Correios

SPF existe no DNS do seu domínio como um registo TXT com um monte de mecanismos e modificadores que representam instruções específicas. O SPF todos os mecanismos estão presentes na extremidade direita de um registo SPF, precedido por "-" ou "~". Vejamos qual é a diferença entre o SPF -all e ~todos os mecanismos para determinar quando os deve configurar.

SPF - queda vs ~tudo

Tanto o SPF -all como ~todos os mecanismos significam "NOT PASS" para autenticação SPF. Em tempos recentes, para uma maioria de provedores de serviços de correio electrónico, não há diferença entre o mecanismo -all e ~all, e o mesmo resultado é devolvido. No entanto, não era este o caso há alguns anos atrás.

Como funcionava o mecanismo SPF all (Softfail vs Fail) antes do DMARC?

O DMARC foi criado muito tempo depois de o SPF já ter estado no mercado como protocolo padrão de autenticação de correio electrónico. Nesta altura, o mecanismo SPF -all softfail funcionava da seguinte forma: 

Suponhamos que o seu registo SPF era: 

v=spf1 include:spf.domain.com ~all (onde ~todos significam SPF Softfail)

O servidor de e-mail do seu receptor teria efectuado uma pesquisa DNS para consultar o DNS do remetente para o seu registo SPF. Se o domínio Return-path do e-mail não estivesse listado no registo do remetente, o servidor receptor teria devolvido um resultado SPF "NOT PASS" mas teria entregue o e-mail para a caixa de entrada do receptor.

Agora vamos supor que o seu registo SPF era: 

v=spf1 include:spf.domain.com -all (onde -tudo significa falha do SPF)

O servidor de e-mail do seu receptor teria efectuado uma pesquisa DNS para consultar o DNS do remetente para o seu registo SPF. Se o domínio Return-path do e-mail não estivesse listado no registo do remetente, o servidor receptor teria devolvido um resultado SPF "NOT PASS", mas neste caso, o e-mail teria foi rejeitado e não entregue para a caixa de entrada do receptor.

Leia mais sobre a história do Quadro de Política de Remetentes

Como é que os fornecedores de serviços de correio electrónico lidam agora com o mecanismo SPF -all vs ~all?

Embora seja livre de utilizar SPF -all ou ~all para a maioria dos provedores de caixas de correio no momento actual sem ter de se preocupar com falhas de entrega de e-mails legítimos, pode surgir uma situação em que um servidor rejeita o seu correio electrónico em caso de -todos os atributos.

Só para estar no lado mais seguro, pode evitar usar o mecanismo SPF hard fail -all enquanto cria o seu registo SPF. É assim que o faz:

  • Abrir o PowerDMARC Gerador de registos SPF para começar a criar um disco de graça
  • Depois de incluir os endereços IP e os domínios ou os seus remetentes de correio electrónico, desça até à última secção designada para instruir os servidores de correio electrónico sobre o quão estritos devem ser ao verificar as suas mensagens
  • Escolha a opção "Soft-fail" antes de carregar no botão "Generate SPF Record" (Gerar Registo SPF)

O que é que recomendamos? SPF - queda ou SPF ~ queda

Os problemas de entregabilidade de correio electrónico relacionados com o mecanismo SPF -all podem ocorrer em ocasiões muito raras. Este não é um problema recorrente com o qual se deparará frequentemente. Para garantir que nunca se deparará com este problema, pode tomar as seguintes medidas:

  • Configurar DMARC para as suas mensagens de correio electrónico, e permitir a elaboração de relatórios DMARC
  • Defina a sua política DMARC para monitorizar e inspeccionar de perto os seus resultados de autenticação SPF para detectar quaisquer inconsistências na entregabilidade do correio electrónico
  • Se tudo for bom, pode usar o - todo o mecanismo no seu registo SPF. Recomendamos a utilização do atributo hard fail, uma vez que afirma que está confiante quanto à autenticidade dos seus e-mails, o que pode aumentar a reputação do seu domínio.

