Autenticação SPF, DKIM e DMARC

Quando você envia emails, os provedores de emails (como Gmail, Outlook, AOL e Yahoo) precisam identificar se a mensagem é um email legítimo enviado pelo proprietário do nome do domínio ou endereço de email ou um email falsificado enviado por um spammer ou phisher. Isso inclui emails enviados pela ActiveCampaign.

Antes de nos aprofundarmos nos métodos de autenticação, verifique se você tem e usa um domínio de envio válido (existente e estabelecido): seu domínio deve ter mais de 30 dias e direcionar para um site válido, não para uma página em branco.

Também é essencial que esse domínio tenha um registro MX: esse registro especifica o servidor de email responsável por aceitar mensagens de email de um nome de domínio. 

Seu domínio de envio é válido e com um registro MX? É hora de autenticá-lo!

Há três métodos estabelecidos usados para verificar a identidade de um remetente: SPF, DKIM e DMARC. A partir de fevereiro de 2024, o Gmail e o Yahoo começarão a exigir DKIM e DMARC para pessoas que enviam mais de 5.000 emails por dia para alcançar a entrega. No entanto, a ActiveCampaign recomenda que todos os remetentes configurem o DKIM e o DMARC. Apesar dessa exigência, existem muitos benefícios adicionais

• Reforce seu branding
  Você pode reforçar seu branding removendo o cabeçalho "via..." do Gmail. Um efeito positivo da configuração da autenticação DKIM é que esse cabeçalho desaparece.
  
  
• Construa uma reputação como remetente de email em seu nome de domínio
  Enviar emails sem autenticação é como entregar a lição de casa sem o nome. Você pode ter acertado a tarefa, mas não recebe a nota sem seu nome nela. A autenticação DKIM ajuda a construir sua reputação como remetente de email.
• Aplique uma segurança mais rigorosa ao seu nome de domínio
  Os padrões de autenticação, como o DMARC, ajudam a proteger seu nome de domínio contra uso potencialmente fraudulento.

A autenticação de email não resolve todos os problemas de entregabilidade, como, por exemplo, se o destinatário quer ou não o email. No entanto, a autenticação resolve o problema de determinar quem enviou o email.

Um remetente que segue as práticas recomendadas, como enviar emails personalizados de alta qualidade para uma lista de opt-in e realizar a limpeza regular da lista, normalmente verá maior capacidade de entrega ao usar a autenticação de email. Seu domínio construirá uma reputação como bom remetente com destinatários que querem interagir com seus emails.

Um remetente que não segue as práticas recomendadas, como usar uma lista alugada ou comprada, não ter mensagens claras durante o processo de opt-in sobre que tipo de emails serão enviados e com que frequência, ou que nunca realiza qualquer limpeza de lista, normalmente terá menor capacidade de entrega com a autenticação de email. Seu domínio pode construir uma reputação como remetente de emails não solicitados.

A autenticação permite que bons remetentes solidifiquem ainda mais a reputação e protejam o domínio de remetentes ruins que podem tentar sequestrar o domínio.

SPF

Os registros SPF (Sender Policy Framework) são registros TXT em seu domínio que autorizam servidores específicos a enviar emails usando seu nome de domínio. A ActiveCampaign configura automaticamente o SPF para os clientes. Isso significa que você não precisa criar um registro SPF ou modificar um já existente para trabalhar com a ActiveCampaign. Isso se aplica mesmo que você esteja usando um Domínio personalizado.

Se você ainda quiser adicionar a ActiveCampaign ao seu registro SPF existente (mesmo que seja desnecessário), pode adicionar "include:emsd1.com" ao seu registro SPF atual. Por exemplo, se você enviar emails do G Suite e da ActiveCampaign, seu registro SPF poderá ter a seguinte aparência:

v=spf1 include:emsd1.com include:_spf.google.com ~all

Você pode criar apenas um registro SPF para seu nome de domínio. Se você tiver um registro SPF existente, precisará modificar seu registro atual em vez de criar um novo registro SPF.

Para saber mais, confira este guia detalhado sobre SPF da nossa equipe do Postmark.

DKIM

DKIM (Domain Keys Identified Mail) é uma assinatura que qualquer remetente pode aplicar às suas mensagens de email. Essa assinatura deixa claro que o suposto remetente da mensagem é, na verdade, o remetente da mensagem. Você pode usar qualquer domínio como assinatura. Por exemplo, uma empresa chamada "Dog Bandanas" assinará as mensagens com o domínio "dogbandanas.com" para confirmar que "Dog Bandanas" enviou a mensagem.

