Garantir a entrega de e-mails e impedir o spoofing com o SPF

Impeça que e-mails sejam falsificados e mensagens sejam marcadas como spam.

O Sender Policy Framework (SPF) é um método de autenticação que especifica os servidores autorizados a enviar e-mails do seu domínio. Ele ajuda a proteger seu domínio contra spoofing e garante que as mensagens sejam entregues corretamente. Os servidores de e-mail que recebem e-mails do seu domínio usam o SPF para verificar se as mensagens são autênticas.

  • O SPF ajuda a impedir o spoofing: os criadores de spam podem falsificar o domínio ou a organização para enviar mensagens falsas que pareçam da sua organização. Isso é chamado de spoofing. Essas mensagens podem ser usadas para fins maliciosos, por exemplo, para divulgar informações falsas, enviar software nocivo ou fazer as pessoas compartilharem informações confidenciais. O SPF ajuda os servidores de recebimento a verificar se os e-mails foram realmente enviados do domínio da sua organização e por um servidor de e-mail autorizado.
  • O SPF ajuda a entregar mensagens nas Caixas de entrada dos destinatários: ele ajuda a impedir que mensagens do seu domínio sejam entregues na pasta "Spam". Caso seu domínio não use o SPF, os servidores de e-mail de recebimento não poderão verificar se as mensagens foram realmente enviadas por você. Os servidores de recebimento podem enviar mensagens válidas para a pasta "Spam" dos destinatários ou rejeitá-las.

Observação: se você tiver comprado seu domínio de um parceiro do Google quando se inscreveu no G Suite, talvez não precise configurar os registros SPF. Verifique se o SPF está listado em Configurações gerenciadas pelo host do seu domínio.

Práticas recomendadas para a autenticação de e-mail

Recomendamos que você sempre configure estes métodos de autenticação de e-mail no seu domínio:

  • O SPF ajuda os servidores a verificar que as mensagens aparentemente enviadas por um domínio específico foram enviadas de servidores autorizados pelo proprietário do domínio.
  • O DKIM adiciona uma assinatura digital a cada mensagem. Isso permite que os servidores de destino verifiquem que as mensagens não são falsificadas e não foram alteradas durante o transporte.
  • O DMARC autentica mensagens com os protocolos SPF e DKIM e define o que fazer com mensagens recebidas suspeitas.
Veja as etapas detalhadas em Ajudar a evitar spoofing, phishing e spam.

Antes de começar

Leia as informações nesta seção antes de ativar o SPF na sua organização.

Encontre seu provedor de domínio
Ative o SPF no console de gerenciamento do seu provedor de domínio, não no Google Admin Console. Se você não souber qual é seu provedor de domínio, siga estas etapas.

Se você não encontrar seus registros de faturamento, pesquise o host de domínio on-line. A Corporação da Internet para Atribuição de Nomes e Números (ICANN, na sigla em inglês) é uma organização sem fins lucrativos que coleta informações de domínios. Use a ferramenta ICANN Lookup para encontrar seu host de domínio.

  1. Acesse lookup.icann.org.
  2. No campo de pesquisa, digite seu nome de domínio e clique em Lookup.
  3. Na página de resultados, role para baixo até Registrar Information. Geralmente o registrador é seu host de domínio.

Revendedores de domínio

Alguns domínios são hospedados por revendedores que usam um registrador separado. Se não for possível fazer login com o registrador listado ou o campo de registrador estiver em branco, talvez seu host de domínio seja um revendedor.

  1. Na página de resultados da ICANN Lookup, role para baixo até Raw Registry RDAP Response.
  2. Procure a entrada Reseller.
  3. Acesse o site do revendedor.
  4. Faça login com as credenciais que você usou quando comprou (ou transferiu) seu domínio.
    Caso tenha esquecido a senha, entre em contato com a equipe de suporte do revendedor.

Se não houver um revendedor listado, entre em contato com a equipe de suporte do registrador listado para receber ajuda.

Provedores de e-mail de terceiros

Mensagens válidas enviadas por provedores de e-mail terceirizados do seu domínio talvez não passem nas verificações do SPF. Se isso acontecer, o servidor de recebimento poderá enviar mensagens de provedores de terceiros para a pasta "Spam".

