O SPF (Sender Policy Framework) permite que des­ti­na­tá­rios ve­ri­fi­quem se o e-mail que receberam realmente partiu do remetente ver­da­deiro. Para verificar a au­ten­ti­ci­dade de endereços de e-mail de re­me­ten­tes, ser­vi­do­res de e-mail fazem uso do SPF record, também chamado de registro SPF.

Como saber se um remetente é real?

Em teoria, é fácil realizar ve­ri­fi­ca­ções em e-mails recebidos, uma vez que o servidor de e-mail do des­ti­na­tá­rio já conhece o domínio do remetente. Por exemplo: quando um e-mail de jose.silva@gmx.com chega, o des­ti­na­tá­rio tem a pos­si­bi­li­dade de descobrir o endereço IP do provedor de e-mail gmx.com. Esse endereço (por exemplo, 213.165.64.8) pode ser en­con­trado no cabeçalho do e-mail, junto com o endereço IP do próprio remetente.

No entanto, grandes empresas nunca usam apenas um servidor de e-mail. No nosso exemplo, o provedor de e-mail gmx.com usa dezenas de ser­vi­do­res di­fe­ren­tes. Além disso, vários dos grandes pro­ve­do­res usam ser­vi­do­res es­pe­ci­a­li­za­dos em filtrar e-mails (por exemplo, mailchannels.com) para evitar que spams sejam enviados por meio de seus sistemas. Nesses casos, ao realizar uma ve­ri­fi­ca­ção, o des­ti­na­tá­rio en­con­trará o endereço IP do servidor de filtro, e não o do remetente.

A solução está no SPF

O SPF permite que ser­vi­do­res de e-mail ve­ri­fi­quem se um e-mail recebido foi realmente enviado pelo servidor de hos­pe­da­gem declarado. A ve­ri­fi­ca­ção SPF é executada de forma to­tal­mente au­to­má­tica em segundo plano, sem que você sequer perceba.

Em termos simples, o SPF define quais ser­vi­do­res de e-mail têm permissão para enviar e-mails para o domínio — estes ser­vi­do­res de e-mail podem ser iden­ti­fi­ca­dos tanto pelo nome quanto pelo endereço IP.

Por exemplo: o SPF define que e-mails de jose.silva@gmx.com só podem ser re­co­nhe­ci­dos como ver­da­dei­ros se tiverem um dos seguintes endereços IP: 213.165.64.0; 74.208.5.64; 74.208.122.0; 212.227.126.128; 212.227.15.0; 212.227.17.0; 74.208.4.192; 82.165.159.0 e 217.72.207.0. Isso quer dizer que somente esses endereços IP cor­res­pon­dem ao domínio gmx.com. Munido dessa in­for­ma­ção, o servidor de e-mail do des­ti­na­tá­rio verifica se o endereço IP que ele lê no cabeçalho do e-mail recebido está nessa lista ou não.

A lista de ser­vi­do­res de e-mail au­to­ri­za­dos é ar­ma­ze­nada no servidor de nomes de domínio (DNS) do domínio de envio (neste exemplo, gmx.com), mas pode ser acessada por qualquer servidor de e-mail de entrada.

Business Email
Descubra uma nova forma de usar e-mail
  • Escreva e-mails perfeitos com recursos opcionais de IA
  • Dê mais cre­di­bi­li­dade à sua marca
  • Inclui domínio, filtro de spam e en­ca­mi­nha­mento de e-mails

O que é registro SPF?

O Registro SPF, ou SPF record, é inserido como registro DNS (do tipo registro TXT) na zona de domínio do DNS (na­me­ser­ver) associado ao domínio. Esse registro contém a lista de endereços IP dos quais e-mails de um de­ter­mi­nado domínio podem ser enviados. Ele também contém outros registros, como de ser­vi­do­res de filtro pelos quais um e-mail deve passar antes de chegar ao des­ti­na­tá­rio. Essas “estações in­ter­me­diá­rias” são ge­ral­mente inseridas por ins­tru­ções include. Mas não somente esta instrução pode ser en­con­trada em um SPF record:

Instrução Sig­ni­fi­cado
v Versão doSPF record:v=SPF1; indica a versão válida no momento.
ip4 Endereço IP:IP4é a forma mais conhecida de endereço IP. Também existem novos endereços,IP6, mas eles são menos comuns.
-all Todos os re­me­ten­tes não listados não estão au­to­ri­za­dos e devem ser re­jei­ta­dos.
include Indica domínios adi­ci­o­nais cujoSPF record também deve ser ve­ri­fi­cado.