Isso é feito inserindo uma assinatura criptográfica oculta no cabeçalho do seu email (a ActiveCampaign fará isso) e, em seguida, colocando uma chave pública em seu site que verifica a autenticidade dessa assinatura.

Por padrão, todos os emails enviados da ActiveCampaign usarão a assinatura DKIM da ActiveCampaign. A assinatura DKIM da ActiveCampaign tem uma excelente reputação e é suficiente para a maioria dos remetentes. No entanto, é fácil configurar o DKIM para o seu domínio, se quiser.

Para saber mais sobre DKIM, você pode conferir este guia detalhado sobre DKIM da nossa equipe do Postmark.

Atualizamos nosso processo DKIM de registros TXT para registros CNAME. Se você configurar seu DKIM antes de 23 de fevereiro de 2023, seus registros TXT ainda funcionarão e permanecerão válidos. No entanto, recomendamos configurar seu DKIM com as seguintes instruções de registros CNAME, pois é mais seguro.

Para configurar o DKIM:

1. Faça login na sua conta da ActiveCampaign como administrador principal.
2. Clique em Settings (Configurações), localizado no menu esquerdo.
3. Clique na aba Advanced (Avançado).
4. Clique na opção "I will manage my own email authentication (Vou gerenciar minha própria autenticação de email)".
5. Vamos gerar dois registros CNAME. Configure ambos os registros CNAME no provedor DNS para seu domínio (ou seja, Godaddy).
   
   

     Os domínios que você inserir não serão salvos nesta página. Depois de escolher "I will manage my own email authentication (Vou gerenciar minha própria autenticação de email)", todos os domínios verificados assinarão com o DKIM. Clique em "Check DNS (Verificar DNS)" para garantir que todos os seus domínios tenham o DNS adequado.

   Seu host DNS é, em geral, a empresa com a qual você registrou seu domínio ou que hospeda seu site, por exemplo, Godaddy. Você também pode usar esta ferramenta para confirmar quem é seu provedor DNS. A maioria dos hosts DNS exigirá os seguintes itens para configurar os registros CNAME:
   
   • Type (Tipo)
     Escolha CNAME.
   • Name or Host (Nome ou Host)
     Copie e cole o "Nome" do CNAME da ActiveCampaign para cada registro CNAME, como acdkim1._domainkey (mais comum) ou o "Nome" completo do CNAME como acdkim1._domainkey.mydomain.com (menos comum). Qual deles você deve usar vai depender se o provedor DNS adiciona automaticamente o nome de domínio aos registros DNS criados. Se você não tiver certeza de qual usar, observe o formato de outros registros DNS nas configurações (eles incluem o nome de domínio no campo Nome ou Host?) ou pergunte ao seu provedor DNS.
   • Value or Record (Valor ou Registro)
     Copie e cole o "Valor" do CNAME mostrado dentro da ActiveCampaign para cada CNAME.
   • TTL
     TTL significa "Time Till Live". Use a configuração recomendada ou padrão do host DNS. Se não houver uma configuração padrão, recomendamos 300 (5 minutos).
     
     Esse processo vai variar um pouco com base no seu host. Para encontrar instruções específicas para seu host, use sua ferramenta preferida de pesquisa para procurar "Add CNAME record at _____ (Adicionar registro CNAME em _____)", substituindo a linha em branco pelo seu provedor DNS. Por conveniência, incluímos alguns provedores comuns de DNS abaixo:
     • GoDaddy
     • Cloudflare
     • Amazon Route 53
6. Depois de configurar ambos os registros CNAME no provedor DNS, retorne à ActiveCampaign e vá para Settings > Advanced (Configurações > Avançadas). Em seguida, clique em "Check DNS (Verificar DNS)" para verificar se você configurou seus registros DNS corretamente. Saiba como solucionar problemas de mensagens de erro DKIM.
   
   Além disso, você pode testar um email em tempo real com mail-tester.com para garantir que o DKIM esteja funcionando.
   
   
7. Depois de configurar os registros DNS corretamente para todos os domínios de endereço remetente, clique em "Save Settings (Salvar configurações)" na parte superior da página.
   
   Observe que o envio de emails de vários domínios requer a configuração de cada domínio com os registros DNS adequados para DKIM.

Assistir ao vídeo

Veja aqui um vídeo curto com o passo a passo da configuração do DKIM:

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) é um padrão que se baseia em SPF e DKIM. Esse padrão permite que o proprietário do domínio crie uma política que informe aos provedores de caixa de correio (como Google ou Microsoft) o que fazer se o email falhar nas verificações SPF e DKIM. 

O DMARC oferece suporte a três configurações principais de política:

• "None (Nenhuma)"
  Indica que os emails devem ser tratados normalmente se o DMARC falhar. É equivalente a não ter um registro DMARC, embora você ainda possa aproveitar as funcionalidades de relatório do DMARC.
• "Quarantine (Quarentena)"
  Indica que os emails devem ser entregues na pasta de spam se a verificação do DMARC falhar.
• "Reject (Rejeitar)"
  Indica que os emails devem ser devolvidos (não entregues ao destinatário) se a verificação do DMARC falhar.

Usar uma política DMARC de "Quarantine (Quarentena)" ou "Reject (Rejeitar)" exigirá que você tenha uma configuração de registro DKIM adequada para seu domínio de envio, ou então todos os seus emails da ActiveCampaign falharão no teste de DMARC. Isso vai filtrá-lo para a pasta de spam ("Quarantine, Quarentena") ou bloqueá-lo totalmente ("Reject, Rejeitar"). Não esqueça de configurar o DKIM para todos os seus domínios de envio antes de configurar um registro DMARC estrito.

Alguns dos muitos benefícios da configuração do DMARC incluem:

• Os registros DMARC impedem que alguém falsifique seu domínio.
• O DMARC é necessário para configurar o BIMI. Confira este guia detalhado sobre o BIMI da nossa equipe do Postmark.
• O DMARC é um requisito para entrega básica para muitos provedores de email como Gmail e Yahoo.

Para começar a usar o DMARC, recomendamos que você comece com uma política de "None (Nenhuma)" para que não afete sua capacidade de entrega em caso de configuração incorreta. Em seguida, você pode monitorar seus relatórios de DMARC para ver qual seria o impacto se usasse uma política mais rigorosa.

Temos uma recomendação de política de DMARC inicial abaixo. Você pode configurá-la criando um registro TXT com um Host ou Name (Nome) de _dmarc em seu provedor DNS e inserindo o valor abaixo para o Value (Valor) ou Record (Registro). Verifique se você substituiu o endereço de email abaixo pelo seu endereço de email:

v=DMARC1; p=none; pct=100; rua=mailto:youremail@example.com

Se você não substituir o endereço de email no exemplo acima pelo seu endereço de email, não receberá relatórios de DMARC. No entanto, dependendo do volume de emails enviados, a caixa de correio do endereço de email especificado pode ser sobrecarregada e preenchida até a cota. Além disso, como os relatórios de DMARC são enviados em um formato XML, o que dificulta a leitura. É por isso que é muito recomendável trabalhar com uma solução de monitoramento DMARC que possa ser configurada para ingerir esses emails/relatórios e fornecer resultados mais legíveis e acionáveis. Confira o DMARC Digests, que agora faz parte da família de produtos da ActiveCampaign.

Observe também que a quantidade de tempo para investigar e tomar as ações adequadas pode levar de um curto período a muito tempo antes que seja possível configurar o DMARC no modo de imposição.

Se você quiser implementar uma segurança mais robusta em seu domínio, poderá configurar um registro DMARC mais rigoroso usando uma política de "Quarantine (Quarentena)" ou "Reject (Rejeitar)". Para configurar um registro DMARC rigoroso, recomendamos que você visite dmarc.org para obter recomendações sobre como configurar o registro corretamente.

Métodos de autenticação adicionais

BIMI

BIMI (Brand Indicators for Message Identification) é um novo padrão que se baseia no DMARC. Esse padrão permite que os proprietários de domínio que implementaram o DMARC no modo de imposição comprem um VMC (Verified Mark Certificate) para exibir um logotipo BIMI para a marca em mensagens de email. Isso oferece aos destinatários um modo fácil de identificar mensagens confiáveis visualmente.

Como o BIMI é um padrão novo, seu uso ainda não é grande por proprietários de domínio ou provedores de caixa de correio e você não precisa configurar o BIMI. No entanto, se você tiver interesse em saber mais, pode conferir os seguintes sites:

• BIMI
• Resumos DMARC
• Indicadores de Marca para Identificação de Mensagens 

SenderID

SenderID é um padrão de autenticação que foi criado pela Microsoft com o objetivo de substituir o SPF. No entanto,  o SenderID já foi preterido e não é mais usado. Logo, você não precisa configurá-lo.

Se você tiver algum registro SenderID atualmente definido no DNS (registro TXT começando com spf2.0), deve removê-lo.

O SPF (registro começando com v=spf1) ainda é o padrão de autenticação do setor amplamente compatível e recomendado.

Leitura adicional

Neste artigo, não tentamos explicar o processo técnico de como SPF, DKIM e DMARC funcionam. Cada um desses protocolos de autenticação tem um site público em que a especificação técnica é explicada em profundidade:

• SPF
• DKIM
• DMARC
• BIMI
• SPF versus SenderID