Para garantir que as mensagens enviadas por provedores de terceiros passem na verificação do SPF:

  • Verifique os registros SPF do seu provedor.
  • Para encaminhar mensagens usando um domínio ou uma rede, configure o redirecionamento SMTP.
Registro TXT para SPF

Para ativar o SPF no seu domínio, atualize o registro TXT para SPF no console de gerenciamento do provedor do domínio. 

Os registros TXT são um tipo de registro de Sistema de Nome de Domínio (DNS) com informações de texto para servidores e outras origens de fora do seu domínio. Saiba mais sobre os registros TXT.

Veja as etapas detalhadas em Ativar o SPF no seu domínio.

(Opcional) Verificar o registro TXT para SPF instalado

Talvez já exista um registro TXT configurado para o SPF no seu provedor de domínio. Para verificar, use o recurso Check MX no G Suite Toolbox:

  1. Acesse o G Suite Toolbox.
  2. Digite seu nome de domínio.
  3. Clique em Executar verificações!.
  4. Quando o teste terminar, clique em Intervalos de endereços SPF em vigor.
  5. Verifique os resultados SPF. Eles devem incluir o seguinte:
    • _spf.google.com
    • _netblocks.google.com seguido de vários endereços IP
    • _netblocks2.google.com seguido de vários endereços IP
    • _netblocks3.google.com seguido de vários endereços IP

Etapa 1: criar seu registro TXT para SPF

O registro TXT para SPF define os servidores de e-mail que têm permissão para enviar e-mails do seu domínio.

Um único domínio pode ter apenas um registro TXT para SPF. No entanto, o registro TXT de um domínio pode especificar vários servidores e domínios que têm permissão para enviar e-mails do domínio.

Conteúdo do registro TXT

Se todos os e-mails da sua organização forem enviados do G Suite, use a seguinte linha de texto para o registro TXT:

v=spf1 include:_spf.google.com ~all

Caso você envie e-mails de uma ou mais destas formas além do G Suite, precisará criar um registro TXT personalizado para o SPF:

  • Você envia e-mails de outros servidores.
  • Você usa um provedor de e-mail de terceiros.
  • Seu site usa um serviço que gera e-mails automáticos, como um formulário de contato.

Crie o registro TXT seguindo as instruções dos artigos Informações do servidor para seu registro TXT e Formato do registro TXT.

Informações do servidor para seu registro TXT
Seu registro TXT para SPF precisa incluir informações sobre seus servidores de e-mail.

Endereços IP de todos os seus servidores de e-mail

Identifique os endereços IP de todos os servidores que enviam e-mails da sua organização. Esses servidores podem incluir estes itens:

  • Servidores da Web
  • Servidores de e-mail no local, como o Microsoft Exchange
  • Servidores de e-mail usados pelo seu provedor de serviços
  • Qualquer provedor ou serviço de terceiros que envie e-mails do seu domínio

Todos os domínios controlados pela sua organização

Identifique todos os domínios controlados pela sua organização, mesmo os que não enviam e-mails. Os criadores de spam podem tentar falsificar os domínios que não enviam e-mails, principalmente depois que os domínios de envio forem protegidos pelo SPF.

Formato do registro TXT

O registro TXT é uma linha de texto simples com tags e valores. As tags são chamadas de mecanismos. As tags opcionais, chamadas de qualificadores, definem a ação que será executada se houver uma correspondência de mecanismo.

Veja alguns exemplos de registros TXT para SPF. Substitua os endereços IP e os domínios de exemplo pelos seus.

v=spf1 ip4:192.168.0.1/16 -all

Esse registro TXT autoriza qualquer endereço IP entre 192.168.0.1 e 192.168.255.255 a enviar e-mails do seu domínio.

v=spf1 -all

Esse registro TXT impede o spoofing dos domínios que não enviam e-mails.

Mecanismos de registro TXT para SPF

As tags que você usa ao criar um registro TXT para SPF são chamadas de mecanismos.

