Correios

O SPF (Sender Policy Framework) redirect é um modificador de registo que aponta para um nome de domínio separado contendo um registo SPF. Os proprietários de domínios podem configurar vários domínios para fazer uso de um único registo SPF alojado num domínio, utilizando o redireccionamento SPF. Embora possa parecer ser benéfico de alguma forma, não o recomendamos. Leia mais para saber porquê!

Introdução ao SPF e ao Redirect Modifier

SPF é o padrão de autenticação de e-mail que protege a sua organização contra a imitação e o spam, mantendo um registo das partes autorizadas. 

Embora o modificador de redireccionamento SPF seja opcional e só possa ser utilizado uma vez por registo SPF. Existem certos pré-requisitos para a utilização do redireccionamento do SPF. São os seguintes:

  • Só faz sentido quando uma organização trabalha com múltiplos domínios 
  • Todos estes domínios devem partilhar a mesma infra-estrutura de correio electrónico
  • O segundo domínio, que está a ser redireccionado, deve ter um registo SPF válido
  • Para utilizar o redireccionamento SPF, o controlo sobre todos os domínios que participam na cadeia de redireccionamento deve ser da responsabilidade do proprietário do domínio

Como funciona o SPF Redirect Modifier?

Para compreender melhor a funcionalidade do redireccionamento do SPF, vejamos o seguinte exemplo: 

Se domain_test.com tem um registo SPF como por exemplo:
v=spf1 redirect=domain_test2.com

Isto indica que o registo SPF para "domain_test2.com" deve ser utilizado em vez de "domain_test". Os e-mails de domain_test seriam então redireccionados utilizando "domain_test2".

Quando pode utilizar o modificador de redireccionamento SPF?

1. Quando um único registo deve ser utilizado para vários domínios

Por exemplo,

delaware.example.com. TXT "v=spf1 redirect=_spf.example1.com".
austin.example.com TXT "v=spf1 redirect=_spf.example1.com"
washington.example.com TXT "v=spf1 redirect=_spf.example1.com"
_spf.example.com. TXT "v=spf1 mx:example1.com -all"

Neste exemplo, qualquer correio dos três domínios acima referidos será descrito pelo mesmo registo, neste caso, "_spf.example1.com", o que proporciona aos utilizadores uma vantagem administrativa.

2. Quando o nome do domínio precisa de ser alterado.

Para todos os mecanismos, os valores "a", "mx" e "ptr" são opcionais. Se não forem fornecidos valores específicos, estes são definidos para o domínio actual. Contudo, quando é utilizado um "redireccionamento", os mecanismos "a", "mx", e "ptr" apontam para o domínio redireccionado.

Considere o seguinte exemplo:
powerdmarc.com "v=spf1 a -all"

Aqui, o mecanismo, "a" não tem valor especificado, pelo que apontará então para o registo DNS 'A' de "powerdmarc.com", pois é aí que o registo SPF é alojado como especificado no exemplo.

Agora, considere o seguinte exemplo:
powerdmarc.com "v=spf1 redirect=_spf.powerdmarc.com"
_spf.powerdmarc.com "v=spf1 a -all"

No exemplo acima, o mecanismo "a" aponta para o registo DNS 'A' de "_spf.powerdmarc.com", embora o domínio raiz "powerdmarc.com" o redireccione.

Esta é uma das causas comuns de problemas de validação do SPF e é difícil de depurar. Se a sua organização utiliza um SPF "redireccionado", note que se existir um mecanismo "a", "mx", ou "ptr" sem um nome de domínio explicitamente definido no seu registo SPF redireccionado, este apenas apontará para o domínio redireccionado.

Desvantagens da utilização do SPF Redirect

1. O modificador "redireccionar" adiciona ao número de consultas DNS

Ao utilizar a autenticação de e-mail SPF, cada vez que um e-mail é enviado de um domínio para o domínio do destinatário, o servidor de e-mail do destinatário efectua pedidos de consulta DNS, também conhecidos como consultas DNS, para verificar os endereços IP autorizados existentes no seu DNS e compará-los com o endereço IP no cabeçalho do caminho de retorno do e-mail recebido. O SPF RFC7208 limita o número máximo para estes pedidos de consulta a 10. 

