Sender Policy Framework (SPF): uma camada de proteção na infraestrutura de e-mail
Publicados: 2020-03-04Você já teve alguém (de brincadeira ou maliciosamente) pegando seu telefone e mandando uma mensagem para alguém fingindo ser você? Não se sente muito bem, não é? Mesmo depois de esclarecer a verdade com o destinatário, ele provavelmente ficará cauteloso com todos os seus textos no futuro. E você provavelmente terá muito mais cuidado com quem empresta seu telefone. A confiança foi quebrada.
Um cenário semelhante é possível no mundo do e-mail, e os aspirantes a phishers não precisam de seu nome de usuário e senha para se passar por sua empresa. Assustador, certo?
Felizmente, conhecemos um truque simples e não tão secreto para proteger a reputação da sua marca. Chama-se Sender Policy Framework (SPF) e é um salva-vidas de reputação de e-mail.
Quando o e-mail é enviado de um servidor para outro, o protocolo SMTP (Simple Mail Transfer Protocol) é usado para enviar uma mensagem do remetente ao destinatário. Como um serviço SMTP, o Twilio SendGrid facilita esse processo.
Uma fraqueza de segurança na infraestrutura de e-mail é a capacidade de qualquer remetente ou host de se identificar, e seu e-mail, como qualquer domínio que eles quiserem (mais ou menos como as pessoas criaram TONELADAS de contas de Donald Trump no Twitter). Isso torna difícil para os receptores confiarem que uma mensagem é realmente de quem ela diz ser. Também deixa os remetentes desconfortáveis sabendo que qualquer pessoa pode enviar e-mails de seu domínio e potencialmente prejudicar a reputação de sua marca.
Os destinatários perdem a confiança na autenticidade do e-mail e os remetentes são impostores paranóicos que estão se passando por sua marca – não é bom para ninguém! Parte da solução é o registro SPF armazenado em um registro txt no DNS. Neste artigo, vamos explorar todas as coisas do SPF - desde o que é descobrir erros com o seu próprio, estamos cobrindo tudo.
O que é um registro SPF?
SPF significa Sender Policy Framework. É um método de autenticação de email que ajuda a identificar os servidores de email que têm permissão para enviar emails de um domínio específico. Usando esse protocolo de validação, os ISPs podem determinar quando spoofers e phishers estão tentando forjar emails do seu domínio para enviar emails maliciosos para seus usuários.
Com o SPF, os destinatários podem ter certeza de que as mensagens de e-mail que recebem vêm de quem eles estão esperando. E os remetentes podem ficar tranquilos sabendo que os phishers não estão spoofing de e-mail ou phishing seu público-alvo de sua marca.
Mais tecnicamente, um registro SPF é uma pequena linha de texto que o administrador de um domínio adiciona ao seu registro txt. O registro txt é armazenado no DNS (sistema de nomes de domínio) junto com seus registros A, PTR e MX. Um registro SPF se parece com isso:
“v=spf1 ip4:12.34.56.78 include:example.com -all”
Como funciona o FPS
A linha de texto acima é usada para informar ao servidor SMTP receptor quais hosts têm permissão para enviar mensagens de um determinado domínio.
O registro SPF geralmente é verificado muito cedo na conversa SMTP, bem antes de o corpo da mensagem ser transmitido. Quando é feita uma tentativa de enviar uma mensagem, uma conexão TCP é aberta entre o remetente e o servidor de recebimento.
Uma vez que a conexão é estabelecida, um comando HELO é emitido, que essencialmente informa ao servidor receptor qual domínio está tentando enviar email. Isso é seguido por um comando MAIL FROM que informa ao servidor de recebimento de qual endereço de e-mail a mensagem está vindo. O domínio encontrado no comando MAIL FROM (também conhecido como envelope from e return path) é o domínio usado para a verificação do registro SPF.
Então, suponha que uma mensagem tenha sido recebida e o endereço MAIL FROM seja [email protected]. O servidor de recebimento verificará os registros DNS públicos de example.com e procurará um registro TXT que comece com v=spf1. Se não houver registro TXT que comece com v=spf1, a autenticação será aprovada. Se houver mais de um registro TXT com v=spf1, pode ocorrer um erro.
Suponha que um seja encontrado e se pareça com o nosso exemplo anterior:
“v=spf1 ip4:12.34.56.78 include:example.com -all”
O servidor de recebimento agora verificará se o endereço IP do cliente SMTP que está tentando enviar a mensagem está incluído no registro SPF. Se o endereço IP estiver listado, a mensagem passará pela autenticação SPF.
