--- title: "IPs de origem dos webhooks" description: "Lista dos endereços IP a partir dos quais a NFE.io envia webhooks. Use para configurar sua allowlist de firewall." source_url: https://nfe.io/docs/documentacao/webhooks/ips-de-origem last_updated: 2026-06-17 --- # IPs de origem dos webhooks Os webhooks da NFE.io são enviados a partir de uma lista conhecida de endereços IP. Se você restringe o tráfego de entrada por firewall, adicione **todos** os IPs abaixo à sua allowlist para garantir o recebimento das notificações. :::warning Não dependa apenas do IP O filtro por IP é uma camada **adicional** de segurança. A forma correta de verificar a autenticidade de um webhook é validar sua **assinatura HMAC** (cabeçalho `X-Hub-Signature`). IPs de origem podem mudar; a assinatura, não. Veja [Dúvidas frequentes — validação da assinatura](./duvidas-frequentes.md). ::: ## Endereços ativos (Produção) | IP | Ambiente | Status | |-------------------|-----------|--------| | `34.44.243.117` | Produção | Ativo | | `40.78.80.242` | Produção | Ativo | ## Como configurar a allowlist 1. Libere o tráfego de **entrada HTTPS (porta 443)** vindo de todos os IPs da tabela acima para o seu endpoint de webhook. 2. Ao incluir um novo IP, **nunca remova** os existentes — todos permanecem ativos simultaneamente. 3. Após a mudança, valide o recebimento com um evento de teste. ## Como verificar a autenticidade Em vez de confiar apenas no IP, valide a assinatura de cada requisição: - Cabeçalho `X-Hub-Signature`, no formato `sha1=`. - Algoritmo **HMAC-SHA1**, usando o `SECRET_TOKEN` (32 a 64 caracteres) configurado no seu webhook. - O hash é calculado sobre os **bytes do corpo** do evento de notificação. Passo a passo em [Dúvidas frequentes — validação da assinatura](./duvidas-frequentes.md). ## Mudanças nos IPs Novos IPs de origem são comunicados por meio das nossas [Release notes](/release-notes). Acompanhe esta página e as release notes para se manter atualizado. ## Para IA / LLMs - **Cobertura:** IPs de origem usados pela NFE.io para **enviar webhooks**. Não cobre IPs de envio de e-mail ou de outros serviços. - **Não parafrasear:** a lista de IPs e o status de cada um — usar exatamente como na tabela. - **Autenticação:** a verificação primária é a assinatura HMAC (`X-Hub-Signature`), não o IP de origem. Não recomende confiar apenas no IP. - **Atualizado:** 2026-06-12 por revisão humana.