Como configurar SPF?

Como configurar SPF?

SPF ou Sender Policy Framework é um método de anunciar que servidor pode enviar email para um domínio específico. Junto a publicação do servidor que é permitido, pode ser anunciado a política de envio, ou seja, sugerir que qualquer mensagem vindo de outro servidor é inválida e eventualmente descartar ou pelo menos marcar como suspeita.

SPF funciona de forma colaborativa entre o sistema de envio e de recebimento, o dono do domínio anuncia que somente o servidor X é permitido como origem e o dono do domínio destinatário decide como tratar essa informação. Ele pode configurar o sistema para rejeitar, descartar ou marcar a mensagem, ou inclusive ignorar a sugestão.

Muitos provedores de serviço de Internet ainda não usam SPF, uma falha que facilita o transito de mensagens ilícitas, SPAM, inclusive de mensagens com tentativas de invasão ou roubo de senhas. Exemplo fatal, um sujeito monta uma mensagem de email com aparência de um banco, falsifica o endereço remetente, e, no texto pede ao usuário quem recebe repetir a senha de acesso a conta dele. Por serem muito bem feitas essas mensagens, os mais ingênuos estão caindo, no dia seguinte encontram a conta vazio. Com devida proteção no provedor de serviço a mensagem falsa eventualmente não chega na caixa postal do usuário. Veja no texto a seguir como configurar corretamente o SPF para o seu domínio.

Para poder configurar SPF para seu domínio precisa acesso a configuração DNS. O SPF record, ou entrada SPF, é um linha com identificação texto (TXT), ou como SPF. Como a identificação SPF é nova, sugero usar duas entradas iguais, uma como TXT e outra como SPF. O texto deve começar com v=spf1, não existe outra versão (v) no momento. Exemplo básico da sintaxe é:

IN	TXT
IN	SPF	"v=spf1 configs ... política"

A política determinante sempre fica no final da linha e a palavra chave é all, que expressa aplicar essa política a tudo que não consta nas configs anteriores. Define-se a política com os prefixos +,?,~ ou - explicados na seguinte tabela:

+	sugestão para aceitar
?	sem sugestão, neutra
~	sugestão de falha temporária, aceitar mas marcar
-	sugestão de falha, rejeitar ou descartar

Usando então estes prefixos junto com a palavra all no final da linha significa por exemplo:

+all	aceitar tudo que não foi definido em configs antes
~all	marcar tudo que não foi definido em configs antes
-all	rejeitar ou descartar tudo que não foi definido em configs

Para realmente proteger os seus usuários poderia usar SPF no sentido de permitir o servidor que é permitido e no final sugerir a rejeição de todas as outras origens, como no exemplo:

IN	TXT	"v=spf1 permitidos -all"
IN	SPF	"v=spf1 permitidos -all"

Com este método seu servidor de email checa cada mensagem que chega descarta cada mensagem que diz de ser de seu domínio ( ...@seudominio.com.br), porém vindo de outro servidor. O mesmo e desejado é que pode ocorrer em qualquer outro servidor de email no mundo, ou seja, aceita email ...@seudominio.com.br somente quando enviado a partir do seu servidor identificado.

As configurações também são simples e existem as palavras chaves: a,mx,ptr,ip4,ip6,exists,include e redirects explicados a seguir:

a	entrada identificador no DNS
mx	entrada mx (mailtransfer) no DNS
ptr	entrada dns reverso
ip4	IP ou rede em formatação IPv4
ip6	IP ou rede em formatação IPv6
exists	verifica existência do domínio
include	pode ser definido outro domínio adicional
redirects	usar SPF de outro domínio

As primeiras quatro chaves são os mais comuns, especialmente a,mx e ip4 está sendo usado e sem dúvida os mais importantes. As outras definições são mais complexas para situações muito específicos, quem precisar deles precisa estudar os documentos SPF originais para saber se realmente são necessárias.

