Ir para conteúdo principal

O que são registros de framework de política do remetente? O que você precisa saber sobre SPF

Descubra o que são os registros de SPF e como eles ajudam a prevenir a falsificação de e‑mails.

Frameworks de política de remetente (sender policy framework, ou SPFs) funcionam como se fossem seguranças de eventos posicionado no seu hall de entrada. Você entrega uma lista de convidados e eles dão as boas-vindas às pessoas com nomes na lista, enquanto todos os demais aguardam aprovação ou são rejeitados.

Por exemplo, proprietários de pequenas empresas geralmente conhecem os clientes e fornecedores pelo nome. Fora que você já viu os logotipos das empresas, os funcionários e outros identificadores delas. No entanto, nas trocas de e-mails, ficam faltando os sinais visuais de legitimidade.

Já os VPs de marketing de empresas de médio porte vão conhecer apenas alguns clientes e fornecedores pelo rosto. Por isso, os VPs contam com recepcionistas para filtrar as chamadas e visitas, dando acesso apenas a quem tem questões que não podem ser delegadas aos membros juniores.

Por outro lado, os CEOs ou proprietários de empresas internacionais de importação/exportação talvez só falem com as pessoas com hora marcada com bastante antecedência. Além disso, quem quiser uma reunião, precisará ter uma questão crucial para toda a empresa que apenas o CEO pode resolver, por exemplo, um cliente VIP com um contrato complexo.

Em todas essas situações, as empresas precisam de alguma forma de confirmar a autenticidade dos remetentes. Caso contrário, a empresa pode sofrer um golpe forte na reputação se um spammer, golpista ou bot se passar por você e obter acesso à sua lista de clientes ou servidor de e-mail. É seu framework de política de remetente que fornece esse fator de distinção.

Saiba mais sobre SPFs, incluindo respostas para perguntas como "O que são registros de SPF" e "Como criar registros de SPF?" e aproveite essa medida de segurança na sua empresa.

O que são registros de framework de política do remetente?

Registros de SPF basicamente são os sistemas de verificação de identidade digital dos seus e-mails. É uma linha específica de código de texto (TXT) adicionada aos registros DNS do seu domínio que atua nos bastidores para autenticar remetentes de e-mail e garantir que eles estejam vindo de endereços IP autorizados.

Quando configurados corretamente, esses registros informam aos servidores de e-mail receptores que os e-mails vêm de fontes legítimas autorizadas a enviar e-mails de determinados domínios.

A autenticação de SPF funciona criando uma lista de endereços IP e nomes de servidores aprovados, autorizados a enviar e-mails usando seu domínio. Quando uma pessoa recebe e-mails alegando ser do seu domínio, o servidor de e-mail dela verifica automaticamente esse registro de SPF para confirmar se o servidor remetente está na sua lista de aprovados.

Veja como cada elemento funciona:

  • Identificação do remetente: com os registros de SPF, os servidores destinatários podem confirmar se um e-mail realmente vem de uma origem autorizada e não de alguém tentando imitar seu domínio. Essa verificação acontece de forma invisível durante a entrega de e-mails.
  • Verificação do remetente: os sistemas de e-mail podem verificar automaticamente se o endereço IP do servidor de envio corresponde ao que está listado no seu registro de SPF, impedindo que servidores não autorizados imitem com sucesso seu domínio em e-mails.
  • Verificação do caminho de retorno: caso os destinatários tenham dúvidas sobre sua mensagem ou preocupações a respeito de como as informações deles estão sendo usadas, os SPFs fornecem rotas confiáveis de volta à origem autêntica, aumentando a responsabilidade.

Quando você implementa registros de SPF, está essencialmente informando ao mundo exatamente quais servidores estão autorizados a enviar e-mails em nome do seu domínio. Isso cria uma camada inicial fundamental para a segurança de e-mails e autenticação de remetentes.

