Como o Microsoft 365 usa SPF (Sender Policy Framework) para evitar falsificação

Dica

Você sabia que pode experimentar os recursos no Microsoft 365 Defender para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft 365 Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Aplica-se a

Resumo: Este artigo descreve como Microsoft 365 usa o registro TXT do Sender Policy Framework (SPF) no DNS para garantir que os sistemas de email de destino confiem em mensagens enviadas de seu domínio personalizado. Isso se aplica aos emails de saída enviados do Microsoft 365. As mensagens enviadas do Microsoft 365 para um destinatário no Microsoft 365 sempre passarão pelo SPF.

Um registro TXT SPF é um registro DNS que ajuda a evitar falsificação e phishing, verificando o nome de domínio do qual as mensagens de email são enviadas. O SPF valida a origem das mensagens de email, verificando o endereço IP do remetente em relação ao suposto proprietário do domínio de envio.

Observação

Os tipos de registro SPF tornaram-se obsoletos pela IETF (Internet Engineering Task Force) em 2014. Em vez disso, use os registros TXT no DNS para publicar as informações da sua SPF. O restante deste artigo usa o termo registro TXT SPF para maior clareza.

Administradores de domínio publicam informações do SPF em registros TXT no DNS. As informações do SPF identificam servidores de email de saída autorizados. Os sistemas de email de destino verificam se as mensagens têm origem em servidores de email de saída autorizados. Se você já estiver familiarizado com o SPF ou tiver uma implantação simples e apenas precisar saber o que incluir no registro SPF TXT no DNS para Microsoft 365, você pode ir para Configurar o SPF no Microsoft 365 para ajudar a evitar falsificação. Se você não tiver uma implantação totalmente hospedada no Microsoft 365 ou quiser mais informações sobre como o SPF funciona ou como solucionar problemas do SPF para Microsoft 365, continue lendo.

Observação

Anteriormente, você tinha que adicionar um registro TXT SPF diferente ao seu domínio personalizado se também usou o SharePoint Online. Isso não é mais necessário. Essa alteração deve reduzir o risco de mensagens de notificação do SharePoint Online acabarem na pasta Lixo Eletrônico. Você não precisa fazer nenhuma alteração imediatamente, mas se receber o erro "muitas pesquisas", modifique seu registro SPF TXT conforme descrito em Configurar o SPF no Microsoft 365 para ajudar a evitar falsificações.

Como o SPF funciona para evitar falsificação e phishing no Microsoft 365

O SPF determina se um remetente tem ou não permissão para enviar em nome de um domínio. Se o remetente não tiver permissão para fazer isso, ou seja, se o email falhar na verificação do SPF no servidor receptor, a política de spam configurada nesse servidor determinará o que fazer com a mensagem.

Cada registro TXT do SPF contém três partes: a declaração de que é um registro SPF TXT, os endereços IP que têm permissão para enviar emails do domínio e dos domínios externos que podem enviar em nome do seu domínio e uma regra de imposição. É preciso todos os três em um registro TXT SPF válido. Este artigo descreve como você forma seu registro SPF TXT e fornece práticas recomendadas para trabalhar com os serviços no Microsoft 365. Também são fornecidos links para instruções sobre como trabalhar com o registrador de domínios para publicar seu registro para o DNS.

Noções básicas da SPF: endereços IP que podem enviar do seu domínio personalizado

Observe a sintaxe básica de uma regra de SPF:

regra de imposição de IP><v=spf1 <>

Por exemplo, digamos que exista a seguinte regra de SPF para contoso.com:

v=spf1 <Endereço IP #1><Endereço IP #2><Endereço IP #3><regra de imposição>

Neste exemplo, a regra de SPF instrui o servidor de email de recebimento a apenas aceitar emails desses endereços IP para o domínio contoso.com:

  • Endereço IP 1

  • Endereço IP 2

  • Endereço IP 3

Essa regra de SPF informa o servidor de email de recebimento que, se uma mensagem for proveniente de contoso.com, mas não de um desses três endereços IP, o servidor de recebimento deverá fazer valer a regra de aplicação à mensagem. A regra de aplicação é geralmente uma das seguintes opções:

  • Falha irrecuperável. Marca a mensagem com "falha irrecuperável" no envelope de mensagem e segue a política de spam configurada do servidor de recebimento para esse tipo de mensagem.

