietários de domínios podem deparar-se com um SPF Permerror devido a uma série de razões, tais como
- Registo SPF inválido ou incorreto
- Demasiadas pesquisas de DNS excedem o limite de pesquisas SPF
- Demasiadas pesquisas nulas excedem o limite de pesquisas SPF
- O registo SPF é demasiado longo
- Mais do que um registo SPF publicado para um único domínio
Para corrigir o SPF Permerror, os proprietários de domínios precisam de garantir que estão a limitar a 10 o número excessivo de pesquisas de DNS do SPF. Devem também manter o comprimento ideal dos caracteres SPF. A verificação do registo SPF quanto a erros de sintaxe e configuração é um excelente ponto de partida para detetar erros de SPF. Assim que o problema do Permerror for resolvido, é possível contornar os falsos negativos e evitar a quebra do SPF.
Takeaways de chaves
- O SPF Permerror indica que existe um problema fundamental com o registo SPF de um domínio, impedindo uma avaliação precisa.
- Exceder o limite de 10 pesquisas de DNS pode causar problemas graves, como a rejeição de correio eletrónico ou a classificação como spam.
- Os erros de sintaxe no registo SPF podem dar origem a Permerror, o que exige uma formatação e verificação cuidadosas.
- Os registos SPF de grandes dimensões podem exceder os limites de caracteres estabelecidos, contribuindo para problemas de capacidade de entrega e potenciais erros SPF.
- A utilização de ferramentas de nivelamento de SPF pode ajudar a otimizar os registos para evitar Permerrors e melhorar a autenticação de e-mail.
O que é o SPF Permerror?
SPF=Permerror indica que existe um problema fundamental com o registo SPF. Isto torna impossível determinar se o servidor de envio está autorizado ou não. O erro permanente SPF Permerror ou SPF é encontrado durante a avaliação dos registos Sender Policy Framework (SPF) durante a autenticação de correio eletrónico.
Simplifique o Permerror SPF com PowerDMARC!
Qual é a diferença entre SPF fail e Permerror?
A diferença entre o SPF fail e o Permerror reside na natureza dos erros encontrados durante a autenticação SPF:
- Falha do SPF: Quando um servidor de e-mail verifica o registo SPF do domínio de um remetente e determina que o servidor de envio não está autorizado a enviar e-mails em nome desse domínio, resulta numa falha de SPF.
- SPF Permerror: O SPF Permerror, abreviatura de SPF permanent error, ocorre quando existe um problema fundamental com o registo SPF que impede a sua correcta avaliação. Um Permerror indica que o registo SPF não pode ser processado com precisão, tornando impossível determinar se o servidor de envio é autorizado ou não.
Qual é o limite de 10 pesquisas de DNS?
O limite de 10 pesquisas de DNS é uma restrição imposta aos registos Sender Policy Framework (SPF), o que significa que, quando um servidor de correio electrónico recebe uma mensagem de correio electrónico, só pode efectuar até 10 pesquisas de DNS para recuperar registos SPF associados ao domínio de envio.
Esta limitação ajuda a evitar consultas de DNS excessivas e potenciais problemas de desempenho durante a entrega do correio electrónico. Se o registo SPF de um domínio exceder o limite de 10 pesquisas de DNS, alguns servidores de correio electrónico podem tratar o SPF como inválido ou rejeitar completamente o correio electrónico. Por conseguinte, é crucial gerir cuidadosamente e optimizar o número de pesquisas de DNS num registo SPF para garantir a entrega adequada do correio electrónico e a validação do SPF.
Porque é que o RFC especifica este limite rigoroso de procura de DNS SPF para domínios?
Embora o limite de registos SPF possa parecer uma limitação SPF bastante indesejada, não é necessariamente assim. O limite de pesquisa SPF DNS foi implementado para bloquear ataques de negação de serviço (como mencionado em RFC 7208).
Por exemplo, um agente de ameaças cria um registo SPF num domínio falso com referência a um domínio empresarial legítimo para enviar e-mails em massa para vários servidores receptores. Devido ao limite do registo SPF de 10 pesquisas de DNS permitidas (ou seja, um ESP pode consultar o DNS do remetente um total de 10 vezes por verificação SPF), pode ajudar a atenuar os ataques de negação de serviço do lado do destinatário nestas situações.
Quando é que os resultados do SPF Permerror são devolvidos pelos ESPs?
Quando um servidor de correio electrónico recebe uma mensagem, verifica o registo SPF do domínio do remetente para verificar se o servidor que envia o correio electrónico está autorizado. Se houver um problema com o registo SPF que o impeça de ser correctamente avaliado, ocorre um Permerror (erro permanente).
Os servidores de recepção podem tratar o SPF Permerror de forma diferente. Alguns servidores podem considerá-lo uma falha suave, tratando o correio electrónico como potencialmente suspeito, mas não o rejeitando de imediato. Outros servidores podem tratá-lo como uma falha grave, fazendo com que o correio electrónico seja rejeitado ou assinalado como spam.
