Autenticações SPF, DKIM e DMARC

Quando você envia emails, os provedores de caixas de correio (como Gmail, Outlook, AOL e Yahoo) precisam identificar se a mensagem é um email legítimo enviado do proprietário do nome de domínio ou endereço de email, ou um email falsificado enviado por um spammer ou phisher. Isso inclui emails enviados da ActiveCampaign.

Existem três métodos estabelecidos usados para verificar a identidade de um remetente. Estes são SPF, DKIM e DMARC. Recomendamos a configuração desses métodos de autenticação de email por várias razões. As razões mais comuns são:  

  • Remova o cabeçalho "via..." do Gmail
    Fazer isso vai reforçar o branding (veja imagem abaixo). Um efeito colateral positivo da configuração da autenticação DKIM é que este cabeçalho desaparece.
  • Construa reputação sendo remetente de email em seu próprio nome de domínio
    Enviar emails sem autenticação é como fazer lição de casa sem seu nome nele. Você pode ter ido muito bem na tarefa, mas não pode levar o crédito por ela sem o seu nome nela. A autenticação DKIM, em particular, ajuda a construir sua reputação como remetente de email.
  • Imponha uma segurança mais rigorosa em seu nome de domínio
    Padrões de autenticação, como o DMARC, ajudam a proteger seu nome de domínio contra uso fraudulento por spammers e phishers que querem prejudicar sua reputação ou enganar seus clientes.

A autenticação por email não é uma bala de prata para resolver problemas de entregabilidade. A autenticação resolve o problema de determinar de quem vem o email, não se o email é procurado pelo destinatário.

Um remetente que segue as melhores práticas, como enviar emails personalizados de alta qualidade para uma lista de opt-in e realiza a higiene regular da lista normalmente verá maior capacidade de entrega ao usar autenticação de email. Seu domínio construirá uma reputação como um bom remetente com destinatários que querem se envolver com seus emails.

Um remetente que não segue as melhores práticas, como usar uma lista alugada ou comprada, não ter mensagens claras durante o processo de opt-in sobre que tipo de emails serão enviados e em que frequência, ou que nunca realiza qualquer higiene de lista, normalmente verá menor entregabilidade com autenticação de email. Seu domínio pode construir uma reputação como um remetente de emails indesejados.

A autenticação permite que bons remetentes solidifiquem ainda mais sua reputação e protejam seus domínios contra remetentes ruins que podem tentar sequestrar seus domínios.

Como tal, nós encorajamos você a configurar a autenticação, mas você não é obrigado a fazê-lo. 

SPF

Os registros SPF (Sender Policy Framework) são registros TXT em seu domínio que autorizam certos servidores a enviar emails usando seu nome de domínio. A ActiveCampaign configura automaticamente o SPF para todos os clientes. Isso significa que você não precisa criar um registro SPF ou modificar um já existente para trabalhar com a ActiveCampaign. Isso se aplica mesmo se você estiver usando um domínio personalizado.

Se você ainda quiser adicionar a ActiveCampaign ao seu registro SPF existente (mesmo que seja desnecessário), você pode fazê-lo adicionando "include:emsd1.com" ao seu registro SPF existente ou criando um novo. Por exemplo, se você enviar emails tanto do G Suite quanto da ActiveCampaign, seu registro SPF pode ser assim:

v=spf1 include:emsd1.com include:_spf.google.com ~all

Você só pode criar um registro SPF para o seu nome de domínio. Se você tiver um registro SPF existente, você precisará modificar seu registro existente em vez de criar um novo registro SPF.

DKIM

DKIM (Domain Keys Identified Mail) é essencialmente uma assinatura que qualquer remetente pode aplicar às suas mensagens de email. Esta assinatura deixa claro que o suposto remetente da mensagem é o real remetente da mensagem. Qualquer domínio pode ser usado como assinatura. Por exemplo, uma empresa chamada "Dog Bandanas" assinará suas mensagens com o domínio dogbandanas.com para confirmar que a mensagem foi realmente enviada por "Dog Bandanas".

Isso é feito inserindo uma assinatura criptográfica oculta em seu cabeçalho de email (a ActiveCampaign fará isso) e, em seguida, colocando uma chave pública em seu site que verifica a autenticidade desta assinatura.

Todos os emails enviados da ActiveCampaign usarão a assinatura DKIM da ActiveCampaign por padrão. A assinatura DKIM da ActiveCampaign tem uma reputação muito boa e é suficiente para a maioria dos remetentes. No entanto, é fácil configurar o DKIM para o seu próprio domínio, se você quiser.

Para configurar o DKIM:

1. Clique em "Configurações".

2. Clique em "Avançado".

3. Clique na opção "Gerenciarei minha própria autenticação de email".

sarahnicholaev

4. Digite seu domínio de envio no campo DomainKeys Identified Mail (DKIM) e clique no botão "Gerar".

sarahnicholaev

Vamos gerar um Nome de Registro TXT e valor de registro TXT.

sarahnicholaev

Observe que os valores gerados aqui não serão salvos na página. Você precisará usar esses valores para configurar um registro TXT no seu host DNS.

