Correios

Alguma vez viu um e-mail falhar SPF? Se já viu, então vou dizer-lhe exactamente porque é que a autenticação SPF falha. O Sender Policy Framework, ou SPF, é uma das normas de verificação de correio electrónico que todos nós utilizamos há anos para impedir o spam. Mesmo que não o soubesse, aposto que se verificasse as definições da sua conta de login para o Facebook, provavelmente mostrar-lhe-ia "opt-in" para "e-mail apenas de amigos". Isto é efectivamente a mesma coisa que o SPF.

SPF é um protocolo de autenticação de e-mail que é utilizado para verificar se o remetente de e-mail corresponde ao seu nome de domínio no campo De: da mensagem. O MTA remetente utilizará o DNS para consultar uma lista pré-configurada de servidores SPF para verificar se o IP remetente está autorizado a enviar correio electrónico para esse domínio. Pode haver inconsistências na forma como os registos SPF são configurados, o que é fundamental para compreender por que razão os emails podem falhar a verificação SPF, e que papel pode desempenhar para garantir que os problemas não ocorrem nos seus próprios esforços de marketing por email.

Porque é que a autenticação SPF falha : Nenhum, Neutro, Hardfail, Softfail, TempError, e PermError

As falhas de autenticação SPF podem acontecer devido às seguintes razões:

  • O MTA receptor não encontra um registo SPF publicado no seu DNS
  • Tem vários registos SPF publicados no seu DNS para o mesmo domínio
  • Os seus ESP alteraram ou adicionaram aos seus endereços IP endereços que não foram actualizados no seu registo SPF
  • Se exceder o limite de 10 DNS de procura de SPF
  • Se exceder o número máximo de consultas nulas permitido de 2
  • O seu comprimento de registo SPF achatado excede o limite de 255 caracteres SPF

Dados acima são vários cenários do porquê da falha da autenticação SPF. Pode monitorizar os seus domínios com o nosso analisador DMARC para obter relatórios sobre falhas de autenticação SPF. Quando tem os relatórios DMARC activados, o MTA receptor devolve qualquer um dos seguintes resultados de falhas de autenticação SPF para o e-mail, dependendo do motivo pelo qual o seu e-mail falhou SPF. Vamos conhecê-los melhor:

Caso 1: SPF Nenhum resultado é devolvido

No primeiro caso,- se o servidor de correio electrónico receptor efectuar uma pesquisa no DNS e não conseguir encontrar o nome do domínio no DNS, não é devolvido nenhum resultado. Nenhum é também devolvido caso não seja encontrado nenhum registo SPF no DNS do remetente, o que implica que o remetente não tenha a autenticação SPF configurada para este domínio. Neste caso, a autenticação SPF para os seus e-mails falha.

Crie agora o seu registo SPF livre de erros com a nossa ferramenta geradora de registos SPF gratuita para evitar isto.

Caso 2: SPF Resultado Neutro é Devolvido

Ao configurar o SPF para o seu domínio, se tiver afixado um ?todo o mecanismo no seu registo SPF, isto significa que, independentemente do que a autenticação SPF para os seus e-mails enviados concluir, o MTA receptor retorna um resultado neutro. Isto acontece porque quando tem o seu SPF em modo neutro, não está a especificar os endereços IP que estão autorizados a enviar e-mails em seu nome e a permitir que endereços IP não autorizados os enviem também.

