Como configurar SPF, DKIM e DMARC corretamente?

O e-mail é uma das ferramentas mais utilizadas para comunicação, mas também é um dos principais alvos de ataques cibernéticos. Golpes como phishing e spoofing exploram a falta de autenticação adequada para enganar usuários, roubar informações ou espalhar programas maliciosos. Além disso, a entrega de mensagens legítimas pode ser prejudicada quando os servidores classificam erroneamente os e-mails como spam.

Para garantir a segurança e a confiabilidade das suas mensagens, protocolos como SPF, DKIM e DMARC se tornaram essenciais. Eles ajudam a autenticar os e-mails enviados em nome do seu domínio, protegendo contra falsificação, melhorando a taxa de entrega e fortalecendo sua reputação digital.

Neste artigo, vamos explorar o que são esses protocolos, como funcionam e como configurá-los no seu domínio para aumentar a segurança e a eficácia do envio de e-mails.

SPF

SPF, ou Sender Policy Framework, é um protocolo de autenticação de e-mails que permite aos proprietários de domínios especificar quais servidores de e-mail estão autorizados a enviar mensagens em nome de seus domínios. Em outras palavras, é uma forma do você dizer quais sistemas estão autorizados a usar o nome do seu site para enviar e-mails. Dessa forma, se alguém receber um e-mail no seu nome que você não autorizou, ele será marcado como spam.

Como o SPF Funciona

Quando um e-mail é enviado, o servidor de recebimento verifica o registro SPF do domínio do remetente para ver se o servidor de envio está autorizado a enviar e-mails para aquele domínio. Isso é feito através de uma consulta DNS (Domain Name System). Se o servidor de envio estiver listado no registro SPF, o e-mail será aceito. Caso contrário, poderá ser marcado como suspeito ou rejeitado.

Configuração de um Registro SPF

Para configurar um registro SPF para o seu domínio, siga os passos abaixo:

1. Identifique seus servidores de e-mail autorizados: Liste todos os servidores que enviam e-mails em nome do seu domínio, incluindo servidores de e-mail corporativos, serviços de e-mail em nuvem e qualquer outro serviço de envio de e-mails utilizado. Abaixo alguns serviços comuns e como configurar seus registros SPF:
   • Google Workspace
   • Sendgrid
   • RD Station
2. Crie o registro SPF: O registro SPF é um registro TXT adicionado ao DNS do seu domínio. O formato básico de um registro SPF é:

  seudominio.com  IN  TXT  "v=spf1 <regras> ~all"

Onde:

• v=spf1 indica a versão do SPF.
• <regras> são as regras que especificam quais servidores estão autorizados a enviar e-mails.
• ~all indica que qualquer servidor não listado nos mecanismos anteriores deve ser tratado como suspeito. Outros qualificadores podem ser usados, como -all (rejeitar), +all (permitir) e ?all (neutro). Exemplo de um registro SPF:

   seudominio.com  IN  TXT  "v=spf1 ip4:192.0.2.0/24 include:mail.example.com -all"

Este exemplo permite que qualquer endereço IP na faixa 192.0.2.0/24 e qualquer servidor incluído no domínio mail.example.com envie e-mails em nome do seu domínio.

Você pode usar esta ferramenta para criar o registro SPF.

3. Adicione o registro ao DNS do seu domínio: Acesse o painel de controle do seu provedor de DNS e adicione um novo registro TXT com o conteúdo do registro SPF que você criou. O nome do registro geralmente deve ser o seu domínio, e o tipo deve ser TXT.
4. Teste sua configuração: Use ferramentas online como o MX Toolbox para verificar se o registro está configurado corretamente e se está funcionando como esperado.

DKIM

O DKIM (Domain Keys Identified Mail) é um protocolo de autenticação de e-mails que permite ao destinatário verificar se uma mensagem realmente foi enviada e autorizada pelo domínio de origem. Ele funciona assinando digitalmente as mensagens com uma chave privada associada ao domínio do remetente. Essa assinatura é verificada pelo servidor do destinatário usando uma chave pública publicada no DNS do domínio. De forma parecida ao SPF, o DKIM também é uma forma do você dizer quais sistemas estão autorizados a usar o nome do seu site para enviar e-mails. Se alguém receber um e-mail no seu nome com a assinatura, ele tem mais chances de ser aceito.

Como o DKIM funciona

O domínio do remetente deve possuir sua chave pública no DNS (Domain Name System) como parte de um registro TXT associado ao DKIM. Por exemplo, o registro pode estar em seletor._domainkey.seudominio.com, onde “seletor” é um identificador único que ajuda a localizar a chave pública.

Quando um servidor de e-mail que suporta DKIM envia uma mensagem, ele gera uma assinatura digital exclusiva para aquele e-mail. Essa assinatura é criada usando a chave privada que pertence ao domínio do remetente.

A assinatura é inserida no cabeçalho do e-mail como um campo chamado DKIM-Signature. Ela inclui várias informações, como:

• O domínio responsável (d=).
• A chave utilizada (k=).
• Partes da mensagem que foram assinadas, como cabeçalhos ou o corpo do e-mail (h=).

Quando o servidor de e-mail do destinatário recebe a mensagem, ele verifica se o domínio do remetente possui DKIM configurado. Se sim:

• Ele utiliza o “seletor” e o domínio para buscar a chave pública no DNS.
• Com essa chave, ele verifica a assinatura digital presente no cabeçalho do e-mail.
• Caso a assinatura seja válida, significa que a mensagem não foi alterada desde o envio e que ela é, de fato, autorizada pelo domínio remetente.