É importante corrigir os erros SPF para garantir a entrega correcta do correio eletrónico e manter a segurança do correio eletrónico.
O que pode causar o SPF Permerror?
O SPF Permerror pode ser causado por uma variedade de factores como SPF too many DNS lookup que excede o limite do SPF, erros de sintaxe e problemas de configuração. Vamos explorar quais são eles:
Erros de sintaxe
Uma formatação ou sintaxe incorrecta no registo SPF pode desencadear um Permerror. Caracteres em falta ou mal colocados, como aspas ou dois pontos, podem levar a problemas de análise. Esses erros podem ocorrer devido a:
- Caracteres em falta ou mal colocados, como aspas (") e dois pontos (:)
- Mecanismos ou qualificadores incorretamente formatados
- Definições de macro inválidas
Exemplos:
Dois pontos em falta: v=spf1 include_spf.example.com -all
Qualificadores mal colocados: v=spf1 +mx a:mail.example.com -all
Problemas de configuração do DNS
Os problemas de configuração do DNS envolvem problemas relacionados com a configuração do Sistema de Nomes de Domínio (DNS) para registos SPF. Estes problemas podem incluir:
- Configuração DNS incorrecta ou incompleta para o domínio ou para os registos SPF associados.
- Localizações de registos SPF inválidas, como apontar para entradas DNS inexistentes ou incorrectas.
A configuração incorrecta ou incompleta do DNS, a localização inválida do registo SPF ou a associação incorrecta com o domínio correspondente podem conduzir a falhas na avaliação.
Limites de pesquisa de DNS
Os limites de pesquisa DNS são restrições impostas pelas especificações SPF para evitar consultas DNS excessivas durante a avaliação SPF. Estes limites incluem:
- É permitido um máximo de 10 pesquisas de DNS durante a avaliação SPF.
- É permitido um máximo de 2 pesquisas "void" durante a avaliação SPF.
Se estes limites forem ultrapassados, o resultado é um Permerror.
Exemplos:
- Um registo SPF que inclui vários mecanismos de inclusão que conduzem a mais de 10 pesquisas no DNS.
- Encadeamento de demasiados mecanismos ou modificadores que requerem pesquisas no DNS.
Registos SPF de grandes dimensões
Os registos SPF sobredimensionados ocorrem quando o tamanho do registo SPF excede os limites definidos pelo RFC. O RFC menciona um limite de 255 caracteres para os registos SPF. As causas dos registos SPF de grandes dimensões incluem:
- Incluir numerosos mecanismos, qualificadores ou modificadores, o que conduz a um número excessivo de caracteres.
- Entradas redundantes ou desnecessárias no registo SPF, aumentando o seu tamanho.
Exemplos:
- Um único registo SPF com inclusão extensiva de endereços IP, redes ou serviços de terceiros.
- A existência de vários mecanismos redundantes ou qualificadores no registo SPF pode aumentar desnecessariamente o seu tamanho.
Como é que demasiadas pesquisas DNS afectam as suas mensagens de correio eletrónico?
Se houver demasiadas pesquisas de DNS envolvidas no registo SPF, isso pode ter um impacto sem precedentes nos seus e-mails. Demasiadas pesquisas de DNS podem causar inconsistências na capacidade de entrega e desencadear o SPF Permerror.
1. Pode causar atrasos na entrega
As pesquisas excessivas de DNS podem aumentar o tempo necessário para processar registos SPF. Isto pode causar atrasos na entrega de correio electrónico, uma vez que o servidor de recepção tem de esperar pelas respostas de vários servidores DNS.
2. Pode conduzir a erros de tempo limite
As pesquisas de DNS envolvem comunicação entre o servidor receptor e os servidores DNS. Demasiadas pesquisas de DNS aumentam a probabilidade de erros de timeout, resultando em falhas de avaliação SPF ou tempos de entrega prolongados.
3. Pode aumentar o risco de Permerror SPF
Se o registo SPF exceder estes limites de pesquisa, pode desencadear um Permerror, indicando que o registo SPF não pode ser processado com precisão. O correio electrónico pode ser assinalado como suspeito ou potencialmente rejeitado.
4. Pode resultar numa avaliação incompleta do SPF
Se o servidor de recepção encontrar um erro de limite de pesquisa de DNS ou de tempo limite devido a demasiadas pesquisas de DNS no SPF, pode terminar prematuramente a avaliação do SPF.
Estou a exceder o limite de demasiadas pesquisas de DNS do SPF?
Se estiver preocupado com a possibilidade de exceder o limite de pesquisa para SPF, pode verificar o seu registo instantaneamente utilizando o nosso verificador de registos SPF ferramenta. A melhor parte - é grátis! A nossa ferramenta resume eficazmente tudo o que está errado com o seu registo SPF para que possa resolver os problemas mais rapidamente. Se estiver a exceder o limite de pesquisa de DNS, a ferramenta avisa-o!