Importante: um registro TXT para SPF pode ter até 10 buscas, geradas por estes mecanismos: a, mx e include. Se seu registro TXT tiver mais de 10 buscas, as mensagens do domínio não serão aprovadas na verificação de autenticação do SPF feita pelo servidor de recebimento. Talvez essas mensagens sejam enviadas para a pasta "Spam". Leia os detalhes em Verificar as buscas DNS do seu registro SPF.

Veja uma lista de mecanismos que podem ser usados no seu registro TXT. Os mecanismos são verificados pela ordem de ocorrência no registro TXT. Se houver uma correspondência de mecanismo e nenhum qualificador for usado, a ação padrão será "Pass".

Observação: os endereços e domínios nesta tabela são exemplos. Substitua os valores de exemplo por endereços IP e domínios dos seus servidores de e-mail e organizações.

Mecanismo Descrição e valores permitidos
v A versão do SPF. Precisa ser spf1. Essa tag é obrigatória e precisa ser a primeira no registro.
ip4 Especifica um ou mais servidores de e-mail por endereço IPv4 ou intervalo de endereços. O valor precisa ser um endereço IPv4 no formato padrão, por exemplo:
ip4:192.168.0.1
ip6 Especifica um ou mais servidores de e-mail por endereço IPv6 ou intervalo de endereços. O valor precisa ser um endereço IPv6 no formato padrão, por exemplo:
ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF
a Especifica um servidor de e-mail por nome de domínio, por exemplo:
a:solarmora.com
mx

Especifica um ou mais servidores de e-mail fazendo referência a um registro MX de domínio, por exemplo:
mx:mail.solarmora.com

A especificação de um domínio com este mecanismo é opcional. Se você não especificar um domínio, os registros MX do domínio em que o registro SPF é usado serão o valor padrão.

include

Especifica os servidores de e-mail de um domínio que não pertence a você, por exemplo:
include:sparkpostmail.com

Use esse mecanismo para permitir remetentes de e-mail de terceiros.

all Se usado, deve ser a última tag no registro. As verificações do SPF ignoram qualquer mecanismo após all. Recomendamos o uso deste mecanismo com um qualificador "soft fail": ~all

Qualificadores de registro TXT para SPF

As tags opcionais, chamadas de qualificadores, definem a ação quando houver correspondência com um mecanismo no registro TXT.

Os mecanismos são verificados pela ordem de ocorrência no registro TXT. Se você não usar qualificadores, a ação padrão será "Pass". Quando não houver correspondência com um mecanismo, a ação padrão será "Neutral".

Veja uma lista de qualificadores que podem ser usados em um registro TXT. O qualificador é um prefixo opcional que você pode adicionar a qualquer mecanismo no registro. Os qualificadores especificam a ação quando houver correspondência com um valor de mecanismo.

Recomendamos o uso de ~all no registro TXT para SPF.

Qualificador Descrição
+ Pass. O servidor com o endereço IP ou o domínio correspondente pode enviar para o domínio. "Pass" é o padrão quando nenhum qualificador é usado.
- Fail. O servidor com o endereço IP ou o domínio correspondente não tem permissão de envio para o domínio. O registro SPF não inclui o endereço IP ou o domínio de servidor de envio.
~ Soft fail. O servidor com o IP ou o endereço de domínio correspondente pode ter permissão para enviar para o domínio. O servidor de recebimento geralmente aceita mensagens e as marca como suspeitas.
? Neutral. O registro SPF não especifica explicitamente que o endereço IP ou o domínio pode enviar para o domínio. Os registros SPF com resultados "Neutral" geralmente incluem ?all.

Etapa 2: ativar o SPF no seu domínio

Ative o SPF no seu provedor de domínio adicionando um registro TXT do DNS para SPF.

  • Os nomes dos campos na etapa 4 podem ser diferentes no seu provedor. Os nomes dos campos do registro TXT do DNS podem variar dependendo do provedor.
  • Se a organização ou o domínio enviarem todos os e-mails do G Suite, use o valor do registro TXT mostrado na etapa 4 abaixo. Se você tiver criado outro registro TXT, digite o valor correspondente.

