O registo do Sender Policy Framework(SPF) é uma parte importante do registo de Autenticação, Comunicação e Conformidade de Mensagens Baseadas no Domínio (DMARC) protocolo que especifica um método para prevenir a falsificação do endereço do remetente.
Os registos SPF são complexos de criar e podem ocorrer problemas de implementação se não forem devidamente configurados. Além disso, a sintaxe dos registos SPF utiliza alguns termos específicos que podem ser confusos quando encontrados pela primeira vez. Por conseguinte, neste post do blog, analisamos a sintaxe dos registos SPF e o que é necessário considerar quando os configura.
O que é um registo SPF?
Um registo SPF é um tipo de registo DNS que identifica que servidores estão autorizados a enviar um e-mail em nome do seu domínio. Faz isto listando os servidores que foram autorizados a enviar e-mails para o seu domínio; se qualquer outro servidor tentar enviar um e-mail em nome do seu domínio, este será rejeitado como remetente não autorizado.
O objectivo de um registo SPF é evitar que utilizadores maliciosos enviem mensagens de correio electrónico falsificadas com o seu domínio no campo De. Isto pode acontecer se um atacante enviar grandes quantidades de emails de spam a partir do seu servidor, falsificando ou forjando o seu domínio.
Como funciona a SPF?
1. Criação de uma sintaxe de registo SPF
O utilizador cria uma sintaxe de registo SPF no seu servidor DNS que especifica quais os endereços IP que estão autorizados a enviar e-mails a partir do seu domínio. Isto significa que se alguém estivesse a tentar enviar e-mails falsos a partir do seu domínio, as suas mensagens falhariam porque o endereço IP do seu servidor de correio não seria listado como um dos servidores aprovados.
Por exemplo, se quiser que apenas contas Gmail possam enviar correio a partir do seu nome de domínio, mas não contas Outlook, então acrescentaria a seguinte linha ao seu registo SPF:
v=spf1 a mx include:_spf.google.com ~all
Isto diz aos servidores que quaisquer mensagens enviadas de qualquer anfitrião cujo endereço IP termine com _spf.google.com devem ser consideradas válidas (m), enquanto todas as outras mensagens devem ser descartadas (a).
Pode usar o nosso Gerador de registos SPF ferramenta para começar já a criar um registo gratuito!
2. Pesquisa DNS
Quando um remetente de correio electrónico tenta enviar uma mensagem, o servidor destinatário efectua uma pesquisa DNS no domínio de envio para ver se existe um registo SPF - chama-se a isto "autenticação". SPF permerror.
Se não houver registo SPF, então a autenticação falha e a mensagem não é entregue. Se houver um registo SPF, então o servidor SPF verifica a existência de endereços IP no registo TXT no nome do anfitrião especificado no registo SPF.
Se não houver endereços IP especificados, então a autenticação falhará. Caso contrário, realizará uma consulta A para cada endereço IP especificado na ordem de aparecimento no registo TXT.
O endereço IP que devolver um código de resultado de NXDOMAIN ou NOERROR será considerado autorizado pelo servidor SPF e o seu nome de anfitrião será adicionado a uma lista de anfitriões de envio autorizados para esse domínio.
3. Resultado da Autenticação
O servidor de correio ou entrega a mensagem ao destinatário ou sinaliza-a para rejeição com base nas regras especificadas no registo SPF.
Os resultados da autenticação podem assumir três formas: Passar, Neutro, ou Falhar.
O passe significa que o servidor de correio aceita a mensagem como legítima e permite que a mesma seja entregue. Neutro significa que ou não existe qualquer registo ou um registo inválido para esse domínio no DNS, pelo que não há forma de saber se esta é ou não uma mensagem legítima desse domínio. Falhar significa que algo sobre esta mensagem não era suficientemente autêntico para ser entregue.
Por exemplo, um servidor de correio com o endereço IP '234.2.1.2' envia um e-mail a partir de 'join@apple.com'. O servidor de entrada consultará o serviço de nome de domínio(DNS) para determinar se este endereço IP está autorizado a enviar e-mails em nome do domínio 'apple.com'. Se assim for, a mensagem será entregue; caso contrário, será descartada ou marcada como spam, ou seja, classificada de acordo com o mecanismo especificado no registo do SPF.
Sintaxe dos registos SPF
A sintaxe de registo do SPF compreende vários elementos-Directivos, Qualificadores, e Mecanismos.