Limites dos SPF: o que os SPFs não fazem

Embora os registros de framework de política do remetente ajudem os proprietários de domínios a proteger suas comunicações por e-mail, esses protocolos de autenticação têm limitações que é importante compreender. Os SPFs não são soluções de segurança completas por si sós.

Suas limitações incluem:

  • Sem capacidades de criptografia: quando os servidores recebedores de e-mail realizam a autenticação de SPF, tudo o que fazem é autenticar o remetente. Eles não fazem nada para proteger o conteúdo mesmo das suas mensagens. Qualquer pessoa que intercepte seus e-mails poderá lê-los se você não usar criptografia adicional.
  • Sem recursos de privacidade: esses registros não ocultam os metadados dos e-mails nem protegem as informações sensíveis das suas mensagens. Eles simplesmente verificam se os e-mail vêm de servidores de e-mail autorizados.
  • Falhas ao encaminhar: quando uma pessoa encaminha seus e-mails, a validação de SPF falha porque o endereço IP do servidor remetente do encaminhador vira o novo remetente. Isso significa que mensagens autênticas, quando encaminhadas, podem ser marcadas como suspeitas.
  • Sem geração de relatórios: diferentemente dos protocolos mais avançados, o SPF não gera relatórios sobre quem está tentando falsificar seu domínio nem fornece análises sobre problemas de entrega relacionados à autenticação.
  • Insuficiente como solução independente: as consultas de DNS realizadas durante as verificações de SPF são apenas uma camada de segurança de e-mail. Invasores inteligentes podem encontrar maneiras de contornar proteções baseadas apenas em SPF. Por isso, os especialistas recomendam implementá-lo em conjunto com DKIM e DMARC para se proteger por completo.
  • Escopo de proteção limitado: o SPF só verifica o servidor remetente, não o conteúdo de fato dos e-mails. Isso significa que ataques do tipo phishing baseados em conteúdo malicioso ainda poderão passar pelas verificações de SPF se vierem dos servidores autorizados.

O que você precisa saber sobre SPF?

Implementar registros de framework de política do remetente (SPF) indica aos servidores de e-mail dos destinatários que sua mensagem não foram falsificadas nem marcada como spam e não estão tentando enganá-los. Ao investir tempo na incorporação de registros de SPF nas configurações do seu domínio, você estabelece um processo de verificação que eleva a confiança e diminui a resistência às suas mensagens.

Quando mensagens afirmam vir do seu domínio protegido por SPF, mas se originam de servidores não autorizados, serão reprovadas nas verificações de autenticação de SPF, protegendo tanto a reputação da sua marca quanto seus destinatários de possíveis golpes.

Esse sistema de verificação é especialmente importante para lidar com e-mails recebidos, pois agrega uma camada a mais de triagem de segurança antes que as mensagens cheguem às caixas de entrada.

Principais aspectos para entender sobre o SPF:

  • Verificação de endereço IP: registros de SPF são essencialmente listas publicadas de endereços IP autorizados a enviar e-mails em nome do seu domínio, fornecendo instruções claras aos provedores de e-mail sobre como lidar com suas mensagens de saída.
  • Aprimoramento da entrega: seu registro de SPF conta com uma camada de proteção que torna mais provável que suas mensagens legítimas cheguem às caixas de entrada dos destinatário pretendidos, em vez de serem marcadas como spam.
  • Sem função de criptografia: embora o SPF verifique a autenticidade dos remetentes, ele não criptografa o conteúdo das suas mensagens nem protege a confidencialidade das informações contidas.
  • Visibilidade do cabeçalho: os resultados da verificação de SPF aparecem nos cabeçalhos completos das suas mensagens de e-mail, permitindo que os destinatários verifiquem manualmente a autenticidade, se desejarem.
  • Sinalização de confiança: os domínios de SPF listados primeiro no seu mecanismo "include" demonstram que você tomou as precauções mínimas necessárias para proteger seus dados comerciais e seus destinatários de possíveis ameaças de e-mail.