Um modificador "redireccionar", quando utilizado, também aumenta esta contagem. Portanto, a sua organização deve ter cuidado ao utilizar um modificador "redireccionar", uma vez que o 10 limite de pesquisa DNS podem ser excedidos. Isto pode causar a quebra do SPF e levar a falhas de autenticação.

No PowerDMARC, os nossos utilizadores configuram o PowerSPF, que é uma ferramenta eficaz de achatamento do SPF para limitar o número de consultas e desfrutar de um SPF sem erros.

2. O resultado da permissão é devolvido para nenhuma política SPF definida em domínios usando "redireccionar".

No caso de incluir um domínio que não contenha um registo SPF ou que tenha um registo inválido, um resultado softfail (nenhum) é devolvido, o que não afecta o processo de verificação. 

No entanto, ao utilizar o modificador de redireccionamento SPF se o domínio redireccionado contiver um registo inválido ou em falta para SPF, é devolvido um resultado SPF Permerror que é uma falha difícil e pode causar a quebra do SPF.

Utilizar o SPF inclui mecanismo em vez do modificador de redireccionamento do SPF

Recomendamos a utilização do mecanismo SPF em vez do modificador de redireccionamento para fugir a algumas complicações comuns, São as seguintes

  • Quando é utilizado um mecanismo de redireccionamento, denota o fim do registo e não podem ser feitas mais modificações. Por outro lado, se utilizar um SPF, pode fazer modificações ao seu registo e adicionar mais registos, um ou mx como por sua vontade, oferecendo assim mais em termos de flexibilidade.
  • O mecanismo de inclusão pode ajudar a encurtar o seu registo SPF para que fique abaixo do limite de comprimento de caracteres SPF. Pode criar um registo SPF TXT cada um no spfrecord1.xyz.com e spfrecord2.abc.com dividindo o registo SPF originalmente único e longo e incluir ambos os domínios no registo TXT para um dos domínios (por exemplo: xyz.com).
  • No caso de haver não foi encontrado nenhum registo SPF num domínio redireccionado, a retenção do estado de erro (valor permerror) para redireccionamento, como mencionado acima, também pode ser evitada utilizando o mecanismo include que devolverá um resultado softfail em vez disso, com as suas mensagens de correio electrónico ainda a serem entregues.
  • Ao contrário do SPF, que não tem qualquer efeito sobre todo o mecanismo, o modificador de redireccionamento do SPF instroi o servidor para tornar o SPF ~ queda para o domínio raiz utilizando o redireccionamento, como no caso seguinte:
    domínio1.com "v=spf1 redirect=_spf.domain2.com"
    _spf.domain2.com "v=spf1 ip4:164.100.226.127 ~tudo
    Isto porque para qualquer registo que utilize o redireccionamento, o mecanismo "todos" está ausente em primeiro lugar, o que pode coexistir durante a utilização de mecanismos de inclusão. Daí que o conjunto "~tudo" para o subdomínio redireccionado seja cobrado também no domínio raiz.

Conclusão

Há muitas coisas a ter cuidado ao utilizar um modificador de "redireccionamento" como o limite de 10 DNS Lookup, portanto, a sua organização deve ser cuidadosa ao estabelecer o seu registo SPF. A sua organização deve optimizar os registos SPF de tempos a tempos, assegurando que as pesquisas DNS estão dentro do limite. Para todas as consultas relacionadas com o SPF da sua organização, consulte o PowerSPF. Efectua o achatamento automático e actualiza automaticamente os blocos de rede para assegurar que os IPs autorizados estejam sempre actualizados e seguros. Além disso, não tem de se preocupar com permerror ou exceder os limites de pesquisa DNS.

A melhor maneira de proteger os seus e-mails com SPF é implementá-lo com DKIM e DMARC grátis. Isto ajudará a proteger a sua organização contra correio electrónico não solicitado e possíveis tentativas de spear-phishing. Verifique PowerDMARC e assegure-se de que a sua organização está a utilizar um fornecedor de serviço activo de tecnologia anti-spoofing DMARC.

