Correios

Um problema muito comum que os utilizadores de SPF enfrentam diariamente é o risco de gerar demasiadas pesquisas no DNS que podem fazê-los exceder facilmente o limite rígido do SPF. Isto devolve um resultado SPF PermError quando a monitorização DMARC é activada e causa problemas de entregabilidade de correio electrónico. Com os peritos da indústria a apresentarem soluções como os serviços de flattening SPF para mitigar este problema, a PowerSPF entrega efectivamente as suas reivindicações e excede as expectativas. Continue a ler para saber como!

Demasiados DNS Lookups: Porque é que isto acontece?

A primeira coisa que deve compreender é porque é que acaba por gerar demasiadas consultas DNS em primeiro lugar. Isto porque, independentemente da solução de intercâmbio de correio electrónico que utilizar, o seu fornecedor de serviços acrescenta mais mecanismos ao seu registo, resultando em mais pesquisas.

Por exemplo, se utilizar o permutador de e-mails do Google, ou o Gmail, um registo SPF como v=spf1 include:[email protected] -tudo gera de facto um total de 4 pesquisas DNS. A pesquisa aninhada inclui também iniciar mais pesquisas e se utilizar vários vendedores terceiros para enviar e-mails utilizando o seu domínio, pode facilmente exceder o limite de 10 pesquisas DNS.

A solução é a SPF Flattening? Não!

A resposta é não. O achatamento manual do SPF pode ajudá-lo a manter-se abaixo do limite de procura do SPF 10, mas tem o seu próprio conjunto de limitações e desafios. Se aplanar o seu SPF manualmente, está simplesmente a substituir as declarações incluídas no seu registo SPF pelos seus correspondentes endereços IP para eliminar a necessidade de consultas. Isto assegura que não acabará por gerar demasiadas consultas DNS, ajudando-o assim a manter-se abaixo do limite de 10 SPF de consulta e a evitar o permerror . Mas os problemas com soluções manuais de achatamento do SPF são:

  • O comprimento do registo SPF pode ser demasiado longo (mais de 255 caracteres)
  • O seu fornecedor de serviços de correio electrónico pode alterar ou adicionar aos seus endereços IP sem o notificar
  • Não existe um painel de controlo para monitorizar o fluxo de correio electrónico, alterar ou actualizar os seus domínios e mecanismos, e acompanhar as actividades
  • Tem de fazer constantemente alterações ao seu DNS para actualizar o seu registo SPF
  • A sua entregabilidade de correio electrónico pode ser afectada devido às frequentes alterações de IP

Como é que isto o afecta? Bem, se o seu registo SPF não for actualizado nos novos endereços IP que os seus fornecedores de serviços de correio electrónico estão a utilizar, de vez em quando, quando estes endereços IP são utilizados, os seus e-mails falharão inevitavelmente o SPF do lado do receptor .

Aplanamento dinâmico do SPF para resolver demasiadas consultas DNS

Uma solução mais inteligente para adieu ao erro de pesquisa DNS é o PowerSPF, o seu registo automático de SPF flattener. PowerSPF é a sua solução de achatamento do SPF em tempo real que o ajuda:

  • Configure facilmente o SPF para o seu domínio com apenas alguns cliques
  • Registo instantâneo de SPF com um único clique, com uma única declaração para desfrutar de SPF automático inclui gestão
  • Ficar sempre abaixo do limite de 10 consultas DNS
  • Actualização automática do netblock e pesquisa constantemente endereços IP alterados para manter o seu registo SPF actualizado
  • Mantenha um painel de controlo de fácil utilização onde pode facilmente actualizar as alterações às suas políticas, adicionar domínios e mecanismos, e monitorizar o fluxo de correio electrónico.

Porquê confiar nas ferramentas de compressão SPF que podem fornecer resultados temporários com limitações subjacentes? Optimize o seu registo de SPF e atenue o limite rígido de SPF com SPF automático hoje! Inscreva-se agora no PowerSPF?

Razões para evitar SPF Flattening

Sender Policy Framework, ou SPF, é um protocolo de autenticação de correio electrónico amplamente aclamado que valida as suas mensagens, autenticando-as contra todos os endereços IP autorizados registados para o seu domínio no seu registo SPF. A fim de validar e-mails, o SPF especifica ao servidor de correio receptor para efectuar consultas DNS para verificar os IPs autorizados, o que resulta em consultas DNS.

