SPF (Sender Policy Framework)

O que é SPF?

SPF, ou Sender Policy Framework, é um padrão de autenticação baseado em DNS que informa aos servidores destinatários quais endereços IP estão autorizados a enviar e-mail a partir de um determinado domínio. O dono do domínio publica um registro TXT listando os remetentes aprovados, e o destinatário confere o IP de origem contra essa lista.

Por que isso importa

O SPF é uma das defesas mais antigas e simples contra spoofing de e-mail, e ainda hoje ele bloqueia a entrega em praticamente todos os grandes provedores. Um SPF quebrado ou ausente faz com que seu e-mail legítimo possa ser marcado como spam, e torna a aplicação do DMARC impossível. Times de infraestrutura, marketers e qualquer pessoa que adicione uma nova ferramenta de envio devem atualizar o SPF como parte do checklist de onboarding.

Como funciona

O dono do domínio publica um registro TXT no apex do domínio de envio listando os mecanismos aprovados.

acme.io IN TXT "v=spf1 include:sendkit.email include:_spf.google.com ip4:203.0.113.5 -all"

Quando um servidor destinatário aceita uma mensagem, ele verifica o domínio do envelope, busca o registro SPF desse domínio e confirma se o IP de origem está autorizado. O sufixo -all significa que remetentes não autorizados devem ser rejeitados; ~all significa soft-fail.

Exemplos

• Uma empresa adicionando include:sendkit.email depois de trocar o provedor transacional
• Um time auditando o SPF e descobrindo que um CRM antigo ainda estava autorizado de uma migração anterior
• Um marketer depurando uma campanha que falha no SPF porque ultrapassou o limite de 10 lookups de DNS

Boas práticas

• Mantenha seu registro SPF abaixo do limite de 10 lookups de DNS; achate includes se necessário
• Use -all em produção assim que tiver certeza de que todo remetente está listado
• Audite seu SPF a cada trimestre e remova serviços que você não usa mais
• Publique SPF tanto para o domínio de envio quanto para o domínio do envelope quando forem diferentes

Perguntas frequentes

O que é o limite de 10 lookups?

A avaliação do SPF falha se forem necessários mais de 10 lookups de DNS para resolver todos os includes e mecanismos. Muitas entradas include: são a causa mais comum de falhas inesperadas no SPF.

Posso ter múltiplos registros SPF?

Não. Um domínio precisa ter exatamente um registro TXT de SPF. Mescle todos os mecanismos em um único registro, caso contrário a checagem vai falhar.

O que acontece se o SPF falhar mas o DKIM passar?

O DMARC permite que uma mensagem passe se SPF ou DKIM estiver alinhado com o domínio do From. Então um SPF que falha sozinho não significa rejeição automaticamente.