Kerry Wan/ZDNET

Siga ZDNET: Adicione-nos como fonte preferencial no Google.

Chaves ZDNET

  • Existem três registros DNS que protegem seu domínio e seus e-mails contra conteúdo indesejado.
  • Executar todos os três oferece cobertura total.
  • Eles também protegem seu domínio contra sequestro.

Se você envia muitos e-mails de trabalho e constantemente recebe silêncio no rádio, é muito provável que seus e-mails acabem na pasta de spam de alguém.

Pode haver alguns motivos para isso, não necessariamente relacionados ao conteúdo dos seus e-mails. Na maioria das vezes, seu domínio pode não estar autenticado, o que dá aos servidores de recebimento de e-mail todos os motivos necessários para colocar silenciosamente suas mensagens na pasta de spam.

Também: Como o gravador de e-mail pode proteger sua caixa de entrada – é fácil e gratuito de configurar

Já vi pessoas, incluindo equipes com conteúdo de e-mail realmente bom, prestarem atenção com mais frequência do que você imagina. Felizmente, existe uma solução fácil que envolve três registros DNS chamados SPF, DKIM e DMARC. Juntos, eles provam para a internet que seus e-mails são legítimos. Eles também protegem seu domínio de ser invadido por criminosos cibernéticos para se passar por você em e-mails.

Gmail e Yahoo começaram a implementar esses requisitos de autenticação para remetentes em massa em fevereiro de 2024. A Microsoft adicionou os mesmos requisitos ao Outlook.com, Hotmail e Live.com em maio de 2025. Se você ainda não os configurou, eles não são mais necessários.

O que SPF, DKIM e DMARC realmente fazem

Cada um dos três protocolos aborda diferentes pontos fracos da autenticação de e-mail. O SPF verifica se o servidor que envia seu e-mail está autorizado a fazê-lo. O DKIM adiciona uma assinatura criptográfica às suas mensagens enviadas, confirmando que elas não foram alteradas durante o trânsito.

O DMARC une os dois publicando uma política que informa aos servidores destinatários o que fazer se uma das verificações falhar e redireciona as mensagens de autenticação de volta para você.

Você realmente precisa dos três. O SPF por si só não pode impedir que alguém falsifique o endereço “De” que o destinatário vê em sua caixa de entrada. O DKIM sozinho não capturará e-mails enviados de um servidor não autorizado. Somente quando você executa todos os três você está totalmente protegido contra problemas de entrega e falsificação de domínio.

1. SPF: autoriza servidores enviando em seu nome

Captura de tela de Ritoban Mukherjee/ZDNET

SPF (Sender Policy Framework) é um registro DNS TXT que lista todos os endereços IP e servidores de e-mail autorizados a enviar e-mails em nome do seu domínio. Quando o servidor de e-mail de um destinatário recebe uma mensagem que afirma ser sua, ele verifica essa entrada em relação ao IP do servidor do remetente. Se o IP não estiver na lista, a mensagem falhará.

Também: Este é meu truque de e-mail favorito para organizar automaticamente sua caixa de entrada

Para configurar isso, você precisa fazer login no registrador de seu domínio (GoDaddy, Cloudflare, Namecheap, etc.) e adicionar um registro TXT à raiz do seu domínio. Veja como funciona:

  1. Primeiro, obtenha o valor do SPF no seu serviço de e-mail. Google Workspace, Microsoft 365 e a maioria das plataformas fornecem o valor de registro exato que você precisa para copiar e colar na página de autenticação do domínio. Para o Google Workspace é assim: v=spf1 include:_spf.google.com ~all.

  2. Se você enviar mensagens de e-mail usando vários serviços, deverá mantê-las em um registro, por exemplo, v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all.

  3. Faça login na plataforma onde você gerencia os registros DNS do seu domínio. Pode ser GoDaddy, Cloudflare, Namecheap, Route 53, etc. Crie um novo registro TXT em sua página DNS, defina host como @ (seu domínio raiz) e cole o valor SPF da etapa anterior.

É tão simples! Observe que seu domínio só pode ter um registro SPF TXT com no máximo 10 pesquisas de DNS. Criar um segundo registro SPF em vez de editar o primeiro irá quebrar ambos. Portanto, mantenha um plano para suas listas de e-mail autorizadas.

2. DKIM: adicione uma assinatura à prova de falsificação a cada e-mail

Captura de tela de Ritoban Mukherjee/ZDNET

DKIM (DomainKeys Identified Mail) usa criptografia de chave pública para assinar mensagens enviadas. Seu servidor de e-mail adiciona uma assinatura usando a chave privada que contém para que os destinatários possam verificá-la usando a chave pública correspondente que você publicou em seu DNS. Se o e-mail foi alterado em qualquer ponto entre o seu servidor e a caixa de entrada do destinatário, esta verificação de assinatura falhará.

Também: Este truque simples de e-mail me protege contra spam de marketing irritante (e é grátis)

Google Workspace, Microsoft 365 e a maioria das principais plataformas de e-mail, como SendGrid, gerarão um par de chaves DKIM para você. Sua tarefa é copiar a chave pública fornecida e colá-la nas configurações DNS do seu domínio como um novo registro TXT.

Embora as etapas exatas de configuração dependam do seu provedor de e-mail e registrador de domínio, aqui está uma visão geral do que você precisa fazer.

  1. Google Workspace, Microsoft 365, SendGrid, Mailchimp e outros provedores de e-mail gerarão um registro DKIM para você se você acessar a página de configurações de autenticação do domínio. Por exemplo, se você estiver usando o Google Workspace, acesse Aplicativos > Google Workspace > Gmail no Google Admin Console. Clique para gerar um novo registro e copie esses valores primeiro.