O seu registo SPF existe como um registo DNS TXT que é formado por um conjunto de vários mecanismos. A maioria destes mecanismos (tais como incluir, a, mx, redireccionar, existe, ptr) geram pesquisas DNS. No entanto, o número máximo de consultas DNS para autenticação SPF é limitado a 10. Se estiver a utilizar vários vendedores terceiros para enviar e-mails utilizando o seu domínio, pode facilmente exceder o limite rígido do SPF.

Poderá estar a pensar, o que acontece se exceder este limite? Ultrapassar o limite de 10 consultas DNS levará à falha do SPF e invalidará mesmo as mensagens legítimas enviadas a partir do seu domínio. Nesses casos, o servidor de correio receptor devolve um relatório SPF PermError ao seu domínio se tiver a monitorização DMARC activada, o que nos leva ao tópico principal de discussão deste blogue: SPF flattening.

O que é SPF Flattening?

O achatamento de registos SPF é um dos métodos populares utilizados pelos peritos da indústria para optimizar o seu registo SPF e evitar exceder o limite rígido do SPF. O procedimento para o achatamento de SPF é bastante simples. Aplanar o seu registo SPF é o processo de substituir todos os mecanismos de inclusão pelos seus respectivos endereços IP para eliminar a necessidade de efectuar pesquisas DNS.

Por exemplo, se o seu registo SPF se parecesse inicialmente com algo assim:

v=spf1 include:spf.domain.com -all

Um registo SPF achatado terá um aspecto semelhante a este:

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -tudo

Este registo achatado gera apenas uma pesquisa DNS, em vez de efectuar múltiplas pesquisas. A redução do número de consultas DNS realizadas pelo servidor receptor durante a autenticação do correio electrónico ajuda a manter-se abaixo do limite de 10 consultas DNS, no entanto, tem os seus próprios problemas.

O problema com SPF Flattening

Para além do facto de o seu registo SPF manualmente achatado poder tornar-se demasiado longo para ser publicado no DNS do seu domínio (excedendo o limite de 255 caracteres), tem de ter em conta que o seu fornecedor de serviços de correio electrónico pode alterar ou adicionar aos seus endereços IP sem o notificar como utilizador. De vez em quando, quando o seu fornecedor faz alterações à sua infra-estrutura, estas alterações não se reflectem no seu registo SPF. Assim, sempre que estes endereços IP alterados ou novos são utilizados pelo seu servidor de correio, o correio electrónico falha o SPF do lado do receptor.

PowerSPF: O seu Gerador Dinâmico de Registos SPF

O objectivo final do PowerDMARC era encontrar uma solução que pudesse evitar que os proprietários de domínios atingissem o limite de 10 DNS, bem como optimizar o seu registo SPF para se manter sempre actualizado sobre os últimos endereços IP que os seus fornecedores de serviços de correio electrónico estão a utilizar. PowerSPF é a sua solução de achatamento automático do SPF que atravessa o seu registo SPF para gerar uma única declaração de inclusão. O PowerSPF ajuda-o:

  • Adicionar ou remover IPs e mecanismos com facilidade
  • Actualização automática dos blocos de rede para assegurar que os seus IPs autorizados estão sempre actualizados
  • Ficar abaixo do limite de 10 DNS com facilidade
  • Obtenha um registo SPF optimizado com um único clique
  • Derrota permanente 'permerror'
  • Implementar SPF sem erros

Inscreva-se hoje no PowerDMARC para assegurar uma melhor entrega e autenticação do correio electrónico, tudo isto mantendo-se abaixo do limite de 10 DNS SPF lookup .

Neste artigo, iremos explorar como optimizar facilmente o registo SPF para o seu domínio. Tanto para empresas como para pequenas empresas que possuam um domínio de correio electrónico para enviar e receber mensagens entre os seus clientes, parceiros e empregados, é altamente provável que exista um registo SPF por defeito, que foi criado pelo seu fornecedor de serviços da caixa de entrada. Não importa se tem um registo SPF pré-existente ou se precisa de criar um novo, precisa de optimizar correctamente o seu registo SPF para o seu domínio, a fim de garantir que este não cause problemas de entrega de correio electrónico.