Para ativar o SPF, atualize o registro TXT do DNS para SPF no seu provedor de domínio.

  1. Acesse o arquivo ou a linha de texto que definem seu registro TXT.
  2. Faça login no console de gerenciamento do seu host de domínio. Se você não souber qual é o host de domínio, siga as etapas em Encontrar seu host de domínio.
  3.  Localize a página onde você atualiza os registros TXT do seu domínio.
  4. Adicione um novo registro TXT aos seus servidores de e-mail do G Suite:
    Nome/host/alias Time to Live (TTL) Registro TXT do DNS para atualizar Prioridade Valor/resposta/destino
    @
    (ou deixe em branco)
    3600 SPF 1 v=spf1 include:_spf.google.com ~all
  5. Salve as alterações. O SPF pode levar até 48 horas para começar a proteger seu domínio contra spoofing e garantir a entrega de e-mails.
  6. (Opcional) Repita estas etapas em todos os domínios que você gerencia para sua organização.

Adicionar um novo servidor de e-mail ou domínio aos registros SPF

Atualize o registro TXT para SPF no seu provedor de domínio sempre que você:

  • adicionar servidores de e-mail à sua organização;
  • começar a usar novos remetentes de terceiros.

Se você não atualizar o registro TXT com as informações dos novos servidores ou remetentes, as mensagens enviadas por eles poderão ir para a pasta "Spam".

Primeiro atualize seu registro TXT com os novos servidores ou domínios seguindo as instruções da Etapa 1: criar seu registro TXT para SPF. Depois atualize o registro SPF no provedor de domínio seguindo as instruções da Etapa 2: ativar o SPF no seu domínio.

Solução de problemas nos registros SPF

Se as mensagens do seu domínio continuarem sendo enviadas para a pasta "Spam", mesmo após a ativação do SPF, tente estas recomendações de solução de problemas.

Verificar se as mensagens são aprovadas pelo SPF

Para confirmar que o registro SPF está funcionando como esperado e as mensagens do seu domínio passam pelo SPF, verifique uma mensagem enviada pelo domínio.
Peça a alguém que recebeu uma mensagem do seu domínio para abrir a mensagem e visualizar os cabeçalhos. Em seguida, verifique os resultados do SPF no cabeçalho da mensagem. Se o cabeçalho mostrar que o SPF falhou, verifique se há erros no registro SPF. Verifique se o registro inclui referências a todos os servidores e domínios que enviam e-mails em nome da sua organização.
Primeiro, revise a Etapa 1: criar seu registro TXT para SPF e faça as mudanças necessárias no seu registro TXT. Depois atualize o registro no seu host de domínio seguindo as instruções da Etapa 2: ativar o SPF no seu domínio.
Verificar as buscas DNS no seu registro TXT

Os registros TXT para SPF estão limitados a 10 buscas. Portanto, seu registro TXT para SPF não pode ter mais de 10 referências a outros domínios. Se ele tiver mais de 10 buscas, as mensagens do seu domínio não serão aprovadas na verificação do SPF do servidor de recebimento. As mensagens podem ser enviadas para a pasta "Spam".

Cada instância dessas tags no registro TXT gera uma busca: a, mx, include, ptr.

As buscas aninhadas são contabilizadas no limite de 10. Assim, se um domínio referenciado em uma tag include tiver referências de domínios no registro TXT para SPF dele, esses domínios serão contabilizados no seu limite.

Se as mensagens ainda estiverem sendo enviadas para a pasta "Spam", verifique o número de buscas do registro TXT usando o recurso Check MX do G Suite Toolbox.

Para reduzir o número de buscas no seu registro TXT, faça o seguinte:

  • Não use as tags include, a menos que necessário.
  • Quando possível, use a tag ip4 ou ip6, em vez de include.
  • Remova tags duplicadas ou que façam referência ao mesmo domínio.

Faça referência apenas aos domínios que estão enviando mensagens da sua organização. Remova instruções include referentes aos parceiros que não enviam mais e-mails do seu domínio.

Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.

Isso foi útil?
Como podemos melhorá-lo?