Configurar SPF para ajudar a impedir o spoofing

Este artigo descreve como atualizar um registo DNS (Domain Name Service) para que possa utilizar a autenticação de e-mail do Sender Policy Framework (SPF) com o seu domínio personalizado no Office 365.

O SPF ajuda a validar o e-mail de saída enviado a partir do seu domínio personalizado (é proveniente de quem diz ser). É um primeiro passo para configurar os métodos de autenticação de e-mail recomendados completos de SPF, DKIM e DMARC.

Pré-requisitos

Importante

Se for uma pequena empresa ou não estiver familiarizado com endereços IP ou configuração de DNS, ligue para a sua entidade de registo de domínios da Internet (por exemplo, GoDaddy, Bluehost, web.com) & peça ajuda com a configuração de DNS do SPF (e qualquer outro método de autenticação de e-mail).

Se não utilizar um URL personalizado (e o URL utilizado para Office 365 termina em onmicrosoft.com), o SPF já foi configurado para si no serviço Office 365.

Vamos começar.

O registo TXT SPF para Office 365 será efetuado em DNS externo para quaisquer domínios personalizados ou subdomínios. Precisa de algumas informações para criar o registo. Recolha estas informações:

  • O registo TXT do SPF para o seu domínio personalizado, se existir. Para obter instruções, consulte Reunir as informações necessárias para criar Office 365 registos DNS.

  • Aceda aos servidores de mensagens e descubra os Endereços IP externos (necessários de todos os servidores de mensagens no local). Por exemplo, 131.107.2.200.

  • Nomes de domínio a utilizar para todos os domínios de terceiros que tem de incluir no seu registo TXT SPF. Alguns fornecedores de correio em massa configuraram subdomínios para utilizar para os seus clientes. Por exemplo, a empresa MailChimp configurou servers.mcsv.net.

  • Descubra que regra de imposição pretende utilizar para o registo TXT do SPF. A regra -all é recomendada. Para obter informações detalhadas sobre outras opções de sintaxe, veja Sintaxe do registo TXT SPF para Office 365.

Importante

Para utilizar um domínio personalizado, Office 365 requer que adicione um registo TXT do Sender Policy Framework (SPF) ao seu registo DNS para ajudar a impedir o spoofing.

Criar ou atualizar o registo TXT do SPF

  1. Certifique-se de que está familiarizado com a sintaxe SPF na tabela seguinte.

    Elemento Se estiver a utilizar... Comum para os clientes? Adicione isto...
    1 Qualquer sistema de e-mail (obrigatório) Comum. Todos os registos TXT SPF começam com este valor v=spf1
    2 Exchange Online Comum include:spf.protection.outlook.com
    3 apenas Exchange Online dedicado Não é comum ip4:23.103.224.0/19
    ip4:206.191.224.0/19
    ip4:40.103.0.0/16
    include:spf.protection.outlook.com
    4 Office 365 Alemanha, apenas Microsoft Cloud Germany Não é comum include:spf.protection.outlook.de
    5 Sistema de e-mail de terceiros Não é comum include:<domain_name>

    <> domain_name é o domínio do sistema de e-mail de terceiros.

    6 Sistema de e-mail no local. Por exemplo, Proteção do Exchange Online mais outro sistema de e-mail Não é comum Utilize um destes para cada sistema de correio adicional:

    ip4:<IP_address>
    ip6:<IP_address>
    include:<domain_name>

    <> IP_address e <domain_name> são o endereço IP e o domínio do outro sistema de e-mail que envia correio em nome do seu domínio.

    7 Qualquer sistema de e-mail (obrigatório) Comum. Todos os registos TXT SPF terminam com este valor <enforcement rule>

    Este pode ser um de vários valores. Recomendamos o valor -all.

  2. Se ainda não o fez, forme o registo TXT do SPF com a sintaxe da tabela.

    Por exemplo, se estiver alojado inteiramente no Office 365, ou seja, não tiver servidores de correio no local, o seu registo TXT SPF incluirá as linhas 1, 2 e 7 e teria o seguinte aspeto:

    v=spf1 include:spf.protection.outlook.com -all
    

    O exemplo acima é o registo TXT SPF mais comum. Este registo funciona para praticamente todas as pessoas, independentemente de o seu datacenter Microsoft estar localizado no Estados Unidos, na Europa (incluindo na Alemanha) ou noutra localização.

    No entanto, se comprou Office 365 Alemanha, parte do Microsoft Cloud Germany, deve utilizar a instrução include da linha 4 em vez da linha 2. Por exemplo, se estiver alojado inteiramente no Office 365 Alemanha, ou seja, não tiver servidores de correio no local, o seu registo TXT SPF incluiria as linhas 1, 4 e 7 e teria o seguinte aspeto:

    v=spf1 include:spf.protection.outlook.de -all
    

    Se já estiver implementado no Office 365 e tiver configurado os seus registos TXT SPF para o seu domínio personalizado e estiver a migrar para Office 365 Alemanha, terá de atualizar o seu registo TXT SPF. Para tal, altere include:spf.protection.outlook.com para include:spf.protection.outlook.de.

