A aprendizagem e implementação dos conceitos de SPF é importante para as empresas orientadas para a tecnologia. Pode protegê-los contra potenciais riscos de phishing, spamming, Ataques BECetc. O SPF ou Sender Policy Framework funciona através da utilização de um SPF registo que inclui a sintaxe SPF.
Este blog fala amplamente sobre a tabela de sintaxe SPF, mecanismos SPF, qualificadores SPF, e modificadores SPF - todos eles necessários para se ter um forte domínio do conceito de autenticação de correio electrónico utilizando protocolos técnicos.
Sintaxe SPF para Benginners
Um registo SPF é um registo DNS que inclui uma lista de todos os endereços IP autorizados a enviar e-mails utilizando o seu nome de domínio oficial. Quando um servidor fora da lista envia um correio electrónico utilizando o domínio, este é tratado como não autorizado. Assim, a sua entrada é rejeitada pela caixa de correio do destinatário. Isto protege o nome da sua empresa de se envolver em actividades maliciosas iniciadas por hackers.
As empresas devem criar e verificar registos SPF para se manterem afastados de ataques de phishing, tentando utilizar os seus próprios nomes de domínio. Mais de 255 milhões de ataques de phishing foram registados apenas na primeira metade de 2022! Imagine como se tornou crucial implementar o SPF e aprender sobre a sintaxe do SPF.
Um registo SPF tem instruções que orientam o servidor do destinatário para verificar e validar as mensagens de correio electrónico recebidas do seu domínio. Também diz o que deve ser feito com os que falham a autenticação. Um componente específico representa todas as instruções.
Vamos decompor cada elemento usando um exemplo de registo SPF. É este o aspecto de uma sintaxe SPF.
v=spf1 ip4:123.1.5.0 ip4:100.5.2.1 include:exampledomain.com ~all
A função de cada elemento é a seguinte:
- v=spf1 especifica para o servidor receptor sobre um registo SPF. Todos os registos SPF devem começar desta forma.
- A secção seguinte desta sintaxe SPF informa os endereços IP autorizados a enviar e-mails utilizando o seu domínio. No exemplo acima, temos ip4:123.1.5.0 e ip4:100.5.2.1
- O "include:exampledomain.com do exemplo acima especifica os terceiros autorizados a enviar e-mails utilizando o domínio. A etiqueta 'incluir' indica os servidores receptores para verificar o registo SPF do domínio incluído (exampledomain.com) para endereços IP que também estão autorizados. É possível adicionar vários domínios dentro de um registo SPF; no entanto, estes devem ser válidos.
- O -tudo Elemento direcciona os servidores receptores para marcar as mensagens de correio electrónico como NOT PASS para SPF se estas forem enviadas de qualquer domínio ou endereço IP fora da lista especificada no registo SPF
Sintaxe avançada do SPF
Uma tabela de sintaxe SPF é definida utilizando um registo DNS TXT com uma única sequência de texto. Começa sempre com o elemento 'v=' que especifica a versão do SPF utilizada, e existe apenas uma versão a partir de agora.
Todos os registos SPF têm os seus termos específicos alistados que se comportam como regras para as quais os anfitriões são autorizados a partilhar mensagens utilizando o domínio oficial, podendo também exibir alguma informação extra.
Em sintaxe SPF avançada vamos decompor o seguindo três componentes; Mecanismos SPF, SPF Qualifiers, e SPF Modifiers.
Mecanismos SPF
- TODOS: Corresponde sempre e é o último mecanismo adicionado no final de um registo SPF. Apresenta resultados por defeito como '-todos' para IPs não correspondentes.
- A: Indica um nome de domínio com um AAAA ou Um registo como um fósforo, uma vez que separa o endereço do remetente. O domínio actual é utilizado se esta sintaxe de registo SPF do DNS não for especificada.
- ip4: Uma correspondência é positiva se um remetente estiver ligado a uma determinada gama de endereços ipv4 no registo SPF. Adiciona-se isto com um prefixo especificando o comprimento de um intervalo. /32 é utilizado quando não há prefixo.
- ip6: Uma correspondência é positiva quando o remetente é aliado à gama de endereços ipv6 especificada. É adicionado com a directiva ip4 e um prefixo que indica o comprimento do intervalo. /128 é utilizado quando não há prefixo.
- MX: Permite remetentes com um endereço IP idêntico ao incluído no registo MX especificado. Registos MX consistem num endereço IP e num valor de prioridade para cada servidor aceitar mensagens.
- PTR: Especifica o domínio autorizado para ajudar a resolver endereços IP para subdomínios ou domínios. Para todos os domínios ou subdomínios exactamente correspondentes, é feita uma pesquisa prospectiva para obter o endereço IP.
Este mecanismo é considerado demorado e pouco fiável, uma vez que necessita de múltiplas consultas. Não é recomendado de acordo com o Directrizes do RFC 7208.
- EXISTENTES: Conduz uma pesquisa DNS Uma pesquisa de registo para o domínio introduzido. Uma correspondência é bem sucedida quando um registo A válido é encontrado, independentemente do resultado real da pesquisa.
- INCLUÍDOS: Autoriza os remetentes de correio electrónico de terceiros, declarando os seus domínios. Um remetente só é autorizado se o seu endereço IP corresponder aos endereços IP ou domínios fornecidos no registo SPF do domínio listado.
Qualificadores SPF
Quando um mecanismo não tem um qualificador, e ainda há uma correspondência bem sucedida, a autenticação SPF passa. Cada um dos 8 mecanismos está associado a um dos quatro qualificativos mencionados abaixo.
| Qualificador | Resultado | Acção tomada pelo Servidor Receptor |
| + | Passe | O e-mail passa com sucesso a autenticação SPF, e o servidor pode trocar e-mails. Os emails são marcados como genuínos. Esta é a acção padrão aplicada se não houver um qualificador. |
| – | Falhar | O e-mail falha a autenticação porque o servidor de envio não pertence à lista. O correio pode ser rejeitado pela caixa de correio do destinatário. |
| ~ | SoftFail | A caixa de correio do destinatário aceita a mensagem; contudo, é marcada como suspeita e aterra na pasta de spam. |
| ? | Neutro | Mensagem de correio electrónico não passa nem falha a autenticação. A acção tomada é indeterminada e o e-mail é aceite pelo destinatário. |
Modificadores SPF
Os modificadores de SPD são responsáveis pela determinação dos parâmetros de trabalho de uma sintaxe de SPF. Inclui pares de nomes ou valores separados pelo símbolo '=', que partilha detalhes extra e excepções às regras, se existirem.
Os modificadores aparecem apenas uma vez e apenas na última secção de um registo SPF. Todos os modificadores não identificados são ignorados no processo. O modificador 'redireccionar' é utilizado para dirigir outros registos SPF para autenticação. É utilizado quando se pretende que mais de um domínio tenha o mesmo conteúdo de registo SPF.
O mecanismo 'incluir' é utilizado para domínios de terceiros autorizados a enviar e-mails em seu nome ou utilizando o seu nome comercial. O modificador 'exp' especifica porque é que o servidor receptor devolveu um Qualificador SPF Fail quando um mecanismo corresponde.
Directrizes para os Registos SPF
Tenha em mente o seguinte ao criar um registo SPF usando a tabela de sintaxe do SPF.
- Não é possível alinhar vários registos SPF para um domínio.
- Um registo SPF não deve ter nenhuma letra maiúscula; caso contrário, veria erros.
- Não deve haver mais de 255 caracteres. Qualquer string que exceda este número resultará em autenticação falhada.
- Eliminar se houver algum mecanismo SPF que resolva para o mesmo domínio.
- Eliminar quaisquer mecanismos SPF ip4 e ip6 que não estejam a ser utilizados. Verificar também se é possível fundir qualquer intervalo de endereços.
- É possível criar subdomínios para armazenar informação SPF. Isto pode ser feito usando '_spf.domain.com'. É recomendado para grandes empresas de TI uma vez que têm múltiplos endereços IP para adicionar a um registo SPF.
- SPF Softfail Vs Hardfail: Qual é a diferença? - 26 de abril de 2024
- A FTC informa que o correio eletrónico é um meio popular para as burlas de falsificação de identidade - 16 de abril de 2024
- SubdoMailing e a ascensão do phishing de subdomínio - 18 de março de 2024