  2. Em seguida, vá para a página de configurações de DNS do seu registrador de domínio e crie um novo registro TXT, assim como você fez quando configurou o SPIF anteriormente. Observe que alguns provedores também podem exigir que você o adicione como um registro CNAME em vez de um registro TXT, portanto verifique a documentação do seu provedor de e-mail.

  3. Cole o nome do host e o valor do registro que você recebeu do seu provedor de e-mail no novo registro DNS. Certifique-se de que não haja erros de digitação, pois isso pode afetar a segurança do domínio.

  4. Agora volte para as configurações de autenticação do seu provedor de e-mail. Aqui você pode ativar a assinatura DKIM para o seu domínio. No Google Workspace, você pode fazer isso revisitando a página “Autenticar e-mail” no Admin Console e clicando em “Iniciar autenticação”. Lembre-se de fazer isso após 24 a 48 horas, pois leva algum tempo para que os registros DNS se propaguem para o seu domínio.

DKIM é especialmente útil para mensagens encaminhadas. As transferências geralmente quebram o SPF porque o endereço IP muda, mas a assinatura DKIM geralmente permanece intacta. Isso significa que um email encaminhado ainda pode passar pela autenticação, a menos que o SPF tenha falhado.

3. DMARC: Defina regras para o que acontece quando a autenticação falha

Captura de tela de Ritoban Mukherjee/ZDNET

DMARC (Autenticação, Relatórios e Conformidade de Mensagens Baseadas em Domínio) é a camada de política que torna o SPF e o DKIM aplicáveis. Sem ele, um servidor receptor que detecta uma falha na verificação não tem orientação sobre o que fazer a seguir e você não consegue ver o que está falhando e por quê. Veja como colocá-lo em funcionamento:

  1. Primeiro, crie uma caixa de entrada dedicada para relatórios DMARC, como reports@seudominio.com.

  2. A maioria dos provedores de e-mail oferece um gerador DMARC em seu painel, mas você também pode usar serviços de terceiros como MXToolbox ou DMARCLY.

  3. Adicione um novo registro TXT. O nome do host deve ser _dmarc. Cole o valor da entrada diretamente do seu gerador DMARC.

  4. Fique atento aos relatórios de erros em sua caixa de entrada dedicada por 2 a 4 semanas. Isso revelará quaisquer problemas de caixa de correio que precisam ser resolvidos para uma melhor entrega.

Também: Testei o verificador de golpes gratuito da NordVPN com e-mails reais de phishing – veja como funcionou

Como os outros dois, DMARC é um registro TXT, desta vez anexado a _dmarc.seudominio.com. Uma entrada inicial simples se parece com isto: v=DMARC1; p = nenhum; rua=mailto:reports@seudominio.com. Definir p=none significa que os servidores de recebimento não tomarão nenhuma ação se as mensagens falharem, mas enviarão relatórios agregados para o endereço especificado. Esses relatórios mostram quais serviços estão enviando em seu nome e se eles passam na autenticação.

Depois de revisar as mensagens de algumas semanas e certificar-se de que seus e-mails legítimos estão sendo enviados de forma limpa, você pode reforçar a política. Mude para p=quarantine para enviar mensagens com falha para spam e, em seguida, p=reject para bloqueá-las completamente.

Pular para p = rejeitar antes de revisar os relatórios é provavelmente o erro de implementação mais comum que vejo que resulta no bloqueio de seus e-mails de marketing ou transacionais.

Por que você não pode simplesmente escolher um

Cada protocolo possui um vazio que é preenchido por outros. O SPF verifica o servidor do remetente, mas não o endereço “De” que os destinatários realmente veem, portanto, um invasor pode passar o SPF enquanto se faz passar pelo seu domínio. O DKIM verifica a integridade da mensagem, mas não verifica se o domínio de assinatura corresponde ao remetente aparente.

O DMARC garante que todos esses elementos correspondam e aplique a política escolhida se algo não corresponder.

A eficiência da entrega combinada é mensurável. De acordo com o Relatório de benchmark de e-mail de 2025 da Validity, domínios devidamente autenticados apresentam taxas de colocação na caixa de entrada cerca de 60 pontos percentuais mais altas do que domínios não autenticados. Para qualquer pessoa que execute campanhas de boletins informativos ou boletins informativos em massa, essa diferença é a diferença entre uma campanha que obtém resultados e outra que fracassa completamente.

Como verificar se suas listagens estão funcionando

Geralmente, leva de 15 minutos a 48 horas para que as alterações no DNA se espalhem pelo mundo. Depois que essa janela passar, as ferramentas gratuitas poderão informar imediatamente se tudo está configurado corretamente. MX Toolbox possui validadores separados para SPF, DKIM e DMARC. Você também pode enviar um e-mail de teste para check@dmarcly.com, que responderá com um relatório de autenticação completo do seu domínio.

Também: Melhores serviços de hospedagem de e-mail 2026: testados e revisados ​​por um especialista

Os relatórios que você coleta do DMARC são o sinal constante mais valioso. Dentro de um ou dois dias após a publicação do seu registro DMARC, os relatórios começarão a chegar no endereço que você forneceu. Eles mostram todos os servidores que enviam e-mails para o seu domínio e se cada um deles está passando ou falhando na autenticação. Lê-los regularmente é a melhor maneira de detectar configurações incorretas antecipadamente, antes que elas afetem sua entrega ou permitam que seu domínio seja usado indevidamente por campanhas de phishing.



Link da fonte

ARTIGOS RELACIONADOSMais do autor