Ir para conteúdo principal

O que são registros do Sender Policy Framework? O que saber sobre o SPF

A criação de um registro SPF fornece aos destinatários de e‑mail uma ferramenta para verificar se um remetente está ou não autorizado a enviar um e‑mail em seu nome.

Uma estrutura de política de remetente (SPF) funciona como um guarda de eventos estacionado em seu lobby. Você fornece uma lista de convidados, e o guarda dá as boas-vindas àqueles com nomes na lista enquanto todos os outros esperam pela aprovação ou são rejeitados. Por exemplo, um pequeno empresário geralmente conhece clientes e fornecedores pelo nome, e você viu os logotipos, o pessoal e outros identificadores da empresa. No entanto, as trocas de e-mail não têm essas pistas visuais de legitimidade.

O vice-presidente de marketing de uma empresa de médio porte pode conhecer apenas alguns clientes e fornecedores pessoalmente. Então, em vez disso, o VP conta com uma recepcionista para rastrear chamadas e visitantes, permitindo apenas que aqueles cujas preocupações não podem ser delegadas a membros da equipe júnior falem diretamente.

Em contrapartida, o CEO ou proprietário de uma empresa internacional de importação/exportação só pode falar com alguém agendado com bastante antecedência. Além disso, qualquer pessoa autorizada a ter uma consulta também deve ter uma preocupação vital para toda a empresa que apenas o CEO pode lidar, como um cliente VIP com um contrato complicado.

Em cada uma dessas situações, as empresas devem ter alguma maneira de distinguir o remetente genuíno. Caso contrário, sua empresa pode sofrer uma perda significativa de reputação se um spammer, golpista ou bot se passar por você e obter acesso à sua lista de clientes ou servidor de e-mail. Sua estrutura de política de remetente fornece esse fator distintivo.

Saiba mais sobre SPFs, incluindo respostas para suas perguntas como "O que é registro SPF" e "Como você cria um registro SPF?", para que você possa aproveitar essa medida de segurança para sua própria empresa.

O que são registros do Sender Policy Framework?

Um registro de estrutura de política de remetente, ou SPF, é uma linha de código de computador que informa aos destinatários de e-mail que sua mensagem se originou de você, de sua empresa ou de um distribuidor de e-mail autorizado que trabalha em seu nome. Um registro SPF fornece as instruções que um destinatário de mensagem pode usar:

  • para identificar o remetente de uma mensagem,
  • para verificar se o remetente tem autoridade para enviar e-mails da sua empresa,
  • como uma possível rota de retorno para a fonte da mensagem se eles tiverem objeções ao seu uso de seus dados

Limitações do SPF: O que o SPF não pode fazer

Agora que respondemos "o que é um registro SPF?", devemos discutir o que os registros da estrutura de política do remetente não podem fazer. A autenticação SPF fornece o mínimo de segurança para suas campanhas de e-mail.

Algumas das limitações a considerar incluem:

  • O SPF não criptografa mensagens.
  • Essas estruturas não fornecem nenhum aprimoramento de privacidade.
  • Encaminhar um e-mail quebra o SPF porque o encaminhador se torna o novo remetente.
  • Um SPF não gera relatórios.
  • O SPF por si só não fornece proteção suficiente.

O que você precisa saber sobre o SPF?

O uso de registros da estrutura de política do remetente informa ao destinatário que sua mensagem não está falsificando, enviando spam ou tentando enganá-los. Toda empresa enfrenta desafios ao estabelecer confiança. Quando você aumenta a confiança por meio desse processo de verificação, diminui a resistência à sua mensagem. O uso do SPF também ajuda a melhorar a segurança cibernética para o destinatário.

Aqui estão algumas coisas importantes a serem observadas sobre SPFs:

  1. Uma estrutura de política de remetente (SPF) é uma lista de endereços IP e instruções para os provedores de serviços de Internet seguirem ao lidar com seu e-mail de saída.
  2. Seu SPF fornece uma camada de proteção que torna suas mensagens mais propensas a chegar ao destinatário pretendido.
  3. Um registro de e-mail SPF não criptografa suas mensagens.
  4. Os registros SPF aparecem nos cabeçalhos completos da mensagem.
  5. O domínio SPF listado primeiro no mecanismo "incluir" demonstra que você tomou pelo menos algumas precauções mínimas para proteger seus dados pessoais e comerciais.

