Uma Introdu��o ao SPF

ArticleCategory: [Choose a category, translators: do not translate this, see list below for available categories]

Software Development

AuthorImage:[Here we need a little image from you]

TranslationInfo:[Author + translation history. mailto: or http://homepage]

original in en Bruno Sousa

en to pt Bruno Sousa

AboutTheAuthor:[A small biography about the author]

O Bruno � um estudante em Portugal. Os seus tempos livres dedica-os ao Linux e � Fotografia.

Abstract:[Here you write a little summary]

O SPF quer dizer "Sender Policy Framework" e pretende ser um padr�o de anti-forjamento ou seja para prevenir a forja de endere�os de email. Este artigo d�-lhe uma breve introdu��o ao SPF, as suas vantagens e desvantagens.

ArticleIllustration:[One image that will end up at the top of the article]

ArticleBody:[The main part of the article]

O SPF nasceu no ano de 2003, o seu mentor, Meng Weng Wong aproveitou as melhores caracter�sticas do Reverse MX e do DMP (Designated Mailer Protocol) para dar vida ao SPF.
O SPF usa a "return-path" (ou MAIL FROM) presente no cabe�alho da mensagem de email, visto que todas as MTAs trabalham com estes campos. Contudo existe um novo conceito proposto pela Microsoft o PRA, que quer dizer "Purported Responsible Address". O PRA corresponde ao endere�o final do utilizador que um MUA (como o thunderbird) utiliza.
Assim quando juntamos o SPF e o PRA podemos obter o SenderID. Assim o SenderID permite a um utilizador que recebe email, verificar o campo MAIL FROM (verifica��o SPF) e a verifica��o PRA. De algum modo, se diz que as MTAs verificam o campo MAIL FROM e as MUA fazem a verifica��o PRA.
Actualmente o SPF necessita do DNS para trabalhar devidamente. Isto quer dizer que os registos "reverse MX" t�m de ser publicados, estes registos dizem que m�quina � que enviam email para um dado dom�nio. � diferente dos registos MX, usado nos dias de hoje, que significam que m�quinas � que recebem email para um dado dom�nio.

O que � que o SPF necessita para trabalhar?

No sentido de proteger o seu sistema com o SPF deve:

Configurar o seu DNS para adicionar os registos TXT onde � introduzida a informa��o que o SPF consulta.
Configurar o seu sistema de email (qmail, sendmail) para usar o SPF, isto quer dizer, para ser feita a verifica��o em cada mensagem recebida no seu servidor.

O primeiro passo � feito no servidor de DNS onde o seu dom�nio se encontra. Na pr�xima sec��o vamos discutir os detalhes do registo TXT. Uma das coisas que deve ter presente � a sintaxe que o seu servidor DNS usa (bind ou djbdns). Mas n�o tenha receio o site oficial do SPF fornece um bom wizard que o instrui.

O registo TXT do SPF

O registo SPF est� contido num registo TXT e o seu formato � como o que se segue:

	v=spf1 [[pre] type [ext] ] ... [mod]

O significado de cada par�metro � o seguinte:

Par�metro

Descri��o

v=spf1

Vers�o do SPF. Ao usar o SenderID poder� ver v=spf2

pre

Define um c�digo de retorno quando � encontrada uma pesquisa.

Os valores poss�veis s�o:

Valor	Descri��o
+	Por omiss�o. Quer dizer passa quando um teste � conclusivo.
-	Significa Falha um teste. Este valor normalmente � aplicado em -all para dizer que n�o foram encontrados valores para pesquisas anteriores.
~	Significa uma falha ligeira. Este valor normalmente � aplicado quando um teste n�o � conclusivo.
?	Significa Neutricidade. Este valor tamb�m � usado quando um teste n�o � conclusivo.

type

Define o tipo a usar para verifica��o.

Os valores poss�veis s�o:

Valor	Descri��o
include	para incluir os testes de um dado dom�nio. � escrito na forma de include:dom�nio
all	para terminar a sequ�ncia de testes. Por exemplo se for -all e todos os testes, at� aqui, n�o foram conclu�dos com sucesso ent�o falha. Mas se n�o existirem certezas pode ser usado na forma ?all que aceita o teste.
ip4	Usa a vers�o 4 do ip para verfica��o. Este pode ser usado na forma de ip4:ipv4 ou ip4:ipv4/cidr para definir um intervalo. Este tipo � o mais recomendado visto que induz menos carga nos servidores de DNS.
ip6	Usa a vers�o 6 do Ip para verifica��o.
a	Usa o nome de dom�nio para verifica��o. Induz numa pesquisa no DNS por um registo A. Pode ser usado na forma a:domain, a:domain/cidr ou a/cidr.
mx	Usa o registo MX para verifica��o. O registo MX define a MTA que recebe o correio, por exemplo, se n�o for a mesma que a MTA que envia, os testes baseados no mx falhar�o. Pode ser usado na forma de mx:domain, mx:domain/cidr ou mx/cidr.
ptr	Usa o registo PTR do DNS para verifica��o. Neste caso � usado um registo PTR e uma consulta reverse. Se o nome retornado reside no mesmo dom�nio ent�o a comunica��o � feita. Pode ser usada na forma ptr:domain
exist	Testa a exist�ncia de um dom�nio. Pode ser escrita na forma exist:domain.

ext

Define uma extens�o opcional ao tipo. Se � omitida significa que s� � usado um tipo de registo para as quest�es.

mod

� a �ltima directiva e actua como um modificador do registo.

modificador	Descri��o
redirect	Redirecciona a verifica��o para usar os registos SPF do dom�nio definido. � usado na forma redirect=domain.
exp	Este registo deve ser o �ltimo e permite a personaliza��o de uma mensagem de erro. IN TXT "v=spf1 mx -all exp=getlost.example.com" getlost IN TXT "You are not authorized to send mail for the domain"

Hey, Sou um ISP

Os ISPs ter�o problemas com os seus utilizadores roaming se estiverem a usar mecanismos como o POP-before-Relay em vez de SASL SMTP.
Bem, se � um ISP preocupado com o spam, com o forjamento deve reconsiderar as suas pol�ticas de email e come�ar a usar o SPF.
Ficam aqui apontados alguns passos que deve considerar.

Primeiro configure o seu servidor MTA para usar SASL, por exemplo pode activ�-lo nos portos 25 e 587.
Avise os seus utilizadores acerca das pol�ticas que est� a implementar (O Site spf.pobox.com fornece um exemplo, veja as refer�ncias).
D� aos seus utilizadores um per�odo de gra�a, quer isto dizer que deve publicar os seus registos de SPF no DNS mas com softfail (~all) em vez da falha dos testes (-all).

E com isto est� a proteger os seus servidores, os seus clientes e o mundo do spam...

Existe uma grande quantidade de informa��o no site oficial do SPF, do que � que est� � espera ?

Quais s�o as coisas com que se deve preocupar?

O SPF � a solu��o perfeita para proteger contra a fraude. Contudo tem uma limita��o: O tradicional re-encaminhamento de e-mail n�o trabalhar� mais. N�o pode simplesmente re-enviar o email que recebeu. Deve reescrever o endere�o do emissor. Os patches para as MTAs mais comuns s�o fornecidos no site SPF. Por outras palavras se publicar os seus registos SPF no DNS, deve tamb�m actualizar a sua MTA para fazer a re-escrita do endere�o do emissor mesmo que n�o verifique os registos SPF.

Conclus�o

Pode pensar que a implementa��o do SPF pode ser algo confusa. Bem, na verdade n�o � complicada e, para al�m disto, tem um bom wizard que o ajuda a cumprir a sua miss�o (veja a sec��o das refer�ncias).

Se est� preocupado com o spam ent�o o SPF ajud�-lo-�. Protegendo o seu dom�nio do forjamento, tudo o que tem de fazer � adicionar uma linha de texto ao seu servidor de DNS e configurar o seu servidor de email.

As vantagens do SPF s�o grandes. Contudo, como eu disse a algu�m, n�o representa uma diferen�a entre o dia e a noite. Os Benef�cios do SPF v�m com o tempo, quando outros tamb�m aderem ao mesmo.

Eu referi o SenderID e as suas rela��es com o SPF, mas n�o me estendi em nenhuma explica��o acerca do mesmo. Provavelmente j� sabe a raz�o, as pol�ticas da Microsoft s�o sempre as mesmas, patentes de software. Nas refer�ncias pode ver a posi��o do openspf.org acerca do SenderID.

Num pr�ximo artigo falaremos da configura��o de uma MTA, at� ent�o.

Espero ter dado uma breve introdu��o ao SPF. Se est� interessado em aprender mais acerca de, veja as refer�ncias que foram usadas para fazer este artigo.

Refer�ncias

O Site oficial do SPF.
A FAQ oficial do SPF.
O wizard oficial do SPF.
A posi��o do openspf.org acerca do SenderID.
Um artigo excelente acerca do SenderID e do SPF.
Avise os seus utilizadores acerca da convers�o SASL
Como definir um registo SPF