Caso 3: SPF Softfail Resultado

Semelhante ao SPF neutro, o SPF softfail é identificado por ~todos os mecanismos, o que implica que o MTA receptor aceitaria o correio e o entregaria na caixa de entrada do destinatário, mas seria marcado como spam, caso o endereço IP não esteja listado no registo SPF encontrado no DNS, o que pode ser uma razão pela qual a autenticação SPF falha para o seu correio electrónico. Abaixo está um exemplo de softfail SPF:

 v=spf1 include:spf.google.com ~all

Caso 4: SPF Hardfail Resultado

SPF hardfail, também conhecido como SPF fail é quando a recepção de MTAs descartaria e-mails provenientes de qualquer fonte de envio que não esteja listada no seu registo SPF. Recomendamos-lhe que configure o SPF hardfail no seu registo SPF, se quiser obter protecção contra a personificação do domínio e a falsificação de emails. Abaixo está um exemplo de falha do SPF hardfail:

v=spf1 include:spf.google.com -all

Caso 5: SPF TempError (SPF Temporary Error)

Uma das razões muito comuns e muitas vezes inofensivas pelas quais a autenticação SPF falha é SPF TempError (erro temporário) que é causado devido a um erro DNS tal como um timeout DNS enquanto uma verificação de autenticação SPF está a ser realizada pelo MTA receptor. É portanto, tal como o nome sugere, geralmente um erro provisório que devolve um código de estado 4xx que pode causar uma falha temporária do SPF, produzindo no entanto um resultado SPF pass quando tentado novamente mais tarde.

Caso 6: SPF PermError (Erro Permanente do SPF)

Outro resultado comum com o qual os erros de domínio são confrontados é o SPF PermError. É por isso que a autenticação SPF falha na maioria dos cenários de casos. Isto acontece quando o seu registo SPF é invalidado pelo MTA receptor. Há muitas razões pelas quais o SPF pode quebrar e ser invalidado pelo MTA ao efectuar pesquisas DNS:

  • Ultrapassar o limite de 10 SPF de pesquisa
  • Sintaxe de registo SPF incorrecta
  • Mais do que um registo SPF para o mesmo domínio
  • Ultrapassar o limite do comprimento de registo SPF de 255 caracteres
  • Se o seu registo SPF não estiver actualizado com as alterações feitas pelos seus ESP

Nota: Quando um MTA realiza uma verificação SPF num e-mail, consulta o DNS ou realiza uma pesquisa DNS para verificar a autenticidade da fonte do e-mail. Idealmente, no SPF é-lhe permitido um máximo de 10 consultas DNS, excedendo o que falhará o SPF e devolvendo um resultado PermError.

Como é que o FPS Dinâmico pode resolver o FPS PermError?

Ao contrário dos outros erros SPF, o SPF PermError é muito mais complicado e complicado de resolver. O PowerSPF ajuda-o a mitigá-lo facilmente com a ajuda do SPF automático de achatamento. Ajuda-o:

  • Permanecer sob o limite rígido do SPF
  • Optimize instantaneamente o seu registo SPF
  • Aplainar o seu registo para uma única declaração incluir
  • Certifique-se de que o seu registo SPF está sempre actualizado sobre as alterações feitas pelos seus ESP

Deseja testar se tem o SPF configurado correctamente para o seu domínio? Experimente hoje a nossa ferramenta gratuita de pesquisa de registos SPF!

Não há problema em ter múltiplos registos SPF no seu domínio? A resposta é não, uma vez que ter múltiplos registos SPF é um dos erros SPF mais comuns com que os proprietários de domínios se deparam, pode invalidar completamente o seu SPF e levar ao SPF PermError. Para compreender porque é que isto acontece, precisamos de saber como funciona o SPF e porque é que ter mais do que um registo SPF pode causar problemas na autenticação. Conduza hoje a sua verificação de registo SPF para encontrar erros na configuração do seu registo SPF.

Como funciona a SPF?

O Sender Policy Framework ou SPF é um protocolo popular de autenticação de correio electrónico que funciona através da listagem de todas as fontes de envio autorizadas que são autorizadas a enviar correio electrónico em nome do seu domínio. SPF funciona através da realização de pedidos de consulta DNS, ou consultas DNS em que o MTA receptor procura e valida o endereço de caminho de retorno do seu correio electrónico, comparando-o com a lista de endereços IP mencionados no registo SPF que reside no DNS do seu domínio.