Se não estiver actualmente seguro de utilizar SPF -all, pode seguir estes passos:

  • Estabelecer um registo SPF usando o mecanismo ~all
  • Configure DMARC para os seus emails, e active o relatório DMARC
  • Defina a sua política DMARC para rejeitar

Resolução de problemas de outros erros do SPF

Enquanto utiliza ferramentas em linha, pode deparar-se frequentemente com o "Não foi encontrado nenhum registo SPF"que é um estado de erro comum resultante de um resultado nulo devolvido quando um servidor consultou o registo SPF do seu domínio. Cobrimos um artigo em detalhe falando sobre esta questão e ajudando os utilizadores a resolvê-la. Clique no texto ligado para saber mais!

Se tiver DMARC em vigor para o seu domínio sobre SPF, os servidores de correio electrónico verificarão a política DMARC do seu domínio para estabelecer como deseja que as mensagens de correio electrónico não autenticadas sejam tratadas. Esta política para DMARC determinará se os seus emails são entregues, colocados em quarentena, ou rejeitados. 

O DMARC rejeita ajuda a proteger o seu domínio contra uma variedade de ataques de imitação como falsificação, phishing, e resgates.

Alguma vez viu um e-mail falhar SPF? Se já viu, então vou dizer-lhe exactamente porque é que a autenticação SPF falha. O Sender Policy Framework, ou SPF, é uma das normas de verificação de correio electrónico que todos nós utilizamos há anos para impedir o spam. Mesmo que não o soubesse, aposto que se verificasse as definições da sua conta de login para o Facebook, provavelmente mostrar-lhe-ia "opt-in" para "e-mail apenas de amigos". Isto é efectivamente a mesma coisa que o SPF.

O que é a Autenticação SPF?

SPF é um protocolo de autenticação de e-mail que é utilizado para verificar se o remetente de e-mail corresponde ao seu nome de domínio no campo From: da mensagem. O MTA remetente utilizará o DNS para consultar uma lista pré-configurada de servidores SPF para verificar se o IP remetente está autorizado a enviar correio electrónico para esse domínio. Pode haver inconsistências na forma como os registos SPF são configurados, o que é fundamental para compreender por que razão os emails podem falhar a verificação SPF, e que papel pode desempenhar para garantir que os problemas não ocorrem nos seus próprios esforços de marketing por email.

Porque é que a autenticação SPF falha : Nenhum, Neutro, Hardfail, Softfail, TempError, e PermError

As falhas de autenticação SPF podem acontecer devido às seguintes razões:

  • O MTA receptor não encontra um registo SPF publicado no seu DNS
  • Tem vários registos SPF publicados no seu DNS para o mesmo domínio
  • Os seus ESP alteraram ou adicionaram aos seus endereços IP endereços que não foram actualizados no seu registo SPF
  • Se exceder o limite de 10 DNS de procura de SPF
  • Se exceder o número máximo de consultas nulas permitido de 2
  • O seu comprimento de registo SPF achatado excede o limite de 255 caracteres SPF

Dados acima são vários cenários do porquê da falha da autenticação SPF. Pode monitorizar os seus domínios com o nosso analisador DMARC para obter relatórios sobre falhas de autenticação SPF. Quando tem os relatórios DMARC activados, o MTA receptor devolve qualquer um dos seguintes resultados de falhas de autenticação SPF para o e-mail, dependendo do motivo pelo qual o seu e-mail falhou SPF. Vamos conhecê-los melhor:

Tipos de qualificadores de SPF Fail Qualifiers

Seguem-se os tipos de qualificadores de falhas do SPF, cada um dos quais é adicionado como um prefixo antes do mecanismo de falha do SPF:

"+" "Pass"
"-" "Falhar"
~" "Softfail" "Softfail"
“?” "Neutro"

Como é que estas questões são importantes? Bem, numa situação em que o seu correio electrónico falha SPF, pode escolher com que rigor pretende que os destinatários o tratem. Pode especificar um qualificador para "passar" mensagens que falham na verificação (entregar), "Falha" na entrega, ou tomar um ponto de vista "Neutro" (não fazer nada).

Caso 1: SPF Nenhum resultado é devolvido

No primeiro caso,- se o servidor de correio electrónico receptor efectuar uma pesquisa no DNS e não conseguir encontrar o nome do domínio no DNS, não é devolvido nenhum resultado. Nenhum é também devolvido caso não seja encontrado nenhum registo SPF no DNS do remetente, o que implica que o remetente não tenha a autenticação SPF configurada para este domínio. Neste caso, a autenticação SPF para os seus e-mails falha.

