Sintaxe do SPF: Um Guia Completo

Blog

Este blog fala amplamente sobre a tabela de sintaxe do SPF, mecanismo SPF, qualificador SPF, e modificador SPF

por YunesTarada

Tempo de leitura: 5 min
Sintaxe do SPF: Um Guia Completo
Índice-

A aprendizagem e implementação dos conceitos de SPF é importante para as empresas orientadas para a tecnologia. Pode protegê-los contra potenciais riscos de phishing, spamming, Ataques BECetc. O SPF ou Sender Policy Framework funciona através da utilização de um SPF registo que inclui a sintaxe SPF.

Este blogue fala amplamente sobre a tabela de sintaxe SPF, os mecanismos SPF, os qualificadores SPF e os modificadores SPF - todos eles necessários para dominar o conceito de autenticação de correio eletrónico utilizando protocolos técnicos.

Takeaways de chaves

  1. Compreender o SPF é essencial para as empresas orientadas para a tecnologia se protegerem contra phishing e falsificação de correio eletrónico.
  2. Um registo SPF é uma entrada DNS crucial que especifica quais os endereços IP que estão autorizados a enviar e-mails em nome do seu domínio.
  3. Criar e verificar regularmente os registos SPF é vital para se defender contra a utilização não autorizada do seu domínio em ataques de correio eletrónico.
  4. Os mecanismos, qualificadores e modificadores SPF são componentes-chave que determinam a forma como os servidores receptores interpretam os registos SPF.
  5. A manutenção de um registo SPF único e corretamente formatado é necessária para garantir a segurança e a capacidade de entrega ideais do correio eletrónico.

Sintaxe SPF para Benginners 

Um registo SPF é um registo DNS que inclui uma lista de todos os endereços IP autorizados a enviar e-mails utilizando o seu nome de domínio oficial. Quando um servidor fora da lista envia um correio electrónico utilizando o domínio, este é tratado como não autorizado. Assim, a sua entrada é rejeitada pela caixa de correio do destinatário. Isto protege o nome da sua empresa de se envolver em actividades maliciosas iniciadas por hackers. 

As empresas devem criar e verificar registos SPF para se manterem afastados de ataques de phishing, tentando utilizar os seus próprios nomes de domínio. Mais de 255 milhões de ataques de phishing foram registados apenas na primeira metade de 2022! Imagine como se tornou crucial implementar o SPF e aprender sobre a sintaxe do SPF.

Um registo SPF tem instruções que orientam o servidor do destinatário para verificar e validar as mensagens de correio electrónico recebidas do seu domínio. Também diz o que deve ser feito com os que falham a autenticação. Um componente específico representa todas as instruções.  

Vamos decompor cada elemento usando um exemplo de registo SPF. É este o aspecto de uma sintaxe SPF.

v=spf1 ip4:123.1.5.0 ip4:100.5.2.1 include:exampledomain.com ~all

A função de cada elemento é a seguinte:

  • v=spf1 especifica para o servidor receptor sobre um registo SPF. Todos os registos SPF devem começar desta forma.
  • A secção seguinte desta sintaxe SPF informa os endereços IP autorizados a enviar e-mails utilizando o seu domínio. No exemplo acima, temos ip4:123.1.5.0 e ip4:100.5.2.1
  • O "include:exampledomain.com do exemplo acima especifica os terceiros autorizados a enviar e-mails utilizando o domínio. A etiqueta 'incluir' indica os servidores receptores para verificar o registo SPF do domínio incluído (exampledomain.com) para endereços IP que também estão autorizados. É possível adicionar vários domínios dentro de um registo SPF; no entanto, estes devem ser válidos.
  • O elemento -all orienta os servidores receptores para marcarem os e-mails como NOT PASS para SPF se forem enviados de qualquer domínio ou endereço IP fora da lista especificada no registo SPF

Simplifique a sintaxe com o PowerDMARC!

Teste grátis 15 diasMarcar demo

Sintaxe avançada do SPF

Uma tabela de sintaxe SPF é definida através de um registo DNS TXT com uma única cadeia de texto. Começa sempre com o elemento 'v=' que especifica a versão SPF utilizada e, atualmente, existe apenas uma versão.

Todos os registos SPF têm os seus termos específicos alistados que se comportam como regras para as quais os anfitriões são autorizados a partilhar mensagens utilizando o domínio oficial, podendo também exibir alguma informação extra. 

Em sintaxe SPF avançada vamos decompor o seguindo três componentes; Mecanismos SPF, SPF Qualifiers, e SPF Modifiers.