Se for encontrada uma correspondência, o e-mail passa SPF, caso contrário falha SPF.

Assim, configurar o SPF é simplesmente publicar um registo DNS TXT que começa com a sintaxe "v=spf1".

O que é o SPF PermError?

Quando uma MTA receptora começa a realizar a autenticação SPF num e-mail, ela vai buscar todos os registos DNS TXT que começam com "v=spf1". No caso do SPF não estar configurado para o domínio de envio, e nenhum registo SPF for encontrado no DNS, um resultado Nenhum é devolvido. Pelo contrário, se forem encontrados múltiplos registos SPF que comecem por "v=spf1" para o mesmo domínio, um resultado PermError é devolvido.

O caminho errado: 

Tipo de registoNome de domínioValor recordeTTL
TXTexemplodomain.comv=spf1 include:_spf.zoho.com -allpadrão
TXTexemplodomain.comv=spf1 include:_spf.google.com -allpadrão

Neste exemplo, para o domínio exampledomain.com, existem 2 registos DNS TXT separados que foram publicados no DNS do domínio. Neste caso, a autenticação SPF falha devido ao SPF PermError.

 

O caminho certo: 

Tipo de registoNome de domínioValor recordeTTL
TXTexemplodomain.comv=spf1 include:_spf.zoho.com include:_spf.google.com -tudopadrão

Neste exemplo, o domínio exampledomain.com tem apenas um único registo SPF DNS TXT publicado no DNS, acrescentando todos os mecanismos de inclusão num único registo. O registo é válido e o SPF não devolveria um resultado PermError neste caso. Saiba como optimizar o seu registo SPF da forma correcta para evitar erros de registo SPF no futuro.

Outros factores que afectam o SPF: Tipos de erros SPF

Como discutido acima, ter mais do que um registo SPF é um erro SPF comum que pode tornar o seu registo SPF inválido e falhar a autenticação SPF. Portanto, a resposta a "Posso ter vários registos SPF no meu domínio?" é clara e simples: não, não pode. Depois de se assegurar de que tem apenas um registo SPF publicado no seu DNS, ainda podem existir outros factores que causam erros SPF.

  • Exceder o limite de pesquisa SPF 10 também pode devolver SPF PermError e quebrar SPF.
  • Aplanar manualmente o seu registo SPF para puxar todos os endereços IP por trás do mecanismo de inclusão pode levar a um registo longo que pode exceder o limite de 255 caracteres da cadeia de caracteres
  • Os seus fornecedores de serviços de e-mail como Zoho, Gmail, ou Outlook podem alterar ou adicionar aos seus endereços IP endereços que invalidam o seu registo SPF
  • O seu registo SPF pode conter erros de sintaxe

A fim de evitar os erros acima mencionados, utilize o PowerSPF para aplanar automaticamente o seu registo SPF e permanecer abaixo do limite de 10 DNS de pesquisa.

Pode gerar o seu registo SPF sem erros utilizando o nosso gerador de registos SPF gratuito. Inscreva-se hoje no DMARC Analyzer para configurar correctamente o SPF para o seu domínio e evitar todos os erros SPF.

Razões para evitar SPF Flattening

Sender Policy Framework, ou SPF, é um protocolo de autenticação de correio electrónico amplamente aclamado que valida as suas mensagens, autenticando-as contra todos os endereços IP autorizados registados para o seu domínio no seu registo SPF. A fim de validar e-mails, o SPF especifica ao servidor de correio receptor para efectuar consultas DNS para verificar os IPs autorizados, o que resulta em consultas DNS.

O seu registo SPF existe como um registo DNS TXT que é formado por um conjunto de vários mecanismos. A maioria destes mecanismos (tais como incluir, a, mx, redireccionar, existe, ptr) geram pesquisas DNS. No entanto, o número máximo de consultas DNS para autenticação SPF é limitado a 10. Se estiver a utilizar vários vendedores terceiros para enviar e-mails utilizando o seu domínio, pode facilmente exceder o limite rígido do SPF.