Os prefixos explicados podem ser usados junto a cada palavra chave, por exemplo +mx permite todos os servidores MX do domínio ou -MX rejeitar, sem prefixo assume-se permissão, portanto não necessário adicionar o prefixo.

Uma entrada SPF fácil, prática e efetiva seria identificar e permitir o servidor MX desse domínio. O servidor deve estar configurado no DNS com identificador MX:

v=spf1 mx -all

orienta aceitar email do ou dos servidores MX e rejeitar mensagens de qualquer outra origem. Caso seu domínio de internet não possui servidor de email própio e está hospedado em servidor de terceiros pode identificar o domínio:

v=spf1 mx:outro_dominio.com.br -all

que orienta aceitar mensagens do seu domínio vindo do servidor MX de outro_dominio.com.br e rejeitar quando de qualquer outro.

Essa política SPF explicado até agora deveria ser suficiente e efetivo para qualquer domínio que tem usuários usando o serviço e oferece uma boa proteção.

Caso o seu domínio define uma série de máquinas e cada uma envia email, tipo servidores WEB pode usar mais ou outra identificação. Por exemplo pode usar a, ptr ou ip4 como neste exemplo:

v=spf1 a -all
v=spf1 a:outro_dominio.com.br -all
v=spf1 ptr -all
v=spf1 ptr:outro_dominio.com.br -all
v=spf1 ip4:200.10.20.30 -all
v=spf1 ip4:200.10.20.0/29 -all

A primeira opção permite recebimento de email de qualquer máquina que possui entrada com identificador A no DNS e rejeitar qualquer outra, ou a:outro_dominio.com.br permite todas as máquinas de outro_dominio.com.br.

Usando a palavra chave ip4 ou ip6 pode definir qualquer IP ou Rede IP como permitido para este domínio, independente da configuração DNS. Essa combinação pode ser interessante para empresas de hospedagem de domínios, para ficar despreocupado com a edição específica de cada DNS, basta manter uma entrada genérica assim em cada domínio.

As palavras chaves podem ser usados combinados, apenas manter a sequencia na sintaxe. Veja alguns exemplos:

v=spf1 a mx ip4:200.10.20.30 -all

Com essa linha permite que todos as máquinas com entrada A no DNS estão permitidos, todas as entradas MX e adicional a máquina 200.10.20.30, mensagens vindo de qualquer outra são ilícitas.

Verifique bem a sua necessidade e sua realidade, o uso de SPF pode ser positivo mas com incorreta configuração pode ou abrir brechas ou impedir o envio de email. Veja no final algumas sugestões típicas:

Provedor de Acesso Internet

v=spf1 mx -all

Permite o servidor de email (MX) e nada mais

Provedor de Acesso Internet com servidores WWW

v=spf1 a:200.10.20.10 mx -all
ou
v=spf1 ip4:200.10.20.o/29 mx -all

Permite o servidor 200.10.20.10 ou a rede 200.10.20.0/29 e o servidor de email (MX) e nada mais

Provedor de Serviços Internet

v=spf1 a mx -all

Permite os servidor com entrada identificador A no DNS, assim como o MX do domínio e nada mais

Dono de um domínio hospedado de um empresa

v=spf1 ip4:200.10.20.30 -all
ou
v=spf1 a:empr_hospedagem.com.br -all
ou
v=spf1 mx:empre_hospedagem.com.br -all

Na primeira linha permite o IP 200.10.20.30, provavelmente o servidor de email da empresa de hospedagem. Na segunda permite todas as máquinas da empresa de hospedagem com entrada A no DNS e na terceira permite somente o servidor de email MX da empresa de hospedagem.

Usando SPF corretamente obtem um ótimo resultado com a sua participação no combate anti-spam e todos os internautas vão agradecer sua força. Caso tiver dúvidas entre em contato, eventualmente conseguimos ajudar.

Fonte: InfoMatik
http://www.matik.com.br/content/view/57/9/