O âmago da questão: detalhando cada pedaço do registro SPF
Um registro SPF é composto de vários mecanismos, incluindo:
INCLUIR
Sempre seguido por um nome de domínio. Quando o servidor de recebimento encontra um mecanismo de inclusão, o registro SPF desse domínio é verificado. Se o IP dos remetentes aparecer nesse registro, o email é autenticado e a verificação SPF termina. Se não for encontrado, a verificação do SPF passa para o próximo mecanismo.
UMA
Também seguido por um nome de domínio. No entanto, neste caso, o SPF simplesmente verifica os endereços IP associados a esse domínio. Se corresponder ao IP do remetente, ele será aprovado e a verificação do SPF será interrompida. Caso contrário, ele passa para o próximo mecanismo.
MX
Semelhante a “A”. É sempre seguido por um nome de domínio. Se o domínio listado resolver para o endereço IP do cliente de envio, a autenticação é aprovada e a verificação SPF é feita. Caso contrário, ele passa para o próximo mecanismo.
IP4 e IP6
Sempre seguido por um endereço IP específico ou intervalo CIDR. Se o IP do cliente de envio estiver listado após qualquer mecanismo IP4 ou IP6, a autenticação será aprovada e a verificação do SPF será feita. Caso contrário, ele passa para o próximo mecanismo.
PTR
Nunca deve ser incluído nos registros SPF. Por alguns motivos técnicos, eles são propensos a erros e custam muita memória e largura de banda para serem resolvidos pelos servidores de recebimento. Alguns servidores falharão em uma autenticação SPF com base na presença de um mecanismo PTR.
REDIRECIONAR
Embora tecnicamente seja um modificador, não um mecanismo, isso permite que o administrador de um domínio aponte um domínio para o registro SPF de outro domínio. Se a função REDIRECT for usada, nenhum outro mecanismo poderá ser incluído no registro SPF, incluindo o mecanismo “all”. Exemplo de registro de redirecionamento: “v=spf1 redirect:example.com”
Os mecanismos "INCLUDE", "A", "MX", "PTR", "EXISTS" e "REDIRECT" exigem pesquisas de DNS, portanto, não pode haver mais de 10 deles. Isso parece bastante simples, mas isso também inclui pesquisas de DNS aninhadas, o que significa que um “INCLUDE” que leva a outro registro SPF que possui mais dois mecanismos “INCLUDE” contaria como três pesquisas de DNS. Eles somam rápido!
E os clientes do Twilio SendGrid?
A maioria dos nossos remetentes configurou um CNAME que aponta seu domínio de envio para sendgrid.net. Isso significa que o servidor receptor vê o CNAME apontando para sendgrid.net e verifica esse registro SPF. Portanto, não se surpreenda se a maioria dos registros SPF consultados for idêntica.
Para mais perguntas específicas do Twilio SendGrid, dê uma olhada em nossa página de documentos do Sender Policy Framework. Ele tem respostas adicionais para algumas perguntas e cenários comuns.
Como verifico meu registro SPF?
Nem todo mundo usa a autenticação SPF, mas os receptores que rejeitam com base na falha do SPF rejeitarão a entrega. Alguns destinatários também podem colocar em quarentena emails que falham no SPF sem bloqueá-lo.
Cada registro SPF será um pouco diferente, mas você deve verificar se está certo. Aqui estão três ferramentas que podem ajudar a validar seus registros:
- Ferramentas de teste SPF de Scott Kitterman : Verifique se já existe um registro SPF para seu domínio, verifique sua validade ou teste seu desempenho.
- OpenSPF.org : Revise uma série de formulários e testadores baseados em e-mail.
- Verificação de Registro SPF: A Verificação de Registro SPF atua como uma pesquisa e um validador de registro SPF. Ele pesquisará um registro SPF para o nome de domínio consultado e executará testes de diagnóstico em relação ao registro, destacando erros que podem influenciar a capacidade de entrega do email.
- Assistente SPF : O Assistente SPF é uma ferramenta de geração de registros SPF baseada em navegador. Preencha o formulário e o site gera um registro SPF para você.
Tornar a estrutura de política do remetente uma prioridade
Simplificando, mensagens de e-mail maliciosas prejudicam seus negócios e degradam o canal de e-mail. Quando os phishers virem seu domínio protegido pelo Sender Policy Framework, eles estarão mais propensos a passar para alvos mais fáceis. Embora o SPF não impeça o spam, ele pode servir como um impedimento e torná-lo menos vulnerável a ataques. E quem não quer isso, certo? É por isso que incentivamos todos os clientes de e-mail a criar um registro SPF.
Combinado com Sender ID, DKIM e DMARC, o SPF fornece um nível extra de segurança de e-mail que dará melhor suporte aos seus usuários, ajudando os ISPs a identificar corretamente seu e-mail e, por sua vez, os spammers.