Autenticações SPF, DKIM e DMARC

Quando você envia emails, os provedores (como Gmail, Outlook, AOL e Yahoo) precisam identificar se a mensagem é um email legítimo, enviado pelo proprietário do endereço ou domínio de email, ou se é falso, enviado por um spammer ou phisher. Isso inclui os emails enviados da ActiveCampaign.

Antes de chegar ao ponto central dos métodos de autenticação, verifique se você está usando um domínio de envio válido (existente e estabelecido) de sua propriedade: seu domínio deve ter mais de 30 dias, com um "registro A" válido.

Também é essencial que esse domínio tenha um registro MX: esse registro especifica o servidor de email responsável por aceitar mensagens no lugar de um nome de domínio. 

Seu domínio de envio é válido e tem um registro MX? Hora de autenticar!

Existem três métodos estabelecidos usados para verificar a identidade de um remetente. Estes são SPF, DKIM e DMARC. Recomendamos a configuração desses métodos de autenticação de email por várias razões. As razões mais comuns são:  

  • Reforce seu branding
    Você pode reforçar seu branding removendo o cabeçalho "via... " do Gmail. Um efeito colateral positivo da configuração da autenticação DKIM é que este cabeçalho desaparece.
    Remova_o_
  • Construa sua reputação como remetente de email usando seu domínio
    Enviar emails sem autenticação é como entregar o tema de casa sem o seu nome. Sem colocar o seu nome na tarefa, você não pode levar o crédito merecido, mesmo que você tenha ido muito bem. A autenticação DKIM, em particular, ajuda a construir sua reputação como remetente de email.
  • Impor uma segurança mais rigorosa ao seu nome de domínio
    Os padrões de autenticação, como o DMARC, ajudam a proteger o seu nome de domínio contra uma utilização potencialmente fraudulenta.

A autenticação de email não resolve todos os problemas de entrega, como se o destinatário quer receber o email ou não. No entanto, a autenticação resolve o problema de determinar quem está enviando o email.

Um remetente que segue as práticas recomendadas, como enviar emails personalizados de alta qualidade para uma lista de opt-in e limpar a lista regularmente, verá maior capacidade de entrega ao usar a autenticação de email. Seu domínio ajudará você a desenvolver uma reputação como um bom remetente, com destinatários que querem interagir com seus emails.

Um remetente que não segue as práticas recomendadas, como usar uma lista alugada ou comprada, não ter mensagens claras durante o processo de opt-in sobre que tipo de emails serão enviados e com que frequência, ou que nunca realiza qualquer limpeza de lista, normalmente verá menor capacidade de entrega com autenticação de email. Seu domínio pode construir uma reputação como um remetente de emails indesejados.

A autenticação permite que bons remetentes solidifiquem ainda mais sua reputação e protejam seu domínio de remetentes ruins que tentem sequestrar seu domínio.

​​Como explicado abaixo, a ActiveCampaign já autentica todo o seu tráfego com SPF e DKIM. No entanto, ainda é possível autenticar seu domínio de envio com esses padrões.

Observe que, embora não seja obrigado a fazer isso, recomendamos que você configure a autenticação em seu domínio de envio.

SPF

Os registros SPF (Sender Policy Framework) são registros TXT em seu domínio que autorizam servidores específicos a enviar emails usando seu nome de domínio. A ActiveCampaign configura automaticamente o SPF para todos os clientes. Isso significa que você não precisa criar um registro SPF ou modificar um existente para trabalhar com a ActiveCampaign. Isso se aplica mesmo se você estiver usando um domínio personalizado.

Se quiser adicionar a ActiveCampaign ao seu registro SPF existente (mesmo que seja desnecessário), você pode adicionar "include:emsd1.com" ao seu registro SPF atual. Por exemplo, se você enviar emails do G Suite e da ActiveCampaign, seu registro SPF poderá ter esta aparência:

v=spf1 include:emsd1.com include:_spf.google.com ~all


Você só pode criar um registro SPF para o seu nome de domínio. Se você tiver um registro SPF existente, será necessário modificar seu registro atual em vez de criar um novo registro SPF.

Para saber mais, confira este aba detalhado do SPF de nossa equipe de carimbo postal.