Mecanismos SPF

  1. TODOS: Corresponde sempre e é o último mecanismo adicionado no final de um registo SPF. Apresenta resultados por defeito como '-todos' para IPs não correspondentes.
  2. A: Indica um nome de domínio com um AAAA ou Um registo como um fósforo, uma vez que separa o endereço do remetente. O domínio actual é utilizado se esta sintaxe de registo SPF do DNS não for especificada.
  3. ip4: Uma correspondência é positiva se um remetente estiver ligado a uma determinada gama de endereços ipv4 no registo SPF. Adiciona-se isto com um prefixo especificando o comprimento de um intervalo. /32 é utilizado quando não há prefixo.
  4. ip6: Uma correspondência é positiva quando o remetente é aliado à gama de endereços ipv6 especificada. É adicionado com a directiva ip4 e um prefixo que indica o comprimento do intervalo. /128 é utilizado quando não há prefixo.
  5. MX: Permite remetentes com um endereço IP idêntico ao incluído no registo MX especificado. Registos MX consistem num endereço IP e num valor de prioridade para cada servidor aceitar mensagens.
  6. PTR: Especifica o domínio autorizado para ajudar a resolver endereços IP para subdomínios ou domínios. Para todos os domínios ou subdomínios exactamente correspondentes, é feita uma pesquisa prospectiva para obter o endereço IP.

Este mecanismo é considerado demorado e pouco fiável, uma vez que necessita de múltiplas consultas. Não é recomendado de acordo com o Directrizes do RFC 7208.

  1. EXISTENTES: Conduz uma pesquisa DNS Uma pesquisa de registo para o domínio introduzido. Uma correspondência é bem sucedida quando um registo A válido é encontrado, independentemente do resultado real da pesquisa.
  2. INCLUÍDOS: Autoriza os remetentes de correio electrónico de terceiros, declarando os seus domínios. Um remetente só é autorizado se o seu endereço IP corresponder aos endereços IP ou domínios fornecidos no registo SPF do domínio listado.

Qualificadores SPF

Quando um mecanismo não tem um qualificador, e ainda há uma correspondência bem sucedida, a autenticação SPF passa. Cada um dos 8 mecanismos está associado a um dos quatro qualificativos mencionados abaixo.

Qualificador Resultado Acção tomada pelo Servidor Receptor 
+ Passe O e-mail passa com sucesso a autenticação SPF, e o servidor pode trocar e-mails. Os emails são marcados como genuínos. Esta é a acção padrão aplicada se não houver um qualificador.
Falhar O e-mail falha a autenticação porque o servidor de envio não pertence à lista. O correio pode ser rejeitado pela caixa de correio do destinatário.
~ SoftFail A caixa de correio do destinatário aceita a mensagem; contudo, é marcada como suspeita e aterra na pasta de spam.
? Neutro Mensagem de correio electrónico não passa nem falha a autenticação. A acção tomada é indeterminada e o e-mail é aceite pelo destinatário.

Modificadores SPF

Os modificadores de SPD são responsáveis pela determinação dos parâmetros de trabalho de uma sintaxe de SPF. Inclui pares de nomes ou valores separados pelo símbolo '=', que partilha detalhes extra e excepções às regras, se existirem.

Os modificadores aparecem apenas uma vez e apenas na última secção de um registo SPF. Todos os modificadores não identificados são ignorados no processo. O modificador 'redireccionar' é utilizado para dirigir outros registos SPF para autenticação. É utilizado quando se pretende que mais de um domínio tenha o mesmo conteúdo de registo SPF.

O mecanismo 'incluir' é utilizado para domínios de terceiros autorizados a enviar e-mails em seu nome ou utilizando o seu nome comercial. O modificador 'exp' especifica porque é que o servidor receptor devolveu um Qualificador SPF Fail quando um mecanismo corresponde.

Directrizes para os Registos SPF

Tenha em mente o seguinte ao criar um registo SPF usando a tabela de sintaxe do SPF.

  • Não é possível alinhar vários registos SPF para um domínio.
  • Um registo SPF não deve ter nenhuma letra maiúscula; caso contrário, veria erros.
  • Não deve haver mais de 255 caracteres. Qualquer string que exceda este número resultará em autenticação falhada.
  • Eliminar se houver algum mecanismo SPF que resolva para o mesmo domínio.
  • Eliminar quaisquer mecanismos SPF ip4 e ip6 que não estejam a ser utilizados. Verificar também se é possível fundir qualquer intervalo de endereços.
  • É possível criar subdomínios para armazenar informação SPF. Isto pode ser feito usando '_spf.domain.com'. É recomendado para grandes empresas de TI uma vez que têm múltiplos endereços IP para adicionar a um registo SPF.

Últimas mensagens de Yunes Tarada (ver todas)
ChatGPT conhece o PowerDMARC!ChatGPT Conhece o PoderDMARCA Comissão Europeia recomenda o DMARC para a segurança das comunicações por correio electrónico 1A Comissão Europeia recomenda DMARC para Segurança da Comunicação por Correio Electrónico