Se a assinatura for inválida (ou ausente, quando exigida pelo destinatário), o e-mail pode ser marcado como spam, rejeitado ou tratado como suspeito, dependendo das políticas configuradas.

Configuração de um registro DKIM

Para configurar um registro DKIM para o seu domínio, siga os passos abaixo:

1. Identifique seus servidores de e-mail autorizados: Liste todos os servidores que enviam e-mails em nome do seu domínio, incluindo servidores de e-mail corporativos, serviços de e-mail em nuvem e qualquer outro serviço de envio de e-mails utilizado. Cada um desses serviços precisará da sua própria configuração DKIM. Abaixo alguns serviços comuns e como configurar seus registros SPF:
   • Google Workspace
   • Sendgrid: ao fazer a configuração do SendGrid, ele automaticamente vai criar o DKIM.
   • RD Station
   • Microsoft 365
2. Crie o registro DKIM: O registro DKIM é um registro TXT adicionado ao DNS do seu domínio. O formato básico de um registro é:

<seletor>._domainkey.seudominio.com.  IN  TXT  "v=DKIM1; k=rsa; p=<chave>"

Onde:

• <seletor> é um código exclusivo para identificar esse DKIM.
• v=DKIM1 indica a versão do protocolo.
• k=rsa define o tipo de criptografia usada.
• p=<chave> contém a chave pública do domínio.

Observação: em alguns casos (como no SendGrid), o DKIM pode ser registrado como um CNAME que aponta para a chave em um arquivo externo.

3. Adicione o registro ao DNS do seu domínio: Acesse o painel de controle do seu provedor de DNS e adicione um novo registro TXT com o conteúdo do registro DKIM que você criou.
4. Teste sua configuração: Use ferramentas online como o MX Toolbox para verificar se o registro está configurado corretamente e se está funcionando como esperado.

DMARC

O DMARC (Domain-based Message Authentication, Reporting, and Conformance) é um protocolo de autenticação de e-mails que ajuda a proteger os domínios contra fraudes. Ele funciona como uma camada adicional de segurança ao combinar dois outros protocolos, SPF e DKIM, e permite que os administradores de domínios definam políticas claras sobre como os e-mails não autenticados devem ser tratados pelos servidores destinatários. Simplificando, ao receber um e-mail seu, o serviço de e-mails vai checar no DMARC o que fazer se a mensagem for suspeita.

Além de melhorar a segurança, o DMARC também fornece relatórios detalhados sobre as mensagens enviadas em nome do seu domínio. Isso permite identificar possíveis abusos e otimizar a reputação de entrega dos seus e-mails legítimos.

Como o DMARC funciona?

Quando um servidor de e-mail recebe uma mensagem, ele verifica o cabeçalho “From” para identificar o domínio do remetente. Nos registros de DNS do domínio do remetente, ele busca o registro DMARC. Ele também vai checar se a mensagem tem o SPF e o DKIM configurados e alinhados ao domínio corretamente. Se houver algum problema, o servidor vai aplicar a política definida pelo DMARC e pode mandar relatórios para os endereços especificados.

Configuração de um registro DMARC

Para configurar um registro DMARC para o seu domínio, siga os passos abaixo:

1. Crie o registro DMARC: O registro DMARC é um registro TXT adicionado ao DNS do seu domínio. O formato básico de um registro é:

_dmarc.seudominio.com  IN  TXT  "v=DMARC1; p=<política>; rua=mailto:seuemail@seudominio.com; ruf=mailto:seuemailforense@seudominio.com; fo=1; pct=100; sp=<política>"

Onde:

• v=DMARC1 indica a versão do protocolo DMARC. Esse valor é obrigatório e deve sempre ser “DMARC1”.
• p=<política> define como os e-mails que falharem na autenticação devem ser tratados:
  • none: Nenhuma ação (modo de monitoramento).
  • quarantine: Mensagens são enviadas para a pasta de spam.
  • reject: Mensagens são rejeitadas e não entregues.
• rua=mailto:(opcional) define o endereço de e-mail para receber relatórios agregados diários.
• ruf=mailto:(opcional) especifica o endereço de e-mail para relatórios forenses, com detalhes sobre mensagens falhas.
• fo= (opcional) controla quando relatórios forenses devem ser enviados:
  • 0: Apenas quando SPF e DKIM falharem.
  • 1: Sempre que qualquer autenticação falhar. (Mais comum).
  • d: Relatórios são enviados se a assinatura DKIM estiver ausente ou inválida.
  • s: Relatórios são enviados se o SPF falhar.
• pct= (opcional) define a porcentagem de mensagens às quais a política será aplicada. O padrão é 100.
• sp= (opcional) define uma política separada para subdomínios, caso seja necessária.

Uma dica: se você preencher os itens rua e ruf, você vai receber uma grande quantidade de mensagens. Então pode ignorar esses itens se não quiser receber as mensagens.

Uma configuração padrão e básica do DMARC seria a seguinte:

_dmarc.seudominio.com  IN  TXT  "v=DMARC1; p=quarantine; fo=1"

2. Adicione o registro ao DNS do seu domínio: Acesse o painel de controle do seu provedor de DNS e adicione um novo registro TXT com o conteúdo do registro DMARC que você criou. O nome do registro geralmente deve ser o seu domínio, e o tipo deve ser TXT.
3. Teste sua configuração: Use ferramentas online como o MX Toolbox para verificar se o registro está configurado corretamente e se está funcionando como esperado.