Como o Microsoft 365 usa SPF (Sender Policy Framework) para evitar falsificação

Dica

Você sabia que pode experimentar os recursos no Microsoft 365 Defender para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub Microsoft 365 Defender portal de avaliações. Saiba mais sobre quem pode se inscrever e os termos de avaliação aqui.

Aplica-se a

Resumo: Este artigo descreve como o Microsoft 365 usa o registro TXT do Sender Policy Framework (SPF) no DNS para garantir que os sistemas de email de destino confiem em mensagens enviadas do seu domínio personalizado. Isso se aplica aos emails de saída enviados do Microsoft 365. As mensagens enviadas do Microsoft 365 para um destinatário no Microsoft 365 sempre passarão pelo SPF.

Um registro TXT SPF é um registro DNS que ajuda a evitar falsificação e phishing, verificando o nome de domínio do qual as mensagens de email são enviadas. O SPF valida a origem das mensagens de email, verificando o endereço IP do remetente em relação ao suposto proprietário do domínio de envio.

Observação

Os tipos de registro SPF tornaram-se obsoletos pela IETF (Internet Engineering Task Force) em 2014. Em vez disso, use os registros TXT no DNS para publicar as informações da sua SPF. O restante deste artigo usa o termo registro TXT SPF para maior clareza.

Administradores de domínio publicam informações do SPF em registros TXT no DNS. As informações do SPF identificam servidores de email de saída autorizados. Os sistemas de email de destino verificam se as mensagens têm origem em servidores de email de saída autorizados. Se você já estiver familiarizado com o SPF ou tiver uma implantação simples e precisar apenas saber o que incluir no registro TXT do SPF no DNS para Microsoft 365, poderá ir para Configurar o SPF no Microsoft 365 para ajudar a evitar falsificação. Se você não tiver uma implantação totalmente hospedada no Microsoft 365 ou quiser mais informações sobre como o SPF funciona ou como solucionar problemas de SPF para o Microsoft 365, continue lendo.

Observação

Anteriormente, você precisava adicionar um registro TXT do SPF diferente ao seu domínio personalizado se também usava o SharePoint Online. Isso não é mais necessário. Essa alteração deve reduzir o risco de mensagens de notificação do SharePoint Online acabarem na pasta Lixo Eletrônico. Você não precisa fazer nenhuma alteração imediatamente, mas se receber o erro "muitas pesquisas", modifique o registro TXT do SPF conforme descrito em Configurar o SPF no Microsoft 365 para ajudar a evitar falsificação.

Como o SPF funciona para evitar falsificação e phishing no Microsoft 365

O SPF determina se um remetente tem ou não permissão para enviar em nome de um domínio. Se o remetente não tiver permissão para fazer isso, ou seja, se o email falhar na verificação do SPF no servidor receptor, a política de spam configurada nesse servidor determinará o que fazer com a mensagem.

Cada registro TXT do SPF contém três partes: a declaração de que ele é um registro TXT do SPF, os endereços IP que têm permissão para enviar emails de seu domínio e os domínios externos que podem enviar em nome do seu domínio e uma regra de imposição. É preciso todos os três em um registro TXT SPF válido. Este artigo descreve como você forma seu registro TXT do SPF e fornece as práticas recomendadas para trabalhar com os serviços no Microsoft 365. Também são fornecidos links para instruções sobre como trabalhar com o registrador de domínios para publicar seu registro para o DNS.

Noções básicas da SPF: endereços IP que podem enviar do seu domínio personalizado

Observe a sintaxe básica de uma regra de SPF:

v=spf1 <IP> <enforcement rule>

Por exemplo, digamos que exista a seguinte regra de SPF para contoso.com:

v=spf1 <IP address #1> <IP address #2> <IP address #3> <enforcement rule>

Neste exemplo, a regra de SPF instrui o servidor de email de recebimento a apenas aceitar emails desses endereços IP para o domínio contoso.com:

  • Endereço IP 1

  • Endereço IP 2

  • Endereço IP 3

Essa regra de SPF informa o servidor de email de recebimento que, se uma mensagem for proveniente de contoso.com, mas não de um desses três endereços IP, o servidor de recebimento deverá fazer valer a regra de aplicação à mensagem. A regra de aplicação é geralmente uma das seguintes opções:

  • Falha irrecuperável. Marca a mensagem com "falha irrecuperável" no envelope de mensagem e segue a política de spam configurada do servidor de recebimento para esse tipo de mensagem.