Seu host DNS é normalmente a empresa com a quem você registrou seu domínio ou hospeda seu site. A maioria dos hosts DNS exigirá os seguintes itens para configurar seu registro TXT:

  • Tipo
    Escolha TXT.
  • Nome ou Host
    Insira dk._domainkey (mais comum) ou o nome completo do registro TXT mostrado dentro da ActiveCampaign (menos comum). Qual deles você deve usar depende se o seu provedor de DNS anexa automaticamente o nome de domínio aos registros DNS que você cria. Se você não tiver certeza de qual usar, olhe para o formato de outros registros de DNS em suas configurações (eles incluem o nome de domínio no campo Nome ou Host?) ou pergunte ao seu host DNS.
  • Valor ou Registro
    Insira o Valor de Registro TXT mostrado dentro da ActiveCampaign.
  • TTL 
    Esse é "Time Till Live". Use a configuração recomendada ou padrão do host DNS. Se não houver uma configuração padrão, recomendamos 3600 (uma hora).

Para encontrar instruções específicas para o seu host, use seu mecanismo de pesquisa preferido para procurar "Adicionar registro TXT em _____", substituindo a linha em branco pelo seu provedor de DNS. Por conveniência, incluímos alguns provedores comuns de DNS abaixo:

Uma vez terminado, você pode usar nossa ferramenta de autenticação ou testar um email ao vivo com mail-tester.com para garantir que o DKIM esteja funcionando.

Aqui está um rápido passo a passo em vídeo para configurar o DKIM:

DMARC

DMARC (Domain-based Message Authentication, Reporting & Conformance) é um padrão que se baseia sobre SPF e DKIM. Ele permite que o proprietário do domínio crie uma política que diga aos provedores de caixas de correio (como Google ou Microsoft) o que fazer se o email falhar nas verificações de SPF e DKIM. 

O DMARC suporta três configurações principais de políticas:

  • "Nenhum"
    indica que os emails devem ser tratados normalmente se o DMARC falhar. Equivale a não ter um registro de DMARC, embora você ainda possa tirar proveito dos recursos de relatórios do DMARC.
  • "Quarentena"
    Indica que os emails devem ser entregues na pasta de spam se a verificação DMARC falhar.
  • "Rejeitar"
    Indica que os emails devem ser devolvidos (não entregues ao destinatário) se a verificação DMARC falhar.

O uso de uma política DMARC de "Quarentena" ou "Rejeitar" exigirá que você tenha uma configuração de registro DKIM adequada para o seu domínio de envio, ou então todos os seus emails da ActiveCampaign falharão no teste DMARC. Isso irá filtrá-lo para a pasta de spam ("Quarentena") ou bloqueá-lo inteiramente ("Rejeitar"). Certifique-se de ter configurado o DKIM para todos os seus domínios de envio antes de configurar um registro DMARC rigoroso.

O DMARC não é uma ferramenta para melhorar a capacidade de entrega e você não é obrigado a configurar o DMARC para enviar emails da ActiveCampaign. No entanto, você deve usar DMARC se:

  • Alguém está ativamente falsificando seu domínio, enviando emails fraudulentos e manchando sua reputação. DMARC permite que você identifique essa atividade maliciosa e a interrompa
  • Sua organização tem uma política de segurança por email que requer autenticação DMARC, como uma entidade governamental ou organização financeira
  • Você deseja exibir um logotipo BIMI nos seus emails

Para começar com o DMARC, recomendamos que você comece com uma política de "Nenhum" para que você não impacte sua capacidade de entrega em caso de uma configuração errada. Em seguida, você pode monitorar seus relatórios DMARC para ver qual seria o impacto se você usar uma política mais rigorosa.

Temos uma política inicial recomendada do DMARC abaixo. Você pode configurá-lo criando um registro TXT com um Host ou Nome de _dmarc em seu provedor DNS e digitando o valor abaixo para o Valor ou Registro. Por favor, certifique-se de substituir o endereço de email abaixo pelo seu próprio endereço de email:

v=DMARC1; p=none; pct=100; rua=mailto:seuemail@exemplo.com

Se você não substituir o endereço de email no exemplo acima por seu próprio endereço de email, você não receberá relatórios DMARC.

Se você quiser implementar uma segurança mais forte em seu domínio, você pode configurar um registro DMARC mais rigoroso usando uma política de "Quarentena" ou "Rejeitar". Para configurar um registro de DMARC rigoroso, aconselhamos que você visite dmarc.org para obter recomendações sobre como configurar o registro corretamente.

Métodos adicionais de autenticação

BIMI

BIMI (Brand Indicators for Message Identification) é um novo padrão experimental que se baseia em cima do DMARC. Ele permite que os proprietários de domínio que implementaram o DMARC comprem um Certificado de Marca Verificada (VMC) para exibir um logotipo BIMI para sua marca em mensagens de email. Isso dá aos destinatários uma maneira fácil de identificar visualmente mensagens confiáveis.

Como o BIMI é um padrão novo, ele ainda não tem uma adoção generalizada por proprietários de domínios ou provedores de caixa de correio, e você não precisa configurar o BIMI. No entanto, se você estiver interessado em aprender mais, você pode consultar os seguintes sites:

SenderID

O SenderID é um padrão de autenticação que foi criado pela Microsoft e destinado a substituir o SPF. No entanto, o SenderID foi preterido e não é mais usado pela grande maioria dos serviços de email e você não precisa configurá-lo.

Se você enviar para sistemas de email legados que dependem do SenderID, então recomendamos configurar um SenderID vazio para evitar potenciais conflitos com o SPF:

spf2.0/pra

Leitura adicional

Neste artigo, não tentamos explicar o processo técnico de como funciona o SPF, o DKIM e o DMARC. Cada um desses protocolos de autenticação tem um site público onde a especificação técnica é explicada em profundidade:

Esse artigo foi útil?
Usuários que acharam isso útil: 33 de 40

Have more questions? Submit a request

Start free trial