O Sender Policy Framework, ou SPF, é um dos protocolos de autenticação de email que as organizações têm usado nos seus sistemas de email há anos para reduzir o spam e autorizar as fontes de envio. No entanto, é comum encontrar diferentes erros que resultam em Falha de SPF. Nesta postagem, discutiremos o que pode causar a falha do SPF e como corrigi-lo.
Eis algumas razões comuns que levam a falhas no SPF:
- Erros de sintaxe do registo SPF
- Erros de configuração do registo SPF
- Exceder os limites de pesquisa de DNS para SPF
- Reencaminhamento de mensagens de correio eletrónico
- Autorização incompleta da fonte emissora
Porque é que as falhas do SPF acontecem?
As falhas de SPF podem ocorrer devido aos seguintes motivos:
- O MTA recetor não consegue encontrar um registo SPF publicado no seu DNS.
- Configurou mais do que um registo SPF para o mesmo domínio.
- Os seus fornecedores de serviços de correio eletrónico modificaram ou adicionaram novos endereços IP que não incluiu no seu registo SPF.
- Ultrapassou o limite de 10 pesquisas de DNS para SPF.
- Está a exceder o limite máximo de 2 pesquisas de nulidades permitidas.
- O comprimento do seu registo SPF achatado excede o limite de 255 caracteres SPF.
Quando o SPF falha para o seu correio eletrónico, os próximos passos devem ser identificar a razão por detrás da falha, para que a possa resolver. Isto é possível através da monitorização regular dos relatórios DMARC. O PowerDMARC ajuda-o a ler relatórios sobre falhas de autenticação SPF facilmente com o nosso analisador DMARC.
Acabe com as falhas de SPF com o PowerDMARC!
Tipos de falhas de SPF
Os seguintes tipos de SPF fail cada um dos quais é adicionado como um prefixo antes do mecanismo SPF:
"+" "Aprovado"
"-" "Reprovado"
"~" "Reprovação suave"
"?" "Neutro"
Qual a sua importância? Wm uma situação em que o seu correio eletrónico é rejeitado, pode escolher com que rigor quer que os destinatários o tratem. Pode especificar um qualificador para "passar" mensagens que tenham recebido uma entrega SPF "reprovar" a entrega, ou adotar um ponto de vista "neutro" (não fazer nada).
1. SPF Nenhum resultado devolvido
No primeiro cenário, se o servidor de correio eletrónico recetor efetuar uma pesquisa no DNS e não conseguir encontrar o nome de domínio no DNS, é devolvido um resultado nenhum. Também é devolvido nenhum caso não seja encontrado nenhum registo SPF no DNS do remetente, o que implica que o remetente não tem a autenticação SPF configurada para este domínio. Neste caso, a autenticação SPF para os seus e-mails falha, o que é indicado por "-all".
Gere o seu registo SPF sem erros agora com o nosso gerador de registos SPF gratuito para evitar isso.
2. Resultado neutro do SPF devolvido
Ao configurar o SPF para o seu domínio, se tiver afixado um mecanismo "?all" no seu registo SPF, isso significa que, independentemente do que as verificações de autenticação SPF para os seus e-mails de saída concluírem, o MTA recetor devolve um resultado neutro. Isto acontece porque quando tem o seu SPF em modo neutro, não está a especificar os endereços IP autorizados a enviar emails em seu nome e a permitir que endereços IP não autorizados também os enviem.
3. Resultado do SPF Softfail devolvido
Semelhante ao SPF neutro, o SPF softfail é identificado por ~todos os mecanismos, o que implica que o MTA receptor aceitaria o correio e o entregaria na caixa de entrada do destinatário, mas seria marcado como spam, caso o endereço IP não esteja listado no registo SPF encontrado no DNS, o que pode ser uma razão pela qual a autenticação SPF falha para o seu correio electrónico. Abaixo está um exemplo de softfail SPF:
v=spf1 include:spf.google.com ~all
4. Resultado do SPF Hardfail devolvido
O SPF hardfail é quando os MTAs receptores descartam os e-mails provenientes de qualquer fonte de envio que não esteja listada no seu registo SPF. Recomendamos que configure o SPF hardfail no seu registo SPF se pretender obter proteção contra a falsificação de identidade do domínio e a falsificação de correio eletrónico.
Exemplo: v=spf1 include:spf.google.com -all
Saiba a diferença específica entre SPF softfail vs hardfail
5. SPF Temperror (SPF Temporary Error)
Uma razão comum e muitas vezes inofensiva para a falha da autenticação SPF é o SPF Temperror (erro temporário). Isto é causado por um erro de DNS, como um Tempo limite do DNS. É, portanto, tal como o nome sugere, um erro provisório que devolve um código de estado 4xx que pode causar uma falha temporária do SPF. Quando for tentado novamente mais tarde, o resultado será um SPF aprovado.
