Sintaxe SPF
O formato de um registro SPF é o seguinte:
v=spf1 [mechanisms] [qualifiers]Cada um dos mecanismos é discutido abaixo.
v=spf1
A tag v=spf1 indica a versão e o protocolo do registro SPF. Existe apenas uma versão do SPF, e o protocolo é sempre spf1.
Mecanismos
Os mecanismos são as regras que definem como corresponder o endereço IP ou host do remetente com a política SPF. Existem vários tipos de mecanismos:
| Tag | Descrição |
|---|---|
| a | Corresponde o endereço IP do remetente com os registros A ou AAAA do domínio. |
| mx | Corresponde o endereço IP do remetente com os registros MX do domínio. |
| ip4 | Corresponde o endereço IPv4 do remetente com um intervalo específico. |
| ip6 | Corresponde o endereço IPv6 do remetente com um intervalo específico. |
| include | Inclui a política SPF de outro domínio. |
Qualificadores
Os qualificadores são as ações que indicam como o receptor deve lidar com os e-mails que correspondem ou não aos mecanismos. Existem quatro tipos de qualificadores:
| Tag | Descrição |
|---|---|
| + | Pass, o e-mail é aceito (NÃO RECOMENDADO). |
| ? | Neutral, o e-mail não é aceito nem rejeitado (NÃO RECOMENDADO). |
| - | Fail, o e-mail é rejeitado. |
| ~ | Softfail, o e-mail é aceito, mas marcado como suspeito. |
Escolhendo o Qualificador SPF Correto
A escolha do qualificador SPF depende da preferência do proprietário do domínio e da tolerância ao risco. Geralmente, é recomendado usar o qualificador Hard Fail (-) para domínios que enviam e-mails críticos ou sensíveis, como serviços financeiros ou jurídicos. Dessa forma, o proprietário do domínio pode garantir que apenas servidores autorizados possam enviar e-mails em seu nome, e que quaisquer e-mails falsificados sejam rejeitados pelo servidor destinatário. No entanto, o proprietário do domínio também deve garantir que seu registro SPF esteja preciso e atualizado, e que inclua todas as fontes legítimas de e-mail para seu domínio, como hosts web, provedores de e-mail, serviços de terceiros, etc. Caso contrário, eles podem correr o risco de perder alguns e-mails válidos que falhem na verificação SPF.
Por outro lado, o qualificador Soft Fail (~) pode ser uma boa opção para domínios que enviam e-mails menos críticos ou menos sensíveis, como newsletters, marketing ou redes sociais. Dessa forma, o proprietário do domínio ainda pode indicar sua preferência por servidores autorizados, mas também permitir alguma flexibilidade para o servidor destinatário decidir como lidar com o e-mail. Isso pode reduzir as chances de perder e-mails válidos que falhem na verificação SPF, mas também pode aumentar as chances de receber e-mails falsificados que passem na verificação SPF.
Os qualificadores Neutral (?) e Allow all (+) não são recomendados para nenhum domínio, pois não fornecem nenhum benefício ou proteção contra ataques de falsificação e phishing de e-mail. Eles essencialmente desativam o mecanismo SPF e permitem que qualquer servidor envie e-mails em nome do domínio. Isso pode prejudicar a reputação e a entregabilidade do domínio, além de expor os usuários do domínio a e-mails maliciosos.
Exemplo
Um exemplo de um registro SPF simples é:
v=spf1 mx -allIsso significa que apenas os endereços IP que correspondem aos registros MX do domínio estão autorizados a enviar e-mails em nome do domínio, e qualquer outro endereço IP é rejeitado.
Tópicos Relacionados
- O que é SPF? - Introdução ao SPF e seu propósito
- Como o SPF Funciona? - Detalhes técnicos sobre a operação do SPF
- Por que o SPF é Importante? - Benefícios e importância do SPF
- Limitações do SPF - Restrições e desafios atuais
- Redirecionamento SPF - Usando o modificador de redirecionamento
- Configurações SPF - Configurar Configurações SPF