O que é filtragem SPF e como faço para implementá-la?

As pessoas são vítimas de golpes na Internet, não porque sejam extremamente crédulas, mas porque os esforços dos golpistas estão se tornando cada vez mais críveis. Agora, os cibercriminosos podem aproveitar sua reputação suada enviando e-mails que parecem vir de sua empresa.

As vítimas desse ataque de falsificação podem sofrer danos irrevogáveis à reputação ou colocar seu endereço IP na lista negra, encerrando instantaneamente todas as atividades comerciais online.

Para saber como proteger sua empresa contra essa séria ameaça, continue lendo.

O que é um registro SPF para e-mail?

Para proteger seu domínio contra e-mails falsos, você precisa ter um registro SPF em vigor.

Um registro SPF, ou registro Sender Policy Framework, é um método de autenticação de e-mail para especificar todos os servidores com permissão para enviar e-mails em seu nome. Quando um e-mail suportado por um registro SPF é enviado, o servidor do destinatário verifica se o endereço IP do remetente está autorizado a enviar e-mails com o nome de domínio exibido.

Um registro SPF é um tipo de filtro de spam que informa aos servidores de e-mail receptores que um e-mail é legítimo e não falsificado. Para que seus e-mails tenham os qualificadores anti-spam mais precisos, você deve combinar seu registro SPF com um registro DKIM e DMARC (mais sobre isso em breve).

Para obter informações mais detalhadas sobre o Sender Policy Framework, consulte o documento RFC 7208.

O que é filtragem SPF?

A filtragem SPF é o processo de garantir que todos os e-mails recebidos sejam legitimamente do domínio específico que os envia. A filtragem SPF mitiga a falsificação de endereço do remetente avaliando todos os e-mails em relação à sua política SPF.

Nem todos os servidores de e-mail têm recursos de filtragem SPF, mas é provável que essa funcionalidade se torne predominante no futuro, à medida que a ameaça de falsificação de e-mail continua a aumentar.

As campanhas de falsificação de e-mail geralmente são plataformas para ataques de phishing e essa ameaça à segurança cibernética está em uma tendência ascendente preocupante.

Como um registro SPF é usado?

Para entender como um registro SPF é usado, é importante primeiro entender a jornada de um e-mail do servidor de envio para o servidor de recebimento.

Aqui está uma análise simplificada do processo:

Passo 1: O servidor de envio envia o e-mail.

Etapa 2: o servidor de e-mail de recebimento analisa o endereço de e-mail do caminho de retorno no cabeçalho do e-mail. Quando um servidor de recebimento enfrenta um problema de entrega (como uma devolução), ele usa esse endereço de e-mail de caminho de retorno para notificar o servidor de envio sobre o problema.

Etapa 3: O servidor de e-mail de recebimento identifica o domínio dentro do domínio return-path.

Passo 4: O servidor de e-mail de recebimento acessa o registro SPF do domínio que está sendo reivindicado na comunicação por e-mail.

Passo 5: O endereço IP do e-mail enviado é comparado com a lista de endereços IP permitidos no registro SPF do domínio.

Etapa 6: o e-mail enviado passa ou falha em uma verificação SPF, dependendo se seu endereço IP está listado no registro SPF.

Esse processo está resumido no gráfico abaixo:

Como criar um registro SPF

Um registro SPF é um registro TXT de uma linha adicionado ao seu DNS ou ao Sistema de Nomes de Domínio. Consulte a lista abaixo para obter instruções sobre como acessar o registro DNS de hosts da Web populares.

• Como editar as configurações de DNS com o Squarespace
• Como editar as configurações de DNS com o Wix
• Como editar as configurações de DNS com GoDaddy
• Como editar as configurações de DNS com a Amazon Web Services
• Como editar as configurações de DNS com Dreamhost
• Como editar as configurações de DNS com o Hostgator
• Como editar as configurações de DNS do Google Domains

Aqui estão alguns exemplos de registros SPF:

• TXT @ v=spf1 ip4: 1.4.3.5 ip4: 1.3.6.9 include:third_party_example.com -all
• TXT @ "v=spf1 a include:_spf.google.com ~all"

Antes de criar um registro SPF, você deve verificar se já possui um. Use esta ferramenta online para ver quais servidores de e-mail estão atualmente autorizados a enviar e-mails em nome do seu domínio.

