O SPF (Sender Policy Framework) redirect é um modificador de registo que aponta para um nome de domínio separado contendo um registo SPF. Os proprietários de domínios podem configurar vários domínios para fazer uso de um único registo SPF alojado num domínio, utilizando o redireccionamento SPF. Embora possa parecer ser benéfico de alguma forma, não o recomendamos. Leia mais para saber porquê!

Introdução ao SPF e ao Redirect Modifier

SPF é o padrão de autenticação de e-mail que protege a sua organização contra a imitação e o spam, mantendo um registo das partes autorizadas. 

Embora o modificador de redireccionamento SPF seja opcional e só possa ser utilizado uma vez por registo SPF. Existem certos pré-requisitos para a utilização do redireccionamento do SPF. São os seguintes:

  • Só faz sentido quando uma organização trabalha com múltiplos domínios 
  • Todos estes domínios devem partilhar a mesma infra-estrutura de correio electrónico
  • O segundo domínio, que está a ser redireccionado, deve ter um registo SPF válido
  • Para utilizar o redireccionamento SPF, o controlo sobre todos os domínios que participam na cadeia de redireccionamento deve ser da responsabilidade do proprietário do domínio

Como funciona o SPF Redirect Modifier?

Para compreender melhor a funcionalidade do redireccionamento do SPF, vejamos o seguinte exemplo: 

Se domain_test.com tem um registo SPF como por exemplo:
v=spf1 redirect=domain_test2.com

Isto indica que o registo SPF para "domain_test2.com" deve ser utilizado em vez de "domain_test". Os e-mails de domain_test seriam então redireccionados utilizando "domain_test2".

Quando pode utilizar o modificador de redireccionamento SPF?

1. Quando um único registo deve ser utilizado para vários domínios

Por exemplo,

delaware.example.com. TXT "v=spf1 redirect=_spf.example1.com".
austin.example.com TXT "v=spf1 redirect=_spf.example1.com"
washington.example.com TXT "v=spf1 redirect=_spf.example1.com"
_spf.example.com. TXT "v=spf1 mx:example1.com -all"

Neste exemplo, qualquer correio dos três domínios acima referidos será descrito pelo mesmo registo, neste caso, "_spf.example1.com", o que proporciona aos utilizadores uma vantagem administrativa.

2. Quando o nome do domínio precisa de ser alterado.

Para todos os mecanismos, os valores "a", "mx" e "ptr" são opcionais. Se não forem fornecidos valores específicos, estes são definidos para o domínio actual. Contudo, quando é utilizado um "redireccionamento", os mecanismos "a", "mx", e "ptr" apontam para o domínio redireccionado.

Considere o seguinte exemplo:
powerdmarc.com "v=spf1 a -all"

Aqui, o mecanismo, "a" não tem valor especificado, pelo que apontará então para o registo DNS 'A' de "powerdmarc.com", pois é aí que o registo SPF é alojado como especificado no exemplo.

Agora, considere o seguinte exemplo:
powerdmarc.com "v=spf1 redirect=_spf.powerdmarc.com"
_spf.powerdmarc.com "v=spf1 a -all"

No exemplo acima, o mecanismo "a" aponta para o registo DNS 'A' de "_spf.powerdmarc.com", embora o domínio raiz "powerdmarc.com" o redireccione.

Esta é uma das causas comuns de problemas de validação do SPF e é difícil de depurar. Se a sua organização utiliza um SPF "redireccionado", note que se existir um mecanismo "a", "mx", ou "ptr" sem um nome de domínio explicitamente definido no seu registo SPF redireccionado, este apenas apontará para o domínio redireccionado.

Desvantagens da utilização do SPF Redirect

1. O modificador "redireccionar" adiciona ao número de consultas DNS

Ao utilizar a autenticação de e-mail SPF, cada vez que um e-mail é enviado de um domínio para o domínio do destinatário, o servidor de e-mail do destinatário efectua pedidos de consulta DNS, também conhecidos como consultas DNS, para verificar os endereços IP autorizados existentes no seu DNS e compará-los com o endereço IP no cabeçalho do caminho de retorno do e-mail recebido. O SPF RFC7208 limita o número máximo para estes pedidos de consulta a 10. 

