Configure o registro SPF em seu domínio e se previna de fraudes

O que é SPF?

SPF é a sigla para “Sender Policy Framework” ou, em português, “Estrutura de Politicas de Remetente”.

Pra que serve o SPF?

Serve basicamente para dizer ao servidores na internet quais IPs/Servidores tem autorização de enviar e-mails em nome do domínio do remetente utilizar para envio.

Exemplo:
Em meu servidor de DNS tem o registro SPF configurado especificando que somente o IP 192.168.0.1 (somente um exemplo) tem autorização de enviar e-mails em nome de “ademirdiniz.com.br”, qualquer outro, pode ser considerado fraude.

Com o registro SPF configurado reduz o risco de ‘spammers’ e mal intencionados enviem mensagens para outros tentando se passar por você ou sua empresa, por exemplo. Ela serve para combater os e-mails que, provavelmente, você recebe alegando que é do banco e que você tem que fazer uma atualização de segurança, blá, blá blá.

Como configurar?

Sua configuração é bem simples e rápida.

Basta acessar a zona de DNS de seu domínio e criar uma entrada do tipo TXT com o conteúdo da entrada: v=spf1 aqui são definidos os IPs/Servidores autorizados -all

Abaixo estão os prefixos possíveis:

  • – Fail
    Significa que é para rejeitar qualquer mensagem que seja de um servidor/IP não autorizado no registro SPF.
  • ~ SoftFail
    Muito parecido com o primeiro, mas pode existir exceções, ou seja, é como se não tivesse certeza que é para rejeitar qualquer um que não esteja especificado no registro SPF.
  • ? Neutral
    Nesse caso o registro é neutro e a decisão de rejeição é o servidor de destino. Se o servidor/IP de origem não estiver especificado no registro SPF o servidor de destino pode rejeitar, se quiser.
  • + Pass
    Significa, como o próprio nome e símbolo já dizem, passa. Pode aceitar a mensagem de qualquer servidor/IP que eu deixo. Opção não aconselhada, pois não é o propósito da tecnologia, não acha?

Tá, sou leigo e como eu crio minha regra SPF?

Simples, no site da própria tecnologia tem um wizard para que você crie sua regra SPF.

www.openspf.org

Acesse ele, insira o endereço de seu domínio no lugar de “example.com” e clique em GO, depois disso, siga os passos e pronto, copie o que ele te deu de opção, acesse o servidor de DNS de seu domínio, crie uma nova entrada do tipo TXT e coloque o que copiou como conteúdo da entrada. Simples assim.

Veja como é o registro SPF do domínio openspf.org. O seu vai ficar parecido.
v=spf1 ip4:76.79.20.184/29 ip4:76.79.58.168/29 a mx a:mailout00.controlledmail.com. -all

Quanto tempo demora pra fazer funcionar?

A alteração é feita rapidamente, basta criar a entrada conforme disse acima e dar um OK, mas qualquer alteração no servidor de DNS de um domínio tem um tempo para propagação. Esse tempo varia de acordo com as configurações do mesmo, que são definidas pelas empresas de hospedagens, normalmente. Então, consulte seu host e veja o tempo médio para propagar a alteração.

Por experiência, demora em torno de 20 minutos para propagar a alteração, mas como disse, pode variar, ok?

Bom, essas informações são as mais importantes para você implementar mais esta tecnologia a seus envios de e-mail.

Se tiver alguma dúvida ou precise de mais informações, consulte os sites abaixo ou entre em contato comigo ou melhor, entre no meu FormSpring e faça sua pergunta, tudo bem?

www.openspf.org (inglês)
www.antispam.br/admin/spf (português)

Avalie este artigo:
Configure o registro SPF em seu domínio e se previna de fraudes
5 (100%) 4 votos
ATUALIZAÇÕES GRÁTIS
Faça como os 12,610 leitores. Cadastre-se grátis!

Gostou? Compartilhe:

Ademir Diniz

Analista de Sistemas formado pelo ISES, especialista em E-mail Marketing e criador e mantenedor do blog sobre e-mail marketing www.EmailMarketing.eti.br

28 Comentários

  1. Fabio Moura disse:

    Bom dia,
    Se eu colocar dois links para contingencia, tipo, se ficar fora um link, o exchange envia e receber por outro, vou precisar de dois arquivos spf configurados em meu DNS?