  • Falha recuperável. Marca a mensagem com "falha recuperável" no envelope de mensagem. Normalmente, os servidores de email estão configurados para entregar essas mensagens de qualquer maneira. A maioria dos usuários finais não vê essa marca.

  • Neutro. Não faça nada, ou seja, não marque o envelope da mensagem. Isso é reservado para fins de teste e raramente é usado.

Os exemplos a seguir mostram como o SPF funciona em diferentes situações. Nestes exemplos, contoso.com é o remetente e woodgrovebank.com é o destinatário.

Exemplo 1: Autenticação de email de uma mensagem enviada diretamente do remetente para o destinatário

O SPF funciona melhor quando o caminho do remetente para o destinatário é direto, por exemplo:

Diagrama que mostra como o SPF autentica o email quando ele é enviado diretamente de um servidor para outro.

Quando woodgrovebank.com recebe a mensagem, se o endereço IP 1 está no registro TXT SPF para contoso.com, a mensagem passa na verificação do SPF e é autenticada.

Exemplo 2: Endereço falsificado do remetente falha na verificação do SPF

Suponha que um agente de phishing encontre uma maneira de falsificar contoso.com:

Diagrama que mostra como o SPF autentica o email quando ele é enviado de um servidor falso.

Como o endereço IP nº 12 não está no registro SPF TXT da Contoso.com, a mensagem falha na verificação SPF e o receptor pode optar por marcá-lo como spam.

Exemplo 3: SPF e mensagens encaminhadas

Uma desvantagem do SPF é que ele não funciona quando um email é encaminhado. Por exemplo, suponha que o usuário em woodgrovebank.com configurou uma regra de encaminhamento para enviar todos os e-mails para uma conta do outlook.com:

Diagrama que mostra como o SPF não consegue autenticar o email quando a mensagem é encaminhada.

A mensagem passa originalmente a verificação SPF em woodgrovebank.com mas falha na verificação SPF em outlook.com porque o IP nº 25 não está no registro SPF TXT da contoso.com. O domínio outlook.com pode marcar a mensagem como spam. Para resolver esse problema, use o SPF com outros métodos de autenticação por email, como DKIM e DMARC.

Noções básicas do SPF: Inclusão de domínios de terceiros que podem enviar emails em nome do seu domínio

Além de endereços IP, também é possível configurar seu registro TXT SPF para incluir domínios como remetentes. Eles são adicionados ao registro TXT SPF como instruções "incluir". Por exemplo, contoso.com talvez queira incluir todos os endereços IP dos servidores de email de contoso.net e contoso.org, que ele também possui. Para fazer isso, contoso.com publica um registro TXT SPF parecido com este:

v=spf1 include:contoso.net include:contoso.org -all

Quando o servidor receptor vê esse registro no DNS, ele também executa uma pesquisa DNS no registro SPF TXT para contoso.net e, em seguida, para contoso.org. Se encontrar outra instrução de inclusão dentro dos registros de contoso.net ou contoso.org, ela também a seguirá. Para ajudar a evitar ataques de negação de serviço, o número máximo de pesquisas DNS para uma única mensagem de email é 10. Cada instrução de inclusão representa uma pesquisa DNS adicional. Se uma mensagem exceder o limite de 10, a mensagem falhará no SPF. Depois que uma mensagem atinge esse limite, dependendo da forma como o servidor receptor é configurado, o remetente pode receber uma mensagem que diz que a mensagem gerou "muitas pesquisas" ou que a "contagem máxima de salto para a mensagem foi excedida" (o que pode acontecer quando as pesquisas fazem loop e superam o tempo limite do DNS). Para obter dicas sobre como evitar isso, confira Solução de problemas: Melhores práticas para SPF no Microsoft 365.

Requisitos para seu registro SPF TXT e Microsoft 365

Se você configurar o email ao configurar Microsoft 365, já criou um registro SPF TXT que identifica os servidores de mensagens Microsoft como uma fonte legítima de email para seu domínio. Esse registro provavelmente tem a seguinte aparência:

v=spf1 include:spf.protection.outlook.com -all

Se você é um cliente totalmente hospedado, ou seja, não tem servidores de email locais que enviam emails de saída, este é o único registro TXT SPF que você precisa publicar para Office 365.

Se você tiver uma implantação híbrida (ou seja, você tem algumas caixas de correio locais e algumas hospedadas no Microsoft 365) ou se você for um cliente autônomo Proteção do Exchange Online (EOP) (ou seja, sua organização usa o EOP para proteger suas caixas de correio locais), você deve adicionar o endereço IP de saída para cada um dos servidores de email de borda locais ao registro TXT do SPF no DNS.

Formar seu registro SPF TXT para Microsoft 365

Use as informações de sintaxe neste artigo para formular o registro TXT SPF do seu domínio personalizado. Apesar de haver outras opções de sintaxe que não são mencionadas aqui, essas são as opções mais usadas. Após formar seu registro, é preciso atualizá-lo com seu registrador de domínio.

Para obter informações sobre os domínios que você precisará incluir para Microsoft 365, consulte Registros DNS externos necessários para SPF. Use as instruções passo a passo para atualizar registros TXT SPF para o seu registrador de domínios.

Sintaxe de registro SPF TXT para Microsoft 365

Um registro TXT SPF típico para Microsoft 365 tem a seguinte sintaxe:

v=spf1 [<ip4>|<ip6>:<IP address>] [include:<domain name>] <enforcement rule>

Por exemplo:

v=spf1 ip4:192.168.0.1 ip4:192.168.0.2 include:spf.protection.outlook.com -all

em que:

  • v=spf1 é obrigatório. Isso define o registro TXT como um registro TXT SPF.

  • o ip4 indica que você está usando endereços IP versão 4. ip6 indica que você está usando endereços IP versão 6. Se você estiver usando endereços IP IPv6, substitua ip4 por ip6 nos exemplos deste artigo. Você também pode especificar intervalos de endereços IP usando a notação CIDR, por exemplo, ip4:192.168.0.1/26.

  • IP address é o endereço IP que você deseja adicionar ao registro TXT SPF. Geralmente, esse é o endereço IP do servidor de email de saída da sua organização. É possível listar vários servidores de email de saída. Para obter mais informações, consulte Exemplo: registro SPF TXT para vários servidores de email locais de saída e Microsoft 365.

  • domain name é o domínio que você deseja adicionar como remetente legítimo. Para obter uma lista de nomes de domínio que você deve incluir para Microsoft 365, consulte Registros DNS externos necessários para SPF.

  • A regra de aplicação é geralmente uma das seguintes:

    • -all

      Indica falha irrecuperável. Se você souber todos os endereços IP autorizados para seu domínio, liste-os no registro TXT do SPF e use o qualificador -all (falha dura). Além disso, se você estiver usando apenas o SPF, ou seja, não estiver usando DMARC ou DKIM, deverá usar o qualificador -all. Recomendamos que você sempre use esse qualificador.

    • ~all

      Indica falha recuperável. Se você não sabe se tem a lista completa de endereços IP, convém usar o qualificador ~all (falha recuperável). Além disso, se você estiver usando o DMARC com p=quarentena ou p=reject, poderá usar ~todos. Caso contrário, use -all.

    • ?all

      Indica neutralidade. Usado ao testar o SPF. Não recomendamos que você use esse qualificador em sua implantação ao vivo.

Exemplo: registro TXT SPF a ser usado quando todos os emails forem enviados pelo Microsoft 365

Se todos os emails forem enviados pelo Microsoft 365, use-o no registro TXT do SPF:

v=spf1 include:spf.protection.outlook.com -all

Exemplo: registro SPF TXT para um cenário híbrido com um Exchange Server local e Microsoft 365

Em um ambiente híbrido, se o endereço IP do seu Exchange Server local for 192.168.0.1, para definir a regra de aplicação da SPF como falha irrecuperável, formule o registro TXT SPF da seguinte maneira:

v=spf1 ip4:192.168.0.1 include:spf.protection.outlook.com -all

Exemplo: registro SPF TXT para vários servidores de email locais de saída e Microsoft 365

Se tiver vários servidores de saída de email, inclua o endereço IP de cada servidor de email no registro TXT SPF e separe cada endereço IP com um espaço seguido de um "ip4".declaração. Por exemplo:

v=spf1 ip4:192.168.0.1 ip4:192.168.0.2 ip4:192.168.0.3 include:spf.protection.outlook.com -all

Próximas etapas: configurar o SPF para Microsoft 365

Depois de formular o registro TXT do SPF, siga as etapas em Configurar o SPF no Microsoft 365 para ajudar a evitar falsificação para adicioná-lo ao seu domínio.