Poderá estar a pensar, o que acontece se exceder este limite? Ultrapassar o limite de 10 consultas DNS levará à falha do SPF e invalidará mesmo as mensagens legítimas enviadas a partir do seu domínio. Nesses casos, o servidor de correio receptor devolve um relatório SPF PermError ao seu domínio se tiver a monitorização DMARC activada, o que nos leva ao tópico principal de discussão deste blogue: SPF flattening.

O que é SPF Flattening?

O achatamento de registos SPF é um dos métodos populares utilizados pelos peritos da indústria para optimizar o seu registo SPF e evitar exceder o limite rígido do SPF. O procedimento para o achatamento de SPF é bastante simples. Aplanar o seu registo SPF é o processo de substituir todos os mecanismos de inclusão pelos seus respectivos endereços IP para eliminar a necessidade de efectuar pesquisas DNS.

Por exemplo, se o seu registo SPF se parecesse inicialmente com algo assim:

v=spf1 include:spf.domain.com -all

Um registo SPF achatado terá um aspecto semelhante a este:

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -tudo

Este registo achatado gera apenas uma pesquisa DNS, em vez de efectuar múltiplas pesquisas. A redução do número de consultas DNS realizadas pelo servidor receptor durante a autenticação do correio electrónico ajuda a manter-se abaixo do limite de 10 consultas DNS, no entanto, tem os seus próprios problemas.

O problema com SPF Flattening

Para além do facto de o seu registo SPF manualmente achatado poder tornar-se demasiado longo para ser publicado no DNS do seu domínio (excedendo o limite de 255 caracteres), tem de ter em conta que o seu fornecedor de serviços de correio electrónico pode alterar ou adicionar aos seus endereços IP sem o notificar como utilizador. De vez em quando, quando o seu fornecedor faz alterações à sua infra-estrutura, estas alterações não se reflectem no seu registo SPF. Assim, sempre que estes endereços IP alterados ou novos são utilizados pelo seu servidor de correio, o correio electrónico falha o SPF do lado do receptor.

PowerSPF: O seu Gerador Dinâmico de Registos SPF

O objectivo final do PowerDMARC era encontrar uma solução que pudesse evitar que os proprietários de domínios atingissem o limite de 10 DNS, bem como optimizar o seu registo SPF para se manter sempre actualizado sobre os últimos endereços IP que os seus fornecedores de serviços de correio electrónico estão a utilizar. PowerSPF é a sua solução de achatamento automático do SPF que atravessa o seu registo SPF para gerar uma única declaração de inclusão. O PowerSPF ajuda-o:

  • Adicionar ou remover IPs e mecanismos com facilidade
  • Actualização automática dos blocos de rede para assegurar que os seus IPs autorizados estão sempre actualizados
  • Ficar abaixo do limite de 10 DNS com facilidade
  • Obtenha um registo SPF optimizado com um único clique
  • Derrota permanente 'permerror'
  • Implementar SPF sem erros

Inscreva-se hoje no PowerDMARC para assegurar uma melhor entrega e autenticação do correio electrónico, tudo isto mantendo-se abaixo do limite de 10 DNS SPF lookup .

Neste artigo, iremos explorar como optimizar facilmente o registo SPF para o seu domínio. Tanto para empresas como para pequenas empresas que possuam um domínio de correio electrónico para enviar e receber mensagens entre os seus clientes, parceiros e empregados, é altamente provável que exista um registo SPF por defeito, que foi criado pelo seu fornecedor de serviços da caixa de entrada. Não importa se tem um registo SPF pré-existente ou se precisa de criar um novo, precisa de optimizar correctamente o seu registo SPF para o seu domínio, a fim de garantir que este não cause problemas de entrega de correio electrónico.