  • Falha recuperável. Marca a mensagem com "falha recuperável" no envelope de mensagem. Normalmente, os servidores de email estão configurados para entregar essas mensagens de qualquer maneira. A maioria dos usuários finais não vê essa marca.

  • Neutro. Não faça nada, ou seja, não marque o envelope da mensagem. Isso é reservado para fins de teste e raramente é usado.

Os exemplos a seguir mostram como o SPF funciona em diferentes situações. Nestes exemplos, contoso.com é o remetente e woodgrovebank.com é o destinatário.

Exemplo 1: Autenticação de email de uma mensagem enviada diretamente do remetente para o destinatário

O SPF funciona melhor quando o caminho do remetente para o destinatário é direto, por exemplo:

Diagrama que mostra como o SPF autentica o email quando ele é enviado diretamente de um servidor para outro.

Quando woodgrovebank.com recebe a mensagem, se o endereço IP 1 está no registro TXT SPF para contoso.com, a mensagem passa na verificação do SPF e é autenticada.

Exemplo 2: Endereço falsificado do remetente falha na verificação do SPF

Suponha que um agente de phishing encontre uma maneira de falsificar contoso.com:

Diagrama que mostra como o SPF autentica o email quando ele é enviado de um servidor falso.

Como o endereço IP nº 12 não está no registro TXT do SPF da contoso.com, a mensagem falha na verificação do SPF e o receptor pode optar por marcá-la como spam.

Exemplo 3: SPF e mensagens encaminhadas

Uma desvantagem do SPF é que ele não funciona quando um email é encaminhado. Por exemplo, suponha que o usuário em woodgrovebank.com configurou uma regra de encaminhamento para enviar todos os e-mails para uma conta do outlook.com:

Diagrama que mostra como o SPF não consegue autenticar o email quando a mensagem é encaminhada.

A mensagem passa originalmente a verificação do SPF em woodgrovebank.com mas falha na verificação do SPF em outlook.com porque o IP nº 25 não está no registro TXT do SPF da contoso.com. O domínio outlook.com pode marcar a mensagem como spam. Para contornar esse problema, use o SPF com outros métodos de autenticação de email, como DKIM e DMARC.

Noções básicas do SPF: Inclusão de domínios de terceiros que podem enviar emails em nome do seu domínio

Além de endereços IP, também é possível configurar seu registro TXT SPF para incluir domínios como remetentes. Eles são adicionados ao registro TXT SPF como instruções "incluir". Por exemplo, contoso.com pode querer incluir todos os endereços IP dos servidores de email do contoso.net e contoso.org, que ele também possui. Para fazer isso, contoso.com publica um registro TXT SPF parecido com este:

v=spf1 include:contoso.net include:contoso.org -all

Quando o servidor receptor vê esse registro no DNS, ele também executa uma pesquisa de DNS no registro TXT do SPF para contoso.net e, em seguida, para contoso.org. Se encontrar outra instrução include nos registros para contoso.net ou contoso.org, ela também os seguirá. Para ajudar a evitar ataques de negação de serviço, o número máximo de pesquisas de DNS para uma única mensagem de email é 10. Cada instrução include representa uma pesquisa dns adicional. Se uma mensagem exceder o limite de 10, a mensagem falhará no SPF. Depois que uma mensagem atingir esse limite, dependendo da maneira como o servidor de recebimento está configurado, o remetente poderá receber uma mensagem informando que a mensagem gerou "muitas pesquisas" ou que a "contagem máxima de saltos para a mensagem foi excedida" (o que pode acontecer quando as pesquisas executam um loop e ultrapassam o tempo limite do DNS). Para obter dicas sobre como evitar isso, consulte Solução de problemas: práticas recomendadas para SPF no Microsoft 365.

Requisitos para o registro TXT do SPF e o Microsoft 365

Se você configurou o email ao configurar o Microsoft 365, já criou um registro TXT do SPF que identifica os servidores de mensagens da Microsoft como uma fonte legítima de email para seu domínio. Esse registro provavelmente tem a seguinte aparência:

v=spf1 include:spf.protection.outlook.com -all

Se você é um cliente totalmente hospedado, ou seja, não tem servidores de email locais que enviam emails de saída, esse é o único registro TXT do SPF que você precisa publicar para Office 365.

