Defaults.Exposed › Configuração › SPF

Como configurar o SPF na Cloudflare

Adicione um registo SPF no DNS da Cloudflare para que os fornecedores de email distingam o seu email verdadeiro das falsificações.

Porque é que isto importa para o seu negócio

O SPF (Sender Policy Framework, ou estrutura de política do remetente) é uma pequena nota no DNS do seu domínio que indica que servidores de email estão autorizados a enviar mensagens em seu nome. Quando alguém recebe uma mensagem que afirma ser sua, o fornecedor de email dessa pessoa consulta essa lista. Se o servidor de envio não estiver nela, a mensagem parece suspeita — e ou cai no spam ou é bloqueada.

Em termos simples: o SPF torna mais difícil que alguém se faça passar pelo seu negócio por email, e ajuda a que os seus emails genuínos cheguem à caixa de entrada em vez da pasta de lixo. É um único registo, é gratuito e demora alguns minutos.

Antes de começar: é a Cloudflare que gere mesmo o seu DNS?

Este é o passo que a maioria das pessoas erra. Um registo DNS só funciona se for a Cloudflare a responder às consultas de DNS do seu domínio.

A Cloudflare é um fornecedor de DNS, não um fornecedor de caixas de correio — responde a DNS, mas não gere as suas caixas de entrada. Para que o DNS da Cloudflare esteja ativo, os servidores de nomes (nameservers) do seu domínio (definidos onde quer que tenha registado o domínio) têm de apontar para os dois servidores de nomes da Cloudflare indicados no seu painel da Cloudflare. Na Cloudflare, abra o seu domínio e veja a página Visão geral (Overview): ela indica se a Cloudflare está ativa para o domínio. Se os seus servidores de nomes ainda apontarem para o seu registrar ou outro fornecedor, nada do que adicionar na Cloudflare terá efeito — adicione o registo SPF onde quer que o seu DNS realmente resida.

Descubra primeiro um facto: quem envia o seu email?

O SPF tem de nomear todos os serviços que enviam email pelo seu domínio. Exemplos comuns são o Google Workspace, o Microsoft 365 ou o fornecedor que aloja as suas caixas de correio. Cada um publica um valor para colocar no seu registo SPF (muitas vezes algo como include:_spf.google.com para o Google ou include:spf.protection.outlook.com para o Microsoft 365). Consulte as páginas de ajuda do seu fornecedor de email para obter o valor exato — é essa a parte que tem mesmo de acertar.

Se usa o Cloudflare Email Routing para reencaminhar email, note que ele adiciona os seus próprios registos DNS para o reencaminhamento, mas não envia email em seu nome — o seu SPF continua a precisar de listar o serviço a partir do qual realmente envia.

Passo a passo na Cloudflare

1. Inicie sessão na Cloudflare e selecione o seu domínio no painel.
2. No menu da esquerda, vá às definições de DNS (procure por DNS / Registos — Records).
3. Clique em Adicionar registo (Add record).
4. Defina Tipo (Type) como TXT.
5. No campo Nome (Name), escreva @ — o @ significa «o próprio domínio». Não escreva aqui o nome completo do seu domínio.
6. No campo Conteúdo (Content), escreva o seu texto SPF. Um registo típico tem este aspeto: v=spf1 include:_spf.google.com ~all Substitua a parte include: pelo(s) valor(es) que o seu fornecedor de email real lhe indicar.
7. Deixe o TTL em Auto.
8. Clique em Guardar (Save).

Erros que as pessoas cometem na Cloudflare

• Apenas um registo SPF por domínio. Não pode ter dois registos TXT v=spf1 — os fornecedores de email tratam isso como avariado. Se já tiver um, edite-o para acrescentar o novo serviço em vez de criar um segundo.
• Não o envolva em aspas. A Cloudflare trata das aspas por si. Cole apenas o texto simples começado por v=spf1. Se acrescentar as suas próprias aspas ", pode acabar com um registo malformado.
• O nome é @, não o seu domínio. Se escrever o nome completo do domínio, a Cloudflare normalmente reduz-no de volta à raiz, mas o @ é a escolha clara e fiável.
• O proxy (nuvem laranja) não se aplica. O SPF reside num registo TXT, que nunca é encaminhado por proxy — não há nenhum botão de nuvem laranja/cinzenta para se preocupar num registo TXT.
• ~all vs -all. O ~all (falha suave) significa «tudo o que não estiver listado é suspeito»; o -all (falha rígida) significa «rejeitar tudo o que não estiver listado». Comece com ~all enquanto confirma que tudo envia corretamente e depois aperte para -all quando tiver a certeza de que a lista está completa.
• As alterações não são instantâneas. As atualizações de DNS podem demorar de alguns minutos a algumas horas a propagar-se.

Confirme que funcionou

Depois de guardar o registo e de lhe dar algum tempo para produzir efeito, verifique-o com a verificação gratuita neste site. Ele dir-lhe-á, em linguagem clara, se o seu registo SPF está presente e bem formado.

Já está? Analise o seu domínio gratuitamente para confirmar que funcionou — e ver a sua nota completa nas 34 verificações.