    • Ademir Diniz disse:

      Olá, Fabio.

      A configuração do SPF, DKIM, DMARC etc. deve ser realizada no servidor de DNS do domínio que irá utilizar como remetente, ou seja, é independente do servidor de envio.
      Você pode enviar através de qualquer servidor SMTP com um único domínio como remetente e para isso precisará configurar o SPF e DKIM.

      Abraço e sucesso

      • Fabio Moura disse:

        Entendi, sabe me informar se consigo colocar meus dois ips publicos em um spf? é possivel?

        • Ademir Diniz disse:

          Sim.

          Você pode colocar até 10 entradas em sua configuração de SPF. Este é um limite padrão definido pela política SPF. Algumas empresas colocam até mais, porém, o padrão é no máximo 10.

          Exemplo: v=spf1 mx ip4:192.168.1.1 ip4:192.168.1.2 -all

          Abraços

  2. Gustavo disse:

    Muito obrigado! Eu acabei corrigindo depois de ver uma resposta que você colocou aqui… meu dominio consta na lista de blacklist… o que posso fazeR?

    • Ademir Diniz disse:

      Neste caso, Gustavo, terá que identificar em quais blacklists seu domínio está e entrar em contato com eles solicitando a remoção.

      Com o link abaixo conseguirá verificar as principais BLs do mercado:

      http://multirbl.valli.org/lookup/grupoautomec.com.br.html

      Depois, basta acessar o site e solicitar a remoção.

      Não existe um padrão. Cada BL possui seu próprio sistema de remoção. Algumas a remoção é automática, quando não é identificada mais a prática de spam.

      Abraço e boa sorte!

  3. Gustavo disse:

    Bom dia,

    Você poderia verificar o meu por favor?

    Eu tenho essas 3 empresas mandando email para mim, RDStation, Akna e Penso….

    mas nao sei como configurar…

    meu domínio é grupoautomec.com.br

    • Ademir Diniz disse:

      Olá, Gustavo.

      Consultei seu registro SPF e parece que estas ferramentas já estão incluídas no mesmo. Veja:

      v=spf1 include:_spf.rdstation.com.br include:_pensomail.com.br include:_spf.aknamail.com.br ~all

      Agora, é importante verificar se estes includes são os corretos. Para isso, você precisa entrar em contato com o suporte das empresas e confirmar.

      Caso não queira fazer isso, você pode usar a ferramenta abaixo para fazer envios de teste e ver se a autenticação está correta:

      https://www.mail-tester.com/

      Seu funcionamento é simples. Acesse o endereço acima, copie o e-mail informado e envie uma mensagem à ele. Aguarde alguns minutos e clique no botão para verificar a pontuação. No relatório apresentado, um dos itens será a autenticação do domínio de remetente. Ele vai informar se o servidor é autorizado ou não. Não tendo erros, significa que está tudo certo.

      Abraço e sucesso!

  4. Marcos Aurélio disse:

    Bom dia Ademir, estamos enfrentando problemas com um de nossos domínios após a alteração dos IPs dos MX e do SPF, o domínio é o enfam.jus.br, no nosso DNS temos uma entrada SPF e outra TXT, devemos usar somente a TXT ? Nossa configuração está assim Registro SPF: v=spf1 ip4:186.215.82.250 ip4:189.125.176.250 mx -all ; Mas alguns provedores estão negando com a mensagem a seguir Diagnostic-Code: smtp; 550 5.7.1 Client host rejected: cannot find your hostname, [186.215.82.200] …. mais esse IP aí é o antigo de final 200 , sendo que agora pra esse domínio usamos o de final 250.

    • Ademir Diniz disse:

      Olá, Marcos.

      O registro SPF e os registros MX de seu domínio estão corretos. Atualmente eles conferem para o IPv4: 186.215.82.250, como disse.

      O erro que recebeu, pode ter sido por causa de cache no servidor de destino. Toda e qualquer alteração realizada em um servidor de DNS possui um prazo para propagação para todos os sites na internet. Nos servidores de DNS mais parrudos, este tempo é baixo, porém, ele depende de configurações de definições da empresa responsável pelo servidor.

