Defaults.Exposed › Configuração › SPF

Como configurar o SPF no AWS Route 53

Adicione um registo SPF na sua zona alojada do Route 53 para que os fornecedores de email distingam o seu email verdadeiro das falsificações.

Porque é que isto importa para o seu negócio

O SPF (Sender Policy Framework, ou estrutura de política do remetente) é uma pequena nota no DNS do seu domínio que indica que servidores de email estão autorizados a enviar mensagens em seu nome. Quando alguém recebe uma mensagem que afirma ser sua, o fornecedor de email dessa pessoa consulta essa lista. Se o servidor de envio não estiver nela, a mensagem parece suspeita — e ou cai no spam ou é bloqueada.

Em termos simples: o SPF torna mais difícil que alguém se faça passar pelo seu negócio por email, e ajuda a que os seus emails genuínos cheguem à caixa de entrada em vez da pasta de lixo. É um único registo, é gratuito e demora alguns minutos.

Antes de começar: é o Route 53 que gere mesmo o seu DNS?

Este é o passo que a maioria das pessoas erra. Um registo DNS só funciona se for o Route 53 a responder às consultas de DNS do seu domínio.

O Route 53 é um fornecedor de DNS, não um fornecedor de caixas de correio — responde a DNS, mas não gere as suas caixas de entrada. Duas coisas importam aqui:

• A zona alojada tem de ser a que está ativa. Na consola do Route 53, abra Zonas alojadas (Hosted zones) e selecione o seu domínio. Anote os quatro valores NS (servidor de nomes) mostrados para essa zona.
• Os servidores de nomes do seu domínio têm de apontar para esses valores. Se registou o domínio através do Route 53 (em Domínios registados — Registered domains), normalmente isto já está alinhado. Mas se o registou noutro sítio, ou se tem mais do que uma zona alojada para o mesmo domínio, os servidores de nomes ativos podem apontar para um sítio completamente diferente — e nada do que adicionar aqui terá efeito. Verifique os servidores de nomes no seu registrar e certifique-se de que coincidem com os quatro valores NS desta zona alojada. Se não coincidirem, adicione o registo SPF onde quer que o seu DNS realmente resida.

Descubra primeiro um facto: quem envia o seu email?

O SPF tem de nomear todos os serviços que enviam email pelo seu domínio. Exemplos comuns são o Google Workspace, o Microsoft 365 ou o fornecedor que aloja as suas caixas de correio. Cada um publica um valor para colocar no seu registo SPF (muitas vezes algo como include:_spf.google.com para o Google ou include:spf.protection.outlook.com para o Microsoft 365). Consulte as páginas de ajuda do seu fornecedor de email para obter o valor exato — é essa a parte que tem mesmo de acertar.

Se envia através do Amazon SES (o serviço de envio de email da própria Amazon), o SES usa por predefinição um mecanismo diferente e o SPF para o SES é opcional — mas se configurou um domínio MAIL FROM personalizado no SES, siga as instruções exatas do SES para esse caso. O SES é um serviço separado do Route 53; o Route 53 apenas armazena o registo DNS.

Passo a passo no Route 53

1. Inicie sessão na consola AWS e abra o Route 53.
2. No menu da esquerda, escolha Zonas alojadas (Hosted zones) e depois clique no nome do seu domínio.
3. Clique em Criar registo (Create record).
4. Se vir um assistente com opções de política de encaminhamento, mude para o formulário simples (procure por Criação rápida de registo — Quick create record); o SPF não precisa de nenhum dos encaminhamentos avançados.
5. Deixe o campo Nome do registo (Record name) vazio. Um nome vazio significa «o próprio domínio». A consola mostra o seu domínio ao lado do campo, por isso não precisa de o reescrever.
6. Defina Tipo de registo (Record type) como TXT.
7. No campo Valor (Value), introduza o seu texto SPF envolto em aspas: "v=spf1 include:_spf.google.com ~all" Substitua a parte include: pelo(s) valor(es) que o seu fornecedor de email real lhe indicar. As aspas à volta são obrigatórias no Route 53 — ver os erros comuns abaixo.
8. Deixe o TTL no valor predefinido (300 segundos serve perfeitamente).
9. Clique em Criar registos (Create records).

Erros que as pessoas cometem no Route 53

• Os valores TXT têm de estar entre aspas. Ao contrário de alguns fornecedores de DNS que colocam as aspas por si, o Route 53 espera que seja você a escrever as aspas. Introduza "v=spf1 ... ~all", não v=spf1 ... ~all. Deixar as aspas de fora é, de longe, o erro mais comum no Route 53.
• Deixe o Nome do registo vazio para o domínio raiz. Um nome em branco significa o próprio domínio. Se escrever o nome completo do domínio no campo Nome, o Route 53 acrescenta a zona outra vez e fica com oseudominio.com.oseudominio.com — um registo que nunca chega a ser verificado.
• Apenas um registo SPF por domínio. Não pode ter dois registos TXT v=spf1 — os fornecedores de email tratam isso como avariado. Se já existir um registo TXT na raiz, edite-o para acrescentar o novo serviço em vez de criar um segundo registo SPF.
• A zona alojada certa, na conta certa. Se tiver várias zonas alojadas (ou várias contas AWS), é fácil editar a errada. Certifique-se de que a zona que está a editar é aquela cujos valores NS coincidem com os seus servidores de nomes ativos.
• ~all vs -all. O ~all (falha suave) significa «tudo o que não estiver listado é suspeito»; o -all (falha rígida) significa «rejeitar tudo o que não estiver listado». Comece com ~all enquanto confirma que tudo envia corretamente e depois aperte para -all quando tiver a certeza de que a lista está completa.
• As alterações não são instantâneas. As atualizações de DNS podem demorar de alguns minutos a algumas horas a propagar-se.

Confirme que funcionou

Depois de guardar o registo e de lhe dar algum tempo para produzir efeito, verifique-o com a verificação gratuita neste site. Ele dir-lhe-á, em linguagem clara, se o seu registo SPF está presente e bem formado.

Já está? Analise o seu domínio gratuitamente para confirmar que funcionou — e ver a sua nota completa nas 34 verificações.