Configure o SPF para ajudar a evitar falsificações

Este artigo descreve como atualizar um registro DNS (Serviço de Nome de Domínio) para que você possa usar a autenticação de email do SPF (Sender Policy Framework) com seu domínio personalizado no Office 365.

A SPF ajuda a validar emails de saída enviados de seu domínio personalizado (são provenientes de quem diz que ele é). É a primeira etapa na configuração dos métodos de autenticação de email completos recomendados da SPF, do DKIMe do DMARC.

Pré-requisitos

Importante

Se você for uma pequena empresa ou não estiver familiarizado com endereços IP ou configuração de DNS, chame o registrador de domínios da Internet (por exemplo, GoDaddy, Bluehost, web.com) & e peça ajuda com a configuração de DNS do SPF (e qualquer outro método de autenticação de email).

Se você não usar uma URL personalizada (e a URL usada para o Office 365 termina em onmicrosoft.com), a SPF já foi configurada para você no serviço do Office 365.

Vamos começar.

O registro TXT SPF para o Office 365 será feito em DNS externo para qualquer domínio personalizado ou subdomínios. Você precisa de algumas informações para fazer o registro. Reúna essas informações:

  • O registro TXT SPF do seu domínio personalizado, se houver. Para obter instruções, confira Reúna as informações necessárias para criar registros DNS do Office 365.

  • Vá para o(s) seu(s) servidor(es) de mensagens e descubra os endereços IP externos (necessários de todos os servidores de mensagens locais). Por exemplo, 131.107.2.200.

  • Os nomes de domínio a serem usados para todos os domínios de terceiros que você precisa para incluir em seu registro TXT da SPF. Alguns provedores de email em massa configuraram subdomínios a serem usados para seus clientes. Por exemplo, a empresa MailChimp configurou servers.mcsv.net.

  • Descubra qual regra de aplicação você deseja usar para o seu registro SPF TXT. A regra -all é recomendada. Para obter informações detalhadas sobre outras opções de sintaxe, confira Sintaxe de registro SPF TXT para Office 365.

Importante

Para usar um domínio personalizado, o Office 365 exige que você adicione um registro TXT da Sender Policy Framework (SPF) ao registro DNS para ajudar a evitar falsificações.

Criar ou atualizar seu registro TXT da SPF

  1. Verifique se está familiarizado com a sintaxe SPF na tabela a seguir.

    Elemento Se você estiver usando... Comum para clientes? Adicione este...
    1 Qualquer sistema de email (obrigatório) Comum. Todos os registros TXT da SPF começam com esse valor v=spf1
    2 Exchange Online Comum include:spf.protection.outlook.com
    3 Somente Exchange Online dedicado Incomum ip4:23.103.224.0/19
    ip4:206.191.224.0/19
    ip4:40.103.0.0/16
    include:spf.protection.outlook.com
    4 Office 365 Alemanha, Microsoft Cloud Alemanha apenas Incomum include:spf.protection.outlook.de
    5 Sistema de email de terceiros Incomum include:<domain_name>

    <> domain_name é o domínio do sistema de email de terceiros.

    6 Sistema de email local. Por exemplo, Proteção do Exchange Online mais outro sistema de email Incomum Use um destes procedimentos para cada sistema de email adicional:

    ip4:<IP_address>
    ip6:<IP_address>
    include:<domain_name>

    <> IP_address e <domain_name> são o endereço IP e o domínio do outro sistema de email que envia emails em nome do seu domínio.

    7 Qualquer sistema de email (obrigatório) Comum. Todos os registros TXT da SPF terminam com esse valor <enforcement rule>

    Este pode ser um dos vários valores. Recomendamos o valor -all

  2. Se ainda não tiver feito isso, crie seu registro TXT SPF usando a sintaxe da tabela.

    Por exemplo, se você estiver totalmente hospedado no Office 365, ou seja, se você não tiver servidores de email locais, seu registro TXT SPF incluiria as linhas 1, 2 e 7 e teria esta aparência:

    v=spf1 include:spf.protection.outlook.com -all
    

    O exemplo acima é o registro TXT SPF mais comum. Esse registro funciona para praticamente todas as pessoas, independentemente de seu data center da Microsoft estar localizado nos Estados Unidos ou na Europa (incluindo a Alemanha) ou em outro local.

    No entanto, se você comprou Office 365 Alemanha, parte do Microsoft Cloud Germany, deverá usar a instrução include da linha 4 em vez da linha 2. Por exemplo, se você estiver totalmente hospedado no Office 365 Alemanha, ou seja, não tiver servidores de email locais, o registro TXT do SPF incluirá as linhas 1, 4 e 7 e terá esta aparência:

    v=spf1 include:spf.protection.outlook.de -all
    

    Se você já implementou no Office 365 e configurou seus registros TXT SPF para o seu domínio personalizado e estiver migrando para o Office 365 Germany, será preciso atualizar o registro TXT SPF. Para fazer isso, altere include:spf.protection.outlook.com para include:spf.protection.outlook.de.