Neste artigo, iremos explorar como optimizar facilmente o registo SPF para o seu domínio. Tanto para empresas como para pequenas empresas que possuam um domínio de correio electrónico para enviar e receber mensagens entre os seus clientes, parceiros e empregados, é altamente provável que exista um registo SPF por defeito, que foi criado pelo seu fornecedor de serviços da caixa de entrada. Não importa se tem um registo SPF pré-existente ou se precisa de criar um novo, precisa de optimizar correctamente o seu registo SPF para o seu domínio, a fim de garantir que este não cause problemas de entrega de correio electrónico.

Alguns destinatários de correio electrónico exigem estritamente SPF, o que indica que se não tiver um registo SPF publicado para o seu domínio, os seus e-mails podem ser marcados como spam na caixa de entrada do seu receptor. Além disso, o SPF ajuda a detectar fontes não autorizadas que enviam e-mails em nome do seu domínio.

Vamos primeiro compreender o que é SPF e porque é que precisa dele?

Quadro da Política de Remetentes (SPF)

SPF é essencialmente um protocolo padrão de autenticação de e-mail que especifica os endereços IP que estão autorizados a enviar e-mails do seu domínio. Funciona comparando os endereços de remetente com a lista de hosts de envio autorizados e endereços IP para um domínio específico que é publicada no DNS para esse domínio.

O SPF, juntamente com o DMARC (Domain-based Message Authentication, Reporting and Conformance) foi concebido para detectar endereços de remetente falsificados durante a entrega de correio electrónico e prevenir ataques de falsificação, phishing, e esquemas de correio electrónico.

É importante saber que embora o SPF padrão integrado no seu domínio pelo seu fornecedor de alojamento garanta que os e-mails enviados a partir do seu domínio são autenticados contra SPF se tiver vários fornecedores terceiros para enviar e-mails do seu domínio, este registo SPF preexistente precisa de ser adaptado e modificado para se adequar às suas necessidades. Como pode fazer isso? Vamos explorar duas das formas mais comuns:

  • Criação de um registo SPF novinho em folha
  • Optimização de um registo SPF existente

Instruções sobre como optimizar o registo do SPF

Criar um Novo Registo SPF

Criar um registo SPF é simplesmente publicar um registo TXT no DNS do seu domínio para configurar o SPF para o seu domínio. Este é um passo obrigatório que vem antes de começar a optimizar o registo SPF. Se está apenas a começar com a autenticação e não tem a certeza sobre a sintaxe, pode usar o nosso gerador de registos SPF online grátis para criar um registo SPF para o seu domínio.

Uma entrada de registo SPF com uma sintaxe correcta parecerá algo parecido com isto:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Especifica a versão do FPS que está a ser utilizada
ip4/ip6Este mecanismo especifica os endereços IP válidos que estão autorizados a enviar e-mails a partir do seu domínio.
incluirEste mecanismo diz aos servidores receptores para incluir os valores para o registo SPF do domínio especificado.
-tudoEste mecanismo especifica que as mensagens de correio electrónico que não são compatíveis com SPF seriam rejeitadas. Esta é a etiqueta recomendada que pode utilizar durante a publicação do seu registo SPF. Contudo, pode ser substituída por ~ para SPF Soft Fail (e-mails não conformes seriam marcados como soft fail mas continuariam a ser aceites) ou + que especifica que todo e qualquer servidor seria autorizado a enviar e-mails em nome do seu domínio, o que é fortemente desencorajado.

Se já tem SPF configurado para o seu domínio, também pode usar o nosso verificador de registos SPF gratuito para procurar e validar o seu registo SPF e detectar problemas.

Desafios e erros comuns durante a configuração do SPF

1) 10 DNS Lookup limit 

O desafio mais comum enfrentado pelos proprietários de domínios ao configurarem e adoptarem o protocolo de autenticação SPF para o seu domínio, é que o SPF vem com um limite no número de consultas ao DNS, que não pode exceder 10. Para domínios que dependem de múltiplos fornecedores terceiros, o limite de 10 consultas ao DNS excede facilmente o que, por sua vez, quebra o SPF e devolve um SPF PermError. O servidor receptor em tais casos invalida automaticamente o seu registo SPF e bloqueia-o.

