O que é SPF record e como usá-lo
O SPF (Sender Policy Framework) permite que destinatários verifiquem se o e-mail que receberam realmente partiu do remetente verdadeiro. Para verificar a autenticidade de endereços de e-mail de remetentes, servidores de e-mail fazem uso do SPF record, também chamado de registro SPF.
Como saber se um remetente é real?
Em teoria, é fácil realizar verificações em e-mails recebidos, uma vez que o servidor de e-mail do destinatário já conhece o domínio do remetente. Por exemplo: quando um e-mail de jose.silva@gmx.com chega, o destinatário tem a possibilidade de descobrir o endereço IP do provedor de e-mail gmx.com. Esse endereço (por exemplo, 213.165.64.8) pode ser encontrado no cabeçalho do e-mail, junto com o endereço IP do próprio remetente.
No entanto, grandes empresas nunca usam apenas um servidor de e-mail. No nosso exemplo, o provedor de e-mail gmx.com usa dezenas de servidores diferentes. Além disso, vários dos grandes provedores usam servidores especializados em filtrar e-mails (por exemplo, mailchannels.com) para evitar que spams sejam enviados por meio de seus sistemas. Nesses casos, ao realizar uma verificação, o destinatário encontrará o endereço IP do servidor de filtro, e não o do remetente.
A solução está no SPF
O SPF permite que servidores de e-mail verifiquem se um e-mail recebido foi realmente enviado pelo servidor de hospedagem declarado. A verificação SPF é executada de forma totalmente automática em segundo plano, sem que você sequer perceba.
Em termos simples, o SPF define quais servidores de e-mail têm permissão para enviar e-mails para o domínio — estes servidores de e-mail podem ser identificados tanto pelo nome quanto pelo endereço IP.
Por exemplo: o SPF define que e-mails de jose.silva@gmx.com só podem ser reconhecidos como verdadeiros se tiverem um dos seguintes endereços IP: 213.165.64.0; 74.208.5.64; 74.208.122.0; 212.227.126.128; 212.227.15.0; 212.227.17.0; 74.208.4.192; 82.165.159.0 e 217.72.207.0. Isso quer dizer que somente esses endereços IP correspondem ao domínio gmx.com. Munido dessa informação, o servidor de e-mail do destinatário verifica se o endereço IP que ele lê no cabeçalho do e-mail recebido está nessa lista ou não.
A lista de servidores de e-mail autorizados é armazenada no servidor de nomes de domínio (DNS) do domínio de envio (neste exemplo, gmx.com), mas pode ser acessada por qualquer servidor de e-mail de entrada.
Endereço de E-mail Profissional & Nome de Domínio Pessoal
Adquira um endereço de e-mail tão profissional e único quanto você, incluindo domínio correspondente grátis!
O que é registro SPF?
O Registro SPF, ou SPF record, é inserido como registro DNS (do tipo registro TXT) na zona de domínio do DNS (nameserver) associado ao domínio. Esse registro contém a lista de endereços IP dos quais e-mails de um determinado domínio podem ser enviados. Ele também contém outros registros, como de servidores de filtro pelos quais um e-mail deve passar antes de chegar ao destinatário. Essas “estações intermediárias” são geralmente inseridas por instruções include. Mas não somente esta instrução pode ser encontrada em um SPF record:
| Instrução | Significado |
|---|---|
| v | Versão doSPF record:v=SPF1; indica a versão válida no momento. |
| ip4 | Endereço IP:IP4é a forma mais conhecida de endereço IP. Também existem novos endereços,IP6, mas eles são menos comuns. |
| -all | Todos os remetentes não listados não estão autorizados e devem ser rejeitados. |
| include | Indica domínios adicionais cujoSPF record também deve ser verificado. |
A variante -all com um til ao invés do hífen (~all) indica que todos os outros remetentes não estão autorizados, mas ainda assim devem ser aceitos. Essa instrução de “falha suave” foi originalmente introduzida para fins de teste, mas atualmente é usada por vários provedores de hospedagem.
Observe um exemplo de registro SPF do provedor de e-mail gmx.com:
Você tem um e-mail da IONOS e deseja configurar um SPF record no seu domínio? Na nossa Central de Ajuda, descubra como criar um registro SPF em uma conta IONOS.
Como verificar um registro SPF?
Utilizar a ferramenta mxtoolbox é a maneira mais fácil de confirmar se seu e-mail está realmente verificado por um registro SPF:
- Envie um e-mail para
ping.tools.mxtoolbox.com - Em pouco tempo, você receberá um e-mail resposta de
abuse@mxtoolbox.com - Este e-mail lhe dará um breve feedback e oferecerá um link para resultados detalhados
Tenha em mente que pode levar até 24 horas para que um registro SPF configurado comece a funcionar. Por isso, caso a confirmação falhe, aguarde até o dia seguinte e repita o processo.
Você também pode checar seu SPF record simplesmente enviando um e-mail para si mesmo:
- Envie um e-mail para si
- Abra esse e-mail e examine as informações do cabeçalho de e-mail. Dependendo do provedor de e-mail, você poderá fazer isso acessando o menu “Visualização” ou abrindo o menu de contexto com o botão direito do mouse.
- O SPF record estará rotulado como Received SPF (SPF recebido)
Se você ainda não tem um, adquira o seu servidor de e-mail com a IONOS. Os mais elevados padrões de segurança, somados ao certificado SSL, protegerão seus e-mails contra acessos não autorizados.
Vantagens e desvantagens do registro SPF
Cada vez mais provedores de serviços on-line consideram o SPF record obrigatório, por motivo de segurança. Isso significa que qualquer e-mail que não tiver a autorização apropriada não será entregue, ou será entregue com um aviso de que não é seguro.
A fácil implementação do SPF record é sua maior vantagem: Um simples registro TXT é tudo que você precisa e, na maioria das vezes, ele é automaticamente gerado pelo provedor.
Apesar de poderoso, o registro SPF não consegue solucionar todos os problemas de segurança possíveis, por isso, mantenha-se sempre atento.
- O SPF não protege contra spoofing. Isso quer dizer que um golpista pode exibir um nome de remetente falso no e-mail, apesar do SPF.
- O SPF não melhora a reputação do remetente. Até mesmo um spammer consegue usá-lo.
- O SPF não protege contra o envio de e-mails não autorizados por remetentes reais. Ou seja, o SPF não tem efeito quando alguém envia e-mails por uma conta verdadeira, mas sem autorização do proprietário.
Na maioria das vezes, o SPF record é usado em conjunto com outros mecanismos de segurança, como o DKIM e o DMARC.