Alguns destinatários de correio electrónico exigem estritamente SPF, o que indica que se não tiver um registo SPF publicado para o seu domínio, os seus e-mails podem ser marcados como spam na caixa de entrada do seu receptor. Além disso, o SPF ajuda a detectar fontes não autorizadas que enviam e-mails em nome do seu domínio.

Vamos primeiro compreender o que é SPF e porque é que precisa dele?

Quadro da Política de Remetentes (SPF)

SPF é essencialmente um protocolo padrão de autenticação de e-mail que especifica os endereços IP que estão autorizados a enviar e-mails do seu domínio. Funciona comparando os endereços de remetente com a lista de hosts de envio autorizados e endereços IP para um domínio específico que é publicada no DNS para esse domínio.

O SPF, juntamente com o DMARC (Domain-based Message Authentication, Reporting and Conformance) foi concebido para detectar endereços de remetente falsificados durante a entrega de correio electrónico e prevenir ataques de falsificação, phishing, e esquemas de correio electrónico.

É importante saber que embora o SPF padrão integrado no seu domínio pelo seu fornecedor de alojamento garanta que os e-mails enviados a partir do seu domínio são autenticados contra SPF se tiver vários fornecedores terceiros para enviar e-mails do seu domínio, este registo SPF preexistente precisa de ser adaptado e modificado para se adequar às suas necessidades. Como pode fazer isso? Vamos explorar duas das formas mais comuns:

  • Criação de um registo SPF novinho em folha
  • Optimização de um registo SPF existente

Instruções sobre como optimizar o registo do SPF

Criar um Novo Registo SPF

Criar um registo SPF é simplesmente publicar um registo TXT no DNS do seu domínio para configurar o SPF para o seu domínio. Este é um passo obrigatório que vem antes de começar a optimizar o registo SPF. Se está apenas a começar com a autenticação e não tem a certeza sobre a sintaxe, pode usar o nosso gerador de registos SPF online grátis para criar um registo SPF para o seu domínio.

Uma entrada de registo SPF com uma sintaxe correcta parecerá algo parecido com isto:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Especifica a versão do FPS que está a ser utilizada
ip4/ip6Este mecanismo especifica os endereços IP válidos que estão autorizados a enviar e-mails a partir do seu domínio.
incluirEste mecanismo diz aos servidores receptores para incluir os valores para o registo SPF do domínio especificado.
-tudoEste mecanismo especifica que as mensagens de correio electrónico que não são compatíveis com SPF seriam rejeitadas. Esta é a etiqueta recomendada que pode utilizar durante a publicação do seu registo SPF. Contudo, pode ser substituída por ~ para SPF Soft Fail (e-mails não conformes seriam marcados como soft fail mas continuariam a ser aceites) ou + que especifica que todo e qualquer servidor seria autorizado a enviar e-mails em nome do seu domínio, o que é fortemente desencorajado.

Se já tem SPF configurado para o seu domínio, também pode usar o nosso verificador de registos SPF gratuito para procurar e validar o seu registo SPF e detectar problemas.

Desafios e erros comuns durante a configuração do SPF

1) 10 DNS Lookup limit 

O desafio mais comum enfrentado pelos proprietários de domínios ao configurarem e adoptarem o protocolo de autenticação SPF para o seu domínio, é que o SPF vem com um limite no número de consultas ao DNS, que não pode exceder 10. Para domínios que dependem de múltiplos fornecedores terceiros, o limite de 10 consultas ao DNS excede facilmente o que, por sua vez, quebra o SPF e devolve um SPF PermError. O servidor receptor em tais casos invalida automaticamente o seu registo SPF e bloqueia-o.

Mecanismos que iniciam as pesquisas DNS: Modificador MX, A, INCLUDE, REDIRECT

2) SPF Void Lookup 

As pesquisas de vazio referem-se às pesquisas DNS que ou devolvem a resposta NOERROR ou a resposta NXDOMAIN (resposta nula). Ao implementar o SPF é recomendado assegurar que as pesquisas DNS não devolvem uma resposta nula.