SPF x DMARC x DKIM

A Internet Engineering Task Force publicou o protocolo SPF atual na RFC 7208 em abril de 2014. O objetivo era criar um consenso sobre como impedir que hackers e phishers enviassem e-mails que supostamente vêm de uma organização conhecida e confiável. Esse consenso tornou-se spf1 e, a partir desse ponto, v=spf1 tornou-se o formato padrão para a declaração inicial de cada registro SPF. No entanto, encaminhar uma mensagem invalida o SPF. Consequentemente, duas estratégias adicionais entraram em jogo: DKIM e DMARC.

O que é DKIM?

DKIM é um acrônimo para DomainKeys Identified Mail. Como o SPF, o DKIM é um registro TXT no DNS. No entanto, os registros DKIM permanecem válidos mesmo quando encaminhados. Os padrões atuais do DKIM surgiram de esforços do Yahoo! e da Cisco, que criaram seus padrões de autorização de e-mail. Pense no DKIM como o selo de cera uma vez aplicado a documentos oficiais. Esses selos de cera eram reconhecíveis; se uma mensagem chegasse com um selo ausente ou quebrado, ela não era considerada confiável.

Cada servidor de e-mail de despacho tem um DKIM de duas partes: a chave DKIM privada e uma chave pública. Cada servidor receptor acessa a metade pública dessa chave. O servidor de email de recebimento executa uma pesquisa no DNS quando você envia sua mensagem de email. Se esse servidor de e-mail encontrar sua chave DKIM pública, ele abrirá a assinatura DKIM. Se a assinatura na mensagem corresponder à assinatura que você publicou no DNS, o servidor de email de recebimento considerará essa mensagem válida. Caso contrário, essa mensagem é devolvida, o que significa que ela não chega à caixa de entrada do destinatário pretendido. Em vez disso, ele pode não ser entregue, ir para a pasta de spam ou ir para qualquer outra pasta que o usuário tenha configurado para lidar com essas mensagens.

O formato correto para registros DKIM tem esta aparência:

<selector(s=)._domainkey.domain(d=)>.   TXT v=DKIM1; p=\<public key>

Aqui está um exemplo de chave pública DKIM no formato correto: 

dk5182-3458._domainkey.mydomainexample.com. IN TXT "v=DKIM1\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC1TaNgLlSyQMNWVLNLvyY/neDgaL2oqQE8T5illKqCgDtFHc8eHVAU+nlcaGmrKmDMw9dbgiGk1ocgZ56NR4ycfUHwQhvQPMUZw0cveel/8EAGoi/UyPmqfcPibytH81NFtTMAxUeM4Op8A6iHkvAMj5qLf4YRNsTkKAV;"

O que cada parte de um registro DKIM faz?

Neste exemplo, dk5182-3458 representa o seletor (s=). O (d=) representa o domínio especificado, mydomainexample.com. A versão deve sempre aparecer como "v=DKIM1 em cada registro DKIM. O mecanismo "p" representa o código público, uma cadeia de caracteres, números e símbolos.

O que é DMARC?

DMARC significa Domain-based Message Authentication, Reporting & Conformance. O DMARC impede atividades maliciosas bloqueando mensagens de spoofers antes que elas cheguem à sua caixa de entrada. Os spoofers fingem representá-lo para coletar as informações que podem usar para roubo de identidade ou outros tipos de fraude.

Quando você usa o DMARC, você fecha a porta nessas tentativas de invasões. O DMARC usa código-fonte aberto e gratuito para uso. No entanto, seu provedor de serviços de e-mail também deve usar a proteção DMARC. O DMARC fornece uma terceira camada de proteção após o SPF e o DKIM.

O DMARC permite que você informe ao seu provedor de serviços de e-mail se deseja rejeitar ou colocar em quarentena e-mails de fontes não confiáveis ou desconhecidas com base nas informações recebidas após consultas DKIM e SPF.