Mecanismos que iniciam as pesquisas DNS: Modificador MX, A, INCLUDE, REDIRECT

2) SPF Void Lookup 

As pesquisas de vazio referem-se às pesquisas DNS que ou devolvem a resposta NOERROR ou a resposta NXDOMAIN (resposta nula). Ao implementar o SPF é recomendado assegurar que as pesquisas DNS não devolvem uma resposta nula.

3) SPF Laço recursivo

Este erro indica que o registo SPF para o seu domínio especificado contém questões recorrentes com um ou mais dos mecanismos INCLUDE. Isto ocorre quando um dos domínios especificados na etiqueta INCLUDE contém um domínio cujo registo SPF contém a etiqueta INCLUDE do domínio original. Isto leva a um loop interminável que faz com que os servidores de correio electrónico efectuem continuamente pesquisas DNS para os registos SPF. Isto leva, em última análise, a exceder o limite de 10 consultas ao DNS, resultando em e-mails com falhas no SPF.

4) Erros de sintaxe 

Um registo SPF pode existir no DNS do seu domínio, mas não tem qualquer utilidade se contiver erros de sintaxe. Se o seu registo SPF TXT contiver espaços brancos desnecessários enquanto digita o nome do domínio ou o nome do mecanismo, a string que precede o espaço extra seria completamente ignorada pelo servidor receptor enquanto executa uma pesquisa, invalidando assim o registo SPF.

5) Múltiplos registos SPF para o mesmo domínio

Um único domínio pode ter apenas uma entrada SPF TXT no DNS. Se o seu domínio contiver mais de um registo SPF, o servidor receptor invalida todos eles, fazendo com que os e-mails falhem SPF.

6) Comprimento do registo do SPF 

O comprimento máximo de um registo SPF no DNS é limitado a 255 caracteres. Contudo, este limite pode ser excedido e um registo TXT para SPF pode conter várias cadeias concatenadas, mas não além de um limite de 512 caracteres, para caber na resposta à consulta DNS (de acordo com o RFC 4408). Embora isto tenha sido revisto mais tarde, os destinatários que dependessem de versões mais antigas do DNS não seriam capazes de validar e-mails enviados a partir de domínios contendo um longo registo SPF.

Optimizar o seu registo SPF

A fim de modificar rapidamente o seu registo SPF pode utilizar as seguintes melhores práticas SPF:

  • Tente escrever as suas fontes de e-mail por ordem decrescente de importância da esquerda para a direita no seu registo SPF
  • Remover fontes de correio electrónico obsoletas do seu DNS
  • Utilizar mecanismos IP4/IP6 em vez de A e MX
  • Mantenha o seu número de mecanismos de INCLUIR o mais baixo possível e evite aninhar-se inclui
  • Não publique mais do que um registo SPF para o mesmo domínio no seu DNS
  • Certifique-se de que o seu registo SPF não contém quaisquer espaços brancos redundantes ou erros de sintaxe

Nota: SPF flattening não é recomendado uma vez que não se trata de um negócio único. Se o seu fornecedor de serviços de correio electrónico alterar a sua infra-estrutura, terá de alterar os seus registos SPF em conformidade, cada vez que o fizer.

Optimização do seu registo SPF facilitada com PowerSPF

Pode ir em frente e tentar implementar todas as modificações acima mencionadas para optimizar manualmente o seu registo SPF, ou pode esquecer o incómodo e confiar no nosso PowerSPF dinâmico para fazer tudo isso por si automaticamente! PowerSPF ajuda-o a optimizar o seu registo SPF com um único clique, no qual pode:

  • Adicionar ou remover fontes de envio com facilidade
  • Actualize facilmente os registos sem ter de fazer alterações manuais ao seu DNS
  • Obtenha um registo auto SPF optimizado com um simples clique de um botão
  • Permanecer sempre abaixo do limite de 10 consultas DNS
  • Atenuar com sucesso PermError
  • Esqueça os erros de sintaxe dos registos SPF e as questões de configuração
  • Tiramos o fardo de resolver as limitações do SPF em seu nome

Inscreva-se hoje com o PowerDMARC para licitar adieu às limitações do SPF para sempre!