A autenticação é uma parte essencial da manutenção de um canal de comunicação de e-mail seguro e confiável. O SPF (Sender Policy Framework) e o DKIM (DomainKeys Identified Mail) são dois protocolos importantes que ajudam a verificar a legitimidade de seus e-mails, evitar falsificações e aumentar as taxas de entrega. Este guia o orientará em tudo o que você precisa saber sobre como autenticar seus domínios com SPF e DKIM usando a Mailjet.
Por que autenticar seu domínio?
A autenticação de email tem dois principais objetivos:
- Proteção da sua marca: Ao verificar que seus e-mail são originados de servidores autorizados, o SPF e o DKIM impedem que remetentes não autorizados se façam passar por seu domínio. Isso ajuda a proteger sua marca contra ataques de phishing e falsificação de domínio, facilitando a identificação de emails ilegítimos.
- Melhora da entregabilidade de e-mails: os provedores de serviços de Internet (ISP) usam SPF e DKIM para verificar os emails recebidos. Ao implementar esses protocolos, é mais provável que seus e-mails cheguem à caixa de entrada do destinatário em vez de serem marcados como spam.
O que é FPS?
O SPF é um protocolo de autenticação de e-mail que permite que os proprietários de domínios especifiquem quais servidores de e-mail têm permissão para enviar e-mails em nome de seus domínios. Ele funciona publicando um registro SPF, um tipo específico de registro TXT de DNS, nas configurações de DNS do domínio.
Como funciona o FPS
Quando um e-mail é enviado, o servidor receptor verifica o registro SPF para garantir que o e-mail foi enviado de um endereço IP ou nome de host autorizado. Se o servidor de envio corresponder a um endereço IP ou nome de host listado no registro SPF, o e-mail será considerado autêntico.
Configuração do SPF com a Mailjet
Para configurar o SPF para seu domínio com a Mailjet, siga estas etapas:
- Faça login nas configurações de DNS do seu provedor de domínio.
-
Adicione um novo registro TXT com o seguinte valor:
-
Nome/Host: Use
@
ou deixe-o em branco para aplicar ao domínio raiz. -
Valor:
v=spf1 include:spf.mailjet.com ~all
-
Nome/Host: Use
A diretiva include:spf.mailjet.com
informa aos servidores destinatários que os servidores da Mailjet estão autorizados a enviar e-mails em nome do seu domínio. O ~all
no final significa que qualquer servidor não listado no registro SPF deve ser considerado suspeito.
Se forem necessários vários registros SPF para um domínio, é preciso consolidá-los em um único registro para garantir o funcionamento adequado. Aqui está um exemplo de como fazer isso:
Registros SPF originais:
v=spf1 include:spf.example1.com ~all
v=spf1 include:spf.mailjet.com ~all
Você deve manter uma única entrada TXT para esse domínio e excluir as outras entradas. O registro TXT consolidado deve ter a seguinte aparência:
Após a fusão:
v=spf1 include:spf.example1.com include:spf.mailjet.com ~all
O que é DKIM?
O DKIM é uma técnica de autenticação de e-mail que adiciona uma assinatura digital às suas mensagens de e-mail. Essa assinatura permite que o servidor de e-mail receptor verifique se o conteúdo do e-mail não foi alterado e se ele foi enviado de um domínio autorizado.
Como o DKIM funciona
O DKIM funciona usando criptografia de chave pública-privada. Quando você envia um e-mail, a Mailjet o assina com uma chave privada, e o servidor do destinatário o verifica usando a chave pública correspondente, que é publicada nos registros DNS do seu domínio. Se as assinaturas coincidirem, isso confirma que o e-mail é legítimo e não foi adulterado durante o trânsito.
Configuração do DKIM com a Mailjet
Para configurar o DKIM para seu domínio com a Mailjet:
- Faça login nas configurações de DNS do seu provedor de domínio.
-
Adicione um novo registro TXT com o seguinte valor:
-
Nome/Host:
mailjet._domainkey.yourdomain.com.
