O que é o SPF ou Sender Policy Framework (SPF)?

O Sender Policy Framework, ou SPF, é um protocolo que identifica se os emails partiram mesmo do servidor de mail usado pela organização que os deve enviar. A adesão ao SPF é uma das formas mais importantes de garantir que ninguém envia mail em seu nome e hoje em dia é a forma de assegurar que as suas mensagens são entregues uma vez que a ausência deste registo TXT com os dados SPF ou a sua invalidade irá enviar as mensagens para spam ou impedir simplesmente a sua entrega. De notar que o SPF pode e dever combinado com um registo DMARC.

Para criar um SPF:
1. Identifique os IPs dos servidores a partir dos quais envia email. Tome nota de todos (é frequente serem mais do que um)
2. Faça uma lista de todos os domains DNS a partir de onde envia email. Tenha em conta que nem todos os domains que controla têm necessariamente email e que esses, neste contexto, não lhe interessam. Contudo, deve criar SPFs vazios mesmo para os domains onde não tem, nem espera, vir a ter email como forma de os proteger contra campanhas de spam realizadas a partir dos mesmos.
3. Crie agora o seu registo TXT de SPF. Este registo permitirá comparar o IP dos servidores que enviam correio nome do seu domain com uma lista de IPs autorizados para o fazer e que estão publicados neste registo DNS. Por exemplo o da microsoft.com é
“v=spf1 include:_spf-a.microsoft.cominclude:_spf-b.microsoft.cominclude:_spf-c.microsoft.cominclude:_spf-ssg-a.microsoft.cominclude:spf-a.hotmail.cominclude:_spf1-meo.microsoft.com -all”
em que “v=spf1” representa a única versão conhecida deste protocolo
seguem-se depois os IPs que estão autorizados a enviar email e que podem aparecer numa forma numérica como
“v=spf1 ip4:1.2.3.4 ip4:2.3.4.5” ou como hostnames como sucede no exemplo da Microsoft.
Se o mail é enviado a partir de um parceiro deve usar a declaração “include:” como sucede no exemplo acima.
Depois pode terminar com “~all”: o que significa que haverá um “soft FAIL” no incumprimento deste registo ou um “hard FAIL” caso use o “-all” (como faz a microsoft). Idealmente deve usar este último.
4. Tenha em conta que um registo SPF não pode ter mais de 255 caracteres e nunca mais do que dez “include” (também conhecidos como “lookups”.
5. Se o domain não enviar mail crie um SPF vazio: “v=spf1 –all”
6. Publique o registo no seu DNS server
7. Teste a correcção do registo com o www.dnschecker.org para ver se o SOA já propagou e depois para confirmar se o TXT está propagado. Pode ir a sites de teste como o https://www.dmarcanalyzer.com/spf/checker/ para ter a certeza de que está tudo bem. Um registo inválido vai afectar todo o SEO do seu site e o envio de mail.

CpC – Cidadãos pela Cibersegurança

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s

Create your website with WordPress.com
Iniciar
%d bloggers like this: