Definição
Um registro SPF (Sender Policy Framework record) é um registro DNS TXT publicado na zona DNS pública de um domínio que enumera os endereços IP, prefixos IPv6 e hostnames de servidores de e-mail autorizados a enviar mensagens em nome desse domínio. Quando um servidor receptor aceita uma mensagem de entrada, ele consulta o DNS do remetente em busca do registro SPF e compara o IP de conexão com a política. Se o IP não está listado, o servidor receptor pode marcar como softfail, rejeitar logo ou marcar para avaliação posterior — dependendo do qualificador de política definido pelo dono do domínio[1].
O SPF foi formalizado como padrão IETF na RFC 4408 (2006) e atualizado para a especificação autoritativa atual na RFC 7208, publicada pela IETF em abril de 2014. É um dos três padrões complementares de autenticação de e-mail, ao lado de DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance).
Como funciona
O processo de avaliação SPF envolve várias etapas sequenciais executadas pelo motor SMTP do servidor receptor durante a fase MAIL FROM do handshake SMTP.
O dono do domínio publica um registro SPF TXT no DNS. Um registro típico segue esta sintaxe: v=spf1 include:_spf.google.com ip4:203.0.113.5 ~all. Os componentes são: v=spf1 (identificador de versão), um ou mais mecanismos (include, ip4, ip6, a, mx, exists) e um qualificador final (+all, -all, ~all, ?all). O -all significa hard fail — qualquer servidor não listado explicitamente não está autorizado. O ~all (softfail) deixa a mensagem passar mas anota a discrepância de política, comum em períodos de migração.
Quando uma mensagem chega, o MTA receptor extrai o domínio do envelope sender (o endereço MAIL FROM, também chamado RFC5321.MailFrom) e faz uma consulta DNS TXT em _spf.<domínio> ou diretamente na raiz do domínio. A biblioteca SPF avalia cada mecanismo em ordem até que um corresponda ou que o limite de dez consultas DNS seja atingido (o limite “SPF PermError” definido na seção 4.6.4 da RFC 7208). O resultado — Pass, Fail, SoftFail, Neutral, TempError ou PermError — entra no cabeçalho Received-SPF da mensagem e é repassado ao filtro de spam e a qualquer motor de política DMARC.
É crítico observar que o SPF autentica o envelope sender (MAIL FROM), e não o cabeçalho From visível no corpo da mensagem. Essa distinção significa que SPF sozinho não impede falsificação de display name nos clientes de e-mail, e é por isso que o alinhamento DMARC — exigindo que SPF e/ou DKIM batam com o domínio do RFC5322.From — é necessário para proteção completa.
Onde você encontra
Registros SPF aparecem em qualquer contexto em que entregabilidade e reputação de remetente importam. Infraestruturas transacionais como Amazon SES, SendGrid, Mailgun, Postmark e SparkPost exigem que os donos do domínio adicionem mecanismos include SPF apontando para a infraestrutura de envio do provedor antes que mensagens passem nas checagens de autenticação[2].
Plataformas de concurso que enviam votos por confirmação de e-mail — incluindo Woobox, ShortStack e sistemas customizados usando Mailchimp Transactional (Mandrill) — dependem de o domínio remetente ter SPF válido. Provedores como Google (Gmail), Microsoft (Outlook / Exchange Online Protection) e Yahoo Mail avaliam SPF como entrada nos algoritmos de entregabilidade. SPF ausente ou mal configurado aumenta substancialmente a probabilidade de e-mails de confirmação serem entregues silenciosamente no spam ou rejeitados, fazendo com que votos fiquem sem confirmar.
Painéis de hospedagem DNS de provedores como Cloudflare, AWS Route 53, GoDaddy e Namecheap expõem a edição de registros TXT SPF nas interfaces de gestão. Ferramentas de diagnóstico como MXToolbox SPF Lookup, Google Admin Toolbox e DMARCIAN SPF Surveyor permitem inspecionar e validar os registros publicados.
Exemplos práticos
Uma plataforma de concurso envia e-mails de confirmação de voto a partir de [email protected]. O domínio votes.example.com tem o registro SPF v=spf1 include:sendgrid.net -all. Quando o Gmail recebe uma mensagem de confirmação, seu servidor SMTP de entrada consulta o DNS do registro SPF de votes.example.com, expande o include sendgrid.net e checa o IP de conexão contra a lista autorizada do SendGrid. Se bate, o resultado SPF é Pass e a mensagem segue para a inbox. Se o domínio não tivesse SPF, o filtro do Gmail trataria a mensagem como não autenticada, reduzindo a probabilidade de cair na inbox.
Um concurso de jornal regional troca o provedor transacional de Mailchimp para Amazon SES sem atualizar o registro SPF. Os e-mails de confirmação começam a falhar nas checagens SPF na Microsoft Outlook e vão em massa para a pasta de spam, fazendo com que eleitores percam a janela de confirmação. O administrador diagnostica o problema com MXToolbox, adiciona include:amazonses.com ao registro SPF, e a entregabilidade se recupera dentro da janela de propagação DNS (em geral 0–48 horas, dependendo do TTL).
Conceitos relacionados
SPF é um pilar da pilha de três padrões de autenticação de e-mail: veja DKIM para verificação criptográfica de assinatura e DMARC para a camada de política que age sobre os resultados de SPF e DKIM. O impacto prático em operações de concurso está descrito em Voto por confirmação de e-mail, em que a entrega da mensagem de confirmação é a dependência operacional mais crítica. BIMI (Brand Indicators for Message Identification), padrão mais novo construído sobre o DMARC, permite a remetentes verificados exibir o logo da marca em provedores compatíveis — sinal de confiança emergente, fora do escopo desta entrada.
Fontes
- IETF RFC 7208 — Sender Policy Framework: https://www.rfc-editor.org/rfc/rfc7208
- MXToolbox SPF Lookup: https://mxtoolbox.com/spf.aspx
- Wikipedia — Sender Policy Framework: https://en.wikipedia.org/wiki/Sender_Policy_Framework