(substituayourdomain.com
por seu nome de domínio real). -
Valor/alvo:
k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNAD....
(Insira a chave DKIM fornecida pela Mailjet. Essa chave pode ser encontrada na sua conta da Mailjet na seção SPF/DKIM Authentication (Autenticação SPF/DKIM).
-
Nome/Host:
Essa configuração garante que todos os e-mails enviados sejam assinados com a chave DKIM da Mailjet, fornecendo garantia extra aos servidores de recebimento sobre a legitimidade de seus e-mails.
Lembre-se de que alguns provedores de domínio podem exigir que o valor TXT inteiro seja colocado entre aspas duplas. Se não tiver certeza, é melhor consultar a equipe de suporte do seu provedor para obter orientação.
Além disso, alguns provedores podem adicionar automaticamente o nome de domínio ao final do valor de texto no campo "Host". Certifique-se de verificar novamente o texto no campo "Host" depois de salvar o registro.
Considerações sobre a taxa de bits do DKIM
A taxa de bits de uma chave DKIM (DomainKeys Identified Mail) refere-se à força da criptografia usada para autenticação de e-mail. Normalmente, as chaves DKIM são geradas com diferentes taxas de bits, como:
- 1024 bits: Essa é a taxa de bits mais comum para chaves DKIM e é considerada segura para a maioria das finalidades. Ele oferece um bom equilíbrio entre segurança e desempenho e é amplamente aceito pelos provedores de e-mail.
- 2048 bits: Essa taxa de bits oferece criptografia mais forte e segurança aprimorada em comparação com as chaves de 1024 bits. Muitas organizações agora usam chaves de 2048 bits para garantir a segurança de seus e-mails no futuro contra possíveis avanços criptográficos.
- 4096 bits: Essa é uma taxa de bits ainda mais forte, mas é menos comum devido ao possível impacto no desempenho e aos limites de tamanho do DNS. A maioria dos provedores de domínios pode lidar com chaves DKIM de 1024 bits e 2048 bits, mas 4096 bits pode exigir uma consideração especial e pode ser um exagero para a maioria dos casos de uso.
Recomendação: Em geral, recomenda-se o uso de uma chave DKIM de 2048 bits para aumentar a segurança, especialmente devido à crescente sofisticação das ameaças cibernéticas. Certifique-se de que seu provedor de domínio ofereça suporte a chaves de 2048 bits e atualize sua chave DKIM periodicamente para manter a segurança.
No entanto, os domínios autenticados existentes não serão afetados automaticamente. Os usuários interessados em fazer o upgrade para chaves de 2048 ou 4096 bits devem gerar novamente seus registros DKIM e atualizar as configurações de DNS em seus domínios de acordo. Isso garante que seu tráfego de email permaneça confiável para os provedores e clientes de email.
Atualização da taxa de bits do DKIM
- Acessando a sua conta > Domínios & Endereços de remetente > Autenticação SPF/DKIM > Configurar autenticação SPF/DKIM.
- Clique em Gerar nova chave na seção DKIM e escolha o tamanho de chave desejado.
- Confirme a alteração e clique em Gerar nova chave novamente para continuar.
Verificação de registros SPF e DKIM
Depois de adicionar os registros SPF e DKIM, é importante verificar se eles estão configurados corretamente. Você pode fazer isso em sua conta da Mailjet:
- Faça login na Mailjet e navegue até Configurações da conta > Domínios & DNS.
- Selecione seu domínio e verá se os registros SPF e DKIM estão configurados corretamente.
Se o seu domínio estiver devidamente autenticado, você verá uma marca de seleção verde ao lado de SPF e DKIM.
Autenticação SPF e DKIM em diferentes provedores
Gandi
Etapa 1: Faça login no Gandi.net
- Abra uma nova guia no navegador da Web e faça login na sua conta Gandi.
- No painel do lado esquerdo, selecione Domínios.
- Selecione o domínio que você deseja autenticar para enviar com a Mailjet.