Como corrigir o SPF Permerror?
Para resolver o SPF Permerror, assegure uma utilização eficiente da pesquisa através do nivelamento do SPF, para que possa otimizar o seu registo SPF de modo a manter-se abaixo do limite de 10 pesquisas de DNS durante as verificações.
1. Corrigir o Permerror reduzindo manualmente os Lookups
Pode substituir os mecanismos de "inclusão" e/ou "redireccionamento" do SPF por endereços IP. Embora isso corrija o SPF Permerror, não é a solução ideal. Isto porque o comprimento do seu registo após a adição da longa lista de IPs pode exceder o limite de caracteres e provocar mais erros.
Por exemplo, considere o seguinte registo SPF com vários mecanismos de "inclusão":
v=spf1 include:_spf.example.com include:_spf.anotherexample.com -all
Para reduzir as pesquisas no DNS, pode substituir os mecanismos "include" por endereços IP:
v=spf1 ip4:192.0.2.1 ip4:203.0.113.5 -all
Neste exemplo, os domínios _spf.example.com e _spf.anotherexample.com foram substituídos pelos seus endereços IP correspondentes (192.0.2.1 e 203.0.113.5, respetivamente).
Embora essa redução manual de pesquisas de DNS possa atenuar o SPF Permerror, é essencial considerar as possíveis limitações. Uma preocupação significativa é o limite de caracteres dos registos SPF. A adição de uma longa lista de endereços IP pode exceder esse limite, levando a erros adicionais. Por isso, é necessário um planeamento e otimização cuidadosos para garantir que o registo SPF se mantém dentro do número de caracteres permitido.
2. Corrigir o Permerror usando uma ferramenta de otimização automática de SPF
Uma forma mais eficaz de evitar erros de SPF é implementar uma ferramenta de SPF flattening ou, melhor ainda, - Macros SPF. Uma solução que engloba ambos num serviço alojado automático e sem complicações é o PowerSPF. Isto não só garante que se mantém dentro do limite de 10 pesquisas de DNS, como também o mantém atualizado sobre quaisquer alterações feitas pelos seus fornecedores de serviços de correio eletrónico e vendedores que frequentemente adicionam ou alteram os seus endereços IP.
E o que é ainda melhor, não são precisos mais do que alguns cliques! Os passos para utilizar a ferramenta são apresentados abaixo:
1. Registe-se no PowerDMARC gratuitamente
2. Aceder ao PowerSPF
3. Crie o seu registo SPF seguindo as instruções fornecidas pela ferramenta
4. Clique para ativar o botão PowerSPF
5. Publique o registo SPF personalizado do PowerSPF no seu DNS, após o que o estado "pendente" será convertido para o estado "ativado"
E já está! Esta é a forma mais rápida, mais fácil e mais eficaz de evitar o permerror do SPF.
"Excelente produto e excelente equipa"
Hakob Sharabkhanyan (Diretor Executivo da Hacktech)
"Empresa, produto e fornecedor de MSP fantásticos"
Bill Barnett (Fundador e Presidente da Clearview IT)
Corrija os erros de SPF para melhorar a sua entrega de Email Deliverability
A correcção de erros SPF é da maior importância devido a várias razões. Tem um impacto significativo na capacidade de entrega de correio electrónico, uma vez que os erros SPF podem levar a que os e-mails legítimos sejam marcados como spam ou rejeitados pelos servidores de correio receptores, resultando numa menor probabilidade de chegarem às caixas de entrada dos destinatários. Além disso, o SPF funciona como um mecanismo vital de autenticação do remetente, permitindo que os destinatários de correio electrónico verifiquem a legitimidade do domínio do remetente.
Ao resolver os erros SPF, garante que os seus e-mails legítimos são devidamente autenticados, reduzindo o risco de o seu domínio ser explorado para falsificação de e-mails ou ataques de phishing. A resolução dos erros SPF ajuda a salvaguardar a reputação da sua marca, uma vez que as falhas de entrega consistentes e as marcações de spam podem prejudicar a percepção da fiabilidade e credibilidade da sua marca.
Especialista em cibersegurança, CEO da PowerDMARC
Maitham é um empreendedor tecnológico, especialista em segurança cibernética, CEO e fundador da PowerDMARC com mais de 15 anos de experiência no sector. Maitham possui um MBA Global da Universidade de Manchester e várias certificações profissionais, incluindo CISSP, CISM, CRISC e ISC2 CCSP.
Últimas mensagens de Maitham Al Lawati (ver todas)
- Como corrigir "Nenhum registo SPF encontrado" em 2025 - 21 de janeiro de 2025
- Como ler um relatório DMARC - 19 de janeiro de 2025
- O que é o MTA-STS? Configurar a política correta do MTA-STS - 15 de janeiro de 2025
