Boletim

Mantenha-se informado com os nossos boletins



        apenas na Riocamp

Email Seguro: SPF, DKIM e DMARC

Fonte: statista.com e m3aawg.org

08 de dezembro de 2018

Vamos orientá-lo passo a passo na configuração do seu domínio, para enviar e-mail de forma muito segura e com alta taxa de entrega.

Por que essas configurações são necessárias?

Essas configurações são necessárias para combater: (1) hackers que fazem uso de domínio/e-mail de terceiros para operações maliciosas; (2) SPAMs, que representam mais da metade dos e-mails enviados.

Benefícios:



Para quem serve esse guia?

É recomendado para e-mail de domínio próprio, principalmente empresas que queiram enviar e-mails de negócios para seus clientes através de um domínio próprio, com alta taxa de entrega e com segurança.

E-mails terminados com @gmail.com, @hotmail.com, entre tantos outros, são serviços de e-mail de terceiros (ESPs: E-mail Service Providers), não recomendados para tal finalidade.

Quer utilizar um serviço de e-mail de terceiros mesmo assim?

Então é importante saber que e-mails de serviços de terceiros não podem ser configurados por você. Sendo assim, não são ideais para essa finalidade e podem afetar o seu negócio, dependendo do volume de envio.

Entretanto, aqui vai uma dica importante: caso opte por utilizar esses serviços de e-mail mesmo assim, seja por dificuldade em ter domínio próprio ou facilidade, escolha um serviço de e-mail que se preocupa com a segurança, que seja bem configurado e com boa reputação, como @gmail.com, sem dúvida uma das melhores opções. Fuja de e-mail como @bol.com.br, que não tem essas configurações.

SERVIDORES DE E-MAIL

Os servidores de e-mail são os responsáveis por quase todo o processo, com exceção da ação de iniciar o fluxo, que é feita pelo Remetente (Sender).


Exemplo com servidor de e-mail próprio

Logo, a primeira coisa a ser feita é ter configurado um servidor que envie e receba emails, para depois configurar SPF, DKIM e DMARC.

CONFIGURANDO E-MAIL PARA DOMÍNIO PRÓPRIO

SPF: Sender Policy Framework

Identifica quais servidores de e-mail (domínios ou IPs) têm permissão para enviar e-mails em nome do domínio. Para isso é necessário criar um registro TXT do próprio domínio (ou subdomínio):
TXT riocamp.com.br

"v=spf1 mx include:_spf.google.com include:amazonses.com
include:mail.zendesk.com -all"

A configuração acima permite que somente os servidores do Google, Amazon SES e Zendesk enviem e-mail de @riocamp.com.br.

Nota: para conseguir 100% de conformidade com SPF na Amazon SES, é necessário configurar a propriedade Mail From para o domínio e e-mail verificados. Isso requer entradas de registro MX e TXT para um subdomínio. Leia mais: https://aws.amazon.com/blogs/ses/amazon-ses-now-supports-custom-mail-from-domains/

DKIM: Domain Keys Identified Mail

Autenticação de e-mail na qual o e-mail enviado é assinado de forma que o receptor possa verificar a assinatura e assim garantir a autenticidade do conteúdo. Para isso é necessário criar um registro TXT, em geral no formato abaixo:
TXT google._domainkey.riocamp.com.br


DKIM-Signature: v=1; a=rsa-sha256; d=mercadobitcoin.com.br; s=google; c=relaxed/simple; q=dns/txt; l=1234; t=1117574938; x=1118006938;
h=from:to:subject:date:keywords:keywords; bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=; b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZVoG4ZHRNiYzR


TOOLS: https://dkimcore.org/tools/

A assinatura acima é um exemplo do que vai junto com o e-mail (no cabeçalho), inserida pelo servidor de e-mail, uma vez que DKIM esteja configurado. Cada serviço tem seu próprio guia, já que as configurações variam de um serviço para outro. Assim, é preciso procurar o tutorial do serviço que irá utilizar (a validação da configuração é feita pelo próprio serviço). Alguns abaixo:

DMARC: Domain-based Authentication, Reporting and Conformance

Define as regras (policy) para tratar os e-mails recebidos, se vamos deixar os emails passar mesmo não sendo válidos, se vamos colocar em quarentena ou se vamos rejeitar. Também informamos para onde devem ser enviados os relatórios, assim é possível analisar e corrigir possíveis divergências. Para tal, é recomendado começar light, analisar os relatórios e então seguir “apertando o parafuso”:
TXT _dmarc.riocamp.com.br

"v=DMARC1; p=reject; rua=mailto:ti+dmarc@riocamp.com.br; ruf=mailto:ti+dmarc@riocamp.com.br;
sp=reject; fo=1; aspf=r; adkim=s; pct=100; ri=86400"

A configuração acima é aplicada a 100% dos e-mails (pct) e rejeita (p=reject, sp=reject) qualquer e-mail que não passar nas validações de SPF (aspf) e DKIM (adkim). DKIM tem o valor relaxed, o que permite a autenticação a partir de subdomínios (necessário para AWS SES). Os relatórios DMARC serão enviados por cada MTA para o e-mail especificado (rua e ruf) diariamente (ri, 86400 segundos).

Os relatórios devem chegar no e-mail especificado com anexo no formato XML afrf, por padrão. Esses arquivos podem ser gratuitamente carregados no site https://dmarcian.com/dmarc-xml/ para fácil análise visual.

O dmarcian.com oferece serviço pago de análise contínua dos relatórios DMARC, bem como suporte e consultoria, que pode ser útil para muitos negócios que dependem bastante da comunicação por e-mail.

CONTEÚDO DO E-MAIL

Além das configurações já mencionadas, para ter um domínio com boa reputação de e-mail, é fundamental ter qualidade na estrutura e conteúdo do e-mail, para manter baixa a taxa de bounce (ruído), complaint (queixa) e reject (rejeição).

O que é bounce, complaint e reject?

Todos eles são problemas na entrega do e-mail, reportadas pelo servidor do destinatário:

Boas práticas



Testes completos:

Outas configurações:


Voltar     Home     Boletim