6. SPF Permerror (SPF Erro Permanente)
Outro erro comum que os domínios enfrentam é um SPF Permerror. Isso ocorre quando há uma falha com um erro permanente. Isto acontece quando o seu registo SPF é invalidado pelo MTA recetor. Há muitas razões pelas quais o SPF pode falhar e ser invalidado pelo MTA ao efetuar pesquisas de DNS:
- Ultrapassar o limite de 10 SPF de pesquisa
- Sintaxe de registo SPF incorrecta
- Mais do que um registo SPF para o mesmo domínio
- Ultrapassar o limite do comprimento de registo SPF de 255 caracteres
- Se o seu registo SPF não estiver actualizado com as alterações feitas pelos seus ESP
Nota: Quando um MTA efectua uma verificação SPF numa mensagem de correio eletrónico, consulta o DNS ou efectua uma pesquisa de DNS para verificar a autenticidade da origem da mensagem de correio eletrónico. Idealmente, no SPF, é permitido um máximo de 10 pesquisas de DNS, o que, se for excedido, fará com que o SPF seja interrompido e devolva um resultado Permerror. Este é um problema muito comum que leva à falha do SPF.
Como corrigir uma falha de SPF para e-mails
Para uma capacidade de entrega sem problemas, é importante garantir que o SPF não falha nos seus e-mails. Para corrigir falhas de SPF, pode seguir estas práticas recomendadas:
1. Não ultrapassar os limites do SPF
Se a autenticação falhar devido a pesquisas de DNS que excedam os limites especificados pela RFC, tente manter-se dentro do limite para evitar a falha. O PowerDMARC ajuda os clientes a otimizar seus registros SPF para ficarem abaixo desses limites rígidos por meio de macros. Muitas vezes, elas são várias vezes mais eficazes do que achatamento de SPF. No entanto, se você optar por usar o nivelamento de SPF, ferramentas de nivelamento de SPF podem simplificar o processo, embora continuem a exigir actualizações manuais sempre que o seu fornecedor de serviços de correio eletrónico modifica a sua infraestrutura. As macros no seu registo DNS SPF ajudam-no a evitar exceder sempre os limites de pesquisa e de nulidade do DNS.
2. Evitar erros de sintaxe e de configuração
A implementação manual de registos SPF conduz frequentemente a erros de sintaxe e provoca falhas. Para garantir que está a utilizar a sintaxe correta para o SPF, gere o seu registo com a ajuda de um gerador de registos SPF automatizado.
Ao configurar o SPF no seu DNS, utilize sempre o tipo de recurso "TXT". Se configurar um tipo de recurso incorreto, como "CNAME" ou mesmo "SPF", isso conduzirá a erros de configuração e a uma falha do SPF.
3. Autorizar todas as fontes de envio
Certifique-se de que está a autorizar corretamente todas as suas fontes de envio, incluindo os seus fornecedores terceiros, no seu registo SPF. Os seus fornecedores alteram ou acrescentam frequentemente à sua lista de IPs de envio. Deve certificar-se de que está a par dessas alterações e implementá-las no seu próprio registo SPF. A omissão de fontes de envio autorizadas leva frequentemente a falhas injustificadas de SPF.
4. Combinar vários registos SPF
Mais do que um registo SPF para o mesmo domínio pode invalidar a sua implementação SPF e conduzir a uma falha SPF. Nesses casos, é preferível combinar vários registos num único registo, utilizando o mecanismo "include".
Melhores práticas de SPF
Os proprietários de domínios que respeitem as boas práticas SPF acima mencionadas podem reduzir significativamente as hipóteses de falha injustificada do SPF. Seguem-se algumas boas práticas adicionais que as empresas podem adotar em geral para reforçar ainda mais a segurança do seu correio eletrónico:
- Utilizar o DKIM para evitar falhas de SPF nos e-mails reencaminhados
- Utilizar DMARC e DKIM, para que, mesmo que o SPF falhe e o DKIM passe, o DMARC passe
- Ativar o relatório DMARC para monitorizar as falhas e as causas do SPF
As falhas de autenticação de correio eletrónico nunca são boas notícias para a reputação e credibilidade do seu domínio. Para garantir que a sua capacidade de entrega não é afetada, é necessário tomar medidas agora para evitar que o seu SPF falhe. Quer testar se tem o SPF configurado corretamente para o seu domínio? Experimente o nosso verificador de SPF hoje mesmo!
- Como corrigir "Nenhum registo SPF encontrado" em 2025 - 21 de janeiro de 2025
- Como ler um relatório DMARC - 19 de janeiro de 2025
- O que é o MTA-STS? Configurar a política correta do MTA-STS - 15 de janeiro de 2025