SPF vs. DMARC vs. DKIM

A Força-tarefa de Engenharia de Internet publicou o protocolo SPF atual no RFC 7208 em abril de 2014. O objetivo era criar um consenso sobre como impedir que hackers e phishers enviassem e-mails supostamente vindos de organizações conhecidas e confiáveis.

Esse consenso se tornou o spf1 e, dali em diante, v=spf1 se tornou o formato-padrão da declaração inicial de todos os registros de SPF. No entanto, encaminhar mensagens invalida o SPF. Como consequência, duas estratégias adicionais foram introduzidas: DKIM e DMARC.

O que é DKIM?

DKIM é o acrônimo de DomainKeys Identified Mail. Assim como o SPF, o DKIM é um registro de TXT no DNS. A diferença é que os registros de DKIM seguem válidos mesmo quando são encaminhados. Os padrões atuais de DKIM surgiram das iniciativas do Yahoo! e da Cisco, que criaram seus próprios padrões de autorização de e-mails.

Pense no DKIM como o selo de cera que era aplicado nos documentos oficiais. Esses lacres eram reconhecíveis. Se uma mensagem chegasse sem selo ou caso ele estivesse quebrado, não era considerada confiável.

Todo servidor de envio de e-mail possui um DKIM em duas partes: a chave privada de DKIM e uma chave pública. Os servidores de destino acessam a metade pública dessa chave. Quando você envia mensagens de e-mail, o servidor de e-mail receptor consulta o registro de TXT do DNS.

Se esse servidor de e-mail encontrar sua chave DKIM pública, ele abrirá a assinatura de DKIM. Se essa assinatura coincidir com a assinatura que você publicou no seu DNS, o servidor de e-mail receptor considerará a mensagem válida. Caso contrário, o e-mail será devolvido, o que significa que não chegará à caixa de entrada dos destinatários pretendidos.

Em vez disso, ele pode não ser entregue, ir para a pasta de spam ou para qualquer outra pasta que os usuários tenham configurado para lidar com essas mensagens.

O formato correto de registros de DKIM é:

"<selector(s=)._domainkey.domain(d=)>.   TXT v=DKIM1; p=\<chave pública>"

Aqui está um exemplo de chave pública DKIM no formato correto:

"dk5182-3458._domainkey.meudomíniodeexemplo.com. IN TXT "v=DKIM1\;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC1TaNgLlSyQMNWVLNLvyY/neDgaL2oqQE8T5illKqCgDtFHc8eHVAU+nlcaGmrKmDMw9dbgiGk1ocgZ56NR4ycfUHwQhvQPMUZw0cveel/8EAGoi/UyPmqfcPibytH81NFtTMAxUeM4Op8A6iHkvAMj5qLf4YRNsTkKAV;""

O que cada parte de um registro DKIM faz?

Nesse exemplo, dk5182-3458 representa o seletor (s=). O (d=) representa o domínio especificado, meudomíniodeexemplo.com. A versão deve sempre aparecer como "v=DKIM1" em todos os registros de DKIM. O mecanismo "p" representa o código público: uma cadeia de letras, números e símbolos.

O que é DMARC?

DMARC significa Domain-Based Message Authentication Message Conformance. O DMARC previne atividades maliciosas ao bloquear mensagens de imitadores antes que cheguem à sua caixa de entrada. Esses falsificadores fingem representar você para obter informações que possam usar no roubo de identidades ou outros tipos de fraude.

Quando você usa o DMARC, fecha a porta para essas tentativas de invasão. Ela usa códigos abertos e de uso gratuito. No entanto, também é necessário que seu provedor de serviços de e-mail também use a proteção DMARC. Ele fornece uma terceira camada de proteção após o SPF e o DKIM.

Com o DMARC, você informa seu provedor de serviços de e-mail se ele deve — com base nas informações recebidas após consultas de DKIM e SPF — rejeitar ou colocar em quarentena e-mails de origens não confiáveis ou desconhecidas.

