Tudo o que você precisa saber sobre SPF (Sender Policy Framework)

O e-mail é dos serviços de Internet mais antigos que existem, tendo surgido até mesmo antes dos sites e até hoje representa recurso fundamental para as pessoas e, sobretudo, para as empresas.

Mas apesar da sua importância e do tempo que existe, há uma série de problemas que são explorados especialmente pela “indústria” do SPAM, e de ameaças digitais como phishing e spoofing.

Para ajudar a resolver este problema, uma dentre diferentes políticas foram criadas, sendo que o SPF é possivelmente a mais conhecida e usada delas.

Você sabe o que é SPF? Como ele funciona e por que é importante? Chegou a hora de saber estas e outras questões essenciais para todo usuário de e-mail!

O que é SPF (Sender Policy Framework)?

SPF é a sigla relativa a Sender Policy Framework e que por sua vez é resumidamente um conjunto de normas técnicas interpretáveis por todo servidor que recebe uma mensagem de e-mail e que estabelece as políticas para determinar quais servidores estão autorizados a enviar em nome de um determinado domínio.

Para aqueles que estão vendo o assunto pela primeira vez, o enunciado da possível definição acima pode não ser totalmente esclarecedor ou mesmo não dizer nada.

Quando o e-mail foi criado e ao longo dos primeiros anos do seu desenvolvimento, não havia e não era frequente como hoje, problemas como o SPAM, ou outras ameaças digitais. Sendo assim, não se previu nenhum mecanismo que garantisse a autenticidade do remetente.

Em outras palavras, o protocolo usado para o envio – o SMTP – não contempla nenhuma checagem para garantir que um servidor tem autorização para enviar mensagens em nome de um domínio.

Para isso foi criado o SPF.

Assim, o SPF contém a política de servidores autorizados pelo administrador do domínio, a realizarem envios de e-mail, de tal forma que um criminoso virtual não consiga usar seu domínio ou de outras pessoas / empresas, para envio de SPAM, de phishing ou spoofing.

O que é phishing?

O phishing consta da lista das mais comuns ameaças do mundo digital e basicamente consiste em usar diferentes técnicas para que a vítima realize uma ação pretendida.

O termo phishing deriva da palavra fish (peixe) e fishing (pescaria), mas que na versão relacionada com a fraude virtual, corresponde a tentativa de fisgar não um peixe, mas um usuário, seja porque conseguiu que ele clicasse em um anexo enviado por e-mail e instalado inadvertidamente um malware no seu dispositivo, seja porque ele acesso um site falso, que imita o site do seu banco e tenha digitado suas credenciais de acesso.

Pelo fato de existirem vários métodos por meio dos quais os criminosos podem conseguir seus intentos, é das ameças mais difíceis de conter.

Quando faz uso do correio eletrônico, diz-se que é phishing e-mail ou e-mail de phishing.

O que é spoofing?

Spoofing é também um estrangeirismo e que traduzido literalmente, significa falsificação.

É mais comumente associado ao e-mail, mas há também IP spoofing, DNS spoofing e até spoofing telefônico. Aqui nos concentraremos apenas na versão relacionada com e-mail.

Pode-se dizer que spoofing de e-mail ou e-mail spoofing é uma variação de phishing, quando é realizada a falsificação do endereço de e-mail do remetente, de tal forma que o destinatário é levado a crer que o remetente é uma empresa conhecida ou um contato de confiança e por esta razão, a falsificação muitas vezes usa nomes de empresas populares.

Entre algumas das ocorrências mais comuns, o usuário acredita que a mensagem é de alguma instituição financeira, como seu banco ou a operadora de cartão de crédito, solicitando que por medida de segurança, ele precisa criar uma nova senha, mas para tanto, precisa antes confirmar sua a senha atual.

Por que é importante configurar o SPF de um domínio?

Fraudes por e-mail estão entre as principais ações maliciosas na Internet, muitas vezes tendo como foco empresas, tanto colaboradores, como clientes, além de usuários finais.