Alguns destinatários de correio electrónico exigem estritamente SPF, o que indica que se não tiver um registo SPF publicado para o seu domínio, os seus e-mails podem ser marcados como spam na caixa de entrada do seu receptor. Além disso, o SPF ajuda a detectar fontes não autorizadas que enviam e-mails em nome do seu domínio.

Vamos primeiro compreender o que é SPF e porque é que precisa dele?

Quadro da Política de Remetentes (SPF)

SPF é essencialmente um protocolo padrão de autenticação de e-mail que especifica os endereços IP que estão autorizados a enviar e-mails do seu domínio. Funciona comparando os endereços de remetente com a lista de hosts de envio autorizados e endereços IP para um domínio específico que é publicada no DNS para esse domínio.

O SPF, juntamente com o DMARC (Domain-based Message Authentication, Reporting and Conformance) foi concebido para detectar endereços de remetente falsificados durante a entrega de correio electrónico e prevenir ataques de falsificação, phishing, e esquemas de correio electrónico.

É importante saber que embora o SPF padrão integrado no seu domínio pelo seu fornecedor de alojamento garanta que os e-mails enviados a partir do seu domínio são autenticados contra SPF se tiver vários fornecedores terceiros para enviar e-mails do seu domínio, este registo SPF preexistente precisa de ser adaptado e modificado para se adequar às suas necessidades. Como pode fazer isso? Vamos explorar duas das formas mais comuns:

  • Criação de um registo SPF novinho em folha
  • Optimização de um registo SPF existente

Instruções sobre como optimizar o registo do SPF

Criar um Novo Registo SPF

Criar um registo SPF é simplesmente publicar um registo TXT no DNS do seu domínio para configurar o SPF para o seu domínio. Este é um passo obrigatório que vem antes de começar a optimizar o registo SPF. Se está apenas a começar com a autenticação e não tem a certeza sobre a sintaxe, pode usar o nosso gerador de registos SPF online grátis para criar um registo SPF para o seu domínio.

Uma entrada de registo SPF com uma sintaxe correcta parecerá algo parecido com isto:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Especifica a versão do FPS que está a ser utilizada
ip4/ip6Este mecanismo especifica os endereços IP válidos que estão autorizados a enviar e-mails a partir do seu domínio.
incluirEste mecanismo diz aos servidores receptores para incluir os valores para o registo SPF do domínio especificado.
-tudoEste mecanismo especifica que as mensagens de correio electrónico que não são compatíveis com SPF seriam rejeitadas. Esta é a etiqueta recomendada que pode utilizar durante a publicação do seu registo SPF. Contudo, pode ser substituída por ~ para SPF Soft Fail (e-mails não conformes seriam marcados como soft fail mas continuariam a ser aceites) ou + que especifica que todo e qualquer servidor seria autorizado a enviar e-mails em nome do seu domínio, o que é fortemente desencorajado.

Se já tem SPF configurado para o seu domínio, também pode usar o nosso verificador de registos SPF gratuito para procurar e validar o seu registo SPF e detectar problemas.

Desafios e erros comuns durante a configuração do SPF

1) 10 DNS Lookup limit 

O desafio mais comum enfrentado pelos proprietários de domínios ao configurarem e adoptarem o protocolo de autenticação SPF para o seu domínio, é que o SPF vem com um limite no número de consultas ao DNS, que não pode exceder 10. Para domínios que dependem de múltiplos fornecedores terceiros, o limite de 10 consultas ao DNS excede facilmente o que, por sua vez, quebra o SPF e devolve um SPF PermError. O servidor receptor em tais casos invalida automaticamente o seu registo SPF e bloqueia-o.

Mecanismos que iniciam as pesquisas DNS: Modificador MX, A, INCLUDE, REDIRECT

2) SPF Void Lookup 

As pesquisas de vazio referem-se às pesquisas DNS que ou devolvem a resposta NOERROR ou a resposta NXDOMAIN (resposta nula). Ao implementar o SPF é recomendado assegurar que as pesquisas DNS não devolvem uma resposta nula.

3) SPF Laço recursivo

Este erro indica que o registo SPF para o seu domínio especificado contém questões recorrentes com um ou mais dos mecanismos INCLUDE. Isto ocorre quando um dos domínios especificados na etiqueta INCLUDE contém um domínio cujo registo SPF contém a etiqueta INCLUDE do domínio original. Isto leva a um loop interminável que faz com que os servidores de correio electrónico efectuem continuamente pesquisas DNS para os registos SPF. Isto leva, em última análise, a exceder o limite de 10 consultas ao DNS, resultando em e-mails com falhas no SPF.

