O Sender Policy Framework (SPF) é um protocolo de segurança que verifica a legitimidade de um remetente de e-mail. Ele funciona como um passaporte para seus e-mails, verificando a identidade do remetente e se o e-mail vem de uma fonte autorizada.

Um SPF contribui para a segurança e a confidencialidade das comunicações por e-mail, confirmando que todos os e-mails não são de impostores. No entanto, um e-mail pode falhar na validação do SPF.

Quando um SPF falha para IP, o e-mail não é de uma fonte autorizada. Isso é comparado a alguém que tenta entrar em um país com um passaporte falso.

Isso também significa um e-mail de bandeira vermelha, seja um e-mail malicioso ou um ataque de phishing.

Então, por que os e-mails falham na validação do SPF? Quais são suas consequências? Leia este artigo para saber mais sobre o SPF, as falhas do SPF, a solução de problemas básicos e avançados e como evitá-los.

O que é o SPF ou Sender Policy Framework?

Um SPF é um dos três protocolos de segurança de e-mail (SPF, DKIM e DMARC) que abordam um aspecto um pouco diferente do quebra-cabeça de e-mail para evitar spam e phishing de e-mail.

Os três trabalham juntos por meio de ferramentas de criptografia e autenticação padrão para autenticar e-mails de um domínio.

O SPF, em particular, é um protocolo de autenticação de e-mail usado por servidores de e-mail de destinatários para verificar a autenticidade de um e-mail, verificando se o remetente corresponde ao seu nome de domínio no campo “De”. Para isso, o SPF lista os aplicativos e servidores que podem enviar e-mails de um domínio.

Pessoa usando um laptop com uma notificação de e-mail na telaCanva/ anyaberkut

Como o FPS funciona

Vamos supor:

– O domínio da sua empresa é onlinesportshop.com, e você envia e-mails para seus clientes e funcionários em support@onlinesportshop.com;

– Seu servidor de entrega de e-mail – um software que envia e recebe e-mails e um sistema de computador equivalente ao carteiro do seu bairro – usa um endereço IP 192.168.0.1;

– Um spammer usa um servidor fraudulento com endereço IP 1.2.3.4 para enviar spam ou e-mails falsos. Esses e-mails podem conter informações falsas, links mal-intencionados, inverdades sutis ou mentiras diretas para fazer com que o remetente pareça comprometido por malware ou inseguro.

Esses e-mails podem afetar negativamente sua reputação como suposto remetente e prejudicar suas perspectivas sociais e seus negócios como um todo.

– Seu servidor de entrega de e-mail se conecta ao servidor de seus destinatários. O servidor de e-mail que atende à caixa de correio do destinatário extrairá o seu nome de domínio(onlinesportshop.com) como o remetente.

– O servidor de e-mail do destinatário também verificará se o endereço IP do host de conexão está listado no registro SPF da onlinesportshop.com. Esse registro lista todos os domínios e endereços IP autorizados a enviar e-mails a partir desse domínio.

– A verificação SPF será aprovada se o endereço IP estiver na lista.

– Seu registro SPF pode ter a seguinte aparência: v=spf1 ip4:192.168.0.1 -all

– Isso significa que somente os e-mails de 192.168.0.1 são aprovados na verificação SPF, e todos os outros endereços IP falharão.

O DKIM e o SPF se complementam e estão inter-relacionados por causa de seus recursos de proteção na segurança de e-mail. Talvez você tenha interesse em ler DKIM vs. SPF – Qual é a diferença?

Pessoa franzindo a testa enquanto olha para a tela do telefone, encontrando uma falha de FPSCanva/ Prostock-studio

O que é uma falha de SPF e por que esse problema é importante?

Um erro “SPF Authentication Fail” significa que o host de envio não está autorizado a usar o domínio. Isso é informalmente chamado de “falha grave”.

Uma falha de SPF pode ser causada por inconsistências na configuração dos registros SPF ou por exceder o limite de dez pesquisas.

Outros motivos que levam a uma falha do SPF incluem:

  • Há vários registros SPF no seu registro DNS para o mesmo domínio.
  • Os endereços IP não estão listados no registro SPF ou não foram atualizados.
  • O Mail Transfer Agent (MTA) receptor não consegue encontrar o registro SPF publicado no DNS.
  • O registro SPF achatado excede o limite de 255 caracteres SPF.
  • A pesquisa de vazios do SPF excede dois (limite permitido).
  • O registro está sintaticamente incorreto.

Quando ocorrer algum desses motivos de falha do SPF, os resultados da autenticação do SPF serão transmitidos ao protocolo DMARC ( Domain-based Message Authentication, Reporting & Conformance ). DMARC é um protocolo de autenticação de e-mail que especifica como autenticar e-mails usando DKIM ou SPF.

Depois de passar pelo DMARC, a autenticação resultará em um SPF None, Neutral, Soft Fail, Hard Fail, Temperror (erro temporário) ou Permerror (erro permanente). Explicaremos cada uma delas em detalhes a seguir.

Use o testador de spam gratuito da InboxAlly para evitar falhas de SPF. Ele mostrará elementos do seu e-mail que um filtro de spam poderia interpretar como spam e validará suas campanhas antes de enviá-las.