3) SPF Laço recursivo

Este erro indica que o registo SPF para o seu domínio especificado contém questões recorrentes com um ou mais dos mecanismos INCLUDE. Isto ocorre quando um dos domínios especificados na etiqueta INCLUDE contém um domínio cujo registo SPF contém a etiqueta INCLUDE do domínio original. Isto leva a um loop interminável que faz com que os servidores de correio electrónico efectuem continuamente pesquisas DNS para os registos SPF. Isto leva, em última análise, a exceder o limite de 10 consultas ao DNS, resultando em e-mails com falhas no SPF.

4) Erros de sintaxe 

Um registo SPF pode existir no DNS do seu domínio, mas não tem qualquer utilidade se contiver erros de sintaxe. Se o seu registo SPF TXT contiver espaços brancos desnecessários enquanto digita o nome do domínio ou o nome do mecanismo, a string que precede o espaço extra seria completamente ignorada pelo servidor receptor enquanto executa uma pesquisa, invalidando assim o registo SPF.

5) Múltiplos registos SPF para o mesmo domínio

Um único domínio pode ter apenas uma entrada SPF TXT no DNS. Se o seu domínio contiver mais de um registo SPF, o servidor receptor invalida todos eles, fazendo com que os e-mails falhem SPF.

6) Comprimento do registo do SPF 

O comprimento máximo de um registo SPF no DNS é limitado a 255 caracteres. Contudo, este limite pode ser excedido e um registo TXT para SPF pode conter várias cadeias concatenadas, mas não além de um limite de 512 caracteres, para caber na resposta à consulta DNS (de acordo com o RFC 4408). Embora isto tenha sido revisto mais tarde, os destinatários que dependessem de versões mais antigas do DNS não seriam capazes de validar e-mails enviados a partir de domínios contendo um longo registo SPF.

Optimizar o seu registo SPF

A fim de modificar rapidamente o seu registo SPF pode utilizar as seguintes melhores práticas SPF:

  • Tente escrever as suas fontes de e-mail por ordem decrescente de importância da esquerda para a direita no seu registo SPF
  • Remover fontes de correio electrónico obsoletas do seu DNS
  • Utilizar mecanismos IP4/IP6 em vez de A e MX
  • Mantenha o seu número de mecanismos de INCLUIR o mais baixo possível e evite aninhar-se inclui
  • Não publique mais do que um registo SPF para o mesmo domínio no seu DNS
  • Certifique-se de que o seu registo SPF não contém quaisquer espaços brancos redundantes ou erros de sintaxe

Nota: SPF flattening não é recomendado uma vez que não se trata de um negócio único. Se o seu fornecedor de serviços de correio electrónico alterar a sua infra-estrutura, terá de alterar os seus registos SPF em conformidade, cada vez que o fizer.

Optimização do seu registo SPF facilitada com PowerSPF

Pode ir em frente e tentar implementar todas as modificações acima mencionadas para optimizar manualmente o seu registo SPF, ou pode esquecer o incómodo e confiar no nosso PowerSPF dinâmico para fazer tudo isso por si automaticamente! PowerSPF ajuda-o a optimizar o seu registo SPF com um único clique, no qual pode:

  • Adicionar ou remover fontes de envio com facilidade
  • Actualize facilmente os registos sem ter de fazer alterações manuais ao seu DNS
  • Obtenha um registo auto SPF optimizado com um simples clique de um botão
  • Permanecer sempre abaixo do limite de 10 consultas DNS
  • Atenuar com sucesso PermError
  • Esqueça os erros de sintaxe dos registos SPF e as questões de configuração
  • Tiramos o fardo de resolver as limitações do SPF em seu nome

Inscreva-se hoje com o PowerDMARC para licitar adieu às limitações do SPF para sempre!