  3. Depois que você formar seu registro TXT SPF, precisará atualizar o registro no DNS. Você só pode ter um registro TXT SPF para um domínio. Se houver um registro TXT SPF, em vez de adicionar um novo registro, você precisa atualizar o registro existente. Acesse Criar registros de DNS para o Office 365 e, em seguida, selecionar no link do seu host DNS.

  4. Testar o registro do SPF TXT.

Como lidar com subdomínios?

É importante observar que você precisa criar um registro separado para cada subdomínio, pois os subdomínios não herdam o registro SPF de seu domínio de nível superior.

Um registro SPF curinga (*.) é necessário para todos os domínios e subdomínios para impedir que os ataques por envio de emails que alegam ser de subdomínios não existentes. Por exemplo:

*.subdomain.contoso.com. IN TXT "v=spf1 -all"

Solução de problemas da SPF

Algum problema com seu registro TXT da SPF? Leia Solução de problemas: práticas recomendadas para o SPF no Office 365.

O que a autenticação de email SPF realmente faz?

O SPF identifica quais servidores de email têm permissão para enviar e-mails em seu nome. Basicamente, o SPF, junto com DKIM, DMARC e outras tecnologias suportadas pelo Office 365, ajudam a prevenir spoofing e phishing. A SPF é adicionada como um registro TXT que é usado pelo DNS para identificar quais servidores de email podem enviar emails em nome de seu domínio personalizado. Os sistemas de email dos destinatários podem consultar o registro TXT SPF para determinar se uma mensagem de seu domínio personalizado vem de um servidor de mensagens autorizado.

Por exemplo, digamos que seu domínio personalizado contoso.com usa o Office 365. Você adiciona um registro TXT SPF que lista os servidores de mensagens do Office 365 como servidores de email legítimos para seu domínio. Quando o servidor de mensagens de recebimento recebe uma mensagem, o servidor pesquisa o registro TXT do SPF para contoso.com e descobre se a joe@contoso.commensagem é válida. Se o servidor de recebimento descobrir que a mensagem é proveniente de um servidor diferente dos servidores de mensagens do Office 365 listados no registro SPF, o servidor de email de recebimento pode optar por rejeitar a mensagem como spam.

Além disso, se o seu domínio personalizado não tiver um registro TXT SPF, alguns servidores de recebimento poderão rejeitar a mensagem imediatamente. Isso ocorre porque o servidor de recebimento não consegue validar se a mensagem vem de um servidor de mensagens autorizado.

Se você já configurou o email do Office 365, então você já incluiu os servidores de mensagens da Microsoft no DNS como um registro TXT SPF. No entanto, há alguns casos em que talvez você precise atualizar seu registro TXT SPF no DNS. Por exemplo:

  • Antes, era necessário adicionar um registro TXT SPF diferente para o seu domínio personalizado se você estivesse usando o SharePoint Online. Isso não é mais necessário. Essa alteração deve reduzir o risco de mensagens de notificação do SharePoint Online acabarem na pasta Lixo Eletrônico. Atualize seu registro TXT SPF se você estiver atingindo o limite de 10 pesquisas e recebendo mensagens de erros que informam coisas como "excedeu o limite de pesquisa" e "excesso de saltos".

  • Se você tiver um ambiente híbrido com o Office 365 e o Exchange locais.

  • Você pretende configurar o DKIM e o DMARC (recomendado).

Mais informações sobre a SPF

Para exemplos avançados, uma discussão mais detalhada sobre sintaxe de SPF compatível, falsificação, solução de problemas e como o Office 365 oferece suporte à SPF, confira Como a SPF funciona para evitar a falsificação e o phishing no Office 365.

Próximas etapas: DKIM e DMARC

O SPF foi projetado para ajudar a evitar falsificação, mas existem técnicas de falsificação contra as quais o SPF não pode proteger. Para se defender deles, depois de configurar o SPF, você deve configurar o DKIM e o DMARC para o Office 365.

DKIM O objetivo da autenticação de email DKIM é provar que o conteúdo do email não foi adulterado.

DMARC O objetivo da autenticação de email DMARC é garantir que as informações SPF e DKIM correspondam ao endereço De.

Para obter exemplos avançados e uma discussão mais detalhada sobre a sintaxe SPF com suporte, confira Como funciona o SPF para evitar spoofing e phishing no Office 365.

Usar Remetentes ARC confiáveis para fluxos de email legítimos

Selecione "Esta página" em "Comentários" se você tiver comentários sobre esta documentação.