- Vá para a guia Registros DNS.
Etapa 2: validar seu domínio na Maljet
- Em sua conta da Mailjet, vá até a página Domínios e remetentes encontrada em Configurações.
- Em Domínios e endereços de remetente, você verá uma lista de todos os seus domínios de envio, juntamente com o status deles. Sempre que você adicionar um novo endereço de e-mail ou domínio de remetente, ele aparecerá automaticamente na página Autenticação de domínio de envio.
- Para validar um domínio específico, basta clicar na roda dentada ao lado dele e escolher "Validar" (Validar).
- Mantenha a janela aberta, pois será necessário copiar essas informações nos registros DNS.
- Volte à sua conta Gandi e selecione Adicionar registro.
- No menu suspenso Tipo, escolha TXT.
- Na Mailjet, copie o valor (usaremos a segunda opção no exemplo) do campo Host e cole-o no campo Name do Gandi.
- Copie o valor do campo Valor da Mailjet e cole-o no campo Valor do texto no Gandi.
- Clique em Criar para adicionar o registro.
- De volta à Mailjet, clique em Validar meu domínio.
Etapa 3: Autenticar seu domínio com registros SPF e DKIM
Será necessário adicionar registros SPF e DKIM para autenticar seu domínio:
Criar um registro SPF
- No Gandi, clique em Adicionar registro e selecione TXT como o tipo de registro.
- No campo Nome, insira @ (ou o nome do subdomínio se estiver autenticando um subdomínio).
- Copie o valor SPF da Mailjet e cole-o no campo Valor do registro TXT.
- Clique em Criar para adicionar o registro SPF.
Criar um registro DKIM
- No Gandi, clique em Adicionar registro e selecione TXT como o tipo de registro.
- Copie o valor do campo Nome da Mailjet e cole-o no campo Nome do Gandi.
- Copie o campo Valor da Mailjet e cole-o no campo Valor do texto no Gandi.
- Clique em Criar para adicionar o registro DKIM.
Etapa 4: Atualizar e verificar registros DNS
Depois de adicionar os dois registros, atualize as configurações de DNS para validar o domínio:
Quando os dois registros estiverem configurados corretamente, você verá notificações de status verdes para cada registro. Quando você vir esses banners verdes, seu domínio estará pronto para ser enviado!
Práticas recomendadas para SPF e DKIM
-
Use um SoftFail (
~all
), HardFail (-all
) ou Neutro (?all
): Um mecanismo~all
significa que os servidores não autorizados são marcados como suspeitos, mas ainda assim são aceitos, enquantoo -all
rejeita completamente os e-mails não autorizados. O mecanismo?all
especifica que os servidores não listados devem ser tratados de forma neutra, o que significa que nenhuma tendência positiva ou negativa é aplicada. Escolha com base em sua tolerância ao risco e no nível de rigor que deseja aplicar. -
Combine com DMARC: adicionar um registro DMARC (Domain-based Message Authentication, Reporting & Conformance) em conjunto com SPF e DKIM protege ainda mais o seu domínio contra falsificação e phishing. O DMARC ajuda a definir políticas sobre como lidar com e-mails que falham nas verificações SPF ou DKIM, fornecendo uma camada adicional de proteção.
Saiba mais sobre DMARC acessando nosso guia detalhado: Entendendo o DMARC.
- Monitore os relatórios regularmente: Use os relatórios DMARC para obter informações sobre verificações de SPF ou DKIM que falharam e entender qualquer uso não autorizado do seu domínio. A análise desses relatórios o ajudará a identificar possíveis abusos e a tomar as medidas adequadas.
- Garanta registros DNS consistentes: Certifique-se de que todos os domínios usados para enviar e-mails tenham registros SPF, DKIM e DMARC consistentes. Registros inconsistentes podem levar a taxas de entrega mais baixas e até mesmo fazer com que os e-mails sejam sinalizados como spam.