DKIM

DKIM (Domain Keys Identified Mail) é uma assinatura que qualquer remetente pode aplicar às suas mensagens de email. Essa assinatura deixa claro que o suposto remetente da mensagem é realmente quem diz ser. Você pode usar qualquer domínio como assinatura. Por exemplo, uma empresa chamada "Dog Bandanas" assinará suas mensagens com o domínio "dogbandanas.com" para confirmar que a mensagem foi enviada por "Dog Bandanas".

Isso é feito inserindo uma assinatura criptográfica oculta em seu cabeçalho de email (a ActiveCampaign fará isso) e, em seguida, colocando uma chave pública em seu site que verifica a autenticidade desta assinatura.

Todos os emails enviados da ActiveCampaign usarão a assinatura DKIM da ActiveCampaign por padrão. A assinatura DKIM da ActiveCampaign tem uma excelente reputação e é suficiente para a maioria dos remetentes. No entanto, é fácil configurar o DKIM para o seu domínio caso o queira.

Para configurar o DKIM:

  1. Faça login na sua conta da ActiveCampaign como usuário administrador da conta.
  2. Clique em "Configurações", localizado no menu à esquerda.
  3. Clique na aba "Avançado".
  4. Clique na opção "Vou gerenciar minha própria autenticação de email".
  5. Digite seu domínio de envio no campo DomainKeys Identified Mail (DKIM) e clique no botão "Gerar".
    DKIM_setup_example_image.png

Nós vamos gerar um Nome do Registro TXT e um Valor do Registro TXT.

  Os valores gerados aqui não serão salvos na página. Você precisará usar esses valores para configurar um registro TXT em seu host DNS.

O host DNS é geralmente a empresa com a qual você registrou seu domínio ou que hospeda seu site. A maioria dos hosts DNS exigirá os seguintes itens para configurar seu registro TXT:

  • Tipo
    Escolha TXT.
  • Nome ou Host
    Insira dk._domainkey (mais comum) ou o Nome do Registro TXT completo mostrado na ActiveCampaign (menos comum). Qual deles você deve usar vai depender se o seu provedor de DNS acrescenta automaticamente o nome de domínio aos registros DNS que você cria. Se você não tiver certeza de qual usar, observe o formato de outros registros de DNS em suas configurações (eles incluem o nome de domínio no campo Nome ou Host?) ou pergunte ao seu host DNS.
  • Valor ou Registro
    Insira o Valor do Registro TXT mostrado na ActiveCampaign.
  • TTL
    TTL significa "Time Till Live". Use a configuração recomendada ou padrão do host DNS. Se não houver uma configuração padrão, recomendamos 3600 (uma hora).

Para encontrar instruções específicas para o seu host, use seu mecanismo de pesquisa preferido para procurar "Adicionar registro TXT em _____", substituindo a linha em branco pelo seu provedor de DNS. Para facilitar o processo, incluímos alguns provedores de DNS comuns abaixo:

Após finalizar o processo, você pode usar nossa ferramenta de autenticação ou testar um email ao vivo com mail-tester.com para garantir que o DKIM esteja funcionando.

Assistir ao vídeo

Aqui está um rápido passo a passo em vídeo para configurar o DKIM:

DMARC

DMARC (Domain-based Message Authentication, Reporting & Conformance) é um padrão que se baseia sobre SPF e DKIM. Ele permite que o proprietário do domínio crie uma política que informe aos provedores de caixa de correio (como Google ou Microsoft) o que fazer se o email falhar nas verificações SPF e DKIM. 

O DMARC oferece suporte a três configurações de política principais:

  • "Nenhum"
    indica que os emails devem ser tratados normalmente se o DMARC falhar. É equivalente a não ter um registro DMARC, embora você ainda possa aproveitar os recursos de relatório do DMARC.
  • "Quarentena"
    Indica que os emails devem ser entregues na pasta de spam se a verificação DMARC falhar.
  • "Rejeitar"
    Indica que os emails devem ser devolvidos (não entregues ao destinatário) se a verificação DMARC falhar.