  3. Depois de formar o registo TXT do SPF, tem de atualizar o registo no DNS. Só pode ter um registo TXT SPF para um domínio. Se existir um registo TXT SPF, em vez de adicionar um novo registo, terá de atualizar o registo existente. Aceda a Criar registos DNS para Office 365 e, em seguida, selecione a ligação para o anfitrião DNS.

  4. Teste o registo TXT do SPF.

Como lidar com subdomínios?

É importante ter em atenção que tem de criar um registo separado para cada subdomínio, uma vez que os subdomínios não herdam o registo SPF do respetivo domínio de nível superior.

É necessário um registo SPF de caráter universal (*.) para cada domínio e subdomínio para impedir que os atacantes enviem e-mails alegando serem de subdomínios inexistentes. Por exemplo:

*.subdomain.contoso.com. IN TXT "v=spf1 -all"

Resolução de problemas do SPF

Está a ter problemas com o registo TXT do SPF? Leia Resolução de Problemas: Melhores práticas para o SPF no Office 365.

O que é que a autenticação de e-mail SPF realmente faz?

O SPF identifica os servidores de e-mail que têm permissão para enviar e-mails em seu nome. Basicamente, o SPF, juntamente com dKIM, DMARC e outras tecnologias suportadas por Office 365, ajudam a impedir spoofing e phishing. O SPF é adicionado como um registo TXT que é utilizado pelo DNS para identificar que servidores de correio podem enviar correio em nome do seu domínio personalizado. Os sistemas de correio de destinatários referem-se ao registo TXT do SPF para determinar se uma mensagem do seu domínio personalizado provém de um servidor de mensagens autorizado.

Por exemplo, digamos que o seu domínio personalizado contoso.com utiliza Office 365. Adiciona um registo TXT SPF que lista os servidores de mensagens Office 365 como servidores de correio legítimos para o seu domínio. Quando o servidor de mensagens de receção recebe uma mensagem do joe@contoso.com, o servidor procura o registo TXT do SPF para contoso.com e descobre se a mensagem é válida. Se o servidor de receção descobrir que a mensagem provém de um servidor diferente do Office 365 servidores de mensagens listados no registo SPF, o servidor de correio recetor pode optar por rejeitar a mensagem como spam.

Além disso, se o seu domínio personalizado não tiver um registo TXT SPF, alguns servidores de receção poderão rejeitar a mensagem de imediato. Isto acontece porque o servidor de receção não consegue validar que a mensagem provém de um servidor de mensagens autorizado.

Se já tiver configurado o correio para Office 365, significa que já incluiu os servidores de mensagens do Microsoft no DNS como um registo TXT SPF. No entanto, existem alguns casos em que poderá ter de atualizar o registo TXT do SPF no DNS. Por exemplo:

  • Anteriormente, tinha de adicionar um registo TXT SPF diferente ao seu domínio personalizado se estivesse a utilizar o SharePoint Online. Isto já não é necessário. Esta alteração deve reduzir o risco de as mensagens de notificação do SharePoint Online acabarem na pasta Email de Lixo. Atualize o registo TXT do SPF se estiver a atingir o limite de 10 pesquisas e a receber erros que dizem "excedeu o limite de pesquisa" e "demasiados saltos".

  • Se tiver um ambiente híbrido com o Office 365 e o Exchange no local.

  • Pretende configurar o DKIM e o DMARC (recomendado).

Mais informações sobre o SPF

Para obter exemplos avançados, um debate mais detalhado sobre a sintaxe SPF suportada, spoofing, resolução de problemas e como Office 365 suporta o SPF, veja Como funciona o SPF para impedir spoofing e phishing no Office 365.

Passos Seguintes: DKIM e DMARC

O SPF foi concebido para ajudar a impedir o spoofing, mas existem técnicas de spoofing contra as quais o SPF não pode proteger. Para se defender destes problemas, depois de configurar o SPF, deve configurar o DKIM e o DMARC para Office 365.

O objetivo da autenticação de e-mail DKIM é provar que o conteúdo do e-mail não foi adulterado.

O objetivo da autenticação de e-mail DMARC é garantir que as informações de SPF e DKIM correspondem ao endereço De.

Para obter exemplos avançados e um debate mais detalhado sobre a sintaxe SPF suportada, veja Como funciona o SPF para impedir spoofing e phishing no Office 365.

Utilizar remetentes ARC fidedignos para fluxos de correio legítimos

Selecione "Esta página" em "Feedback" se tiver feedback sobre esta documentação.