Um modificador "redireccionar", quando utilizado, também aumenta esta contagem. Portanto, a sua organização deve ter cuidado ao utilizar um modificador "redireccionar", uma vez que o 10 limite de pesquisa DNS podem ser excedidos. Isto pode causar a quebra do SPF e levar a falhas de autenticação.

No PowerDMARC, os nossos utilizadores configuram o PowerSPF, que é uma ferramenta eficaz de achatamento do SPF para limitar o número de consultas e desfrutar de um SPF sem erros.

2. O resultado da permissão é devolvido para nenhuma política SPF definida em domínios usando "redireccionar".

No caso de incluir um domínio que não contenha um registo SPF ou que tenha um registo inválido, um resultado softfail (nenhum) é devolvido, o que não afecta o processo de verificação. 

No entanto, ao utilizar o modificador de redireccionamento SPF se o domínio redireccionado contiver um registo inválido ou em falta para SPF, é devolvido um resultado SPF Permerror que é uma falha difícil e pode causar a quebra do SPF.

Utilizar o SPF inclui mecanismo em vez do modificador de redireccionamento do SPF

Recomendamos a utilização do mecanismo SPF em vez do modificador de redireccionamento para fugir a algumas complicações comuns, São as seguintes

  • Quando é utilizado um mecanismo de redireccionamento, denota o fim do registo e não podem ser feitas mais modificações. Por outro lado, se utilizar um SPF, pode fazer modificações ao seu registo e adicionar mais registos, um ou mx como por sua vontade, oferecendo assim mais em termos de flexibilidade.
  • O mecanismo de inclusão pode ajudar a encurtar o seu registo SPF para que fique abaixo do limite de comprimento de caracteres SPF. Pode criar um registo SPF TXT cada um no spfrecord1.xyz.com e spfrecord2.abc.com dividindo o registo SPF originalmente único e longo e incluir ambos os domínios no registo TXT para um dos domínios (por exemplo: xyz.com).
  • No caso de haver não foi encontrado nenhum registo SPF num domínio redireccionado, a retenção do estado de erro (valor permerror) para redireccionamento, como mencionado acima, também pode ser evitada utilizando o mecanismo include que devolverá um resultado softfail em vez disso, com as suas mensagens de correio electrónico ainda a serem entregues.
  • Ao contrário do SPF, que não tem qualquer efeito sobre todo o mecanismo, o modificador de redireccionamento do SPF instroi o servidor para tornar o SPF ~ queda para o domínio raiz utilizando o redireccionamento, como no caso seguinte:
    domínio1.com "v=spf1 redirect=_spf.domain2.com"
    _spf.domain2.com "v=spf1 ip4:164.100.226.127 ~tudo
    Isto porque para qualquer registo que utilize o redireccionamento, o mecanismo "todos" está ausente em primeiro lugar, o que pode coexistir durante a utilização de mecanismos de inclusão. Daí que o conjunto "~tudo" para o subdomínio redireccionado seja cobrado também no domínio raiz.

Conclusão

Há muitas coisas a ter cuidado ao utilizar um modificador de "redireccionamento" como o limite de 10 DNS Lookup, portanto, a sua organização deve ser cuidadosa ao estabelecer o seu registo SPF. A sua organização deve optimizar os registos SPF de tempos a tempos, assegurando que as pesquisas DNS estão dentro do limite. Para todas as consultas relacionadas com o SPF da sua organização, consulte o PowerSPF. Efectua o achatamento automático e actualiza automaticamente os blocos de rede para assegurar que os IPs autorizados estejam sempre actualizados e seguros. Além disso, não tem de se preocupar com permerror ou exceder os limites de pesquisa DNS.

A melhor maneira de proteger os seus e-mails com SPF é implementá-lo com DKIM e DMARC grátis. Isto ajudará a proteger a sua organização contra correio electrónico não solicitado e possíveis tentativas de spear-phishing. Verifique PowerDMARC e assegure-se de que a sua organização está a utilizar um fornecedor de serviço activo de tecnologia anti-spoofing DMARC.