O que são DKIM, SPF e DMARC?
Publicados: 2022-10-07Seus e-mails são constantemente interrompidos pelos filtros de spam de seus destinatários? Pior ainda, eles simplesmente não estão aparecendo?
A capacidade de entrega de e-mail é um problema para muitas empresas – e resolver o problema às vezes pode ser uma arte obscura. Neste guia, discutimos três soluções acima do padrão para melhorar a capacidade de entrega de e-mail: DKIM, SPF e DMARC.
A configuração de DKIM, SPF e DMARC para seu domínio pode melhorar a capacidade de entrega de e-mail, além de reduzir o risco de golpistas e spoofers enviarem com sucesso e-mails supostamente da sua organização.
O que são DKIM e FPS?
DKIM e SPF são dois métodos digitais usados para validação de e-mail. Eles podem proteger o remetente e o destinatário de um email contra falsificação, phishing e falsificação de identidade.
Quando a conta de e-mail de alguém recebe um e-mail com assinatura DKIM ou SPF, seus filtros de spam verificam o domínio do remetente para garantir que o e-mail seja válido e não forjado. Os e-mails que passam na verificação DKIM ou SPF se qualificam para serem entregues; e-mails que não passam são rejeitados ou colocados em quarentena.
O DKIM é usado para validar e-mails enviados por um determinado domínio, enquanto o SPF também valida e-mails enviados por terceiros em nome do domínio 'remetente'.
O que é DKIM?
Vamos falar mais detalhadamente sobre DKIM e SPF, começando pelo DKIM.
DKIM (DomainKeys Identified Mail) é um protocolo de segurança que pode dizer à conta de e-mail de alguém se um e-mail foi realmente enviado ou não do domínio que diz ter sido enviado.
Em 2005, antes do lançamento do DKIM, o spoofing de e-mail era especialmente difundido. Isso levou um grupo de participantes de alto nível da indústria da Internet, que incluía Yahoo!, Cisco e Microsoft, a apresentar uma solução: DKIM. O grupo identificou que a associação reivindicada entre um email e um domínio pode ser validada adicionando uma chave de segurança aos metadados de cada email. Isso forneceria uma maneira de os domínios provarem que seus próprios e-mails são legítimos, ao mesmo tempo em que torna mais difícil para os golpistas fingirem uma associação entre seus e-mails falsificados e o domínio de outra pessoa.
Quando um domínio tem o DKIM configurado e esse domínio envia um e-mail para um destinatário, a conta de e-mail do destinatário verifica a assinatura DKIM no e-mail em relação aos registros DNS do domínio. (Um registro DNS é o registro online do domínio de suas informações básicas de identificação). Se a assinatura for compatível, o e-mail passa na verificação DKIM e, portanto, pode ser entregue.
Como configurar o DKIM no seu domínio
A configuração do DKIM é uma maneira importante e acessível de reduzir o risco de falsificação de e-mail, enquanto melhora a capacidade de entrega de e-mail.
O processo de configuração do DKIM varia de acordo com o provedor de serviços de e-mail que você usa. Por exemplo, o Gmail conclui automaticamente algumas etapas em nome do domínio. Se você preferir passar por uma configuração DKIM totalmente manual, as seguintes etapas serão necessárias:
- Instale um pacote DKIM no servidor de e-mail do domínio
- Use uma ferramenta DKIM Wizard para criar um par de chaves DKIM pública e privada
- Faça upload de um registro TXT da chave DKIM pública para o registro DNS do domínio
- Armazene a chave DKIM privada com segurança (onde quer que o pacote DKIM diga que deve ser armazenado)
- Verifique se o provedor de e-mail requer qualquer configuração DKIM adicional e conclua as etapas adicionais apropriadas
Agari.com oferece orientação detalhada sobre cada etapa do processo de configuração do DKIM.
Depois que o DKIM estiver configurado, o domínio deve estar bem posicionado para colher os benefícios de entrega e segurança aprimoradas. Os filtros de spam agora terão um sinal claro de que os e-mails do domínio são legítimos, o que remove um dos motivos mais prováveis pelos quais esses e-mails podem ter sido tratados como spam.