Variação do erro de falha do SPF: A diferença entre SPF Soft Fail e Hard Fail

Uma falha grave de SPF ocorre quando um MTA receptor descarta ou bloqueia um e-mail da fonte de envio não listada no seu registro SPF.

Exemplo de falha grave de SPF

v=spf1 ip4 132.45.55.65 -all

O sinal de hífen na frente de “all” nesse exemplo indica que todos os remetentes não listados nesse registro SPF são tratados como hard fail ou não aprovados. Portanto, os e-mails desses remetentes não aprovados devem ser excluídos.

Por outro lado, uma falha suave de SPF ocorre quando o MTA não aceita e-mails não autorizados. No entanto, os e-mails com endereços IP não incluídos no registro SPF não serão bloqueados automaticamente, mas marcados como spam ou suspeitos.

Exemplo de falha suave de SPF

v=spf1 include:spf.protection.outlook.com ~all

Nesse registro SPF válido, o hífen na frente de “all” indica que os servidores não listados no registro SPF são tratados como “soft fail”.

Tela do computador exibindo uma notificação de falha na entrega de e-mailCanva/ photobuay

Outros casos em que a autenticação SPF falha

SPF Nenhum

Esse qualificador significa que a verificação de autenticação SPF falhou e também é tratada como uma falha no DMARC. Isso geralmente significa que um domínio não contém um registro SPF.

FPS Neutro

O registro SPF não indica se o endereço IP é autorizado. Dependendo de como o DMARC está configurado no servidor, ele pode ser interpretado como aprovado ou reprovado.

Erro temporário do SPF

Também conhecido como SPF temperror, esse qualificador na falha de autenticação SPF significa um erro transitório, como um tempo limite do DNS durante a verificação. Isso faz com que o servidor de e-mail falhe temporariamente.

SPF Erro permanente

A maioria das falhas de autenticação do SPF ocorre devido ao SPF Permerror. Isso ocorre quando o MTA receptor torna o registro SPF inválido durante as pesquisas de DNS.

O erro permanente do SPF geralmente ocorre porque o limite de pesquisa excede dez ou o registro SPF está sintaticamente incorreto. Leia Limite de FPS: não é tão difícil quanto você pensa para saber mais.

Falhas no registro SPF e seu impacto

Uma falha de SPF pode afetar seus esforços de marketing por e-mail.

Isso pode significar para os servidores destinatários que seus e-mails são de uma fonte não autorizada e podem ser maliciosos ou um ataque de phishing.

Solução de problemas básicos para SPF

Faça a seguinte solução básica de problemas para corrigir a falha do SPF:

  • Verifique se o SPF está configurado corretamente e se as mensagens enviadas são aprovadas na verificação de autenticação do SPF.
  • Crie uma lista de servidores de e-mail autorizados a enviar e-mails em seu nome ou atualize seu registro SPF com uma lista de autorização de e-mail adequada. Em seguida, use o sinalizador de falha grave “-all”.
  • Tenha um registro SPF defensivo, mesmo para um domínio da sua organização que não envia e-mails. Partes mal-intencionadas podem imitar um domínio para enviar e-mails mal-intencionados ou falsos.
  • Ative uma política DMARC e defina-a para rejeitar ou colocar em quarentena os e-mails que forem provenientes de fontes não autorizadas.

Ícones de envelope de e-mailCanva/ Getty Images Assinaturas

Solução de problemas avançada para SPF

Se as etapas básicas de solução de problemas não resolverem o problema, tente estas etapas:

  • Verifique os resultados da autenticação SPF nos cabeçalhos de suas mensagens. Normalmente, você encontrará essa parte da mensagem quando ela começar com o texto Authentication-Results. A nota ao lado dela é a entrada SPF.
  • O conteúdo do cabeçalho da mensagem pode indicar que não há entrada SPF; ele inclui o registro de melhor estimativa, o resultado é erro temporário ou erro permanente, ou o resultado SPF é neutro, softfail ou hardfail.
  • Você também pode verificar se o seu registro de texto SPF suporta até 10 pesquisas.
  • Obtenha informações detalhadas sobre a autenticação e o envio de e-mail para seu domínio. Você pode usar as ferramentas de relatório do Google Workspace:
    • Relatório de autenticação
    • Ferramentas para postmaster
    • Ferramentas de investigação de segurança e
    • Pesquisa de registros de e-mail

Como evitar falhas no FPS

Verifique se o seu registro SPF lista todos os aplicativos e ferramentas que você usa para enviar e-mails do seu domínio.

Se você receber uma notificação de falha de SPF, descubra a origem do e-mail e resolva o problema. Além disso, você pode usar ferramentas para monitorar seu SPF e outros protocolos de autenticação de e-mail.

Você também pode usar o
InboxAlly
uma ferramenta exclusiva de capacidade de entrega, para auditar e testar a capacidade de entrega de seus e-mails. Essa ferramenta ensina os provedores de caixa de entrada, como o Yahoo Mail e o Gmail, a entender que os e-mails provenientes de seus domínios são importantes e devem chegar à caixa de entrada principal desde o início.