Embora o SPF tenha sido projetado para ajudar a evitar falsificações, mas há técnicas de falsificação contra as quais o SPF não pode proteger. Para se proteger contra eles, depois de configurar o SPF, você também deve configurar DKIM e DMARC para Microsoft 365. Para começar, consulte Usar o DKIM para validar o email de saída enviado de seu domínio personalizado no Microsoft 365. Em seguida, consulte Usar DMARC para validar emails no Microsoft 365.

Solução de problemas: melhores práticas para SPF no Microsoft 365

Você só pode criar um registro TXT SPF para o seu domínio personalizado. A criação de vários registros causa uma situação de round robin e a falha do SPF. Para evitar isso, crie registros separados para cada subdomínio. Por exemplo, crie um registro para contoso.com e outro para bulkmail.contoso.com.

Se uma mensagem de email causar mais de 10 pesquisas DNS antes de ser entregue, o servidor de email receptor responderá com um erro permanente, também chamado de permerror e fará com que a mensagem falhe na verificação do SPF. O servidor de recebimento também pode responder com uma NDR (notificação de falha na entrega) que contém um erro semelhante a estes:

  • A mensagem excedeu a contagem de saltos.

  • A mensagem exigiu muitas pesquisas.

Evitando o erro de "muitas pesquisas" ao usar domínios de terceiros com Microsoft 365

Alguns registros TXT SPF de domínios de terceiros instruem o servidor de recebimento a realizar um grande número de pesquisas de DNS. Por exemplo, na ocasião da elaboração deste artigo, Salesforce.com contém cinco instruções de inclusão em seu registro:

v=spf1 include:_spf.google.com
include:_spfblock.salesforce.com
include:_qa.salesforce.com
include:_spfblock1.salesforce.com
include:spf.mandrillapp.com mx ~all

Para evitar o erro, você pode implementar uma política na qual qualquer pessoa que enviar emails em massa, por exemplo, precisará usar um subdomínio especificamente para essa finalidade. Em seguida, você define um registro TXT SPF diferente para o subdomínio que inclui os emails em massa.

Em alguns casos, como no exemplo salesforce.com, você precisa usar o domínio no seu registro TXT SPF, mas, em outros casos, terceiros podem já ter criado um subdomínio a ser usado para essa finalidade. Por exemplo, exacttarget.com criou um subdomínio que você precisa usar para o seu registro TXT SPF:

cust-spf.exacttarget.com

Quando você inclui domínios de terceiros no seu registro TXT SPF, precisa confirmar com eles qual domínio ou subdomínio deve ser usado para evitar o limite de 10 pesquisas.

Como visualizar seu registro TXT SPF atual e determinar o número de pesquisas que ele exige

Você pode usar nslookup para visualizar seus registros DNS, incluindo seu registro TXT SPF. Há muitas ferramentas online gratuitas disponíveis que você pode usar para exibir o conteúdo do seu registro TXT do SPF. Ao examinar seu registro TXT SPF e seguir a cadeia de redirecionamentos e instruções de inclusão, é possível determinar quantas pesquisas de DNS o registro exige. Algumas ferramentas online até mesmo contarão e exibirão essas pesquisas para você. Manter o controle desse número ajudará a impedir que as mensagens enviadas de sua organização acionem um erro permanente, chamado de erro de perm, do servidor receptor.

Para obter mais informações

Precisa de ajuda para adicionar o registro SPF TXT? Leia o artigo Criar registros DNS em qualquer provedor de hospedagem DNS para Microsoft 365 para obter informações detalhadas sobre o uso do Sender Policy Framework com seu domínio personalizado no Microsoft 365. Os cabeçalhos de mensagem anti-spam incluem os campos de sintaxe e cabeçalho usados pelo Microsoft 365 para verificações de SPF.