blog-bidela_seguranca_implementando-spf-dkim-dmarc

Configurando SPF No DNS

Deixe um comentário / Segurança / Por /

Uma pergunta que devemos fazer. Por que usar o SPF em nosso domino?

Bloquear Remetentes Não Autorizados

O Sender Policy Framework, ou SPF, é uma das primeiras e mais amplamente utilizadas normas da indústria para a segurança do correio electrónico. Funciona com base num conceito simples: apenas permita que remetentes explicitamente autorizados enviem e-mails do seu domínio, e bloqueie todos os outros. Quando implementa SPF no seu domínio, veja o que acontece:

blog-bidela_seguranca_implementando-spf
  • Publicar Registos SPF: Deve publicar registos SPF no seu DNS, contendo uma lista de todos os endereços IP aprovados que podem enviar e-mails.
  • Autenticação de Servidor de Email: Quando um servidor de correio electrónico receptor vê um correio electrónico do seu domínio, verifica o endereço IP do remetente com a lista que forneceu.

O objetivo desse artigo não é minuciar como o SPF funciona, mas sim explanar sua real utilidade, caso queiram saber mais sobre SPF bastar realizar uma consulta no seu buscador preferido para listar varias artigos tratando o assunto mais profundamente. Então vamos começar a configurar esse registro em nosso DNS.

Para prosseguir com esse artigo é essencial que

  • tenha acesso com perfil root ou administrativo em seu servidor DNS;
  • já tenham o registro MX configurado para seu host MTA;
  • e que tenha a entra A devidamente configurada para seu domínio.

Configurando o registro SPF em nosso domínio.

Consultando o registro SPF em seu domino.

Para realizar essa consulta irei utilizar uma ferramenta da MXTooBOX

Acessando o site escolha a ferramenta SPF Record Lookup e entre com seu domino

Clique no botão SPF Record Lookup e vamos aguarda a mensagem de retorno da consulta

Na consulta realizada para SPF do domínio bidela.com.br, é notório que apesar dos checks em verde, o erro que apresentou é critico, pois não conseguimos realizar uma consulta dos lookups pois não temos nenhum endereço de IP cadastrado. Isso se dá por registro SPF que foi encontrado em meu domino ser um arquivo padrão, feito automaticamente pelo meu provedor de hospedagem.

Configurando um registro SPF válido

Vamos usar uma ferramenta online para nos ajudar nessa tarefa. Eu usei esse site para gerar meu SPF https://gemmail.com.br/gerador-de-registros-spf/, no ultimo artigo sobre o assunto estarei disponibilizando vários sites para auxiliar as criações SPF, DKIM e DMARC, porém, esses sites auxiliam, e é bom sempre lerem os artigos para caso precisarem realizar algum ajuste saberem o que estão fazendo.

Acessando o site algumas informações serão necessários para que nosso registro SPF seja montado.

Explicando os campos acima

Registro SPF gerado: (código que devera ser copiado e colado em seu dns);
Domínio: (domínio padrão de onde os e-mails serão enviados);
Permitir envios por seus servidores MX: –Sim (escolhendo SIM, todos os domínio que tiverem o MX configurado serão validos ao enviar e-mails);
Permitir envios pelo IP do seu domínio:–Sim ( escolhendo SIM, todos os domínio que tiverem o no seu range de IP’s serão válidos ao enviar e-mails );
Adicionar PTR (Atenção! Não adicione a menos que tenha certeza do que está fazendo)*:
Endereços de IP (no formato CIDR) que poderão ser usados para o envio de emails do seu domínio: (Servidores ou hosts que podem entregar ou retransmitir emails por este domínio);
Quaisquer domínios que possam entregar ou retransmitir mensagens por este domínio: (domínios (serviços de entrega de e-mails externos) que podem entregar ou retransmitir emails por este domínio);
Quão rigorosos devem ser os servidores que tratam os e-mails?: (Fail “-all” não compativeis serão rejeitados), (SoftFail “âll” não compativeis serão aceitos, mas serão marcados) e (Neutral “?all” Todos os e-mails ,provavelmente, serão aceitos).

Exemplo do código para o domínio bidela.com.br

bidela.com.br.  IN TXT "v=spf1 mx a ip4:50.116.86.34/32 a:boot.mail.net.br include:mail.cr3che.com.br -all"

Separando por blocos

Cabeçalho do DNS:
bidela.com.br. = (nome da entrada do registro dns);
IN = Classe (referência para o tipo de registro);
TXT = (o tipo de registro, nesse caso é texto)
Valores do campo TXT do dns
v=spf1 = versão do SPF;
mx = essa tag indica que todos os registro MX desse registrado nesse DNS terão seus e-mail's enviados validados;
a  = essa tag indica que todos os registro A desse registrado nesse DNS terão seus e-mail's enviados validados; 
ip4:50.116.86.34/32  = o range de IP que será usado para validar os email recebidos pelo MTA's destinatários;
a:boot.mail.net.br  = esse parâmetro informa que um MTA externo está autorizado a enviar e-mails por esse DNS. Para registrar mais de um basta inserir um espaço e inserir a: mais o host ficando assim: ( a:boot.mail.net.br  a:smtp.teste2.com.br); 
include:mail.cr3che.com.br =  esse parâmetro informa que um domínio externo está autorizado a enviar e-mails por esse DNS. Para registrar mais de um basta inserir um espaço e inserir a: mais o host ficando assim: (  include:mail.cr3che.com.br  include:mail.jgaseguros.com.br );  
-all =  Fail "-all" não compativeis serão rejeitados

Esse é o meu registro final

 bidela.com.br.  IN TXT "v=spf1 mx a ip4:50.116.86.34/32 -all"

Com o código acima informo aos MTA’s destinatários que o DNS bidela.com.br responde por qualquer registro MX e A e estão autorizados para o IP 50.116.86.34 e qualquer regra diferentes disso serão rejeitados.

Inserindo os dados no DNS

Para esse exemplo usaremos o editor de zonas DNS do meu provedores de hospedagem de site, mas o exemplo servirá para qualquer servidor DNS, por ser tratar de campos padronizados entre os serviços DNS.

Se certifique de estar na Zona DNS que queira realizar a inserção do registro.

Clique em inserir novo registro

Clique em Adicionar Registro. Agora vamos realizar um novo teste de SPF usando o mesmo serviço do inicio desse artigo.

A baixo segue um registro genérico que deve funcionar para a grande maioria dos registros SPF.

v=spf1 a mx include:websitewelcome.com ~all

Se está gostando das postagens, se inscreva em nosso site para receber mais materiais de nosso blog, é grátis, você vai ser notificado quando novas postagens forem publicadas, recebendo assim mais conteúdos de qualidades e ainda vai dar aquela força pra nossa comunidade. E não esquece de compartilhar em suas redes sociais os botões estão no final desse página.

No final dessa página temos um campo onde você é bem vindo para deixar seus comentários. Pode ser uma opinião, elogios, críticas ou correções. Pode ficar a vontade para tirar suas dúvidas ou colaborar acrescentando algo que tenhamos deixado passar desapercebido.

Sua visita e feedback é muito importante para o nosso espaço.

É do seu interesse?

Deixe uma resposta

%d blogueiros gostam disto: