A VALIDAÇÃO SPF é importante para uma melhor taxa de entrega de correio eletrónico e para proteger o seu domínio contra phishing e spam ataques de phishing e spam. No entanto, as definições de SPF são complicadas e pode cometer erros ao configurá-las. Corrigir e evitar estes erros comuns garante que não haja falsos positivos e que o DMARC para o seu domínio de envio de correio eletrónico.

Takeaways de chaves

Só deve existir um registo SPF por domínio para evitar problemas de entrega.
Exceder o limite de 10 pesquisas de DNS pode levar a falhas de validação SPF.
O mecanismo 'all' deve ser posicionado no final do registo SPF para uma funcionalidade adequada.
Evite utilizar o mecanismo 'ptr', uma vez que é desaconselhado e pode causar problemas de desempenho.
Os registos SPF requerem uma pesquisa cuidadosa e informações precisas para garantir a entrega adequada do correio.

7 Erros comuns a evitar na configuração de definições do SPF

Alguns mecanismos DNS são utilizados para indicar os IPs dos sistemas autorizados a enviar mensagens de correio eletrónico com um endereço de caminho de retorno de correio eletrónico. Mas a sua utilização incorrecta provoca erros como: exceder o tamanho do registo SPF, mais de 10 pesquisas no DNS, mais de 2 pesquisas no DNS não resolvidas, etc.

Listámos os erros comuns de SPF para o ajudar a evitá-los quando configurar as definições de SPF.

Erro 1: Múltiplos Registos SPF

Deverá haver uma entrada SPF por domínio, caso contrário, os servidores receptores irão diminuir ambos. Remover entradas SPF que não estejam actualmente em uso, por exemplo - serviços obsoletos com entradas SPF activas.

Pode resolver este erro de configuração do SPF fundindo dois ou mais registos num só. Digamos que um domínio de utilizador tem um registo SPF e inclui uma entrada Elastic Email SPF mas não passa nas verificações de verificação. A razão possível para isto é ter 2 registos presentes no domínio.

v=spf1 a mx include:_sampledomain1.com include:_spf.elasticemail.com ~all

v=spf1 a mx include:_sampledomain2.com ~all

Pode resolver isto fundindo-os num único registo, como por exemplo:

v=spf1 a mx include:_sampledomain1.com include:_sampledomain2.com include:_spf.elasticemail.com ~all

Erro 2: Demasiadas pesquisas no DNS

Há um limite de 10 pesquisas 'incluir', o que significa que não se pode gerar mais de 10 referências a outros domínios. Cada ocorrência de parâmetros "include", "a", "mx", "ptr", "existe", e "redireccionar" gera uma pesquisa. Além disso, se um domínio referenciado numincluir" contém outro parâmetro, também será contado para o limite de 10 consultas. Assim, exceder o limite de pesquisa é um dos erros mais comuns a acontecer durante a configuração das definições do SPF.

Pode corrigir isto removendo 'inclui' e referências a domínios inactivos.

Simplifique a segurança com o PowerDMARC!

Teste grátis 15 dias Marcar demo

Erro 3: Permissivo todos Mecanismo

Um registo SPF é interpretado da esquerda para a direita, e o 'todos". corresponderá ao mecanismo 'todos". remetentes que não correspondiam aos mecanismos anteriores. Sugere-se que se coloque o 'todos". no fim do seu registo SPF, e utilize-o com o prefixo ~ (softfail) ou - (fail). Quando nenhum prefixo é definido, o + (passe) é utilizado por defeito.

Erro 4: A utilização do ptr Mecanismo

O FPS 'ptr' é utilizado para a pesquisa DNS inversa que devolve o nome da máquina ao seu endereço IP correspondente. Esta informação é útil para as marcas B2B em particular. Mas este mecanismo tem problemas de fiabilidade e causa uma sobrecarga nos servidores DNS invertidos e nos sistemas de correio electrónico a eles ligados.