Além disso, se um remetente mal-intencionado tentar enviar e-mails disfarçado de domínio, os e-mails devem ser captados pelos filtros de spam dos destinatários, devido à falta de uma chave DKIM correspondente à adicionada ao DNS do domínio.
O que é FPS?
SPF (Sender Policy Framework) é uma forma de validar todas as partes que enviam emails em nome de um domínio, desde os vários domínios de envio que podem ser propriedade do remetente, até ferramentas de email marketing como MailChimp e Campaign Monitor.
O SPF facilita isso solicitando que a conta de e-mail do destinatário verifique uma lista de detalhes de envio permitidos no registro de domínio do remetente. Se os detalhes da conta remetente corresponderem aos dados listados no registro, o e-mail poderá ser entregue; se os detalhes não corresponderem, o email será rejeitado ou colocado em quarentena.
As ideias e tecnologias que se tornariam SPF foram desenvolvidas de forma colaborativa por uma grande comunidade de especialistas em e-mail no início dos anos 2000.
Como configurar o FPS
Configurar o SPF para um domínio é misericordiosamente simples.
Primeiro, crie um registro TXT listando todos os domínios e servidores aprovados para enviar e-mail em nome de um domínio. Isso pode incluir servidores da Web, servidores de correio no escritório, servidores de correio ISP, servidores de caixa de correio do usuário final e servidores de correio de terceiros que são usados para enviar emails em nome do domínio. Assim, as ações que você precisa realizar são:
- Faça uma lista de domínios e servidores relevantes;
- Crie um registro TXT incluindo os domínios e servidores listados neste formato.
Em seguida, você pode ativar o SPF adicionando um registro TXT SPF ao DNS do seu domínio. O Google tem orientações detalhadas sobre como configurar o SPF.
Depois que o SPF estiver configurado, as contas de e-mail terão uma maneira de verificar todos os e-mails legítimos enviados em nome do seu domínio. Isso melhora a capacidade de entrega de seus e-mails, mantendo a proteção que os filtros de spam podem fornecer contra e-mails falsos que fingem ser do seu domínio.
Uma ferramenta para testar assinaturas de e-mail DKIM e SPF
Depois de terminar de configurar o DKIM e o SPF, você deve testar para garantir que ambas as tecnologias estejam funcionando corretamente. Recomendamos usar a ferramenta gratuita de mail-tester.com: Verifique suas chaves SPF e DKIM.
Testar suas precauções de DKIM e SPF é crucial, pois uma configuração incorreta pode prejudicar a capacidade de entrega de seus e-mails.
O que é DMARC?
DMARC é um protocolo avançado de segurança de e-mail que adiciona funcionalidade de relatório à proteção oferecida pelo DKIM e SPF. Para domínios que usam e-mail em grande escala, o DMARC pode ser uma ferramenta particularmente poderosa e eficiente para sinalizar problemas de entregabilidade e coletar informações sobre e-mails problemáticos associados ao domínio.
Quando o DKIM e o SPF foram lançados, esperava-se que as tecnologias fossem uma solução hermética para validar e-mails. Infelizmente, o DKIM e o SPF nem sempre se mostraram perfeitamente eficazes na prevenção de emails fraudulentos – especialmente nos casos em que o proprietário do domínio usa email em escala e com vários sistemas de email.
Em 2012, uma coalizão de gigantes da internet, incluindo PayPal, Google, Microsoft e Yahoo! reunidos para trabalhar em uma maneira de reforçar as fraquezas do DKIM e do SPF. Eles criaram um protocolo de segurança chamado DMARC, que adiciona uma funcionalidade de relatório detalhada às assinaturas DKIM e SPF existentes de uma conta de e-mail.
Com o DMARC, cada e-mail ainda é aprovado, rejeitado ou colocado em quarentena com base em sua assinatura DKIM ou SPF; a diferença vem depois. Sempre que um email é rejeitado ou colocado em quarentena, o DMARC envia um relatório de falha ao domínio. E periodicamente, o DMARC envia ao domínio um 'relatório agregado' que reúne informações sobre e-mails aprovados, rejeitados e em quarentena.
