Defaults.Exposed › Configuração › SPF

Como configurar o SPF no Microsoft 365

Adicione um registo SPF para que toda a gente saiba que os servidores do Microsoft 365 estão autorizados a enviar email pelo seu domínio.

Porque é que isto importa para o seu negócio

O SPF (Sender Policy Framework, ou estrutura de política do remetente) é uma pequena nota no DNS do seu domínio que indica que servidores de email estão autorizados a enviar mensagens «em nome» do seu domínio. Sem ele, qualquer burlão pode forjar o seu endereço para enviar faturas, pedidos de pagamento ou orçamentos falsos aos seus clientes e fornecedores — e o seu próprio email legítimo tem mais probabilidade de cair no spam. Configurar o SPF é gratuito, demora alguns minutos e é uma das medidas mais fortes e baratas que pode tomar para proteger o seu nome e garantir que o seu email continua a ser entregue.

Importante: onde isto é realmente feito

Isto confunde muita gente, por isso vale a pena ser claro:

• O Microsoft 365 gere o seu email (as caixas de correio residem no Exchange Online). Mas o Microsoft 365 é a plataforma de email — não é necessariamente onde reside o DNS do seu domínio.
• O registo SPF é adicionado no seu fornecedor de DNS — a empresa que controla os servidores de nomes do seu domínio. Pode ser o registrar onde comprou o domínio (GoDaddy, Namecheap, etc.), um alojamento web ou algo como a Cloudflare.
• Se deixar a Microsoft gerir o seu DNS, então o seu fornecedor de DNS é a Microsoft, e editaria o registo no centro de administração do Microsoft 365 → Definições → Domínios → Registos DNS. Nesse caso, a Microsoft costuma adicionar o registo SPF correto por si automaticamente quando configura o domínio.

Ou seja: a Microsoft diz-lhe o que o registo deve conter; é você que o adiciona onde reside o seu DNS. As definições de caixa de correio dentro do Microsoft 365 não guardam este registo, a não ser que a Microsoft também gira o seu DNS.

Primeiro: que empresa gere o seu DNS?

Um registo DNS só produz efeito se o adicionar onde quer que apontem os servidores de nomes (nameservers) do seu domínio. Se não tiver a certeza, verifique o domínio na sua conta do registrar e veja a secção Servidores de nomes, ou pergunte a quem montou o seu site. Se os servidores de nomes apontarem para outro lado que não a Microsoft, adicione o registo SPF nas definições de DNS dessa empresa (procure por DNS / Registos / DNS Avançado). Adicioná-lo no sítio errado não fará nada.

O que vai adicionar

Um único registo TXT para o Microsoft 365. O valor padrão é:

v=spf1 include:spf.protection.outlook.com -all

• O include:spf.protection.outlook.com autoriza os servidores de email do Microsoft 365 a enviar por si.
• O -all é o valor que a Microsoft recomenda — uma «falha rígida» que diz aos recetores para rejeitarem tudo o que não estiver listado. Se ainda não tiver a certeza de que todos os remetentes estão incluídos, pode começar com o ~all, mais suave, e apertar para -all mais tarde.

Deve ter apenas um registo SPF (um TXT começado por v=spf1) por domínio. Se já tiver um — por exemplo, porque também envia através de uma ferramenta de newsletter ou de um CRM — não adicione um segundo. Edite o existente e acrescente-lhe a parte da Microsoft, por exemplo:

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all

Passos

1. Inicie sessão no seu fornecedor de DNS (o seu registrar, alojamento web ou fornecedor de DNS — ou o centro de administração do Microsoft 365, se a Microsoft gerir o seu DNS).
2. Abra as definições de DNS do seu domínio (procure por DNS / Registos / DNS Avançado).
3. Adicione um novo registo e escolha TXT como tipo.
4. No campo Nome / Anfitrião (Host), escreva @ (isto significa «o próprio domínio»). Não coloque aqui o nome completo do seu domínio.
5. No campo Valor / Dados, cole v=spf1 include:spf.protection.outlook.com -all (ou o seu registo combinado, se tiver outros remetentes).
6. Deixe o TTL no valor predefinido (1 hora serve perfeitamente).
7. Guarde.

Erros que as pessoas cometem

• Não é uma definição de caixa de correio. As pessoas procuram «SPF» nas definições do Microsoft 365 e não encontram uma caixa onde o escrever — é porque pertence ao seu DNS, não às definições de caixa de correio ou de administração do Exchange.
• Apenas um registo SPF. Dois registos começados por v=spf1 quebram o SPF por completo. Combine os remetentes num único registo com entradas include: adicionais.
• @ no nome, não o seu domínio. Colocar o domínio completo no campo Nome pode criar o registo no sítio errado.
• Atenção às aspas. A maioria dos fornecedores de DNS adiciona as aspas por si — cole o valor em texto simples. Se o seu fornecedor mostrar o valor já envolto em "...", não acrescente um segundo conjunto; um registo com aspas duplas está avariado.
• A Microsoft usa spf.protection.outlook.com. Registos antigos ou copiados de outro sítio podem referir nomes de anfitrião diferentes — certifique-se de que o include é exatamente spf.protection.outlook.com.
• As alterações não são instantâneas. O DNS pode demorar de alguns minutos a algumas horas a atualizar em todo o lado.

Confirme que funcionou

Depois de guardar, confirme que o registo está ativo e correto com a verificação gratuita na Defaults.Exposed. Introduza o seu domínio e ele dir-lhe-á, em linguagem clara, se o seu SPF está corretamente configurado. Os seus dados são processados na UE.

Já está? Analise o seu domínio gratuitamente para confirmar que funcionou — e ver a sua nota completa nas 34 verificações.