O que é que o SPF inclui?

Saiba o que é o SPF include e como utilizar o SPF Include para adicionar vários anfitriões e endereços IP ao seu registo SPF sem erros.

por Yunes

Tempo de leitura: 6 min
O que é que o SPF inclui?
Índice-

O mecanismo SPF Include contém referências ou condições - dentro de um registo SPF - que têm de ser cumpridas para cada servidor específico para melhorar a capacidade de entrega do correio eletrónico. Se se esquecer acidentalmente de adicionar as declarações Include para os seus fornecedores terceiros no seu registo SPF, isso pode levar a problemas para os seus destinatários, como e-mails devolvidos, e a sua taxa de rejeição geral pode aumentar.

Saiba o que é o mecanismo "Incluir" nos Registos SPF e como pode optimizar o SPF Incluir declarações para as suas necessidades.

O que significa SPF Include?

Na sintaxe do seu registo SPF, o mecanismo "include" indica registos para que o seu servidor de correio eletrónico verifique os registos que correspondem ao domínio especificado na linha "include". 

SPF "include" aponta para um domínio cujos registos SPF serão consultados ao verificar se o IP de envio é permitido ou não. Se o endereço IP de envio estiver incluído numa lista "include" definida pelo SPF, resultará numa correspondência e o SPF será aprovado.

Importância do mecanismo de inclusão múltipla SPF

 A inclusão do FPS é importante porque:

➜ Especifica que deseja ser protegido por registos SPF para qualquer domínio listado no seu bloco "incluir".

➜ Acrescenta regras que são específicas de um domínio.

➜ Pode utilizar o mecanismo SPF Incluir para incorporar ainda mais regras gerais de filtragem que se aplicam a todos os domínios da mesma classe. Isto significa que, se a sua aplicação suportar múltiplas classes de endereços de correio electrónico, pode utilizar declarações de inclusão para permitir uma filtragem mais complexa com base na classe do endereço destinatário.

Como funciona o SPF include?

O mecanismo de inclusão SPF permite que o proprietário de um domínio delegue a responsabilidade de enviar mensagens de correio eletrónico a outro domínio. É normalmente utilizado quando o proprietário de um domínio pretende autorizar um serviço ou fornecedor terceiro a enviar mensagens de correio eletrónico em seu nome.

Eis como funciona o mecanismo de inclusão do SPF:

  • O proprietário do domínio publica um registo SPF
  • O mecanismo de inclusão no registo SPF especifica outro domínio ou endereço IP que está autorizado a enviar e-mails em seu nome.
  • Durante o processo de pesquisa, o registo SPF é recuperado do DNS do domínio do remetente.
  • O servidor de email recetor avalia o registo SPF para determinar se o servidor de envio está autorizado a enviar emails para esse domínio. Se o registo SPF incluir um mecanismo de "inclusão", o servidor de receção verifica também o registo SPF do domínio incluído.
  • O servidor recetor efectua uma pesquisa recursiva, consultando o DNS para obter o registo SPF do domínio incluído. Este processo continua se existirem várias camadas de mecanismos de inclusão.

Exemplo de inclusão de SPF

Por exemplo: Se tiver "include:_spf.google.com" no seu registo SPF e as mensagens de correio eletrónico forem enviadas a partir de um endereço IP do Google, este será considerado um remetente de correio eletrónico autorizado porque o IP de origem se encontra no mecanismo "include" do registo SPF desse domínio. Como resultado, o correio eletrónico passará com êxito pelo servidor antes de chegar ao destinatário pretendido.

Para autorizar o google como uma fonte de envio verificada, esta deve ser a sintaxe do seu registo SPF: 

v=spf1 include:_spf.google.com ~all

Múltiplos registos SPF confundem o servidor destinatário quanto ao registo TXT a considerar durante uma pesquisa, e demasiados registos SPF incluem a adição de múltiplas pesquisas de DNS que rapidamente excederão o limite de pesquisa de 10.

Os registos SPF são registos do tipo TXT que começam com a string v=spf1. Dizem aos servidores de correio electrónico quais as regras que devem seguir ao determinar se um dado correio electrónico é ou não spam. As regras incluem:

  • Um servidor de recepção de correio deve verificar se o domínio de envio é um destinatário autorizado dessa mensagem. Quando esta regra for cumprida, ele aceitará a mensagem e entregá-la-á ao utilizador.

  • Um servidor de recepção de correio deve verificar se o endereço IP do domínio que envia corresponde a um endereço IP autorizado para esse domínio e se o endereço IP pertence a um remetente autorizado. Quando estas condições forem cumpridas, a mensagem será entregue ao utilizador.

Portanto, se tiver duas entradas de registo SPF TXT separadas no seu servidor, os seus emails falharão a autenticação SPF e devolverão um PermError. É porque um servidor de correio electrónico receptor não saberá qual a regra a seguir - simplesmente ignorará ambos estes registos TXT.

Como incluir vários domínios, hosts ou endereços IP no seu registo SPF? 

Quando pretende incluir mais de 1 registo SPF, pode deparar-se com problemas de entrega de correio eletrónico (tais como e-mails serem rejeitados como spam). A solução consiste em eliminar os registos SPF ofensivos e fundir os domínios ou entradas de anfitrião num único registo ou linha através do SPF include.

Considere o exemplo do registo SPF com numerosos anfitriões e endereços ip4 utilizados por um dos famosos fabricantes mundiais de tecnologia de electrónica de consumo, Lenovo.com.

Ao executar Procura de registos SPF para a Lenovo.com, descobrimos que fundiu 4 domínios:

  1. spf.messagelabs.com
  2. _netblocks.eloqua.com
  3. spf.protecção.outlook.com
  4. spf.pfpool.lenovo.com

e 5 endereços IP4:

  1. 72.32.45.225
  2. 40.65.201.146
  3. 138.108.60.125
  4. 138.108.24.107
  5. 52.247.21.11

num único registo como este:

v=spf1 include:spf.messagelabs.com include:_netblocks.eloqua.com include:spf.protection.outlook.com include:spf.pfpool.lenovo.com ip4:72.32.45.225 ip4:40.65.201.146 ip4:138.108.60.125 ip4:138.108.24.107 ip4:52.247.21.11 ~tudo

Compreender a Semântica de Registo do SPF

Considerando o exemplo acima, aprendemos que a seguinte regra se aplica quando se fundem numerosos anfitriões ou endereços IP4 num único registo SPF.

Um registo SPF deve ter 3 secções para ser considerado válido: a declaração (início), o mecanismo de inclusão para domínios e a etiqueta IP4 para endereços IP (centro), e uma regra de aplicação (fim).

Declaração: O registo deve começar com v=spf1 (não volte a utilizar esta corda na regra)

Domínios permitidos: Acrescentar um incluir: para cada domínio (tem de utilizar o mecanismo SPF Incluir como incluir: em cada domínio, adiciona no registo SPF)

IPs permitidos: Adicionar um IP4 tag para cada endereço IP (tem de usar a tag IP4 antes de cada endereço IP adicionado ao registo do SPF)

Regra de aplicação: Acabar o registo com um ~tudo declaração (utilizar esta cadeia no final e apenas uma vez)

Uma nota importante sobre SPF inclui

É importante incorporar o mecanismo de "incluir" no seu registo SPF porque permite a inclusão de outros domínios e anfitriões no seu registo SPF, o que pode ser útil para verificar a autenticidade das suas mensagens.

Contudo, a seguinte regra aplica-se à utilização do número de consultas por registo SPF (como mencionado na secção 10.1 do RFC 4408):

"As implementações SPF DEVEM limitar o número de mecanismos e modificadores a um máximo de 10 por verificação SPF, incluindo quaisquer pesquisas causadas pela utilização do mecanismo "include" ou do modificador "redirect"."

Se a sua implementação do SPF não limitar o número de mecanismos e modificadores, dormirá sobre os controlos de hospedeiros inalcançáveis. Como estes hospedeiros nunca serão incluídos nos seus cheques, nunca receberão correio dos clientes. Isto pode causar sérios problemas com a entrega de correio.

A diferença entre SPF inclui: e a:

O mecanismo SPF "include" é utilizado para incluir registos SPF de outro domínio no registo SPF do domínio atual, enquanto o mecanismo SPF "a" é utilizado para especificar endereços IP individuais ou nomes de anfitrião (registos A) que estão autorizados a enviar e-mails para o domínio.

SPF include vs a

Razões para usar a:

  • É mais prático e menos complicado
  • Porque não activou o SPF nos domínios relevantes
  • Porque o SPF não está configurado correctamente ou permite erroneamente outros servidores que não estão nos seus registos A

As razões para a utilização incluem:

  • Confia que o nome de domínio de um site tem um registo SPF válido
  • Porque quer ter uma única fonte de verdade por razões de não-repetição, e o domínio SPF é complexo
  • Pode querer fazer alterações aos seus registos SPF sem necessariamente editar o DNS para todos os domínios que incluem os seus

Optimização Automatizada de SPF Inclui: para Múltiplos Domínios e Endereços IP

O registo SPF multi-hosting, multi-IP address não é uma coisa nova. Mas como é necessário construir este tipo de registo requer perícia adequada para evitar Falha na autenticação do SPF ou PermError.

Para criar um registo SPF que funcione, é necessário utilizar corretamente o mecanismo include:. E para que a sua política SPF seja eficaz, tem de ser implementada corretamente em vários anfitriões e endereços IP.

Quando se utiliza o sistema PowerDMARC SPF Flattening do PowerDMARC, geramos um registo SPF válido para si com todos os seus anfitriões e endereços IP incluídos numa única linha de texto. Você pode adicionar quantos domínios e IPs quiser - basta separá-los por espaço. Vamos juntar tudo isso num único SPF include para para que nunca exceda o limite de pesquisa, nem tenha problemas de entrega de correio eletrónico e hardfail.

O SPF inclui

 

Últimas mensagens de Yunes Tarada (ver todas)
Quais são os indicadores comuns de uma Tentativa de Phishing?Quais são os indicadores comuns de uma tentativa de phishing?O que é a falsificação de IPO que é IP Spoofing?