Configuração e práticas recomendadas do SPF

Opções de download

  • PDF     (87.7 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (82.3 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (68.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:19 de novembro de 2020
ID do documento:117973

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve diferentes cenários com o Sender Policy Framework (SPF) no Cisco Email Security Appliance (ESA).

    Prerequisites

    A Cisco recomenda que você conheça estes tópicos:

    • Cisco ESA
    • Todas as versões do AsyncOS

    O que é SPF?

    O Sender Policy Framework (SPF) é um sistema de validação de e-mail simples projetado para detectar falsificação de e-mail fornecendo um mecanismo que permite que os corretores de e-mail de recepção verifiquem se o e-mail de entrada de um domínio está sendo enviado de um host autorizado pelos administradores desse domínio. A lista de hosts de envio autorizados para um domínio é publicada nos registros do Domain Name System (DNS) para esse domínio na forma de um registro TXT especialmente formatado. O spam e o phishing de e-mail geralmente usam endereços de remetente forjados, de modo que a publicação e a verificação de registros SPF podem ser consideradas técnicas antisspam.

    Haverá um impacto considerável no desempenho das ESAs?

    Do perspectiva da CPU, não haverá um enorme impacto no desempenho. No entanto, a ativação da verificação SPF aumentará o número de consultas DNS e tráfego DNS. Para cada mensagem, o ESA pode ter que iniciar consultas de 1 a 3 DNS SPF e isso resultará na expiração do cache DNS mais cedo do que antes. Portanto, o ESA também gerará mais consultas para os outros processos.

    Além das informações anteriores, o registro SPF será um registro TXT que pode ser maior que os registros DNS normais e pode causar algum tráfego DNS extra.

    Como você habilita o SPF?

    Estas instruções são do Guia do Usuário Avançado sobre como configurar a verificação SPF:


    Para ativar o SPF/SIDF (System Independent Data Format) na política de fluxo de e-mail padrão:

    1. Clique em Políticas de e-mail > Política de fluxo de e-mail.
    2. Clique em Default Policy Parameters.
    3. Nos parâmetros de política padrão, exiba a seção Recursos de segurança.
    4. Na seção Verificação SPF/SIDF, clique em Sim.
    5. Defina o nível de conformidade (o padrão é compatível com o SIDF). Essa opção permite determinar qual padrão de verificação SPF ou SIDF usar. Além da conformidade com o SIDF, você pode escolher compatível com o SIDF, que combina SPF e SIDF. Os detalhes dos níveis de conformidade estão disponíveis no Guia do usuário final.
    6. Se você escolher um nível de conformidade compatível com o SIDF, configure se a verificação faz o downgrade de um resultado Pass da identidade do PRA para None se houver Resent-Sender: ou Reenviado de: cabeçalhos presentes na mensagem. Você pode escolher essa opção para fins de segurança.
    7. Se você escolher um nível de conformidade de SPF, configure se deve executar um teste em relação à identidade HELO. Você pode usar essa opção para melhorar o desempenho desabilitando a verificação de HELO. Isso pode ser útil porque a regra de filtro spf-pass verifica primeiro o PRA ou as identidades MAIL FROM. O dispositivo só executa a verificação de HELO para o nível de conformidade SPF.

    Para tomar medidas sobre os resultados da verificação SPF, adicione filtros de conteúdo:

    1. Crie um filtro de conteúdo spf-status para cada tipo de verificação SPF/SIDF. Use uma convenção de nomenclatura para indicar o tipo de verificação. Por exemplo, use SPF-Passed para mensagens que passem na verificação SPF/SIDF ou SPF-TempErr para mensagens que não foram passadas devido a um erro transitório durante a verificação. Para obter informações sobre como criar um filtro de conteúdo spf-status, consulte a Regra de filtro de conteúdo spf-status na GUI.
    2. Depois de processar algumas mensagens verificadas por SPF/SIDF, clique em Monitor > Content Filters para ver quantas mensagens dispararam cada um dos filtros de conteúdo verificados por SPF/SIDF.

    O que significa "Helo Test" ligado e desligado? O que acontecerá se o teste Helo falhar de um certo domínio?

    Se você escolher um nível de conformidade de SPF, configure se deve executar um teste em relação à identidade HELO. Você pode usar essa opção para melhorar o desempenho desabilitando a verificação de HELO. Isso pode ser útil porque a regra de filtro spf-pass verifica primeiro o PRA ou as identidades MAIL FROM. O dispositivo só executa a verificação de HELO para o nível de conformidade SPF.

    Registros SPF válidos

    Para passar na verificação SPF HELO, certifique-se de incluir um registro SPF para cada MTA de envio (separado do domínio). Se você não incluir esse registro, a verificação HELO provavelmente resultará em um veredito Nenhum para a identidade HELO. Se você observar que os remetentes SPF para o seu domínio retornam um grande número de vereditos Nenhum, esses remetentes podem não ter incluído um registro SPF para cada MTA de envio.

    A mensagem será entregue se não houver filtros de mensagem/conteúdo configurados. Novamente, você pode tomar certas ações usando filtros de mensagem/conteúdo para cada veredito do SPF/SIDF. 

    Qual é a melhor maneira de ativá-la para apenas um domínio externo?

    Para habilitar o SPF para um determinado domínio, talvez seja necessário definir um novo grupo de remetente com uma política de fluxo de e-mail que tenha o SPF habilitado; em seguida, crie filtros conforme mencionado anteriormente.

    Você pode ativar uma verificação SPF para suspeita de spam?

    O antisspam da Cisco considera vários fatores ao calcular as pontuações de spam. Ter um registro SPF verificável pode reduzir a pontuação de spam, mas ainda há uma chance de capturar essas mensagens como spam suspeito.

    A melhor solução possível seria permitir listar o endereço IP do remetente OU criar um filtro de mensagens para ignorar a verificação de spam com várias condições (remote-ip, mail-from, X-skipspamcheck header, etc.). O cabeçalho pode ser adicionado pelo servidor de envio para identificar um tipo de mensagem de outros.

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Rehan Latif
      Cisco TAC Engineer
    • Dennis McCabe Jr
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos