Erro de validação SPF: causas e soluções

Blog

Confira nosso guia completo sobre erros de validação de SPF e suas principais causas. Saiba como detetar e resolver problemas de SPF de forma eficaz usando o PowerDMARC.

por YunesTarada

Tempo de leitura: 7 min
Erro de validação SPF: causas e soluções
Índice-

Um erro de validação SPF é o resultado de uma configuração incorrecta do Sender Policy Framework (SPF). Uma situação como esta pode ser morosa e dispendiosa para a empresa.

Este artigo explora em profundidade as várias razões pelas quais podem surgir erros de validação SPF e como corrigi-los.

Takeaways de chaves

  1. Os erros de SPF ocorrem frequentemente devido a registos DNS incorrectos, erros de sintaxe ou ultrapassagem dos limites de pesquisa de DNS, o que pode levar a falhas e interrupções na entrega.
  2. Existem vários tipos de erros SPF, incluindo Temperror (problemas temporários), Permerror (problemas de sintaxe ou de pesquisa), Softfail (autorização fraca) e Fail (rejeição explícita de correio eletrónico de remetentes não autorizados).
  3. As causas mais comuns incluem registos DNS incorrectos, vários registos SPF para o mesmo domínio, exceder o limite de 10 pesquisas de DNS e utilizar tipos de registos SPF obsoletos.
  4. Os relatórios DMARC, os validadores SPF online e as ferramentas de inspeção de cabeçalhos de correio eletrónico podem ajudar a identificar e corrigir rapidamente os erros de validação SPF.
  5. Para evitar erros, assegure a sintaxe exacta do registo SPF, limite as pesquisas de DNS, consolide os registos SPF e actualize regularmente os registos quando alterar os fornecedores de correio eletrónico ou as definições de DNS.

O que é um erro de validação SPF?

A validação SPF refere-se ao processo de verificar se um remetente está autorizado (permitido) a enviar e-mails em nome do domínio. Os erros de validação SPF podem ocorrer quando o registo TXT que contém informações SPF tem erros de sintaxe ou de configuração. O registo SPF de um domínio é composto por várias etiquetas, tecnicamente conhecidas como mecanismos e modificadores SPF. Tentar criar um registo SPF manualmente pode muitas vezes levar a erros de sintaxe, que durante a avaliação SPF podem resultar num erro de validação. 

Durante os erros de validação SPF, os proprietários de domínios podem receber uma mensagem 550 spf check failed, tal como: 

"Erro 550 - Mensagem recusada devido a uma verificação SPF falhada."

Simplifique o SPF com o PowerDMARC!

Teste grátis 15 diasMarcar demo

 

Tipos de erros de validação SPF

De seguida, apresentam-se os principais tipos de erros de validação SPF e as respectivas explicações: 

  • Temperamento: Este pode ser um erro de validação causado por um problema momentâneo, como um timeout do DNS ou problemas semelhantes durante o procedimento de validação SPF. Não significa que o registo SPF seja inválido, não esteja disponível ou tenha falhado o procedimento de validação do registo SPF. Não deve preocupar-se se apenas receber um temperror SPF de um servidor de correio eletrónico. No entanto, deve verificar novamente o seu registo SPF se começar a receber estas notificações regularmente.
  • Permerror: Quando os servidores de correio não conseguem verificar corretamente os registos SPF, emitem estes SPF Permerror mensagens. Estes problemas são normalmente causados por erros de digitação ou problemas de sintaxe SPF. O Permerror também é causado quando os registos SPF excedem o limite de 10 pesquisas no DNS.
  • Softail: O remetente está autorizado ou não autorizado a enviar correio eletrónico a partir do domínio. O anfitrião pode ser "provavelmente não aprovado" se o domínio não tiver estabelecido uma política clara e agressiva que resulte numa "falha". Funciona associando um mecanismo "todos" ao registo SPF. Qualquer endereço IP fornecerá um resultado de 'SPF Softfail' na avaliação. O resultado SPF Soft fail é, de facto, uma declaração fraca. O DMARC lê o resultado SPF Softfail como "Pass" ou "Fail", dependendo das definições do servidor de correio eletrónico, tal como o resultado SPF Neutral.
  • Falha: A declaração "SPF Fail", em contraste com "SPF Softfail", é uma afirmação explícita ou definitiva de que o anfitrião não está autorizado a utilizar o domínio. Esta condição é implementada no registo SPF utilizando a técnica "-all". Se for utilizado qualquer endereço IP, produzirá um registo 'SPF Fail' quando é efectuada a verificação de autenticação SPF. Esta situação é tratada da mesma forma por todos os domínios com DMARC implementado e é interpretada como "Fail".