Solução de problemas comuns
- Tempo de propagação: As alterações no DNS podem levar de alguns minutos a 48 horas para serem propagadas. Verifique sua configuração de SPF e DKIM depois de decorrido tempo suficiente.
-
Solução de problemas de SPF: Identificar e corrigir configurações incorretas ou erros nos registros SPF é fundamental para evitar problemas de entrega. O guia a seguir o ajudará a solucionar problemas comuns de configuração do SPF.
- O registro SPF é um registroTXT: Não confundir com o tipo SPF. (Embora seja possível usar o tipo SPF, ele não é recomendado no setor.)
-
Vários registros SPF: Só é possível ter um registro SPF para um domínio. Se o seu domínio já tiver um registro SPF, modifique-o para incluir a Mailjet
(include:spf.mailjet.com
) em vez de adicionar um registro separado. -
Registro SPF muito longo (limite máximo de 10 entradas SPF): Às vezes, os registros SPF podem ficar muito longos se você tiver muitos serviços de e-mail. Para resolver isso, talvez seja necessário consolidar os registros ou usar subdomínios para serviços diferentes.
O limite de 10 pesquisas de SPF representa um desafio quando as consultas de DNS atingem esse limite, resultando em erros permanentes de SPF, comoexcesso de pesquisas de DNS
oupermerror
. É fundamental notar que a consulta DNS para o registro de política SPF não contribui para esse limite. No ponto do destinatário, ocorre uma validação sequencial da política SPF. O processo de validação é interrompido quando se descobre uma equivalência com o endereço IP do remetente. Dependendo do remetente, um validador pode não atingir o limite de 10 pesquisas SPF, mesmo que a política exija mais de 10 pesquisas SPF para uma avaliação completa. Essa complexidade aumenta o desafio de identificar problemas de capacidade de entrega de e-mail associados aos limites de registros SPF.
- DKIM não está sendo autenticado: Certifique-se de que o registro TXT esteja configurado exatamente como fornecido pela Mailjet, sem espaços ou erros adicionais.
- O registro DKIM é um registro TXT: Ele é publicado no DNS (Sistema de Nomes de Domínios) como um registro TXT e contém a chave pública usada para verificar se uma mensagem de e-mail foi de fato autorizada pelo proprietário do domínio.
- E-mail rejeitado apesar da configuração adequada: Alguns servidores de recebimento usam verificações de autenticação adicionais. Considere a possibilidade de combinar SPF, DKIM e DMARC para obter uma abordagem de autenticação mais abrangente.
Medidas de segurança adicionais
Além do SPF e do DKIM, você deve considerar a implementação das seguintes medidas de segurança:
- DMARC: a adição de um registro DMARC permitirá definir políticas para o tratamento de e-mails que falham nas verificações SPF ou DKIM. O DMARC fornece relatórios valiosos que podem ajudá-lo a monitorar a atividade de e-mail e identificar possíveis problemas com falsificação de domínio. O SPF e o DKIM são importantes para identificar se um e-mail realmente vem de uma fonte confiável, mas somente o DMARC pode aplicar ações que impeçam a entrega de e-mails falsificados. Para proteger totalmente o seu domínio e os destinatários contra falsificação de e-mail, todos os três protocolos devem ser implementados, com o DMARC atuando como o mecanismo de controle que aplica as políticas de segurança.
Conclusão
A configuração da autenticação SPF e DKIM é fundamental para proteger seu domínio e melhorar a capacidade de entrega de e-mails. Seguindo as etapas descritas acima, você pode enviar e-mails com confiança por meio da Mailjet, sabendo que é menos provável que eles sejam sinalizados como spam e mais provável que os destinatários confiem neles.
Para aprimorar ainda mais a segurança de e-mail de seu domínio, considere implementar o DMARC. Esse protocolo funciona em conjunto com o SPF e o DKIM para fornecer uma estrutura abrangente de autenticação e segurança de e-mail.
Para obter mais orientações, visite a documentação detalhada da Mailjet ou entre em contato com nossa equipe de suporte para obter assistência.