Sender Policy Framework

Sender Policy Framework ou SPF é um sistema que evita que outros domínios (endereço da internet) enviem emails não autorizados em nome de um domínio. O SPF verifica no cabeçalho de internet se o SMTP(servidor de emails) utilizado para enviar a mensagem, está autorizado na relação de IP's que respondem pelo domínio do remetente. Também informa se o domínio autoriza ou não que outros IP's fora desta relação enviem emails em seu nome. O administrador configura esta relação na entrada TXT da zona de DNS seguindo as regras da RFC 4408 SPF homepage. Caso este sistema esteja ativo e o IP solicitado seja diferente dos autorizados, o e-mail será rejeitado.^[1]

Imagem ilustrativa

História

O conceito do SPF foi mencionado publicamente pela primeira vez em 2000, mas passou despercebido.^[2] Em 2002, Dana Valerie Reese publicou uma proposta semelhante em uma lista de discussão da IETF chamada "namedroppers", sem saber da ideia anterior.^[2][3] No dia seguinte, Paul Vixie compartilhou sua própria proposta, o que despertou maior interesse e levou à criação do grupo de pesquisa Anti-Spam da IETF (ASRG). Entre as propostas relacionadas estavam o "Reverse MX" (RMX), de Hadmut Danisch, e o "Designated Mailer Protocol" (DMP), de Gordon Fecyk.^[2][4][5]

Em junho de 2003, Meng Weng Wong unificou as propostas RMX e DMP e iniciou o desenvolvimento colaborativo do SPF. Originalmente chamado Sender Permitted From, o nome foi alterado para Sender Policy Framework em fevereiro de 2004.^[6][7]

No início de 2004, o grupo de trabalho MARID da IETF tentou combinar o SPF com a proposta CallerID da Microsoft para formar o Sender ID. No entanto, a iniciativa fracassou devido a conflitos técnicos e de licenciamento.^[8]

A comunidade então retornou à versão "clássica" do SPF, que foi publicada como uma especificação experimental no RFC 4408 em abril de 2006.^[9] Posteriormente, em abril de 2014, o SPF foi publicado como padrão proposto no RFC 7208.^[10]

O envio entre servidores SMTP

Quando envia-se uma mensagem de correio eletrônico a partir de um software cliente de correio eletrônico, este se conecta a um servidor SMTP no qual envia a mensagem para uma ou várias contas de correio eletrônicos. Este servidor (servidor remetente) é o encarregado de se conectar com o servidor onde está armazenada a conta de correio do destinatário (servidor do destinatário) e de transmitir a mensagem para seu armazenamento e posterior leitura pelo destinatário.

No protocolo SMTP, por razões óbvias, é impossível ter autenticação habilitada entre todos os servidores de correio. Este inconveniente permite que qualquer servidor remetente possa se identificar como o responsável pelo transporte da mensagem de origem de um nome de domínio. Com isso os usuários mal intencionados aproveitam para forjar a identidade do correio eletrônico para usar em benefício próprio.

O envio de correios não solicitados, conhecidos como spam, e outras técnicas, como o phishing e o envio de vírus por correio, em quase 100% dos casos, se interessa em ocultar o remetente real ou utilizar um endereço de cliente que se possa ser confiável.

A primeira intenção é controlar esta falha técnica e o seguimento das rotas de endereçamentos IP pelas que se envia o correio, de tal maneira, que se mantêm uma listas de IPs de servidores que enviam correios falsificados (listas negras, ou black lists). Isto, a parte de requerir um processo manual por parte do destinatário, tem efeitos indesejados sobre outros usuários do servidor que enviam correios reais.

Ligações externas

• Página oficial
• (em inglês) iPhone App

Referências

1. «Set up SPF identify valid email sources for your Microsoft 365 domain». learn.microsoft.com (em inglês). Consultado em 2 de julho de 2025
2. Talbert, Vaughn (18 de março de 2019). «The History of SPF». dmarcian (em inglês). Consultado em 2 de julho de 2025
3. «'Mail-Transmitter RR' - MARC». marc.info. Consultado em 2 de julho de 2025
4. «'Re: Mail-Transmitter RR' - MARC». marc.info. Consultado em 2 de julho de 2025
5. «SPF: History/Pre-SPF». OpenSPF (em inglês). Consultado em 2 de julho de 2025. Arquivado do original em 16 de julho de 2011
6. «RMX and DMP compared». OpenSPF. Consultado em 2 de julho de 2025. Arquivado do original em 25 de abril de 2008
7. «SPF: History/SPF-2003». OpenSPF (em inglês). Consultado em 2 de julho de 2025. Arquivado do original em 16 de julho de 2011
8. Seltzer, Larry (22 de setembro de 2004). «Internet Task Force Shuts Down Anti-Spam Working Group». eWEEK (em inglês). Consultado em 2 de julho de 2025
9. Schlitt, Wayne; Wong, Meng Weng (abril de 2006). «Sender Policy Framework (SPF) for Authorizing Use of Domains in E-Mail, Version 1». Consultado em 2 de julho de 2025
10. Kitterman, Scott (abril de 2014). «Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1». Consultado em 2 de julho de 2025