4 razões comuns para o erro de validação SPF

Os motivos mais comuns para os erros de validação SPF incluem:

1. Registos DNS incorrectos

Um motivo comum para um erro de validação SPF é um registo DNS SPF incorreto. Espaços extra, formatação incorrecta e pontuação incorrecta podem levar a erros de validação para SPF e invalidar o seu registo. Além disso, as vulnerabilidades do DNS, como registos DNS pendentes, podem criar lacunas que os atacantes podem explorar, complicando ainda mais a sua configuração de autenticação de correio eletrónico.

2. Registos SPF múltiplos 

A validação SPF pode apresentar erros se estiver a configurar vários registos SPF para o mesmo domínio. Idealmente, deve haver apenas 1 registo SPF por domínio.

3. Exceder o limite de pesquisa de DNS

Uma das razões mais comuns para os erros de validação SPF é exceder o limite de pesquisa de DNS para SPF. Há um limite de 10 pesquisas de DNS durante a avaliação do SPF; se o limite for excedido, a validação do SPF falha com um Permerror. 

4. Tipo de registo SPF obsoleto

O tipo de registo SPF 99 (SPF) foi preterido, tal como mencionado no RFC 7208, secção 3.1, por não ser muito utilizado. Tem o mesmo formato que o RR Type TXT, que é o tipo de recurso recomendado para os registos SPF. A utilização do tipo de registo obsoleto pode dar origem a erros SPF. 

Como encontrar erros de validação SPF?

É importante detetar os erros SPF para começar a resolvê-los. Aqui estão algumas formas de o fazer: 

1. Utilizar relatórios DMARC

Pode detetar erros de validação SPF monitorizando os seus relatórios DMARC. Os relatórios DMARC fornecem uma grande quantidade de informações sobre o tráfego de correio eletrónico, o remetente e os resultados da autenticação SPF e DKIM. Se houver um erro de validação com o seu registo SPF, é provável que este seja destacado no seu relatório DMARC. Utilizando uma ferramenta de análise de relatórios DMARC pode ajudá-lo neste processo, tornando os relatórios XML complexos muito mais fáceis de ler e compreender.

2. Utilizar ferramentas de validação SPF em linha

Apenas as ferramentas de validação SPF, como os verificadores SPF, podem ajudá-lo a detetar fácil e instantaneamente os erros de validação. Estas ferramentas online são normalmente gratuitas e podem inspecionar rapidamente o seu registo SPF para destacar erros de sintaxe e configuração. Algumas ferramentas avançadas também indicam se o seu SPF está a exceder o limite de 10 pesquisas de DNS. 

Experimente a ferramenta ferramenta gratuita de verificação de SPF.

3. Verificar os cabeçalhos do correio eletrónico

Por último, pode sempre verificar se existem erros de validação SPF investigando manualmente os cabeçalhos do seu correio eletrónico. Basta abrir a mensagem de correio eletrónico. Clique em "mais" e selecione "Mostrar original". Aparecerá um novo separador que apresenta o resumo da sua mensagem original e uma visão geral detalhada do cabeçalho do seu correio eletrónico. Também pode utilizar um analisador de cabeçalhos de correio eletrónico que fornecerá informações detalhadas sobre o cabeçalho do seu e-mail, mas num formato abrangente e legível.

