Registros SPF e as configurações no Google Applications

Está ficando cada vez mais comum ver que os serviços de e-mail estão aplicando restrições para recebimento de mensagens, fazendo verificações de registros SPF.

Um pouco de história e testes …

SPF, do inglês Sender Policy Framework, trata-se basicamente de uma forma de validar que a pessoa (diga-se de passagem o IP do servidor) que está enviando um e-mail, realmente está permitida no domínio de origem, conforme exemplo:

  • robson@dominio.com.br envia uma mensagem para robson@outrodominio.com.br;
  • O servidor outrodominio.com.br , vai verificar se o IP usado pela transferência da mensagem, partindo de robson@dominio.com.br é válido nos registros de SPF;
  • Se não for válido, ele pode rejeitar a mensagem, ou permitir, dependendo da configuração do servidor, tal como as whitelists da vida;

Esse mecanismo é usado para garantir que pessoas não enviem mensagens em nome de outros, apenas trocando os cabeçalhos do e-mail. É totalmente possível enviar uma mensagem como origem “internet@bradesco.com.br” , usando um smtp fake. Ou até mesmo enviar mensagem no nome do seu chefe, ou de um colega por exemplo.

Se você tiver um smtp sem autenticação na sua rede, faça o seguinte teste: Abra o prompt do dos, ou o shell do Linux e vá digitando os seguintes comandos (não esqueça de trocar <<seu email>> pelo seu email de verdade):

telnet smtp.dominio.com.br 25
HELO dominio.com.br
MAIL FROM: hello@google.com
RCPT TO: <<seu email>>
DATA
From: “Google” <hello@google.com>
To: <<seu email>>
Subject: Hello from Google

Esta é uma mensagem fake, demonstrando como fazer spoofing de endereço de email, enviando uma mensagem como se estivesse pelo Google.

.

QUIT

Fazendo o que está descrito acima, poderá funcionar ou não no seu smtp, dependendo da configuração. Se funcionar, você receberá uma mensagem como se fosse enviada por hello@google.com . De fato, em um ambiente seguro isso nunca deveria acontecer, certo ? :)

Quem está usando verificação por SPF ?

A maioria dos provedores usam, e eu tenho certeza que UOL, Terra e Locaweb aplicaram. IG não usa SPF diretamente, já que as contas estão no Gmail e a checkagem do Gmail utiliza outras formas para detectar mensagens.

Apenas para ilustrar um exemplo, desabilitei o SPF no meu servidor DNS para mostrar a validação de SPF. Se você usa GMAIL, pode ver isso clicando na seta azul na direita, e na opção “Mostrar original”.

Mensagem de teste, com registro SPF OK

Mensagem de teste, com registro SPF OK

Mensagem de teste, com registro SPF neutro - Não aprovada

Mensagem de teste, com registro SPF neutro - Não aprovada

Para finalizar, como configurar o SPF no seu provedor se você é usuário de Google Applications ?

Basta editar o DNS do seu domínio, e incluir no registro TXT, a seguinte linha:

v=spf1 include:aspmx.googlemail.com ~all

Mais detalhes no artigo “Set SPF Records” – em inglês, no site do Google.

Bookmarksbookmark bookmark bookmark bookmark bookmark bookmark

Popularity: 3%

5 Comments so far

  1. Renato on August 18th, 2010

    caro Dantas,

    Não estou recebendo e-mail de um domínio específico, o Infolink.com.br.
    Uso o Google Apps e recebo e-mail de vários domínios, menos o citado acima.
    Poderia ser algum problema com o SPF do Infolink?

    Ps. Ótimo blog. Claro e objetivo

  2. admin on August 20th, 2010

    Renato,

    Faça setup de uma conta no gmail e peça para alguém do domínio citado enviar e-mail para essa conta do gmail. Com certeza deve ser problema no servidor deles, e não na configuração do Google Apps, já que você recebe dos outros normalmente.

    SPF é válido nos casos em que você está enviando, e não recebendo.

    -Robson Dantas

  3. Eduardo on July 26th, 2011

    Ontem adicionei em nosso dominio a txt v=spf1 include:aspmx.googlemail.com ~all

    mais tenho uma duvida, quanto aos emails do gmail
    que limita o envio, que no maximo é 500 emails por dia, que essa entrada txt será que altera isso ou fica na mesma coisa.

    abraço

  4. admin on August 9th, 2011

    O limite é no SMTP deles. Não há como fugir.

    abs

    Robson

  5. Aline on August 22nd, 2014

    Olá, gostei muito do artigo. Tenho um problema com o servidor da infolink, não consigo enviar nenhum e-mail para qualquer e-mail no servidor, ligo para lá direto e eles dizem que preciso falar com o google, e minha conta no google apps é grátis, já não sei mais o que faço.

Vale Presente