É por isso que o RFC7208 desencoraja a utilização doptr' mecanismo. Na maioria dos casos, pode ser substituído pelo 'a’ mecanismo.

Erro 5: A utilização de mx Mecanismo

Utilização mx''. com nomes de domínio e não nomes de servidores de correio. Estatística mx:mailserver.sample.com é considerado incorrecto, a menos que seja necessária a validação SPF para procurar todos os anfitriões que aceitem correio para o domínio 'mailserver.sample.com'. Na maior parte dos casos, não haverá nenhum anfitrião como 'mailserver.sample.com' é em si mesmo um anfitrião e não um domínio.

Não se deparará com isto como um erro de sintaxe, mas não corresponderá simplesmente a nada.

A forma correcta de validar contra o registo MX para 'sample.com' é mx:sample.com. Quando se tem de definir o hostname ou endereço IP de um determinado servidor de correio, a:mailserver.sample.com ou ip4:x.x.x.x.x deve ser utilizado

Erro 6: Criação de um registo SPF sem investigação adequada

Isto é especialmente para os ISPs. Não criar registos com meia informação sobre o domínio, o seu proprietário, e a marca a que pertence. Pesquise que servidor de correio electrónico utilizam, caso contrário poderá acabar por bloquear o seu caminho de entrega de correio electrónico de saída a partir do seu servidor de correio no escritório.

Erro 7: Typos

Evitar cometer erros comuns durante a configuração das definições SPF, verificando duas vezes o registo SPF para erros tipográficos. Pode digitar 'inlcude' em vez de 'include'. Isto pode tornar o registo inteiro inválido.

Erro 8: Não Publicação de Registos SPF para Nomes HELO Usados pelos Seus Servidores de Email

Verifying HELO or EHLO names is encouraged by the SPF RFC. HELO or its developed version EHLO is used when Mail from is <> despite the recipient’s failure in doing 100% HELO checking.

A publicação de um protocolo HELO inclui a geração de um registo SPF correspondente ao HELO FQDN utilizado pelo seu servidor de correio. Por exemplo: mailserver.sample1.com

Geralmente, deve ser uma regra SPF completamente distinta da que verifica o endereço From no seu domínio ligado a 'sample1.com'.

Erro 9: Conteúdo do registo TXT não apresentado com aspas duplas

O conteúdo de um registo DNS TXT está sempre entre aspas duplas ("-"), mas estas nunca devem fazer parte do conteúdo real do registo DNS. Estas aspas servem apenas para efeitos de visualização, pois ajudam a separar o início e o fim do conteúdo de um registo TXT.

Um registo SPF deve começar com v=spf1 mas se começar com "v=spf1não será de modo algum reconhecido.

Ainda é um problema?

Cada alteração nas definições do SPF requer algum tempo para se propagar através da Internet. Pode também demorar até 72 horas. Mas se ainda enfrentar quaisquer problemas, utilize o nosso SPF verificador de registos ou contactar a nossa equipa de peritos em [email protected].

Sobre
Últimos Posts

Ahona Rudra

Especialista em segurança de domínios e e-mails da PowerDMARC

Ahona é gerente de marketing da PowerDMARC, com mais de 5 anos de experiência em escrever sobre tópicos de segurança cibernética, especializada em segurança de domínio e e-mail. Ahona possui uma pós-graduação em Jornalismo e Comunicação, solidificando sua carreira no setor de segurança desde 2019.

Últimos posts de Ahona Rudra (ver todos)

A Microsoft reforça as regras do remetente de correio eletrónico: Principais actualizações que não deve perder - 3 de abril de 2025
Configuração do DKIM: Guia passo a passo para configurar o DKIM para segurança de e-mail (2025) - 31 de março de 2025
PowerDMARC é reconhecido como líder de rede para DMARC no G2 Spring Reports 2025 - 26 de março de 2025

Erros comuns a evitar ao configurar as definições do SPF