Como evitar erros de validação SPF

Para evitar erros de validação SPF: 

  • Verifique novamente o seu registo SPF para garantir que o actualizou ou desactivou, se já não for utilizado, enviando uma mensagem de correio eletrónico ao proprietário do seu domínio. 
  • Suponha que mudou recentemente para outro fornecedor de correio eletrónico (por exemplo, o Gmail) ou que foi efectuada uma alteração nos servidores de nomes de domínio. Nesse caso, o seu SPF pode falhar porque o Google não consegue fazer corresponder o endereço do remetente a quaisquer registos existentes. Se tiver efectuado recentemente alguma destas alterações ao seu domínio, certifique-se de que os seus registos SPF estão actualizados, contactando o seu anfitrião Web ou fornecedor de e-mail.
  • Certifique-se de que o seu fornecedor de alojamento DNS é fiável e que tem boas opções de alojamento web. Isto pode ajudar a garantir que o seu registo SPF está sempre disponível e pode ser facilmente acedido pelos servidores receptores, reduzindo as hipóteses de um erro de validação SPF.
  • É importante escolher um fornecedor de alojamento DNS fiável e verificar regularmente se o seu registo SPF está correto e atualizado para evitar potenciais problemas.

Passos para corrigir o erro de validação do SPF

Os proprietários de domínios podem corrigir os erros adoptando algumas medidas simples apresentadas abaixo:

1. Verificar a sintaxe do registo SPF

Verifique a sintaxe do sintaxe do SPF para confirmar que ela está livre de erros. Um registo SPF sem erros pode ter o seguinte aspeto: v=spf1 include:spf.domain.com ~all. O tipo de versão (v) e o mecanismo SPF all são campos obrigatórios que devem ser incluídos na sintaxe do registo. Além disso, deve certificar-se de que não está a adicionar espaços adicionais, pontos e vírgulas ou outros caracteres especiais não suportados pelo SPF.

2. Limitar as pesquisas de DNS

Para evitar erros de validação de SPF e erros permanentes, é crucial limitar as pesquisas de DNS para SPF a um máximo de 10. Embora existam métodos tradicionais de nivelamento para conseguir isso, uma maneira mais moderna e eficaz de resolver esse problema é usar Macros SPF. As macros ajudam-no a manter-se abaixo dos limites de pesquisa de DNS e de comprimento.

3. Consolidar registos SPF

Para evitar a publicação de vários registos para SPF que podem dar origem a erros de validação, fundir registos SPF usando o mecanismo include:. Os "includes" do SPF podem ajudar a consolidar vários registos num só, adicionando simplesmente o seu domínio autorizado, um após o outro, como se mostra abaixo:

v=spf1 include:spf.domain.com include:spf.example.com include:spf.company.com ~all

4. Incluir ajustamentos do mecanismo

Ignorar as suas fontes de envio de terceiros e fornecedores de correio eletrónico como Google, Microsoft Office 365, Zoho Mail, etc. pode levar a erros de validação. Ajuste o mecanismo "incluir" do SPF para autorizar todos os seus fornecedores terceiros, garantindo uma configuração sem erros. 

Saiba mais sobre configuração da fonte do fornecedor.

Palavras finais

A autenticação SPF é necessária para a integridade do correio eletrónico e a prevenção de spam. A correio eletrónico falso pode entrar facilmente na caixa de correio de um destinatário devido a um erro de validação SPF. Pode prejudicar a reputação do proprietário do domínio legítimo, enviando spam ou phishing ao destinatário.

Embora o método de autenticação SPF se destine a evitar que os e-mails indesejados sobrecarreguem a caixa de entrada, os e-mails reais podem ocasionalmente ser registados como uma falha de autenticação devido a um erro de configuração ou a um registo SPF defeituoso. Como resultado, um administrador de correio eletrónico deve compreender o que causa as falhas SPF e o que pode fazer para melhorar a capacidade de entrega do correio eletrónico. 

Últimas mensagens de Yunes Tarada (ver todas)
Como detetar um e-mail falso de uma universidadee-mails universitários falsosVulnerabilidade do DKIMO que é a vulnerabilidade DKIM? Explicação da limitação da etiqueta DKIM l=