O que é que o SPF inclui?

O mecanismo SPF Include contém referências ou condições - dentro de um registo SPF - que têm de ser cumpridas para cada servidor específico para melhorar a capacidade de entrega do correio eletrónico. Se se esquecer acidentalmente de adicionar as declarações Include para os seus fornecedores terceiros no seu registo SPF, isso pode levar a problemas para os seus destinatários, como e-mails devolvidos, e a sua taxa de rejeição geral pode aumentar.

Saiba o que é o mecanismo "Incluir" nos Registos SPF e como pode optimizar o SPF Incluir declarações para as suas necessidades.

O que significa SPF Include?

Na sintaxe do seu registo SPF, o mecanismo "include" indica os registos a transmitir ao seu servidor de correio eletrónico para verificar os registos que correspondem ao domínio especificado na linha "include". 

SPF "include" aponta para um domínio cujos registos SPF serão consultados ao verificar se o IP de envio é permitido ou não. Se o endereço IP de envio estiver incluído numa lista "include" definida pelo SPF, resultará numa correspondência e o SPF será aprovado.

Importância do mecanismo de inclusão múltipla SPF

 A inclusão do FPS é importante porque:

➜ Especifica que deseja ser protegido por registos SPF para qualquer domínio listado no seu bloco "incluir".

➜ Acrescenta regras que são específicas de um domínio.

➜ Pode utilizar o mecanismo SPF Incluir para incorporar ainda mais regras gerais de filtragem que se aplicam a todos os domínios da mesma classe. Isto significa que, se a sua aplicação suportar múltiplas classes de endereços de correio electrónico, pode utilizar declarações de inclusão para permitir uma filtragem mais complexa com base na classe do endereço destinatário.

Como funciona o SPF include?

O mecanismo de inclusão SPF permite que o proprietário de um domínio delegue a responsabilidade de enviar mensagens de correio eletrónico a outro domínio. É normalmente utilizado quando o proprietário de um domínio pretende autorizar um serviço ou fornecedor terceiro a enviar mensagens de correio eletrónico em seu nome.

Eis como funciona o mecanismo de inclusão do SPF:

• O proprietário do domínio publica um registo SPF
• O mecanismo de inclusão no registo SPF especifica outro domínio ou endereço IP que está autorizado a enviar e-mails em seu nome.
• Durante o processo de pesquisa, o registo SPF é recuperado do DNS do domínio do remetente.
• O servidor de email recetor avalia o registo SPF para determinar se o servidor de envio está autorizado a enviar emails para esse domínio. Se o registo SPF incluir um mecanismo de "inclusão", o servidor de receção verifica também o registo SPF do domínio incluído.
• O servidor recetor efectua uma pesquisa recursiva, consultando o DNS para obter o registo SPF do domínio incluído. Este processo continua se existirem várias camadas de mecanismos de inclusão.

Configure o SPF da maneira certa com o PowerDMARC!

Exemplo de inclusão de SPF

Por exemplo: Se tiver "include:_spf.google.com" no seu registo SPF e as mensagens de correio eletrónico forem enviadas a partir de um endereço IP do Google, este será considerado um remetente de correio eletrónico autorizado porque o IP de origem se encontra no mecanismo "include" do registo SPF desse domínio. Como resultado, o correio eletrónico passará com êxito pelo servidor antes de chegar ao destinatário pretendido.

Para autorizar o google como uma fonte de envio verificada, esta deve ser a sintaxe do seu registo SPF: 

v=spf1 include:_spf.google.com ~all

Como incluir vários domínios, hosts ou endereços IP no seu registo SPF? 

Quando pretende incluir mais de 1 registo SPF, pode deparar-se com problemas de entrega de correio eletrónico (tais como e-mails serem rejeitados como spam). A solução consiste em eliminar os registos SPF ofensivos e fundir os domínios ou entradas de anfitrião num único registo ou linha através do SPF include.

Considere o exemplo do registo SPF com numerosos anfitriões e endereços ip4 utilizados por um dos famosos fabricantes mundiais de tecnologia de electrónica de consumo, Lenovo.com.

Ao executar Procura de registos SPF para a Lenovo.com, descobrimos que fundiu 4 domínios:

1. spf.messagelabs.com
2. _netblocks.eloqua.com
3. spf.protecção.outlook.com
4. spf.pfpool.lenovo.com

e 5 endereços IP4:

1. 72.32.45.225
2. 40.65.201.146
3. 138.108.60.125
4. 138.108.24.107
5. 52.247.21.11

num único registo como este:

v=spf1 include:spf.messagelabs.com include:_netblocks.eloqua.com include:spf.protection.outlook.com include:spf.pfpool.lenovo.com ip4:72.32.45.225 ip4:40.65.201.146 ip4:138.108.60.125 ip4:138.108.24.107 ip4:52.247.21.11 ~tudo

Compreender a Semântica de Registo do SPF

Considerando o exemplo acima, aprendemos que a seguinte regra se aplica quando se fundem numerosos anfitriões ou endereços IP4 num único registo SPF.

