SPF (Sender Policy Framework)

De Wiki Hackstore

O Sender Policy Framework (SPF) é um recurso muito interessante em complemento às outras técnicas já conhecidas (gerência da porta 25, RBL’s, antivirus, verificações regex de cabeçalhos e corpos e clientes e emails, etc…) no combate de spams, virus e pishing que trafegam pela rede e funciona de uma forma muito simples e extremamente confiável: Todos os donos de domínios definem quem eles permitem que enviem emails com o seu domínio.

Por exemplo: você tem o domínio seusite.com.br e envia seus emails somente pelos servidores do Terra.com. Então você configura um campo TXT corretamente formatado para o SPF com a informação de que somente os servidores do Terra.com podem enviar emails de @seusite.com.br. Dessa forma, se alguém vier de outro IP alheio ao Terra.com em um servidor de email (com spf) e disser ser você@seusite.com.br terá o envio negado!

Porém.. se a mensagem vier de um domínio que não possui o registro SPF ela será entrege normalmente pois não será possível comprovar a autenticidade da mesma.

Criar esse registro só nos trás vantagens: evita que os servidores que fazem a verificação SPF aceitem quem usar nosso domínio em vão ;)

Para quem tem desenvoltura com o bind, a configuração é simples: basta acrescentar um registro TXT do domínio contendo os valores:

“v=spf1 <registros> –all”

É desejável adicionar também um registro SPF com o mesmo conteúdo do registro TXT.

Os registros podem ser:

mx permissão de envio concedida ao servidor mx desse domínio;

a permissão de envio concedida ao ip desse registro;

ip4:200.200.200.0/25 permissão de envio concedida à rede 200.200.200.0/25;

include:dominio.com.br permissão de envio concedida aos mesmos ips listados como permitidos no dominio.com.br.

Existem diversas opções para o –all, sendo que ele é o mais importante pois nega o envio por quem não estiver listado como permitido nos <registros>.

E outra observação importante, os subdomínios devem conter também um registro TXT, permitindo ou negando o envio de mensagens. Por exemplo, como não envio emails de usuario@www.seusite.com.br devemos negar o envio provindo do subdomínio www com o seguinte registro:

www       TXT         “v=spf1 –all”
www       SPF         “v=spf1 –all”

Dependendo da sua quantidade de domínios e ou subdomínios será um trabalho que tomará seu tempo.. porém só precisa ser efetuado uma única vez e não exige manutenção.



Mais infos:

fonte: http://blog.eduardo.nunes.net.br/1146/linux/implementa-spf-postfix
RFC-4408: http://www.ietf.org/rfc/rfc4408.txt