4) Erros de sintaxe 

Um registo SPF pode existir no DNS do seu domínio, mas não tem qualquer utilidade se contiver erros de sintaxe. Se o seu registo SPF TXT contiver espaços brancos desnecessários enquanto digita o nome do domínio ou o nome do mecanismo, a string que precede o espaço extra seria completamente ignorada pelo servidor receptor enquanto executa uma pesquisa, invalidando assim o registo SPF.

5) Múltiplos registos SPF para o mesmo domínio

Um único domínio pode ter apenas uma entrada SPF TXT no DNS. Se o seu domínio contiver mais de um registo SPF, o servidor receptor invalida todos eles, fazendo com que os e-mails falhem SPF.

6) Comprimento do registo do SPF 

O comprimento máximo de um registo SPF no DNS é limitado a 255 caracteres. Contudo, este limite pode ser excedido e um registo TXT para SPF pode conter várias cadeias concatenadas, mas não além de um limite de 512 caracteres, para caber na resposta à consulta DNS (de acordo com o RFC 4408). Embora isto tenha sido revisto mais tarde, os destinatários que dependessem de versões mais antigas do DNS não seriam capazes de validar e-mails enviados a partir de domínios contendo um longo registo SPF.

Optimizar o seu registo SPF

A fim de modificar rapidamente o seu registo SPF pode utilizar as seguintes melhores práticas SPF:

  • Tente escrever as suas fontes de e-mail por ordem decrescente de importância da esquerda para a direita no seu registo SPF
  • Remover fontes de correio electrónico obsoletas do seu DNS
  • Utilizar mecanismos IP4/IP6 em vez de A e MX
  • Mantenha o seu número de mecanismos de INCLUIR o mais baixo possível e evite aninhar-se inclui
  • Não publique mais do que um registo SPF para o mesmo domínio no seu DNS
  • Certifique-se de que o seu registo SPF não contém quaisquer espaços brancos redundantes ou erros de sintaxe

Nota: SPF flattening não é recomendado uma vez que não se trata de um negócio único. Se o seu fornecedor de serviços de correio electrónico alterar a sua infra-estrutura, terá de alterar os seus registos SPF em conformidade, cada vez que o fizer.

Optimização do seu registo SPF facilitada com PowerSPF

Pode ir em frente e tentar implementar todas as modificações acima mencionadas para optimizar manualmente o seu registo SPF, ou pode esquecer o incómodo e confiar no nosso PowerSPF dinâmico para fazer tudo isso por si automaticamente! PowerSPF ajuda-o a optimizar o seu registo SPF com um único clique, no qual pode:

  • Adicionar ou remover fontes de envio com facilidade
  • Actualize facilmente os registos sem ter de fazer alterações manuais ao seu DNS
  • Obtenha um registo auto SPF optimizado com um simples clique de um botão
  • Permanecer sempre abaixo do limite de 10 consultas DNS
  • Atenuar com sucesso PermError
  • Esqueça os erros de sintaxe dos registos SPF e as questões de configuração
  • Tiramos o fardo de resolver as limitações do SPF em seu nome

Inscreva-se hoje com o PowerDMARC para licitar adieu às limitações do SPF para sempre!  

Como prestador de serviços DMARC, é-nos feita esta pergunta muitas vezes: "Se o DMARC apenas usa autenticação SPF e DKIM, porque nos devemos preocupar com o DMARC? Não será isso simplesmente desnecessário?"

Na superfície pode parecer que faz pouca diferença, mas a realidade é muito diferente. O DMARC não é apenas uma combinação de tecnologias SPF e DKIM, é um protocolo inteiramente novo por si só. Tem várias características que o tornam um dos mais avançados padrões de autenticação de correio electrónico do mundo, e uma necessidade absoluta para as empresas.

Mas espere um minuto. Ainda não respondemos exactamente porque precisa de DMARC. O que é que oferece que o SPF e o DKIM não oferecem? Bem, essa é uma resposta bastante longa; demasiado longa para apenas um post no blogue. Portanto, vamos dividi-lo e falar primeiro sobre SPF. Caso não esteja familiarizado com ele, aqui vai uma introdução rápida.

O que é SPF?

