Corrigindo falha de entrega de e-mails por SPF mal configurado
#braziliandevs#mail#dns#linux
Marcos Vilela

Marcos Vilela @marcos_vile

About: 🇧🇷 Conteúdo em português! 🚀 Analista Cloud com experiência em Linux, Docker e IaC (Ansible/Terraform), automação, observabilidade, Nginx, WordPress e bash scripts! 💻 SRE | DevOps

Location:
Montes Claros, MG
Joined:
Oct 31, 2024

Corrigindo falha de entrega de e-mails por SPF mal configurado

Publish Date: Aug 1
2 0

Durante uma análise de problemas recorrentes com falhas de entrega de e-mails em um ambiente com redirecionamento automático, identifiquei que mensagens legítimas estavam sendo bloqueadas por políticas de segurança do servidor de destino, com erro 5.7.1.

Contexto do problema

Os e-mails eram enviados por um endereço do domínio principal (ex: suporte@dominio1.com), mas eram redirecionados internamente para o destinatário final (ex: usuario@dominio2.com). O processo de encaminhamento causava uma situação onde o domínio de envio e o domínio do servidor de saída coincidiam, ativando políticas de bloqueio do servidor destinatário.

O erro apresentado era:

Diagnostic-Code: smtp; The user or domain that you are sending to (or from) has a policy that prohibited the mail that you sent.
Received-SPF: softfail (... does not designate IP_DE_SERVIDOR as permitted sender)
Enter fullscreen mode Exit fullscreen mode

Esse erro indicava que o IP do servidor de envio (provido por um serviço de terceiros) não estava autorizado no registro SPF do domínio remetente.

Verificações realizadas

  1. Revisando o registro SPF no provedor DNS (Cloudflare), foram observados dois pontos:
  • O conteúdo do registro TXT estava sem aspas, gerando alertas de validação.
  • Faltava o include referente ao serviço de e-mail utilizado (neste caso, um provedor como Zoho, Google ou outro).
  1. A falha de autenticação SPF fazia com que os e-mails fossem classificados como suspeitos ou diretamente bloqueados pelo destino.

Correções aplicadas

Foi realizada a correção do registro SPF no painel DNS, resolvendo os dois problemas:

  • Adição de aspas ao conteúdo do registro.
  • Inclusão do include correto para autorizar o provedor de envio.

Exemplo de registro SPF corrigido:

"v=spf1 include:provedor-email.com -all"
Enter fullscreen mode Exit fullscreen mode

Essa configuração define explicitamente que apenas os servidores do provedor de e-mail são autorizados a enviar mensagens em nome do domínio.

Conclusão

Falhas no SPF são comuns em cenários com redirecionamento ou múltiplos provedores de envio. Apesar de simples, a configuração incorreta impacta diretamente na entrega de e-mails. Com os ajustes aplicados, o ambiente passa a estar em conformidade com as boas práticas de autenticação, reduzindo bloqueios e melhorando a confiabilidade do envio.

Comments 0 total

    Add comment