Um registo SPF deve ter 3 secções para ser considerado válido: a declaração (início), o mecanismo de inclusão para domínios e a etiqueta IP4 para endereços IP (centro), e uma regra de aplicação (fim).

➜ Declaração: O registo deve começar com v=spf1 (não volte a utilizar esta corda na regra)

➜ Domínios permitidos: Acrescentar um incluir: para cada domínio (tem de utilizar o mecanismo SPF Incluir como incluir: em cada domínio, adiciona no registo SPF)

➜ IPs permitidos: Adicionar um IP4 tag para cada endereço IP (tem de usar a tag IP4 antes de cada endereço IP adicionado ao registo do SPF)

➜ Regra de aplicação: Acabar o registo com um ~tudo declaração (utilizar esta cadeia no final e apenas uma vez)

Posso ter vários registos SPF?

A resposta é não, porque Múltiplos registos SPF confundem o servidor destinatário relativamente ao registo TXT a considerar durante uma pesquisa, e demasiados registos SPF incluem a adição de múltiplas pesquisas de DNS que rapidamente excederão o limite de pesquisa de 10.

Os registos SPF são registos do tipo TXT que começam com a string v=spf1. Dizem aos servidores de correio electrónico quais as regras que devem seguir ao determinar se um dado correio electrónico é ou não spam. As regras incluem:

Portanto, se tiver duas entradas de registo SPF TXT separadas no seu servidor, os seus emails falharão a autenticação SPF e devolverão um PermError. É porque um servidor de correio electrónico receptor não saberá qual a regra a seguir - simplesmente ignorará ambos estes registos TXT.

Uma nota importante sobre SPF inclui

É importante incorporar o mecanismo de "incluir" no seu registo SPF porque permite a inclusão de outros domínios e anfitriões no seu registo SPF, o que pode ser útil para verificar a autenticidade das suas mensagens.

Contudo, a seguinte regra aplica-se à utilização do número de consultas por registo SPF (como mencionado na secção 10.1 do RFC 4408):

"As implementações SPF DEVEM limitar o número de mecanismos e modificadores a um máximo de 10 por verificação SPF, incluindo quaisquer pesquisas causadas pela utilização do mecanismo "include" ou do modificador "redirect"."

Se a sua implementação do SPF não limitar o número de mecanismos e modificadores, dormirá sobre os controlos de hospedeiros inalcançáveis. Como estes hospedeiros nunca serão incluídos nos seus cheques, nunca receberão correio dos clientes. Isto pode causar sérios problemas com a entrega de correio.

A diferença entre SPF inclui: e a:

O mecanismo SPF "include" é utilizado para incluir registos SPF de outro domínio no registo SPF do domínio atual, enquanto o mecanismo SPF "a" é utilizado para especificar endereços IP individuais ou nomes de anfitrião (registos A) que estão autorizados a enviar e-mails para o domínio.

SPF include vs a

Razões para usar a:

• É mais prático e menos complicado
• Porque não activou o SPF nos domínios relevantes
• Porque o SPF não está configurado correctamente ou permite erroneamente outros servidores que não estão nos seus registos A

As razões para a utilização incluem:

• Confia que o nome de domínio de um site tem um registo SPF válido
• Porque quer ter uma única fonte de verdade por razões de não-repetição, e o domínio SPF é complexo
• Pode querer fazer alterações aos seus registos SPF sem necessariamente editar o DNS para todos os domínios que incluem os seus

Optimização Automatizada de SPF Inclui: para Múltiplos Domínios e Endereços IP

O registo SPF de vários anfitriões e vários endereços IP não é uma coisa nova. A criação deste tipo de registo requer conhecimentos adequados para evitar falha de autenticação SPF ou PermError.

Para criar um registo SPF que funcione, é necessário utilizar corretamente o mecanismo include:. E para que a sua política SPF seja eficaz, tem de ser implementada corretamente em vários anfitriões e endereços IP.

Quando se utiliza o sistema PowerDMARC SPF Flattening do PowerDMARC, geramos um registo SPF válido para si com todos os seus anfitriões e endereços IP incluídos numa única linha de texto. Você pode adicionar quantos domínios e IPs quiser - basta separá-los por espaço. Vamos juntar tudo isso num único SPF include para para que nunca exceda o limite de pesquisa, nem tenha problemas de entrega de correio eletrónico e hardfail.

• Sobre
• Últimos Posts

Yunes Tarada

Especialista em segurança de domínios e e-mails da PowerDMARC

Yunes é um Operations Team Lead na PowerDMARC com conhecimentos especializados em autenticação e segurança de correio eletrónico. Yunes é um Microsoft-certified Azure Administrator Associate com certificações em CompTIA A+ e muito mais.

Últimas mensagens de Yunes Tarada (ver todas)

• Ataques de salting de correio eletrónico: Como o texto oculto contorna a segurança - 26 de fevereiro de 2025
• Alisamento do SPF: O que é e porque é que precisa dele? - 26 de fevereiro de 2025
• DMARC vs DKIM: Principais diferenças e como funcionam em conjunto - 16 de fevereiro de 2025