Partes de registro SPF

Um registro SPF formatado corretamente é um arquivo de texto (TXT) contendo dois elementos vitais. Primeiro, o registro deve incluir a versão SPF. Em segundo lugar, o restante do registro consiste nos mecanismos necessários para verificar quais nomes de host e endereços IP estão autorizados a enviar mensagens do seu domínio.

Um exemplo de um registro SPF em uma instrução de autenticação de email pode ter esta aparência:

"v=spf1 a MX include:spf.yourbusinessdomainname.com ~all"

A instrução v=spf1 informa ao servidor de email de recebimento que esse registro TXT é um registro de estrutura de política de remetente. O mecanismo "a'' diz ao servidor para corresponder o endereço IP do remetente à ferramenta "a" do domínio "from" antes de permitir que toda a mensagem seja baixada. O mecanismo MX refere-se ao servidor de troca de e-mails ou "host" que você usa para armazenar suas mensagens de e-mail, como o Google Workspace ou o Microsoft 365 Business Premium. Finalmente, o mecanismo "include" especifica que o domínio SPF de exemplo, yourbusinessdomainname.com, tem o direito de enviar os e-mails da sua empresa.

Pontos importantes a serem lembrados:

  • A instrução v=spf1 é a primeira tag e SEMPRE deve aparecer no início do registro SPF.
  • A instrução "a" deve corresponder ao registro "from".
  • Seu MX é o serviço de troca de e-mail que você usa.
  • Cada domínio autorizado a enviar seus e-mails comerciais deve aparecer na instrução "include", incluindo quaisquer serviços de e-mail de terceiros, como o Mailchimp, que você usa.
  • Inclua todos os endereços IP de onde o e-mail da sua empresa vem no seu mecanismo SPF.

Como criar um registro SPF

Para obter melhores resultados, crie a sintaxe do registro SPF como um arquivo TXT antes de carregá-lo, em vez de criá-lo no painel do servidor DNS. Dessa forma, você pode examiná-lo em busca de erros de formato antes de testá-lo.

Siga estas etapas para criar e implementar seu registro SPF:

  1. Primeiro, abra o painel do seu provedor de domínio.
  2. Vá para Configurações.
  3. Crie seu registro SPF como uma entrada TXT.
  4. Adicione-o às suas configurações de DNS.
  5. Teste as alterações.

Quaisquer alterações no seu registro SPF existente podem levar até 48 horas, portanto, seja paciente. Em seguida, teste suas alterações novamente depois que esses dois dias se passarem.

Se você enviar apenas e-mails do Google Workspace, por exemplo, seu registro SPF terá esta aparência:

"v=spf1 include:_spf.google.com ~all"

No entanto, se você tiver provedores de serviços de e-mail adicionais, sempre precisará de uma instrução "include:" separada para cada um. Consequentemente, se você também usar o Mandrill do Mailchimp para enviar mensagens, adicione "include:mandrillapp.com" após a instrução do Google e antes do elemento ~all. Assim, seu novo SPF ficará assim:

"v=spf1 include:_spf.google.com include:mandrillapp.com ~all"

Aqui, você substituiria "domainkey.example.com" pelo nome de domínio da sua empresa.

Proteja sua empresa com registros SPF

Atores mal-intencionados, como funcionários descontentes ou ex-funcionários, spammers e golpistas podem arruinar a reputação da sua empresa enviando e-mails falsos da sua empresa se você não tomar medidas para proteger suas comunicações. A autenticação SPF oferece aos seus clientes e contatos uma maneira de verificar se uma mensagem veio de você. Embora não criptografe o conteúdo da mensagem, o SPF fornece a primeira linha de defesa contra falsificações. Para segurança total contra ataques cibernéticos via e-mail, você também deve usar DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance).

Se você achar que criar e adicionar registros SPF ao seu DNS é oneroso, você pode confiar no Mailchimp para configurar e testar sua autenticação SPF e autenticação de domínio para você.

Laptop screen showcasing 'Unlocking Advanced Email Marketing' Checklist

Receba o guia de marketing por e-mail avançado do Mailchimp

Expanda seu negócio com o conhecimento certo e estratégias para aprimorar seus e-mails, capturar a atenção do público e transformar leads em clientes fiéis.

Preencha o formulário abaixo para receber o informativo

Compartilhar este artigo