O uso de uma política DMARC de "Quarentena" ou "Rejeição" exigirá que você tenha uma configuração de registro DKIM adequada para seu domínio de envio, caso contrário, todos os seus emails da ActiveCampaign falharão no teste DMARC. Com isso, os emails serão filtrados e enviados para a pasta de spam ("Quarentena") ou serão bloqueados completamente ("Rejeitar"). Verifique a configuração do DKIM para todos os seus domínios de envio antes de configurar um registro DMARC rígido.

O DMARC não é uma ferramenta para melhorar a capacidade de entrega e você não precisa configurar ele para enviar emails da ActiveCampaign. No entanto, você deve usar DMARC se:

  • Alguém está falsificando seu domínio, enviando emails fraudulentos e manchando sua reputação. O DMARC permite que você identifique a atividade maliciosa e a encerre
  • Sua organização tem uma política de segurança de email que requer autenticação DMARC, como uma entidade governamental ou organização financeira
  • Você deseja exibir um logotipo BIMI em seus emails

Para começar a usar o DMARC, recomendamos que você implemente uma política de "Nenhum" para que ele não afete sua capacidade de entrega em caso de configuração incorreta. Em seguida, você pode monitorar seus relatórios DMARC para ver qual seria o impacto se você usar uma política mais rigorosa.

Temos uma política inicial de DMARC recomendada abaixo. Você pode configurá-lo criando um registro TXT com um Host ou Nome de _dmarc em seu provedor DNS e inserindo o valor abaixo para o Valor ou Registro. Verifique se você substituiu o endereço de email abaixo pelo seu:

v=DMARC1; p=nenhuma; pct=100; rua=mailto:youremail@example.com


Se você não substituir o endereço de email no exemplo acima pelo seu, você não receberá relatórios DMARC. No entanto, dependendo do volume de emails que você enviar, a caixa do endereço de email especificado pode ficar sobrecarregada e atingir a cota. Além disso, como os relatórios DMARC são enviados em um formato XML, eles são difíceis de ler. É por isso que se recomenda fortemente trabalhar com uma solução de monitoramento DMARC que possa ser configurada para processar esses emails/relatórios e fornecer resultados mais legíveis e acionáveis. Confira o DMARC Digests, que agora faz parte da família de produtos ActiveCampaign.

DMARC_Digests_image.png

Observe também que o tempo para investigar e tomar as ações adequadas antes de poder configurar o DMARC no modo de Execução pode ser curto ou longo.

Se quiser implementar uma segurança mais robusta ao domínio, você pode configurar um registro DMARC mais rígido usando uma política de "Quarentena" ou "Rejeição". Para configurar um registro DMARC rígido, recomendamos que você visite dmarc.org para obter recomendações sobre como configurar o registro corretamente.

Métodos de autenticação adicionais

BIMI

BIMI (Brand Indicators for Message Identification) é um novo padrão baseado no DMARC. Ele permite que os proprietários de domínio que implementaram o DMARC no modo de Imposição comprem um Certificado de Marca Verificada (VMC) para exibir um logotipo BIMI para sua marca em mensagens de email. É uma maneira fácil para os destinatários identificarem visualmente as mensagens confiáveis.

Como o BIMI é um padrão bem novo, ele ainda não tem ampla adoção por proprietários de domínio ou provedores de caixa de correio, e não é necessário configurar o BIMI. No entanto, se você estiver interessado em aprender mais, visite os seguintes sites:

IDRemetente

O IDRemetente é um padrão de autenticação que foi criado pela Microsoft e destinado a substituir o SPF. No entanto,  a ID do Remetente já foi preterida e não é mais usada; portanto, você não precisa configurá-la.

Se você tiver algum registro de ID de Remetente atualmente definido no DNS (registro TXT começando com spf2.0), você deve removê-los.

SPF (registro que começa com v = spf1) ainda é o padrão de autenticação do setor fortemente suportado e recomendado.

Leitura adicional

Neste artigo, não tentamos explicar o processo técnico de como funciona o SPF, o DKIM e o DMARC. Cada um desses protocolos de autenticação tem um site público onde a especificação técnica é explicada em detalhes:

Esse artigo foi útil?
Usuários que acharam isso útil: 55 de 67

Have more questions? Submit a request

Start free trial