Importância do DKIM e do DMARC

O Mailchimp ressalta a importância do DKIM e do DMARC na autenticação de e-mails a fim de garantir comunicações seguras. O DKIM, ou DomainKeys Identified Mail, usa assinaturas criptográficas para verificar a integridade das mensagens, mesmo quando encaminhadas. Já o DMARC, que significa Domain-based Message Authentication, Reporting & Conformance, estabelece um arcabouço para o gerenciamento de falhas de autenticação de e-mail e geração de relatórios.

Ao implementar o DKIM e o DMARC, as empresas melhoram a segurança dos seus e-mails, protegem-se contra spoofing e mantêm a reputação das marcas. O Mailchimp traz ferramentas e recursos para simplificar a integração desses protocolos. Assim, ajuda as empresas a terem sucesso nas suas campanhas de marketing por e-mail.

Como configurar o DKIM e implementar o DMARC

Para fortalecer a autenticação do seu e-mail no Mailchimp, é essencial configurar o DKIM e implementar o DMARC. O DKIM adiciona uma assinatura digital aos seus e-mails, garantindo a integridade e autenticidade deles.

Por sua vez, o DMARC permite que você defina como os servidores de destino devem lidar com os e-mails que falhem nas verificações de SPF e DKIM, protegendo sua marca contra tentativas de phishing.

Vale a pena avaliar incluir nas políticas de DMARC definir ações para falhas de verificação e analisar regularmente os relatórios gerados para impedir o uso não autorizado do domínio. O Mailchimp conta com ferramentas e recursos para integrar esses protocolos com eficiência, garantindo que suas comunicações por e-mail sejam seguras e confiáveis.

Aprimorando a autenticação de e-mail com DKIM e DMARC

Para melhorar a entregabilidade dos e-mails e reforçar a segurança do Mailchimp, é fundamental configurar o DKIM e o DMARC. O DKIM adiciona uma assinatura criptográfica aos seus e-mails, garantindo aos destinatários a integridade e a autenticidade deles. Essa verificação permanece imutável mesmo que as mensagens sejam encaminhadas.

Já o DMARC oferece diretrizes para lidar com e-mails que falham nas verificações de DKIM e SPF. Configurá-lo permite que os servidores de e-mail rejeitem ou coloquem em quarentena mensagens suspeitas, protegendo sua marca contra phishing e spoofing.

A análise regular dos relatórios de DMARC é fundamental para identificar o uso não autorizado do seu domínio e ajustar as políticas conforme necessário. O Mailchimp oferece ferramentas e recursos para integrar esses protocolos com eficácia, apoiando a segurança e confiabilidade das suas comunicações.

Baixe o e-Book e saiba mais sobre as práticas básicas recomendadas para começar. 

Leia sobre as últimas tecnologias que estão sendo introduzidas e irão criar conexões mais impactantes com os clientes. Entenda o que está mudando com a introdução da IA no marketing por e-mail e veja como os outros estão tendo sucesso. E, o mais importante, descubra como você pode ter sucesso no marketing por e-mail mais rápido do que você jamais imaginou.

Baixe o e-Book
Capa do e-book Introdução ao marketing por e-mail da Mailchimp: dicas para maximizar o sucesso

Partes do registro SPF

Registros de SPF formatados corretamente são arquivos de texto (TXT) contendo dois elementos vitais. Primeiro, eles devem incluir a versão de SPF. Depois, o restante do registro consiste nos mecanismos exigidos para verificar quais nomes de host e endereços IP estão autorizados a enviar mensagens a partir do seu domínio.

Um exemplo de registro de SPF numa declaração de autenticação de e-mail pode ser:

"v=spf1 a MX include:spf.yourbusinessdomainname.com ~all"

A declaração v=spf1 informa ao servidor de e-mail receptor que esse registro de TXT é um registro de SPF. O mecanismo "a" instrui o servidor a corresponder o endereço IP do remetente à ferramenta "a" do domínio "from" antes de permitir o download da mensagem completa. O mecanismo MX refere-se ao servidor de troca de e-mails ou "host" que você usa para armazenar suas mensagens, como Google Workspace ou Microsoft 365 Business Premium. Por fim, o mecanismo "include" especifica que o domínio de SPF de exemplo, nomededomíniodasuaempresa.com, pode enviar e-mails da sua empresa.