A variante -all com um til ao invés do hífen (~all) indica que todos os outros re­me­ten­tes não estão au­to­ri­za­dos, mas ainda assim devem ser aceitos. Essa instrução de “falha suave” foi ori­gi­nal­mente in­tro­du­zida para fins de teste, mas atu­al­mente é usada por vários pro­ve­do­res de hos­pe­da­gem.

Observe um exemplo de registro SPF do provedor de e-mail gmx.com:

Imagem: Captura de tela de um registro SPF
Exemplo de registro SPF do provedor de e-mail gmx.com
Dica

Você tem um e-mail da IONOS e deseja con­fi­gu­rar um SPF record no seu domínio? Na nossa Central de Ajuda, descubra como criar um registro SPF em uma conta IONOS.

Como verificar um registro SPF?

Utilizar a fer­ra­menta mxtoolbox é a maneira mais fácil de confirmar se seu e-mail está realmente ve­ri­fi­cado por um registro SPF:

  1. Envie um e-mail para ping.tools.mxtoolbox.com
  2. Em pouco tempo, você receberá um e-mail resposta de abuse@mxtoolbox.com
  3. Este e-mail lhe dará um breve feedback e oferecerá um link para re­sul­ta­dos de­ta­lha­dos

Tenha em mente que pode levar até 24 horas para que um registro SPF con­fi­gu­rado comece a funcionar. Por isso, caso a con­fir­ma­ção falhe, aguarde até o dia seguinte e repita o processo.

Você também pode checar seu SPF record sim­ples­mente enviando um e-mail para si mesmo:

  1. Envie um e-mail para si
  2. Abra esse e-mail e examine as in­for­ma­ções do cabeçalho de e-mail. De­pen­dendo do provedor de e-mail, você poderá fazer isso acessando o menu “Vi­su­a­li­za­ção” ou abrindo o menu de contexto com o botão direito do mouse.
  3. O SPF record estará rotulado como Received SPF (SPF recebido)
Dica

Se você ainda não tem um, adquira o seu servidor de e-mail com a IONOS. Os mais elevados padrões de segurança, somados ao cer­ti­fi­cado SSL, pro­te­ge­rão seus e-mails contra acessos não au­to­ri­za­dos.

Vantagens e des­van­ta­gens do registro SPF

Cada vez mais pro­ve­do­res de serviços on-line con­si­de­ram o SPF record obri­ga­tó­rio, por motivo de segurança. Isso significa que qualquer e-mail que não tiver a au­to­ri­za­ção apro­pri­ada não será entregue, ou será entregue com um aviso de que não é seguro.

A fácil im­ple­men­ta­ção do SPF record é sua maior vantagem: Um simples registro TXT é tudo que você precisa e, na maioria das vezes, ele é au­to­ma­ti­ca­mente gerado pelo provedor.

Apesar de poderoso, o registro SPF não consegue so­lu­ci­o­nar todos os problemas de segurança possíveis, por isso, mantenha-se sempre atento.

  • O SPF não protege contra spoofing. Isso quer dizer que um golpista pode exibir um nome de remetente falso no e-mail, apesar do SPF.
  • O SPF não melhora a reputação do remetente. Até mesmo um spammer consegue usá-lo.
  • O SPF não protege contra o envio de e-mails não au­to­ri­za­dos por re­me­ten­tes reais. Ou seja, o SPF não tem efeito quando alguém envia e-mails por uma conta ver­da­deira, mas sem au­to­ri­za­ção do pro­pri­e­tá­rio.

Na maioria das vezes, o SPF record é usado em conjunto com outros me­ca­nis­mos de segurança, como o DKIM e o DMARC.

Ir para o menu principal