SenderID - Definindo registro SPF na zona DNS

Depois de sabermos como o SenderID funciona, podemos perceber que a proteção do domínio externo depende única e exclusivamente do administrador do Exchange, ou seja, devemos deixar o domínio com as informações corretas, não permitindo que um spammer faça mal uso de nosso domínio.

A Microsoft em parceria com a anti-spam.org disponibilizou um assistente para ajudar os administradores a criarem a entrada SPF na zona DNS de forma adequada, para acessar o assistente devemos ir ao seguinte endereço http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/, nos será apresentada à tela abaixo onde em apenas 4 passos já podemos definir toda política do SenderID.

No primeiro passo devemos definir qual o domínio que desejamos, em nosso exemplo: quattuor.com.br e depois clicar em Start >

Na segunda parte o assistente irá fazer uma consulta no domínio e determinar se existe ou não a entrada SPF no domínio, em nosso exemplo não existe, o assistente já nos mostra os servidores MX que são os responsáveis por recebimento de e-mail, devemos clicar em Next

Na terceira parte do assistente, que temos várias opções, vamos resumir cada uma delas:

• Domain Not Used for Sending E-mail
  Podemos definir que o domínio em questão não será utilizado para envio de e-mail.

• Inbound Mail Server Send Oubound Mail
  Estamos dizendo que todos servidores de recebimento (MX) estão autorizados para enviar e-mail, ainda podemos marcar quais dos servidores de entrada podem enviar e adicionar outros servidores.

• Outbound Mail Server address
  Podemos definir que todos os hosts que possuem registros do tipo A podem enviar e-mails, como também colocar os ips e/ou classes dos servidores que estão autorizados a enviar e-mails.

• Reserve DNS Lookup
  Todos os servidores que possam ser resolvidos de forma reversa (PTR) têm autorização de envio de e-mail.

• Outsourced Domains
  Quaisquer outros IPs que são autorizados a enviar e-mail em nome do domínio em questão.

• Default
  Aqui indicamos ao servidor que possui SenderID qual ação tomar se receber um e-mail que não está descrito nos campos que definimos anteriormente, as opções possíveis são: Yes, No, Neutral ou Discouraged.

 

E na última tela do assistente será mostrado o texto que deverá ser colocado no registro SPF na zona do domínio.

Configurando o registro SPF na zona DNS

Para ficarmos de acordo com o SenderID devemos criar um registro SPF na zona externa e colocar neste registro o conteúdo que geramos através do assistente de criação de registro SPF que vimos no tópico acima.

Criando o Registro no DNS

Agora que já possuímos a política definida, devemos implementar a mesma no DNS Externo, para tanto devemos ir ao DNS Externo da organização e executar os seguintes passos:

1.    Ir até a zona externa que vimos no tópico anterior

2.    Clicar com o botão direito na zona, em nosso exemplo quattuor.com.br e escolher Other New Records...

3.    Na nova janela que se abre devemos escolher Text(TXT) e clicar em Create Record...

4.    Na janela de criação do TXT, no campo Text o que foi nos passado pelo assistente do SenderID e clicar em OK

5.    Clicar em OK

Com isto garantimos de acordo com as opções escolhidas no assistente do SenderID a segurança da nossa organização perante os outros servidores de correio na Internet que estiverem com o SenderID habilitado.

Testando a implementação do SenderID

O teste do SenderID pode ser feito de duas formas:

• Utilizar o mesmo assistente que vimos no tópico anterior, no segundo passo é informado se existe ou não o registro e mostra o conteúdo;
• Enviar um e-mail para check-auth@verifier.port25.com, será respondido com a análise da autenticação da mensagem enviada.

Conclusão

Mostramos nesta primeira parte o funcionamento do SenderID e como adequar a empresa com o SenderID Framework, ele é mais uma forma de segurança contra o ataque de DNS spoofing mas ainda não é a solução definitiva para o problema de spam, isto se deve pelas diversas formas de ataque e que nem todas as empresas adotaram as normas do SenderID.

Um exemplo prático é que apesar de adequarmos a nossa empresa, dizendo exatamente quais são os servidores que podem enviar e-mail com o nosso domínio através do registro SPF isto só terá efeito se o servidor de correio que estiver recebendo a mensagem também esteja usando o SenderID.

Neste momento o mais importante é que façamos a nossa parte, deixando nossos domínios corretos e implementando o filtro em nossa organização Exchange para diminuir o número de spam na Internet.

 

Scope
Quando é feita a validação se via padrão