Se você tiver uma implantação híbrida (ou seja, se você tiver algumas caixas de correio locais e algumas hospedadas no Microsoft 365) ou se você for um cliente autônomo do Proteção do Exchange Online (ou seja, sua organização usa o EOP para proteger suas caixas de correio locais), adicione o endereço IP de saída para cada um dos seus servidores de email de borda local ao registro TXT do SPF no DNS.

Formar seu registro TXT do SPF para o Microsoft 365

Use as informações de sintaxe neste artigo para formular o registro TXT SPF do seu domínio personalizado. Apesar de haver outras opções de sintaxe que não são mencionadas aqui, essas são as opções mais usadas. Após formar seu registro, é preciso atualizá-lo com seu registrador de domínio.

Para obter informações sobre os domínios que você precisará incluir para o Microsoft 365, consulte registros DNS externos necessários para o SPF. Use as instruções passo a passo para atualizar registros TXT SPF para o seu registrador de domínios.

Sintaxe de registro TXT do SPF para o Microsoft 365

Um registro TXT SPF típico para o Microsoft 365 tem a seguinte sintaxe:

v=spf1 [<ip4>|<ip6>:<IP address>] [include:<domain name>] <enforcement rule>

Por exemplo:

v=spf1 ip4:192.168.0.1 ip4:192.168.0.2 include:spf.protection.outlook.com -all

em que:

  • v=spf1 é obrigatório. Isso define o registro TXT como um registro TXT SPF.

  • ip4 indica que você está usando endereços IP versão 4. ip6 indica que você está usando endereços IP versão 6. Se você estiver usando endereços IP IPv6, substitua ip4 por ip6 nos exemplos neste artigo. Você também pode especificar intervalos de endereços IP usando a notação CIDR, por exemplo, ip4:192.168.0.1/26.

  • IP address é o endereço IP que você deseja adicionar ao registro TXT SPF. Geralmente, esse é o endereço IP do servidor de email de saída da sua organização. É possível listar vários servidores de email de saída. Para obter mais informações, consulte Exemplo: registro TXT do SPF para vários servidores de email locais de saída e o Microsoft 365.

  • domain name é o domínio que você deseja adicionar como remetente legítimo. Para obter uma lista de nomes de domínio que você deve incluir para o Microsoft 365, consulte registros DNS externos necessários para o SPF.

  • A regra de aplicação é geralmente uma das seguintes:

    • -all

      Indica falha irrecuperável. Se você souber todos os endereços IP autorizados para seu domínio, liste-os no registro TXT do SPF e use o qualificador -all (com falha). Além disso, se você estiver usando apenas o SPF, ou seja, não estiver usando DMARC ou DKIM, deverá usar o qualificador -all. Recomendamos que você sempre use esse qualificador.

    • ~all

      Indica falha recuperável. Se você não sabe se tem a lista completa de endereços IP, convém usar o qualificador ~all (falha recuperável). Além disso, se você estiver usando o DMARC com p=quarantine ou p=reject, poderá usar ~all. Caso contrário, use -all.

    • ?all

      Indica neutralidade. Usado ao testar o SPF. Não recomendamos que você use esse qualificador em sua implantação dinâmica.

Exemplo: registro TXT do SPF a ser usado quando todo o seu email é enviado pelo Microsoft 365

Se todos os seus emails forem enviados pelo Microsoft 365, use-o no registro TXT do SPF:

v=spf1 include:spf.protection.outlook.com -all

Exemplo: registro TXT do SPF para um cenário híbrido com um Exchange Server e o Microsoft 365

Em um ambiente híbrido, se o endereço IP do seu Exchange Server local for 192.168.0.1, para definir a regra de aplicação da SPF como falha irrecuperável, formule o registro TXT SPF da seguinte maneira:

v=spf1 ip4:192.168.0.1 include:spf.protection.outlook.com -all

Exemplo: registro TXT do SPF para vários servidores de email locais de saída e o Microsoft 365

Se tiver vários servidores de saída de email, inclua o endereço IP de cada servidor de email no registro TXT SPF e separe cada endereço IP com um espaço seguido de um "ip4".declaração. Por exemplo:

v=spf1 ip4:192.168.0.1 ip4:192.168.0.2 ip4:192.168.0.3 include:spf.protection.outlook.com -all

Próximas etapas: Configurar o SPF para o Microsoft 365

Depois de formular o registro TXT do SPF, siga as etapas em Configurar o SPF no Microsoft 365 para ajudar a evitar falsificação para adicioná-lo ao seu domínio.