Para criar um registro SPF, você precisa entender como interpretar a sintaxe do registro SPF.

• TXT: especifica o tipo de registro DNS como um registro TXT
• v-spf1: Identifica o registro TXT como um registro SPF. O número no final indica a versão do registro SPF. Ou seja, "SPF versão 1"
• @: Este símbolo representa o domínio atual
• a: Refere-se a todos os domínios listados em seu registro DNS A autorizado a enviar e-mails em seu nome
• mx: O registro MX lista todos os servidores com permissão para enviar e-mails. O servidor de e-mail de recebimento verifica os registros MX em ordem de prioridade definida.
• Endereço IP: a lista de endereços IPV4 com permissão para enviar e-mails em nome do proprietário do domínio (consulte o exemplo 1 acima). Pode ser um intervalo de endereços IPV4 ou IPv6.
• Incluir: especifica os domínios de envio com permissão para enviar e-mails. O primeiro exemplo de registro SPF acima especifica o nome do domínio de terceiros que está sendo usado para enviar e-mails em nome da empresa. No segundo exemplo, todos os endereços de e-mail com o domínio "google.com" estão autorizados a enviar e-mails em nome da empresa.
• all: os registros SPF são vinculados a uma instrução "all". O prefixo "~" denota uma "falha suave". Isso significa que, se o e-mail de recebimento falhar no teste, ele ainda será aceito, mas marcado como não compatível. Um prefixo "-" denota uma falha grave que rejeita todos os e-mails recebidos que não atendem às condições especificadas.

Se você estiver usando terceiros para enviar e-mails, eles devem fornecer a documentação exclusiva do registro SPF. Aqui está um exemplo das instruções de registro SPF especificadas pelo Simple Email Service (SES) da Amazon:

"v=spf1 include:amazonses.com ~all"

Se o seu cliente de e-mail não forneceu documentação de registro SPF, aqui está um processo para especificar condições simples de filtragem SPF.

Etapa 1: listar todos os endereços IP permitidos

Comece especificando a versão do SPF à qual você está se referindo. A maioria dos registros TXT SPF é a versão 1:

v=spf1

Se você tiver uma lista de endereços IP autorizados, eles deverão seguir diretamente essa entidade de versão SPF.

Você pode especificar cada endereço IPV4 (32 bits) ou IPv6 (128 bits) ou um intervalo.:

Por exemplo:

v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 (endereços IP individuais especificados).

v=spf1ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF (intervalo de endereços IP especificado).

Etapa 2: Especificar o nome de domínio do serviço de e-mail de terceiros

Se você estiver usando um provedor de e-mail de terceiros, especifique-o após sua lista de IPs autorizados com um prefixo 'include:'.

Por exemplo:

v=spf1 ip4:1.4.3.5 ip4:1.3.6.9 include:third_party_example.com

Você pode simplesmente especificar um nome de domínio autorizado sem listar endereços IP específicos.

Por exemplo:

v=spf1 inclui:_spf.google.com

Etapa 3: especificar uma tag 'all'

Para completar seu registro SPF, você precisa especificar uma tag 'all'. A função específica da tag 'all' depende de seu prefixo. Para obter a melhor segurança, você deve especificar uma falha grave com um prefixo '-'.

Por exemplo:

v=spf1 ip4:1.4.3.5 ip4:1.3.6.9 include:third_party_example.com -all

Ou

v=spf1 inclui:_spf.google.com -all

Se o seu domínio não enviar e-mails, você poderá impedir que todos os servidores de e-mail recebidos aceitem e-mails do seu domínio com o seguinte registro SPF:

v=spf1 -all

É importante ter em mente as seguintes limitações de criação de registros SPF:

• Você está limitado a apenas 10 pesquisas
  Uma pesquisa é uma verificação de autorização. As entidades "a", "mx" e "include" constituem uma pesquisa. Você deve, portanto, garantir que o total de entradas em cada uma dessas entidades não exceda 10. Exceder esse limite pode fazer com que seu e-mail acabe na pasta de spam do destinatário.
• Você está limitado a apenas 255 caracteres
  Todo o seu registro TXT SPF não pode exceder 255 caracteres. Isso inclui todos os endereços IP especificados.