SPF, ou Sender Policy Framework, é um protocolo de autenticação de correio electrónico que protege o receptor de correio electrónico de e-mails falsificados. É essencialmente uma lista de todos os endereços IP autorizados a enviar correio electrónico através dos seus canais (o proprietário do domínio). Quando o servidor receptor vê uma mensagem do seu domínio, verifica o seu registo SPF que é publicado no seu DNS. Se o IP do remetente constar desta 'lista', o correio electrónico é entregue. Caso contrário, o servidor rejeita a mensagem de correio electrónico.

Como pode ver, o SPF faz um bom trabalho mantendo de fora muitos e-mails não solicitados que podem danificar o seu dispositivo ou comprometer os sistemas de segurança da sua organização. Mas SPF não é quase tão bom como algumas pessoas possam pensar. Isso é porque tem alguns inconvenientes muito importantes. Vamos falar de alguns destes problemas.

Limitações do FPS

Os registos SPF não se aplicam ao endereço From

Os e-mails têm múltiplos endereços para identificar o seu remetente: o endereço From que normalmente vê, e o endereço Return Path que está oculto e requer um ou dois cliques para ser visualizado. Com o SPF activado, o servidor de correio electrónico receptor analisa o Caminho de Retorno e verifica os registos SPF do domínio a partir desse endereço.

O problema aqui é que os atacantes podem explorar isto utilizando um domínio falso no seu endereço do Caminho de Retorno e um endereço de correio electrónico legítimo (ou com aspecto legítimo) na secção De. Mesmo que o receptor verificasse o endereço de correio electrónico do remetente, veria primeiro o endereço De, e normalmente não se preocupa em verificar o Caminho de Regresso. De facto, a maioria das pessoas nem sequer tem conhecimento de que existe uma coisa como o endereço do Caminho de Regresso.

SPF pode ser facilmente contornado usando este truque simples, e deixa até domínios seguros com SPF em grande parte vulneráveis.

Os registos SPF têm um limite de pesquisa DNS

Os registos SPF contêm uma lista de todos os endereços IP autorizados pelo proprietário do domínio para o envio de e-mails. No entanto, têm uma desvantagem crucial. O servidor receptor precisa de verificar o registo para ver se o remetente está autorizado, e para reduzir a carga no servidor, os registos SPF têm um limite de 10 consultas DNS.

Isto significa que se a sua organização utiliza múltiplos vendedores terceiros que enviam e-mails através do seu domínio, o registo SPF pode acabar por ultrapassar esse limite. A menos que seja devidamente optimizado (o que não é fácil de fazer por si próprio), os registos SPF terão um limite muito restritivo. Quando ultrapassa este limite, a implementação do SPF é considerada inválida e o seu correio electrónico falha o SPF. Isto pode potencialmente prejudicar as taxas de entrega do seu correio electrónico.

 

SPF nem sempre funciona quando o e-mail é reencaminhado

O SPF tem outro ponto crítico de falha que pode prejudicar a sua entregabilidade de correio electrónico. Quando tiver implementado o SPF no seu domínio e alguém encaminhar o seu correio electrónico, o correio electrónico encaminhado pode ser rejeitado devido à sua política SPF.

Isto porque a mensagem reencaminhada mudou o destinatário do e-mail, mas o endereço do remetente do e-mail permanece o mesmo. Isto torna-se um problema porque a mensagem contém o endereço original do remetente De mas o servidor receptor está a ver um IP diferente. O endereço IP do servidor de reencaminhamento de correio electrónico não está incluído no registo SPF do domínio do remetente original. Isto poderia resultar na rejeição da mensagem de correio electrónico pelo servidor receptor.

Como é que o DMARC resolve estas questões?

DMARC utiliza uma combinação de SPF e DKIM para autenticar o correio electrónico. Um e-mail precisa de passar por SPF ou DKIM para passar por DMARC e ser entregue com sucesso. E também acrescenta uma característica chave que o torna muito mais eficaz do que apenas o SPF ou o DKIM: Relatórios.

Com os relatórios DMARC, recebe diariamente feedback sobre o estado dos seus canais de correio electrónico. Isto inclui informação sobre o seu alinhamento DMARC, dados sobre emails que falharam a autenticação, e detalhes sobre potenciais tentativas de falsificação.

Se estiver a pensar no que pode fazer para não ser falsificado, consulte o nosso guia prático sobre as 5 principais formas de evitar a falsificação de e-mails.