Autenticações SPF, DKIM e DMARC

Quando você envia e-mails, os provedores de caixas de correio (como Gmail, Outlook, AOL e Yahoo) precisam identificar se a mensagem é um e-mail legítimo enviado pelo proprietário do nome de domínio ou endereço de e-mail, ou um e-mail forjado enviado por um spammer ou phisher. Isso inclui e-mails enviados pela ActiveCampaign.

Existem três métodos estabelecidos usados para verificar a identidade de um remetente. Estes são SPF, DKIM e DMARC. Recomendamos configurar esses métodos de autenticação de e-mail por várias razões. As razões mais comuns são:

  • Remover o cabeçalho “via...” do Gmail
    Ao fazer isso, será reforçada a marca (veja a imagem abaixo). Um efeito colateral positivo da configuração da autenticação DKIM é que esse cabeçalho desaparece.
  • Construir uma reputação como um remetente de e-mail em seu próprio nome de domínio
    Enviar e-mails sem autenticação é como entregar a lição de casa sem seu nome nela. Você pode ter acertado a tarefa, mas não poderá levar o crédito sem seu nome nela. A autenticação DKIM, em particular, ajuda a construir sua reputação como remetente de e-mail.
  • Impor segurança mais rigorosa em seu nome de domínio
    Padrões de autenticação, como o DMARC, ajudam a proteger seu nome de domínio contra o uso fraudulento por spammers e phishers que desejam prejudicar sua reputação ou enganar seus clientes.

A autenticação de e-mail não é a única maneira de resolver os problemas de entregabilidade. A autenticação resolve o problema de determinar de quem o e-mail está vindo, não se o e-mail é desejado pelo destinatário.

Um remetente que segue as melhores práticas, como enviar e-mails personalizados de alta qualidade para uma lista de opt-in, e realiza a limpeza regular da lista normalmente verá maior capacidade de entregabilidade ao usar a autenticação de e-mail. Seu domínio construirá uma reputação como um bom remetente com destinatários que desejam participar de seus e-mails.

Um remetente que não segue as melhores práticas, como usar uma lista alugada ou comprada, não ter mensagens claras durante o processo de opt-in sobre que tipo de e-mail será enviado e em que frequência, ou que nunca efetua uma limpeza da lista, normalmente verá menor entregabilidade com autenticação de e-mail. Seu domínio pode construir uma reputação como um remetente de e-mails indesejados.

A autenticação permite que os bons remetentes solidifiquem ainda mais a reputação e protejam o domínio contra remetentes negativos que podem tentar sequestrar seu domínio.

Como tal, encorajamos configurar a autenticação, mas você não é obrigado a fazê-lo. 

SPF

Os registros SPF (Sender Policy Framework) são registros TXT em seu domínio que autorizam certos servidores a enviar e-mails usando seu nome de domínio. A ActiveCampaign configura automaticamente o SPF para todos os clientes. Isso significa que você não precisa criar um registro SPF nem modificar um existente para trabalhar com a ActiveCampaign. Isso se aplica mesmo se você está usando um Domínio Personalizado.

Se ainda quiser adicionar a ActiveCampaign ao seu registro SPF existente (mesmo que seja desnecessário), você pode fazê-lo adicionando “include:emsd1.com” ao seu registro SPF existente ou criando um novo. Por exemplo, se envia e-mails do G Suite e da ActiveCampaign, seu registro SPF pode ter a seguinte aparência:

v=spf1 include:emsd1.com include:_spf.google.com ~all

É possível criar somente um registro SPF para seu nome de domínio. Se você tiver um registro SPF existente, será necessário modificar o registro existente em vez de criar um novo registro SPF.

DKIM

O DKIM (Domain Keys Identified Mail) é basicamente uma assinatura que qualquer remetente pode aplicar em suas mensagens de e-mail. Essa assinatura deixa claro que o suposto remetente da mensagem é o real remetente. Qualquer domínio pode ser usado como assinatura. Por exemplo, uma empresa chamada “Dog Bandanas” assinará suas mensagens com o domínio dogbandanas.com para confirmar que a mensagem foi realmente enviada por “Dog Bandanas”.

Isso é feito inserindo uma assinatura criptográfica oculta em seu cabeçalho de e-mail (a ActiveCampaign fará isso) e, em seguida, colocando uma chave pública em seu site que verifica a autenticidade dessa assinatura.

Todos os e-mails enviados pela ActiveCampaign usarão a assinatura DKIM da ActiveCampaign por padrão. A assinatura DKIM da ActiveCampaign tem uma reputação muito boa e é suficiente para a maioria dos remetentes. No entanto, é fácil configurar o DKIM para seu próprio domínio, se você deseja.

Para configurar o DKIM:

1. Clique em “Configurações”.

2. Clique em “Avançadas”.

3. Clique na opção “Vou gerenciar minha própria autenticação de e-mail”.

sarahnicholaev

4. Digite seu domínio de envio no campo DKIM (DomainKeys Identified Mail) e clique no botão “Gerar”.

sarahnicholaev

Um Nome de Registro TXT e um Valor de Registro TXT serão gerados.

sarahnicholaev

Observe que os valores aqui gerados não serão salvos na página. Será necessário usar esses valores para configurar um registro TXT em seu host DNS.

Em geral, seu host DNS é a empresa na qual você registrou seu domínio ou seu site é hospedado. A maioria dos hosts DNS exigirá os seguintes itens para configurar seu registro TXT:

  • Tipo
    Escolha TXT.
  • Nome ou Host
    Digite dk._domainkey (mais comum) ou o Nome de Registro TXT completo mostrado dentro da ActiveCampaign (menos comum).  Para definir qual usar, é preciso saber se seu provedor de DNS anexa automaticamente o nome de domínio aos registros DNS criados. Se você não tiver certeza do que usar, analise o formato de outros registros DNS em suas configurações (eles incluem o nome de domínio no campo Nome ou Host?) ou pergunte ao host DNS.
  • Valor ou Registro
    Digite o Valor de Registro TXT mostrado dentro da ActiveCampaign.
  • TTL 
    Isso significa "Time Till Live" (Tempo de Vida). Use a configuração recomendada ou padrão do seu host DNS. Se não houver uma configuração padrão, recomendamos 3.600 (uma hora).

Para encontrar instruções específicas para seu host, use o mecanismo de pesquisa de sua preferência para procurar "Adicionar registro TXT em _____", substituindo a linha em branco por seu provedor de DNS. Para sua comodidade, incluímos abaixo alguns provedores de DNS comuns:

Depois de terminar, você pode usar nossa ferramenta de autenticação ou testar um e-mail ao vivo com mail-tester.com para garantir que o DKIM esteja funcionando.

DMARC

DMARC (Domain-based Message Authentication, Reporting & Conformance) é um padrão que se baseia em SPF e DKIM. Ele permite que o proprietário do domínio crie uma política que informa aos provedores de caixas de correio (como Google ou Microsoft) o que fazer se o e-mail falhar nas verificações de SPF e DKIM. 

O DMARC suporta três configurações principais de políticas:

  • "Nenhuma"
    Indica que os e-mails devem ser tratados normalmente se o DMARC falha. Isso equivale a não ter um registro DMARC, embora você ainda possa tirar proveito dos recursos de relatório do DMARC.
  • "Quarentena"
    Indica que os e-mails devem ser entregues na pasta de spam se a verificação do DMARC falha.
  • "Rejeitar"
    Indica que os e-mails devem ser devolvidos (não entregues ao destinatário) se a verificação DMARC falha.

O uso de uma política DMARC "Quarentena" ou "Rejeitar" exigirá que você tenha uma configuração de registro DKIM adequada para seu domínio de envio ou todos os seus e-mails da ActiveCampaign falharão no teste DMARC. Isso filtrará a pasta de spam ("Quarentena") ou fará seu total bloqueio ("Rejeitar"). Configure o DKIM para todos os seus domínios de envio antes de configurar um registro DMARC rigoroso.

O DMARC não é uma ferramenta para melhorar a entregabilidade e você não é obrigado a configurar o DMARC para enviar e-mails pela ActiveCampaign. No entanto, você deverá usar o DMARC se:

  • Alguém estiver ativamente falsificando seu domínio, enviando e-mails fraudulentos e manchando sua reputação. O DMARC permitirá que identifique essa atividade maliciosa e a desligue.
  • Sua organização tem uma política de segurança de e-mail que requer a autenticação DMARC, como uma entidade governamental ou uma organização financeira.
  • Você deseja exibir um logotipo BIMI para seus e-mails

Para começar com o DMARC, recomendamos que parta de uma política "Nenhuma" para não impactar sua entregabilidade, no caso de haver uma configuração errada. Em seguida, você pode monitorar seus relatórios DMARC para ver qual seria o impacto se usasse uma política mais rigorosa.

Temos uma política inicial para o DMARC recomendada abaixo. Você poderá configurá-lo criando um registro TXT com um Host ou um Nome _dmarc em seu provedor de DNS e digitando o valor abaixo para o Valor ou o Registro. Substitua o endereço de e-mail abaixo por seu próprio endereço de e-mail:

v=DMARC1; p=none; pct=100; rua=mailto:seuemail@exemplo.com

Se você não substituir o endereço de e-mail no exemplo acima por seu próprio endereço de e-mail, não receberá relatórios DMARC.

Se quiser implementar uma segurança mais forte em seu domínio, será possível configurar um registro DMARC mais rigoroso usando uma política "Quarentena" ou "Rejeitar". Para configurar um registro DMARC rigoroso, aconselhamos visitar dmarc.org para obter recomendações sobre como configurar o registro corretamente.

Métodos adicionais de autenticação

BIMI

Bimi (Brand Indicators for Message Identification) é um novo padrão experimental baseado no DMARC. Ele permite que os proprietários de domínios que implementaram o DMARC comprem um Certificado de Marca Verificada (VMC) para exibir um logotipo BIMI para sua marca nas mensagens de e-mail. Isso oferece aos destinatários um meio fácil de identificar visualmente as mensagens confiáveis.

Como o BIMI é um novo padrão, ele ainda não é amplamente adotado pelos proprietários de domínios ou provedores de caixas de correio; você não precisa configurá-lo. No entanto, se estiver interessado em aprender mais, poderá consultar os seguintes sites:

SenderID

SenderID é um padrão de autenticação criado pela Microsoft, com a finalidade de substituir o SPF. No entanto, o SenderID foi desde então preterido, não é mais usado pela maioria dos serviços de e-mail e você não precisa configurá-lo.

Se você enviar para sistemas de e-mail herdados que dependem do ID de Remetente, recomendamos configurar um SenderID vazio para evitar possíveis conflitos com o SPF:

spf2.0/pra

Leitura adicional

Neste artigo, não tentamos explicar o processo técnico de como funcionam o SPF, o DKIM e o DMARC. Cada um desses protocolos de autenticação conta com um site público onde a especificação técnica é explicada em detalhes:

Tem mais dúvidas? Envie uma solicitação