Pontos importantes:

  • A declaração v=spf1 é a primeira etiqueta e deve SEMPRE aparecer no início do seu registo de SPF.
  • A declaração "a" deve corresponder ao registro "from".
  • Seu MX é o serviço de troca de e-mails que você usa.
  • Todos os domínios autorizados a enviar seus e-mails comerciais devem constar na declaração "include", incluindo os eventuais serviços de e-mail externos, como o Mailchimp, que você utilizar.
  • Inclua todos os endereços IP de onde os e-mails da sua empresa são enviados no seu mecanismo de SPF.

Como criar um registro SPF

Para obter os melhores resultados, crie a sintaxe do seu registro de SPF como arquivo de TXT antes de enviá-lo, em vez de criá-lo no painel de controle do seu servidor de DNS. Assim, você pode verificar se há erros de formatação antes de testá-lo.

Siga estas etapas para criar e implementar seu registro de SPF:

  1. Primeiro, abra o painel de controle do seu provedor de domínio.
  2. Acesse as configurações.
  3. Crie seu registro de SPF como entrada de TXT.
  4. Adicione-o às suas configurações de DNS.
  5. Teste as alterações.

Mudanças no seu registro de SPF atual podem levar até 48 horas, então seja paciente. Teste as alterações novamente após esses dois dias.

Se, por exemplo, você enviar apenas e-mails do Google Workspace, seu registro de SPF será assim:

"v=spf1 include:_spf.google.com ~all"

No entanto, se você tiver mais provedores de serviços de e-mail, sempre precisará de uma instrução "include:" separada para cada um. Em consequência disso, se você também usar o Mandrill do Mailchimp para enviar mensagens, adicione "include:mandrillapp.com" após a declaração do Google e antes do elemento "~all". Assim, seu novo SPF ficará assim:

"v=spf1 include:_spf.google.com include:mandrillapp.com ~all"

Aqui, você deve substituir "chavededomínio.exemplo.com" com o nome do domínio da sua empresa.

Proteja sua empresa com registros de SPF

Se você não tomar medidas para proteger suas comunicações, agentes mal-intencionados, como funcionários insatisfeitos ou ex-funcionários, spammers e golpistas, podem arruinar a reputação da sua empresa enviando e-mails falsos em nome dela. Com a autenticação de SPF, seus clientes e contatos podem verificar se uma mensagem veio de você.

Embora não criptografe o conteúdo da mensagem, o SPF representa a primeira linha de defesa contra spoofers. Para garantir segurança total contra ataques cibernéticos por e-mail, use também o DKIM (DomainKeys Identified Mail) e o DMARC (Domain-based Message Authentication, Reporting & Conformance).

Se você achar que criar e adicionar registros de SPF ao seu DNS é trabalhoso, confie no Mailchimp para configurar e testar sua autenticação de SPF e autenticação de domínio.

Principais conclusões

  • Registros de SPF atuam como seguranças do seu domínio de email, informando aos servidores destinatários quais origens estão autorizadas a enviar mensagens em seu nome.
  • Embora o SPF ofereça proteção básica, combiná-lo com o DKIM e o DMARC cria um sistema de segurança abrangente capaz de reduzir significativamente a falsificação de e-mails e os ataques de phishing.
  • Registros de SPF configurados corretamente melhoram a entregabilidade das mensagens, protegem a reputação da sua marca e cultivam a confiança dos destinatários ao confirmar a legitimidade dos seus e-mails.
  • Apesar dos benefícios em segurança, os registros de SPF são relativamente simples de implementar. Não passa de uma linha de código de texto que você adiciona às configurações de DNS do seu domínio.
Compartilhar este artigo