Embora o SPF seja projetado para ajudar a evitar falsificação, mas há técnicas de falsificação contra as qual o SPF não pode proteger. Para se proteger contra eles, depois de configurar o SPF, você também deve configurar o DKIM e o DMARC para o Microsoft 365. Para começar, consulte Usar o DKIM para validar emails de saída enviados do seu domínio personalizado no Microsoft 365. Em seguida, consulte Usar DMARC para validar emails no Microsoft 365.

Solução de problemas: práticas recomendadas para SPF no Microsoft 365

Você só pode criar um registro TXT SPF para o seu domínio personalizado. A criação de vários registros causa uma situação de round robin e a falha do SPF. Para evitar isso, crie registros separados para cada subdomínio. Por exemplo, crie um registro para contoso.com e outro para bulkmail.contoso.com.

Se uma mensagem de email causar mais de 10 pesquisas de DNS antes de ser entregue, o servidor de recebimento responderá com um erro permanente, também chamado de permerror, e fará com que a mensagem falhe na verificação do SPF. O servidor de recebimento também pode responder com uma NDR (notificação de falha na entrega) que contém um erro semelhante a estes:

  • A mensagem excedeu a contagem de saltos.

  • A mensagem exigiu muitas pesquisas.

Evitando o erro "muitas pesquisas" ao usar domínios de terceiros com o Microsoft 365

Alguns registros TXT SPF de domínios de terceiros instruem o servidor de recebimento a realizar um grande número de pesquisas de DNS. Por exemplo, na ocasião da elaboração deste artigo, Salesforce.com contém cinco instruções de inclusão em seu registro:

v=spf1 include:_spf.google.com
include:_spfblock.salesforce.com
include:_qa.salesforce.com
include:_spfblock1.salesforce.com
include:spf.mandrillapp.com mx ~all

Para evitar o erro, você pode implementar uma política na qual qualquer pessoa que enviar emails em massa, por exemplo, precisará usar um subdomínio especificamente para essa finalidade. Em seguida, você define um registro TXT SPF diferente para o subdomínio que inclui os emails em massa.

Em alguns casos, como no exemplo salesforce.com, você precisa usar o domínio no seu registro TXT SPF, mas, em outros casos, terceiros podem já ter criado um subdomínio a ser usado para essa finalidade. Por exemplo, exacttarget.com criou um subdomínio que você precisa usar para o seu registro TXT SPF:

cust-spf.exacttarget.com

Quando você inclui domínios de terceiros no seu registro TXT SPF, precisa confirmar com eles qual domínio ou subdomínio deve ser usado para evitar o limite de 10 pesquisas.

Como visualizar seu registro TXT SPF atual e determinar o número de pesquisas que ele exige

Você pode usar nslookup para visualizar seus registros DNS, incluindo seu registro TXT SPF. Há muitas ferramentas online e gratuitas disponíveis que você pode usar para exibir o conteúdo do registro TXT do SPF. Ao examinar seu registro TXT SPF e seguir a cadeia de redirecionamentos e instruções de inclusão, é possível determinar quantas pesquisas de DNS o registro exige. Algumas ferramentas online até mesmo contarão e exibirão essas pesquisas para você. Manter o controle desse número ajudará a impedir que mensagens enviadas de sua organização disparem um erro permanente, chamado de erro de perm, do servidor de recebimento.

Para obter mais informações

Precisa de ajuda para adicionar o registro TXT do SPF? Leia o artigo Criar registros DNS em qualquer provedor de hospedagem DNS do Microsoft 365 para obter informações detalhadas sobre o uso do Sender Policy Framework com seu domínio personalizado no Microsoft 365. Os cabeçalhos de mensagens antispam incluem a sintaxe e os campos de cabeçalho usados pelas verificações do Microsoft 365 para SPF.