Os relatórios DMARC fornecem detalhes sobre o nome de domínio do autor, além de informações sobre a interação entre o remetente e o destinatário. Isso dá ao proprietário do domínio uma vantagem muito clara sobre como seu canal de e-mail está sendo usado e quem o está usando – incluindo possíveis fraudadores.
Como usar relatórios DMARC
Os relatórios DMARC podem ser um grande trunfo em termos de entrega de e-mail. As falhas destacadas pelos relatórios ajudam as empresas a identificar e lidar com instâncias de e-mails malignos associados ao seu domínio. Isso reduz o volume de sinais negativos relacionados a um domínio que são captados por provedores de serviços de e-mail, o que pode ter um efeito positivo na capacidade de entrega geral de e-mail do domínio.
Serviços de e-mail como Gmail e Outlook podem gerar relatórios DMARC detalhados cobrindo todos os e-mails enviados de um domínio, incluindo informações sobre todos os endereços IP que usaram o domínio para enviar um e-mail.
Para ativar os relatórios DMARC, o proprietário do domínio precisará primeiro criar um registro DMARC para o domínio. Erros no registro DMARC de um domínio podem causar sérios problemas com a capacidade de entrega de e-mail, portanto, sempre recomendamos o uso de um contratado ou serviço especializado para garantir que a configuração do DMARC ocorra sem problemas.
Assim que o registro DMARC de um domínio estiver ativo, ele poderá começar a receber relatórios DMARC de provedores de serviços de e-mail.
Os relatórios DMARC são difíceis de entender em seu formato bruto, portanto, é aconselhável usar um software de análise DMARC, como o DMARC Analyzer, para verificar com eficiência cada relatório em busca de instâncias de uso malicioso. Se o software detectar algo phishy, o proprietário do domínio poderá tomar as medidas apropriadas, como instruir o Gmail e outros serviços de e-mail a rejeitar os remetentes maliciosos no futuro.
A sigla DMARC significa Domain-based Message Authentication Reporting and Conformance.
Gostaríamos de reiterar que, se você estiver interessado no DMARC, nosso conselho é que a ferramenta seja configurada por um especialista, que possa monitorar o desempenho e fazer ajustes para que sua política de DMARC esteja correta.
DKIM, SPF e DMARC como parte da higiene de entrega de e-mail
DKIM, SPF e DMARC contribuem para a entrega e segurança de e-mail. No entanto, para obter os melhores resultados, eles precisam ser usados como parte de um regime completo de higiene de e-mail. Isso significa que o domínio passa regularmente por um conjunto de processos – incluindo gerenciamento de DKIM, SPF e DMARC – para garantir a entrega de e-mail ideal.
Para muitos profissionais de marketing por e-mail, o componente mais importante da higiene de e-mail é organizar sua lista de e-mail (também conhecida como sua lista de e-mail). Isso pode envolver percorrer a lista para identificar destinatários que não abrem um email há muito tempo e, em seguida, remover esses destinatários da lista de email. Você também pode verificar sua lista de e-mail para 'inconsistências horizontais' – onde uma das informações sobre um destinatário, como o nome, não parece corresponder ao endereço de e-mail (por exemplo, nome: Dr. Norman Whibley-Castle; endereço de e-mail : bikerchickmartha2001[at]gmail[ponto]com). Para obter mais orientações sobre higiene de e-mail, consulte o artigo de tye.io, '10 práticas recomendadas essenciais de higiene de e-mail para 2021'.
Recomendamos seguir as etapas a seguir para gerenciar DKIM, SPF e DMARC:
- DKIM e SPF : teste regularmente suas chaves DKIM e SPF.
- DMARC : se você estiver usando o DMARC, peça a um membro da equipe especializada ou contratado para verificar regularmente seus relatórios do DMARC e ajustar as configurações do domínio, se necessário.
Com DKIM, SPF e possivelmente DMARC, seu domínio terá uma ótima base para entrega e segurança de e-mail. Apenas lembre-se de gerenciar essas tecnologias como parte de seu regime de higiene de e-mail, pois isso ajudará a garantir que elas funcionem corretamente.
Há muito trabalho envolvido na configuração dessas tecnologias de segurança de e-mail – mas, em última análise, você será recompensado ao ver uma porcentagem maior de seus e-mails chegando à caixa de entrada do destinatário.