As ações manifestam-se mais comumente como phishing, mas dependendo das pretensões do criminoso digital, têm características de spoofing também, ou seja, fazem parecer que são de alguma fonte confiável, como uma marca conhecida e respeitada. O objetivo é dar credibilidade à fraude.

A quantidade de usuários de correio eletrônico sendo enganados pelo pelas diferentes fraudes, falsificando identidades corporativas confiáveis, é imensa.

Pesquisas recentes têm apontado que cerca de 20% de todos os funcionários de uma empresa, clicam em links de e-mail de phishing e, desses, 2/3 vão fornecer suas credenciais em um site de phishing. Isso significa que 13,4% dos funcionários provavelmente enviarão sua senha em uma página de phishing fraudulenta.

Outro dado alarmante, é que mais de 10% dos usuários que recebem anexos maliciosos, clicam e os abrem, comprometendo seus dispositivos com malwares diversos.

Os destinatários são enganados pelas mensagens recebidas, seja porque desconhecem as técnicas usadas, seja porque não sabem como verificar a autenticidade da mensagem, seja porque foram vítimas das técnicas de engenharia social que são adotadas.

As consequências são as mais variadas. Desde perdas financeiras, seu dispositivo ser comprometido por um ransomware (e que também afeta financeiramente o usuário), ou sua máquina ser controlada para um ataque DDoS, ou ainda outros tipos de malwares.

Outro problema sério relacionado aos e-mails, são as mensagens de SPAM que utilizam endereços falsos a fim de ocultar a verdadeira identidade de quem envia um conteúdo questionável e com objetivos no mínimo duvidosos.

Para tanto, os spammers (aqueles que enviam o SPAM) utilizam domínios conhecidos e/ou de empresas e marcas famosas, tentando com isso que o destinatário não desconfie do conteúdo e/ou ocultar sua real identidade.

Seja em um caso ou outro, ou ainda qualquer outro tipo de envio com alguma intenção maliciosa, um registro SPF garante aos destinatários que usem um serviço de e-mail que façam a checagem de SPF, a possibilidade de recusar mensagens que não provenham de servidores legítimos para os respectivos domínios.

Pode-se dizer que é a primeira linha de defesa contra conteúdo potencialmente nocivo ou de procedência questionável.

Mas se já as situações acima já não fossem razões suficientemente boas, atualmente ter o SPF configurado em seu próprio domínio, diminui as chances das mensagens que você envia, serem classificadas como SPAM e irem parar no lixo eletrônico dos seus contatos ou mesmo recusadas e devolvidas.

Como funciona o SPF?

O conceito do funcionamento é bastante simples e usa para isso algo que faz parte do funcionamento da Internet, e que são os DNSs.

Ou seja, as zonas de DNS ou o conjunto de registros que compõem os DNSs de um domínio, passam a ter na lista de entradas, uma entrada destinada ao SPF e cuja escrita segue as normas técnicas estipuladas pelo OpenSPF e pela RFC 4408 da Internet Engineering Task Force (IETF).

Essa informação – e todas as demais contidas nas zonas de DNS – do domínio, estão no servidor autoritativo para o seu domínio. É portanto, o único servidor que tem autoridade para o domínio e que pode ser a empresa na qual o domínio foi registrado ou pode ser um servidor da empresa na qual o domínio está hospedado.

Se você tem um plano de hospedagem compartilhada na HostMídia, toda vez que envia um e-mail, as mensagens são enviadas por servidores nossos, em seu nome.

Suponhamos a título de exemplo, que seu endereço de e-mail seja suporte@seudominio.com.br. Ao enviar uma mensagem, o servidor de e-mail do destinatário e o servidor da HostMídia em que você tem seu domínio hospedado, iniciam o que se chama HELO / EHLO e que ocorre resumidamente, entre várias etapas, como se segue:

Quem enviou este e-mail (endereço de e-mail do remetente)?
O remetente tem permissão para enviar em nome deste domínio (nameserver)?