Crie agora o seu registo SPF livre de erros com a nossa ferramenta geradora de registos SPF gratuita para evitar isto.

Caso 2: SPF Resultado Neutro é Devolvido

Ao configurar o SPF para o seu domínio, se tiver afixado um ?todo o mecanismo no seu registo SPF, isto significa que, independentemente do que a autenticação SPF para os seus e-mails enviados concluir, o MTA receptor retorna um resultado neutro. Isto acontece porque quando tem o seu SPF em modo neutro, não está a especificar os endereços IP que estão autorizados a enviar e-mails em seu nome e a permitir que endereços IP não autorizados os enviem também.

Caso 3: SPF Softfail Resultado

Semelhante ao SPF neutro, o SPF softfail é identificado por ~todos os mecanismos, o que implica que o MTA receptor aceitaria o correio e o entregaria na caixa de entrada do destinatário, mas seria marcado como spam, caso o endereço IP não esteja listado no registo SPF encontrado no DNS, o que pode ser uma razão pela qual a autenticação SPF falha para o seu correio electrónico. Abaixo está um exemplo de softfail SPF:

 v=spf1 include:spf.google.com ~all

Caso 4: SPF Hardfail Resultado

SPF hardfail, também conhecido como SPF fail é quando a recepção de MTAs descartaria e-mails provenientes de qualquer fonte de envio que não esteja listada no seu registo SPF. Recomendamos-lhe que configure o SPF hardfail no seu registo SPF, se quiser obter protecção contra a personificação do domínio e a falsificação de emails. Abaixo está um exemplo de falha do SPF hardfail:

v=spf1 include:spf.google.com -all

Caso 5: SPF TempError (SPF Temporary Error)

Uma das razões muito comuns e muitas vezes inofensivas pelas quais a autenticação SPF falha é SPF TempError (erro temporário) que é causado devido a um erro DNS tal como um timeout DNS enquanto uma verificação de autenticação SPF está a ser realizada pelo MTA receptor. É, portanto, tal como o nome sugere, geralmente um erro provisório devolvendo um código de estado 4xx que pode causar uma falha temporária do SPF, contudo, produzindo um resultado SPF pass quando tentado novamente mais tarde.

Caso 6: SPF PermError (Erro Permanente do SPF)

Outro resultado comum com o qual os erros de domínio são confrontados é o SPF PermError. É por isso que a autenticação SPF falha na maioria dos cenários de casos. Isto acontece quando o seu registo SPF é invalidado pelo MTA receptor. Há muitas razões pelas quais o SPF pode quebrar e ser invalidado pelo MTA ao efectuar pesquisas DNS:

  • Ultrapassar o limite de 10 SPF de pesquisa
  • Sintaxe de registo SPF incorrecta
  • Mais do que um registo SPF para o mesmo domínio
  • Ultrapassar o limite do comprimento de registo SPF de 255 caracteres
  • Se o seu registo SPF não estiver actualizado com as alterações feitas pelos seus ESP

Nota: Quando um MTA realiza uma verificação SPF num e-mail, consulta o DNS ou realiza uma pesquisa DNS para verificar a autenticidade da fonte do e-mail. Idealmente, no SPF é-lhe permitido um máximo de 10 consultas DNS, excedendo o que falhará o SPF e devolvendo um resultado PermError.

Como é que o FPS Dinâmico pode resolver o FPS PermError?

Ao contrário dos outros erros SPF, o SPF PermError é muito mais complicado e complicado de resolver. O PowerSPF ajuda-o a mitigá-lo facilmente com a ajuda do SPF automático de achatamento. Ajuda-o:

  • Permanecer sob o limite rígido do SPF
  • Optimize instantaneamente o seu registo SPF
  • Aplainar o seu registo para uma única declaração incluir
  • Certifique-se de que o seu registo SPF está sempre actualizado sobre as alterações feitas pelos seus ESP

Deseja testar se tem o SPF configurado correctamente para o seu domínio? Experimente hoje a nossa ferramenta gratuita de pesquisa de registos SPF!