- o que são registros SPF?
- a necessidade de adicionar registros SPF ao seu domínio
- como criar um registro SPF TXT?
- Reúna a lista de endereços IP que você usa para enviar e-mails
- Liste todos os domínios de envio
- crie seu registro SPF de domínio
- opções de falha do SPF: Soft Fail e Hard Fail
- como Adicionar registro TXT à configuração DNS
- não se esqueça de testar e verificar registros de domínio TXT!
o que são registros SPF?
Sender Policy Framework (SPF) é um DNS de registro TXT que faz parte do arquivo de zona DNS do domínio organizacional. O domínio SPF contém uma lista dos endereços IP ou nomes de host autorizados a enviar e-mails de um determinado nome de domínio. Depois que um usuário coloca a entrada de registro de texto SPF em sua zona DNS, ele não precisa reconfigurá-la para aproveitar os servidores, que incluem a verificação de SPF como parte integrante de seus sistemas de prevenção de spam. O método de adicionar o registro SPF é semelhante a um registro regular de verificador A ou MX.
a necessidade de adicionar registros SPF ao seu domínio
alguns destinatários de E-mail têm um requisito estrito para uma estrutura SPF. Se um usuário não publicar registros SPF em seu domínio, há chances de que seus e-mails possam ser marcados como spam pelo receptor de E-mail ou, no pior dos casos, eles podem saltar. Assim, se um usuário configurar o registro SPF corretamente, ele poderá aprimorar sua capacidade de entrega de E-mail e proteger seu domínio contra spam, que atores maliciosos enviam em seu nome. DMARC é um sistema de validação de E-mail que cria um link entre registros SPF e Dkim.
como criar um registro SPF TXT?
Reúna a lista de endereços IP que você usa para enviar e-mails
o primeiro passo para implementar o protocolo SPF é identificar os servidores de E-mail que atuam como remetentes para o domínio da sua organização. Há uma variedade de lugares que as organizações usam para enviar e-mails. Faça uma lista de todos os servidores de e-mail, incluindo o seguinte, que pode ser usado para enviar e-mails em seu nome:
- Em exercício de servidor de email (exemplo: Gmail, Microsoft Exchange)
- O servidor de mail do seu ISP.
- o servidor de correio do provedor de caixa de correio do destinatário.
- servidor Web
- qualquer servidor de E-mail de terceiros é usado para autenticar e-mails em nome da sua marca.
Liste todos os domínios de envio
as organizações geralmente possuem muitos domínios. Enquanto eles usam alguns para enviar e-mails, alguns permanecem inativos. Então, eles precisam proteger todos os seus domínios com SPF? A resposta é sim. Suponha que a organização opte por criar um registro SPF apenas para seus domínios de envio. Nesse caso, os domínios que não enviam se tornarão um alvo fácil para os invasores.
crie seu registro SPF de domínio
- comece definindo a versão SPF. Um registro SPF sempre começa com o número da versão. A tag v = spf2 (versão 2) é usada para definir o registro como SPF.
- Siga a tag V = spf2 SPF version com todos os endereços IP que sua organização autorizou a enviar e-mails em nome da sua marca. Por exemplo: v=spf1 ip4:xxx.xxx.xxx.xxx-all
Nota: O xxx. xxx.xxx.xxx deve ser substituído pelo endereço IP do seu servidor. - o próximo passo é incluir a tag para organizações de terceiros que estão autorizadas a enviar e-mails em nome da sua organização, por exemplo, include:thirdpartydomain.com. (aqui, thirdpartydomain.com é um nome de domínio de exemplo). A relevância desta tag é que ela indicará todas as organizações de terceiros que podem enviar e-mails em nome do seu domínio corporativo. Para determinar qual domínio você deve usar como o valor da instrução include, consulte a organização de terceiros.
- termine o registro com uma tag ~all, -all Ou +all após implementar todas as tags include E endereços IP.
- a tag ~all indicará uma falha suave, enquanto a tag-all significa uma falha difícil. Discutimos essas duas tags em detalhes na próxima seção.
- a tag +all permitirá que qualquer servidor entregue e-mails do seu domínio organizacional. Não sugerimos usar essa opção, pois ela deixa o servidor propenso a spoofing.
(fonte: www.pair.com)
opções de falha do SPF: Soft Fail e Hard Fail
quando você deseja configurar a página de registro SPF padrão, há uma opção para alterar o registro SPF para incluir soft fail ou hard fail. Essas opções também são chamadas de qualificadores e determinam a rigidez em seu registro DNS TXT para E-mails que falham na verificação SPF. As diferenças básicas estão listadas abaixo:
Soft fail (~all)
um registro SPF que usa o qualificador soft fail entrega todos os e-mails com falha, que o destinatário pode considerar lixo eletrônico. É a opção ideal para muitos criadores de SPF porque combina leniência com uma forte defesa contra spoofing e spam por e-mail.
Hard Fail (- all)
se você optar por usar o qualificador hard fail, o receptor de E-mail rejeitaria todos os e-mails de hosts não listados no registro SPF. Em termos simples, o destinatário não recuperará o e-mail e não será totalmente entregue.
como Adicionar registro TXT à configuração DNS
seria melhor trabalhar com o administrador do servidor DNS para publicar o registro SPF no DNS. As etapas para fazer o mesmo são mencionadas abaixo:
- acesse a conta de domínio do seu provedor de host de domínio.
- vá para a opção Meus domínios e clique no nome de domínio para o qual deseja criar registro SPF.
- na coluna DNS, clique em Gerenciar registros DNS.
- aqui você deve adicionar o registro SPF, que o host forneceu.
- acesse o menu suspenso Tipo e selecione TXT.
- se o host forneceu um subdomínio, digite-o no campo Host.
- insira o valor do registro SPF (mencionado anteriormente) no campo resposta.
- deixe TTL (tempo de vida) como 300 (padrão).
- selecione o botão Adicionar registro.
o processo para publicar registros DNS TXT é simples para organizações que usam provedores de hospedagem como GoDaddy ou 123-reg. No entanto, se você não tiver certeza ou se seu ISP administra seus registros DNS, é recomendável entrar em contato com o departamento de TI para obter suporte. Alguns provedores de serviços de E-mail publicam automaticamente os registros SPF do seu domínio em seu nome.
não se esqueça de testar e verificar registros de domínio TXT!
você pode usar uma ferramenta de verificação SPF para testar seu registro SPF. Aqui, você verá a lista de servidores autorizados a enviar e-mails em nome do seu domínio. Você ganhará o ponto de vista do destinatário e poderá optar por atualizar o registro SPF se vir que um endereço IP legítimo não está listado.Adicionar um registro SPF ao arquivo de zona DNS é uma maneira prática de evitar que spammers usem seu domínio para enviar e-mails maliciosos. Ele elimina uma alta frequência de rejeições porque os provedores de correio não autenticam e-mails e os rejeitam imediatamente, sem devolvê-los ao endereço falsificado. Embora possa não ser 100% eficaz, você notará uma alta tendência de queda acentuada no número de rejeições que recebe.