No nosso exemplo, o "quem" é suporte@seudominio.com.br e o "remetente" é algo como hl-10us.hostmidia.com.br ou hl-20us.hostmidia.com.br ou outro nameserver de servidor de nossa rede, sendo que cada qual tem seu próprio endereço IP.

Se não houver um registro SPF designando o servidor hl-10us.hostmidia.com.br como remetente válido, é provável que seu e-mail seja marcado como SPAM e será recusado, mas para isso o servidor do destinatário precisa realizar a checagem de SPF, o que nem todos fazem.

Por outro lado, se houver um registro SPF que atribua o hl-10us.hostmidia.com.br e/ou o seu respectivo endereço IP ou range de IPs, como o autorizado a realizar os envios, é praticamente garantido que a mensagem seja entregue, desde que naturalmente não existam outros filtros que barrem a mensagem por atender a outros critérios.

Sendo assim, se um spammer ou qualquer outro servidor que não esteja listado entre aqueles que estão configurados no SPF, ao tentar enviar uma mensagem usando seu endereço de e-mail ou qualquer outro do seu domínio, a mensagem poderá ser recusada e devolvida ao remetente.

Essa etapa do processo, corresponde ao que se chama de “envelope”, porque é quando os servidores envolvidos no SMTP trocam informações sobre quem são – seus nameservers e respectivos IPs – e alguns dados externos da mensagem, tal como um envelope de correspondência tradicional, mas que no caso de um e-mail, são remetente (campo FROM do e-mail), destinatário (campo TO ou RCPT TO do e-mail) e tamanho em bytes da mensagem.

Como interpretar o registro SPF?

Os registros SPF são adicionados ao DNS do seu domínio como uma entrada de DNS do tipo TXT. Para autorizar e-mails enviados pelos nossos servidores, o registro TXT deve ter a seguinte aparência nas zonas de DNS do seu domínio:

"v=spf1 +a +mx ip4:198.136.59.171 -all"

Vale salientar que o IP na linha acima, é um EXEMPLO. O endereço IP correto deve ser obtido junto ao suporte técnico e pode variar de acordo com o servidor no qual seu domínio está hospedado.

Somente um único registro SPF é permitido para cada domínio, mas vários IPs / nameservers podem ser listados nesse registro usando o mecanismo "include".

Esse recurso é particularmente útil quando você usa os serviços de um provedor de hospedagem para os envios quotidianos e outros servidores e seus respectivos IPs, quando envia uma newsletter ou e-mail Marketing.

Você não precisa conhecer as particularidades que envolvem a sintaxe e os atributos contidos na string relativa ao SPF. Isso é atribuição do suporte técnico da hospedagem e de eventuais serviços de e-mail externos que utilizar e que no caso, devem fornecer as configurações adicionais a serem incluídas no SPF original.

Mas se ainda assim quiser compreender a sintaxe usada, abaixo indicamos a interpretação de cada parte da string.

  • v=spf1 – há muitas entradas do tipo TXT nas zonas de DNS e assim, o registro SPF deve começar obrigatoriamente com esse mecanismo, para que o verificador possa identificar o SPF. O numeral 1, refere-se à versão;

  • +a – esse mecanismo designa que a entrada de tipo “A” do domínio pode ser considerada para remetente válido. Como a entrada do tipo A resolve para um IP, no caso é o IP associado diretamente ao domínio;

  • +mx – designa que as entradas MX também podem enviar pelo domínio e que na prática significam todos os servidores configurados no MX para o domínio;

  • ip4 – separado por “:”, o mecanismo atribui o IP ou um range de IPs que podem enviar usando o domínio, como em 192.168.0.0/24, que é o mesmo que dizer que todos os IPs compreendidos entre 192.168.0.0 e 192.168.0.255, podem fazer envios;

  • -all – define que todos os demais IPs que não aparecem listados na política, não têm permissão para envio e quando isso ocorrer, a respectiva mensagem pode ser marcada como SPAM e devolvida.

Também vale destacar, que configurar um SPF não impede que um spammer use seu domínio para realizar envios, mas impede que os destinatários que checam SPF, recebam mensagens fraudadas usando seu domínio.

Como o nível de adoção de SPF tanto por parte de quem envia, como de quem recebe, tem aumentado bastante, isso tem desestimulado o uso de domínios fraudados com este fim e tem cumprido razoavelmente bem o seu papel.

Observações adicionais sobre mecanismos e qualificadores de SPF

Além dos mecanismos (v, a, mx, ip4 e all) e qualificadores (+ e -), há outros, bem como possíveis usos:

  • ip6 – é possível incluir servidores que usem IPv6 e nesse caso, em vez de preceder o endereço IP com “ip4:”, utiliza-se “ip6:”, sem aspas;

  • include – alternativamente, além do servidor em que está hospedado o domínio, você pode ter outro – ou vários – outros servidores pelos quais é possível fazer envios, como no caso de um serviço de e-mail Marketing externo e nesse caso, usa-se o include (include:_spf.google.com) e que apareceria após o IP4, separado por espaço;

  • “-” – o qualificador “-” (sem aspas) é o caractere que corresponde ao sinal de subtração e indica que todos os demais (ALL) que não constam da política (a, mx e ip4), não têm autorização para enviar pelo domínio. Autenticação com resultado "Fail”;

  • “+” – o qualificador “+” (sem aspas) é o caractere que corresponde ao sinal de adição e indica que todos os demais têm autorização para enviar pelo domínio. Autenticação com resultado "Pass". Portanto, não deve ser usado se o que se quer é limitar aos IPs, ranges e domínios contidos na política;

  • “~” – o qualificador “~” (sem aspas) é o caractere que corresponde ao til e resulta em autenticação com resultado "Softfail". É improvável que o servidor com o endereço IP correspondente seja autorizado a enviar e-mails para o domínio. O servidor de recebimento geralmente aceita a mensagem, mas ela é marcada como suspeita;

  • “?” – o qualificador “?” (sem aspas) é o caractere que corresponde ao sinal de interrogação. É igual a um autenticação neutra ou mesmo não ter um SPF para o IP. A mensagem não é aprovada nem reprovada na autenticação. O registro SPF não define explicitamente que o endereço IP tem autorização para enviar e-mails para o domínio. Também não é recomendável seu uso;

  • “vspf1 ~all” – usar apenas essa string, incluindo as aspas, é indicado para evitar o spoofing de domínios que não enviam e-mails, ou seja, não tem contas de e-mail criadas sob o domínio. Na prática significa que ninguém tem autorização para enviar pelo domínio.

Vale ressaltar que o qualificador “+” que usamos em nosso exemplo de um típico registro SPF ("v=spf1 +a +mx ip4:198.136.59.171 -all"), antes do mecanismo “a” e “mx”, pode ser omitido e ficaria assim:

"v=spf1 a mx ip4:198.136.59.171 -all"

Isso porque ao usá-lo, estamos dizendo que todos as entradas A e MX, são permitidas. É redundância e, portanto, desnecessário.

Conclusão

O SPF (Sender Policy Framework), é um sistema que evita que outros domínios, enviem e-mails não autorizados em nome de um domínio, através da possibilidade do administrador de um domínio estabelecer uma política SPF nas zonas de DNS do domínio, designando os endereços das máquinas autorizadas a enviar mensagens em nome deste domínio.

Artigos relacionados

WordPress
Os melhores plugins gratuitos para um blog WordPress
WordPress
Os 5 melhores plugins de segurança para WordPress
WordPress
Wordpress é seguro? Como melhorar a sua segurança?

Comentários ({{totalComentarios}})