      Geralmente, em até 24 horas, as alterações são propagadas para toda a internet. O que pode ter ocorrido é que este servidor de destino não atualizou seu cache e deu erro.

      Envie um e-mail para ademirdiniz[arroba]ademirdiniz.com.br pra eu ver o cabeçalho do disparo e ver se está chegando corretamente configurado o SPF e o IP de origem.

      Abraço e sucesso!
      Ademir Diniz

  5. Fabio disse:

    Faz mais de 1 mes que abri uma loja online http://www.regatasfitness.com.br/ e ate agora não aparece no google, será que leva mais tempo para aparecer ou será que é uma falha no meu site.
    http://www.regatasfitness.com.br/

  6. Fabio disse:

    Muito bom o artigo, mas não entendi muito bem. Diz para acessar o site http://www.openspf.org e depois insirir o endereço do domínio no lugar de “example.com”. Mas onde insere o endereço? A página não tem espaço para digitar a não ser um campo de pesquisa. Seria nisso?

    • Ademir Diniz disse:

      Olá, Fabio.

      Você deseja criar uma regra SPF para seu servidor de e-mail?

      A regra abaixo serve como padrão para muitos casos.

      v=spf1 a mx ~all

      Significa que ela está autorizando envios através do IP do servidor de hospedagem dos IPs dos servidores de e-mail (MX).

      De toda forma, no link abaixo você conseguirá gerar uma regra mais completa:
      http://www.kitterman.com/spf/validate.html

      Caso tenha dúvidas, deixe seu comentário aí.

      Abraço e sucesso!

    • Ademir Diniz disse:

      Olá, Hedley. Tudo bem?

      Simples. Basta acessar o servidor de DNS do seu domínio e adicionar uma nova entrada do tipo TXT com as configurações do SPF.

      A configuração mais simples e padrão é esta: v=spf1 a mx -all

      Nesta configuração você está permitindo envios através dos IPs do MX (servidores de e-mail do domínio) e do IP principal da hospedagem.

      Você pode adicionar outras entradas e ir incrementando e ajustando. Vamos super que você use o Google Apps (servidores de envio de e-mail da Google). O registro TXT ficaria assim: v=spf1 a mx include:_spf.google.com -all

      Quando fizer, me avisa e eu dou uma olhadinha.

      Se tiver dúvidas, pode me procurar.

      Abraço e boa sorte.
      Ademir Diniz

  7. Bruno disse:

    Ademir, mas esse ele so faz a consulta com o dig, nao tem como registar o spf, sera que é problema no site msm? porque ate hoje ainda esta com o mesmo problema.

    • Ademir Diniz disse:

      Boa tarde Bruno, agora o problema está em seu site, pois o mesmo está fora do ar.
      Consultando com outras ferramentas diz que não foi possível encontrar o servidor. Verifica aí se não saiu do ar o servidor de DNS.

      Abraço

  8. Ademir Diniz disse:

    Bruno, o problema está no site old.openspf.org e não de seu site. rs
    Use outro serviço, como, http://tools.bevhost.com/cgi-bin/dnslookup?data=motobelmotos.com.br.

    Abraço

  9. Bruno disse:

    deu mesmo erro, aparentemente esta ok minha ns.

  10. Bruno disse:

    estou tentando colocar o dominio motobelmotos.com.br, ja configurei aparentemente esta correto, porem quando vou no old.openspf.org , me retorna o erro Invalid Url

    o meu esta assim
    “v=spf1 +mx -all”

  11. Ademir Diniz disse:

    Fernando… eu verifiquei o seu domínio http://www.ozni.com.br/ e está errado.
    Existem duas entradas para o SPF, quando deveria ser apenas uma.

    Está assim:
    “v=spf1 include:spf.whservidor.com ?all”
    “v=spf1 include:aspmx.googlemail.com ~all”

    Deveria ter apenas uma, assim: “v=spf1 include:aspmx.googlemail.com include:spf.whservidor.com ~all” ou com o outro prefixo ?all.

    Corrija ele.

    Abraço

  12. Fernando disse:

    Muito boa dica, configuramos o nosso dominio

  13. Anonymous disse:

    Nossa, muito bom o conteúdo, continue postando!

Deixe seu comentário!