As directivas são a primeira parte de uma sintaxe de registo SPF. Elas indicam como interpretar o resto do registo. Três directivas podem aparecer num registo SPF: v=spf1, a, e mx. A directiva v indica que este registo é um registo SPFv1; a directiva indica que este registo é um relatório de falha de autenticação ao estilo SPFv2; a directiva mx especifica uma lista de servidores de troca de correio para um domínio.
Os qualificados especificam onde na sua zona DNS pretende colocar os seus registos SPF: exim4, utilizador final, ou _spf. Estes qualificados dizem aos destinatários de correio onde procurar os seus registos SPF quando os comparam com os seus registos DNS.
Os mecanismos são utilizados para indicar a forma como pretende tratar os endereços de correio eletrónico que falham a verificação SPF. Pode escolher entre vários mecanismos: todos, nenhum, softfail, neutralizar ou rejeitar.
- todos aceitará todos os e-mails de remetentes que tenham passado no seu SPF;
- nenhuma rejeitará tudo dos remetentes que tenham passado o seu cheque SPF;
- softfail aceitará e-mails de remetentes que tenham falhado uma verificação SPF, mas assinale-os como suspeitos;
- neutro declara que não está a rejeitar nem a aceitar mensagens enviadas do seu domínio - é essencialmente uma posição de "não opinião" sobre se a mensagem deve ser aceite ou rejeitada;
- rejeitar rejeitará as mensagens de correio electrónico que falharam a verificação do SPF.
Qualificadores de Sintaxe de Registo SPF
Os "qualificadores" numa sintaxe de registo SPF ajudam a indicar o âmbito do registo SPF. Estes são utilizados principalmente para indicar se um endereço IP específico está ou não autorizado a enviar e-mails em nome do seu domínio.
| Qualificador | Código de resultado | Explicação |
| + | Passe | o único qualificador sem conotação negativa. Indica que o registo de segurança do nome de domínio não contém erros ou avisos e é considerado seguro. |
| – | Falhar | indica que o registo de segurança do nome de domínio contém erros ou avisos que o impedem de ser considerado seguro.
|
| ~ | Softfail | indica que o registo de segurança do nome de domínio contém erros ou avisos que não o impedem de ser considerado seguro, mas podem indicar problemas com a resolução do DNS ou outras questões relacionadas com âncoras de confiança no DNS. |
| ? | Neutro | Indica que o domínio não tem registo SPF ou que o seu registo estava sintacticamente correcto mas não correspondeu a nenhum servidor de envio quando comparado com um (ou mais) servidores de envio na sua lista de endereços IP de confiança para esse domínio. |
Mecanismos de Sintaxe de Registo SPF
Os mecanismos são utilizados na sintaxe do registo SPF para dizer ao servidor receptor que tipo de mecanismo de autenticação deve ser utilizado. Existem dois tipos de mecanismos:
- o remetente pode especificar um conjunto específico de mecanismos;
- Ou pode especificar que todos os mecanismos são permitidos.
| Mecanismo | Finalidade | A directiva aplica-se quando | Implementação |
| a | define o registo DNS A do domínio como autorizado. Se esta directiva não for especificada, então o domínio actual é utilizado.
|
pode ser aplicado quando consultado para um registo A ou AAAA num domínio que contenha o endereço IP do remetente. | a
a/<prefix-length> a:<domain> a:<domain>/<prefix-length> |
| todos | A directiva é sempre igualada, e define a política para todas as outras fontes. | Este mecanismo deve ser sempre aplicado, e este mecanismo corresponde sempre. | todos |
| existe | Verifica se um registo A é ou não válido para um determinado domínio. Funciona analisando todos os registos A desse domínio e verificando se algum deles corresponde aos critérios estabelecidos no seu registo SPF. | Aplica-se quando há qualquer registo A no referido domínio ou se outros critérios, segundo o RFC7208, foram autorizados. | exists:<domain> |
| incluir | O objectivo deste mecanismo é especificar o domínio e procurar uma correspondência, bem como devolver um erro permanente se o domínio não tiver um registo SPF válido. | O mecanismo "incluir" nos registos SPF pode ser utilizado para incluir outros registos SPF dentro do registo de um domínio. Se um domínio não tiver um registo SPF, mas outro domínio tiver e esse outro domínio tiver um endereço IP que corresponda ao endereço IP do remetente, então o mecanismo "include" fará com que o domínio com o endereço IP correspondente seja utilizado para fins de autorização.
|
include:<domain> |
| ip4 | Pode especificar um intervalo IPv4 com a directiva "ip4", juntamente com um prefixo que denota o comprimento do intervalo. Se não for especificado nenhum prefixo, /32 é assumido. | O mecanismo "ip4" aplicar-se-á se alguma destas condições for verdadeira:
- O endereço IPv4 especificado corresponde ao de um endereço IP no seu registo SPF.
