SPF (Sender Policy Framework)
O que é SPF (Sender Policy Framework)?
SPF (Sender Policy Framework)Mecanismo de autenticação de e-mail definido no RFC 7208 que permite a um domínio publicar no DNS quais endereços IP ou hosts estão autorizados a enviar correio usando o seu domínio no MAIL FROM do envelope.
O Sender Policy Framework (SPF), especificado no RFC 7208, permite ao titular do domínio publicar um registo TXT (por exemplo v=spf1 ip4:192.0.2.0/24 include:_spf.example.net -all) com os remetentes autorizados. Os MTAs recetores comparam o domínio do MAIL FROM (return-path) com a política e devolvem um resultado (pass, fail, softfail, neutral, temperror). O SPF autentica apenas o envelope, não o cabeçalho From: visível, pelo que isoladamente não impede a falsificação do nome apresentado. É um dos três pilares do DMARC juntamente com o DKIM. É essencial respeitar o limite de dez lookups DNS, usar qualificadores adequados e preferir -all (falha rígida) a ~all para aplicação real.
● Exemplos
- 01
Publicar v=spf1 include:_spf.google.com -all para autorizar os IPs de saída do Google Workspace e recusar os restantes.
- 02
Usar um serviço terceiro de SPF flattening para se manter dentro do limite de dez lookups DNS.
● Perguntas frequentes
O que é SPF (Sender Policy Framework)?
Mecanismo de autenticação de e-mail definido no RFC 7208 que permite a um domínio publicar no DNS quais endereços IP ou hosts estão autorizados a enviar correio usando o seu domínio no MAIL FROM do envelope. Pertence à categoria Segurança de rede da cibersegurança.
O que significa SPF (Sender Policy Framework)?
Mecanismo de autenticação de e-mail definido no RFC 7208 que permite a um domínio publicar no DNS quais endereços IP ou hosts estão autorizados a enviar correio usando o seu domínio no MAIL FROM do envelope.
Como funciona SPF (Sender Policy Framework)?
O Sender Policy Framework (SPF), especificado no RFC 7208, permite ao titular do domínio publicar um registo TXT (por exemplo v=spf1 ip4:192.0.2.0/24 include:_spf.example.net -all) com os remetentes autorizados. Os MTAs recetores comparam o domínio do MAIL FROM (return-path) com a política e devolvem um resultado (pass, fail, softfail, neutral, temperror). O SPF autentica apenas o envelope, não o cabeçalho From: visível, pelo que isoladamente não impede a falsificação do nome apresentado. É um dos três pilares do DMARC juntamente com o DKIM. É essencial respeitar o limite de dez lookups DNS, usar qualificadores adequados e preferir -all (falha rígida) a ~all para aplicação real.
Como se defender contra SPF (Sender Policy Framework)?
As defesas contra SPF (Sender Policy Framework) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para SPF (Sender Policy Framework)?
Nomes alternativos comuns: Sender Policy Framework.
● Termos relacionados
- network-security№ 333
DMARC
Norma de autenticação de e-mail definida no RFC 7489 que permite ao titular de um domínio publicar uma política indicando aos recetores o que fazer com mensagens que falhem SPF/DKIM e o alinhamento.
- network-security№ 330
DKIM
Norma de autenticação de e-mail (RFC 6376) que permite ao domínio remetente assinar criptograficamente as mensagens, para que os destinatários verifiquem que cabeçalhos e corpo não foram alterados.
- attacks№ 375
Spoofing de e-mail
Falsificação dos cabeçalhos de um e-mail para que pareça enviado por um remetente de confiança, normalmente para phishing, fraude ou entrega de malware.
- attacks№ 135
Comprometimento de e-mail empresarial
Fraude direcionada em que o atacante se faz passar por uma caixa de correio corporativa ou a toma de assalto para induzir um colaborador a transferir dinheiro, alterar dados de pagamento ou enviar informação sensível.
- network-security№ 984
Gateway de E-mail Seguro
Serviço de perímetro ou cloud que filtra e-mail de entrada e saída em busca de spam, phishing, malware, fugas de dados e violações de política antes de chegar às caixas de correio.
- network-security№ 095
BIMI
Norma de e-mail que permite exibir um logótipo de marca verificado junto a mensagens autenticadas em clientes compatíveis, desde que o domínio aplique uma política DMARC de quarantine ou reject.