Autorizar remetentes de e-mail com o SPF

Evitar o spoofing do seu domínio

O Sender Policy Framework (SPF) evita que criadores de spam usem seu domínio para enviar e-mails não autorizados. Esse tipo de spam é chamado de spoofing. O SPF é um método de segurança de e-mail que evita o spoofing do domínio. Como o spoofing de e-mails é comum, alguns servidores de e-mail exigem o SPF. Se você não configurar o SPF, as mensagens enviadas pelo seu domínio poderão ser devolvidas ou marcadas como spam.

Usar o SPF com o DKIM e o DMARC

Além do SPF, recomendamos configurar os métodos DomainKeys Identified Mail (DKIM) e Domain-based Message Authentication, Reporting & Conformance (DMARC).

  • O SPF especifica os domínios que podem enviar mensagens.
  • O DKIM verifica se o conteúdo da mensagem é autêntico e não foi alterado.
  • O DMARC especifica a maneira como o domínio trata os e-mails suspeitos recebidos.

Ativar o SPF no domínio

Para ativar o SPF no seu domínio, adicione um registro TXT SPF ao host de domínio. A inclusão do registro TXT não afeta o fluxo dos e-mails.

Sobre registros TXT

O host de domínio mantém configurações de texto chamadas de registros DNS, que direcionam o tráfego da Web para o domínio. Saiba mais sobre como trabalhar com registros TXT. Se precisar de mais ajuda com esses registros, entre em contato com seu host de domínio.

Um registro TXT SPF indica os servidores que podem usar o domínio para enviar e-mails. As mensagens enviadas por servidores que não estão no registro talvez sejam marcadas como spam. 

SPF e vários servidores de e-mail

Não recomendamos usar vários registros SPF para diversos servidores de e-mail. O uso de mais de um registro SPF pode causar problemas de autorização. Use o mesmo registro para todos os servidores de e-mail. 

Saiba como atualizar um registro SPF para usar com mais de um servidor de e-mail.

Adicionar um registro TXT SPF

Para ativar o SPF, atualize o registro TXT SPF do domínio:

  1. Faça login na sua conta no host de domínio (não no Google Admin Console).

    Ajude-me a identificar meu host de domínio.

  2. Localize a página de atualização dos registros DNS do seu domínio. Geralmente o nome da página é algo como Gerenciamento de DNS, Gerenciamento de servidor de nomes ou Configurações avançadas.
  3. Encontre os registros TXT e verifique se o domínio já tem um registro SPF. O registro SPF começa com v=spf1.
  4. Se o domínio já tiver um registro SPF, remova-o. Caso contrário, pule para a etapa 5.
  5. Crie um registro TXT com estes valores:
    • Nome/host/alias: digite @ ou deixe em branco. Talvez outros registros DNS do domínio indiquem a entrada correta.
    • Time to Live (TTL): digite 3600 ou mantenha o valor padrão.
    • Valor/resposta/destino: digite v=spf1 include:_spf.google.com ~all.

  6. Salve o registro.

Seu novo registro SPF pode levar até 48 horas para entrar em vigor, mas pode levar menos.

Verificar o registro SPF

Confirme o registro SPF com o aplicativo Check MX, que faz parte do G Suite Toolbox:

  1. Acesse https://toolbox.googleapps.com/apps/checkmx/.
  2. Digite seu nome de domínio.
  3. Clique em Executar verificações!.
  4. Quando o teste terminar, clique em Intervalos de endereços SPF em vigor.
  5. Verifique os resultados SPF. Os resultados devem incluir:
    • _spf.google.com
    • _netblocks.google.com seguido de vários endereços IP
    • _netblocks2.google.com seguido de vários endereços IP
    • _netblocks3.google.com seguido de vários endereços IP

Aplicar um registro SPF a mais de um servidor

Um domínio pode ter apenas um registro SPF. Não crie um registro SPF para cada servidor de e-mail. Em vez disso, inclua todos os servidores no mesmo registro SPF.

Por exemplo, se você configurar um gateway de e-mail de saída, seu registro SPF incluirá o endereço do servidor do Gmail e o endereço do servidor SMTP do gateway de saída.

Para adicionar um servidor de e-mail a um registro SPF, digite o endereço IP do servidor antes do argumento ~all. Use o formato ip4:endereço ou ip6:endereço, como mostra o exemplo:

v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all

Para adicionar o domínio de um servidor de e-mail, use uma instrução include para cada domínio. Exemplo:

v=spf1 include:serverdomain.com include:_spf.google.com ~all

Máximo de buscas DNS e verificações de SPF

O SPF permite realizar até 10 buscas DNS. Buscas aninhadas são incluídas no valor máximo. Se o registro SPF tiver mais de 10 buscas, os mecanismos após a décima serão tratados como inválidos, e a verificação de SPF não será aprovada. 

Saiba mais sobre os limites de busca DNS na RFC 7208.

Estes mecanismos e modificadores de registro SPF estão incluídos na contagem do máximo de buscas:

  • a
  • exists
  • include
  • mx
  • ptr
  • require

Estes mecanismos e modificadores não estão incluídos no máximo de buscas:

  • exp
  • ip4
  • ip6

Veja algumas maneiras de reduzir o número de buscas em um registro SPF:

  • Evite instruções include desnecessárias.
  • Quando possível, use o mecanismo ip4 ou ip6 em vez de include.
  • Evite usar o mecanismo ptr porque ele gera muitas buscas DNS.
  • Remova mecanismos duplicados ou que resolvam para o mesmo domínio.
  • Faça referência apenas a domínios que estão fazendo envios ativamente.
  • Remova instruções include de registros SPF de parceiros que não enviam mais e-mails no domínio.

Para verificar o número de buscas no registro SPF, use o aplicativo Check MX, que faz parte do G Suite Toolbox.

Artigos relacionados

Para saber o que incluir nos registros SPF, acesse Intervalos de endereços IP do Google para SMTP de saída.

Isso foi útil?
Como podemos melhorá-lo?