Como impedir que spammers de e-mail usem seu domínio

Para proteger melhor seu domínio contra falsificação de e-mail, você não deve confiar apenas em um único método de autenticação de e-mail.

Além de um registro SPF, você também precisa estabelecer os seguintes métodos de validação:

• DKIM
• DMARC

Essas camadas de autenticação trabalham em conjunto com seu registro SPF para criar condições poderosas de filtragem de spam. Essa fusão garantirá que seus e-mails de marketing tenham as maiores chances de não acabar na pasta de spam.

O que é DKIM?

DKIM ou Domain Key Identification Mail, incorpora uma assinatura de autenticação oculta em todos os e-mails enviados. Uma assinatura DKIM confirma aos servidores de recebimento que o e-mail é autêntico e que nenhum de seus componentes foi modificado.

A configuração do DKIM melhorará drasticamente a qualidade de todos os seus e-mails enviados.

Consulte a lista abaixo para obter instruções sobre como configurar o DKIM para clientes de e-mail populares.

• Configuração do Mailchimp DKIM
• Configuração do Hubspot DKIM
• Configuração do Marketo DKIM
• Configuração do DKIM da GetResponse
• Configuração do sendinblue DKIM

O que é DMARC?

DMAC, ou Domain-based Message Authentication Reporting and Conformance, é um protocolo que impõe o registro SPF e a autenticação DKIM.

Ao aplicar esse processo de autenticação de duas camadas, um registro DMARC garantirá que seu e-mail enviado seja da mais alta qualidade, o que lhe dará as melhores chances de não acabar na pasta de spam.

Como configurar o registro DMARC

Um registro DMARC não apenas impõe a autenticação SPF e DKIM. Com esse registro, você pode especificar a ação desejada quando um e-mail falhar na autenticação SPF e DKIM. Você pode configurar servidores de recebimento para rejeitar e-mails com falha e ativar o envio automático de relatórios de atividades para acompanhar todas as atividades suspeitas de mensagens de e-mail.

Siga estas etapas para configurar um registro DMARC comum para seu DNS.

Etapa 1: verificar se você tem um registro DMARC

Clique aqui para carregar a ferramenta de pesquisa de registros DMARC do Easy DMARC.

Digite seu domínio no campo de pesquisa e clique em "Pesquisa DMARC"

Se o seu domínio tiver um registro DMARC, ele será exibido no resultado da pesquisa.

Como você pode ver, microsoft.com tem um registro DMARC:

Se o seu site não tiver um registro DMARC, você verá um status DMARC negativo da seguinte maneira:

Etapa 2: Gerar um registro DMARC

Clique aqui para carregar o gerador de registros DMARC da Easy DMARC.

Aplique as seguintes configurações:

• Defina o tipo de política como "Rejeitar" - isso rejeitará todos os e-mails que não atenderem aos requisitos especificados de registro SPF e registro DKIM
• Insira o e-mail para o qual deseja que os relatórios de e-mail sejam enviados no campo Relatório agregado. Você pode listar vários endereços de e-mail separados por vírgula
• O "Tipo de política de subdomínio" geralmente é o mesmo que o tipo de política especificado
• Alinhamento do identificador DKIM: Relaxado
• Alinhamento do identificador SPF: Relaxado
• Porcentagem aplicada a: 100
• Intervalo de relatório: 86400
• Status do relatório de falhas: 1 - Isso enviará um relatório quando um e-mail não passar na autenticação DKIM ou SPF.

Quando essas configurações forem aplicadas, clique em "Gerar registro DMARC".

Etapa 3: insira o registro DMARC no DNS do seu domínio.

Copie o registro DMARC gerado e insira-o como um registro TXT no DNS do domínio. O processo de inserção de um registro DMARC em seu DNS é o mesmo que inserir um registro SPF.