- A sub-rede IPv4 especificada contém o endereço IP do remetente. |
ip4:<ip4-address>
ip4:<ip4-network>/<prefix-length> |
| ip6 | Pode especificar um intervalo IPv6 com a directiva "ip4", juntamente com um prefixo que denota o comprimento do intervalo. Se não for especificado nenhum prefixo, /128 é assumido. | O mecanismo "ip6" aplicar-se-á se alguma destas condições for verdadeira:
- O endereço IPv6 especificado corresponde ao de um endereço IP no seu registo SPF.
- A sub-rede IPv6 especificada contém o endereço IP do remetente. |
ip6:<ip6-address>
ip6:<ip6-network>/<prefix-length> |
| mx | O mecanismo "mx", tal como definido no registo SPF, define o registo do Sistema de Nomes de Domínio (DNS) Trocador de Correio (MX) de um domínio como autorizado. | O registo DNS MX determina que servidor é responsável pela aceitação de mensagens de correio electrónico em nome do domínio. O registo DNS MX contém um endereço IP e um valor de prioridade para cada servidor que pode ser utilizado para aceitar mensagens.
Quando um registo MX de um domínio contém um endereço IP que corresponde ao endereço IP do remetente, então isto indica que este remetente está autorizado a enviar e-mails em nome deste domínio. |
mx
mx/<prefix-length> mx:<domain> mx:<domain>/<prefix-length> |
| ptr | O mecanismo ptr utiliza o nome de anfitrião invertido ou subdomínio do endereço IP de envio para definir o nome de domínio alvo. | Só se aplica se houver pelo menos um registo MX para o domínio consultado ou especificado e se esse registo MX contiver um registo PTR com um FQDN para o endereço IP do remetente. | ptr
ptr:<domain> |
Modificadores de Sintaxe de Registo SPF
Na sintaxe do registo SPF, os modificadores podem ser utilizados para alterar o comportamento por defeito de um registo SPF. Os modificadores podem ser utilizados para especificar excepções às regras, ou podem ser utilizados para fornecer informações adicionais ao receptor.
| Modificador | Finalidade | Implementação |
| exp | O modificador "exp" é um valor que especifica uma explicação para a razão pela qual uma mensagem foi rejeitada. Destina-se a ajudar os remetentes a evitar certos tipos de problemas, e pode ser utilizado para os informar sobre a razão específica pela qual a sua mensagem não foi aceite pelo servidor receptor. | exp=<domain> |
| redireccionar | O modificador de redireccionamento é uma string que substitui todo o nome de domínio no registo do SPF. O objectivo deste modificador é redireccionar todo o correio enviado para o domínio para outro servidor. Isto pode ser útil para domínios com múltiplos registos MX ou para domínios que tenham sido reatribuídos a outra empresa mas que ainda estejam a utilizar os mesmos endereços de correio electrónico. | redirect=<domain> |
Envolvimento
O registo SPF é uma parte importante dos registos DNS do seu domínio. Indica a outros servidores de correio eletrónico como autenticar mensagens que afirmam ser suas, o que significa que é importante ter um registo SPF corretamente configurado. No entanto, certifique-se de que emparelha o SPF com o DMARC para uma maior proteção contra o comprometimento e a falsificação de correio eletrónico.
O Ferramenta de pesquisa de registos SPF pode ajudá-lo a fazer exactamente isso. A ferramenta de pesquisa dar-lhe-á uma visão rápida de como é o seu registo SPF actual, incluindo se falta ou não algum campo requerido. O gerador permitir-lhe-á criar uma sintaxe de registo SPF a partir do zero, completa com todos os campos requeridos para que possa ser imediatamente adicionada aos seus registos DNS.
- A Blockchain pode ajudar a melhorar a segurança do e-mail? - 9 de maio de 2024
- Proxies de centro de dados: Revelando o cavalo de batalha do mundo proxy - 7 de maio de 2024
- Kimsuky explora políticas DMARC "Nenhum" em recentes ataques de phishing - 6 de maio de 2024