Resumo da IA
No ano passado, e-mails falsos custaram às empresas e às pessoas mais de US$ 10 bilhões. A cada três segundos, alguém clica em um e-mail de phishing. Esses ataques acontecem porque o e-mail tem um grande problema: qualquer pessoa pode se passar por outra.
Quando você envia um e-mail, não há uma maneira integrada de provar que ele é realmente seu. Os golpistas usam esse ponto fraco para enviar milhões de e-mails falsos todos os dias. Eles fingem ser bancos, empresas ou até mesmo seu chefe.
Sem a proteção correta, os provedores de e-mail não conseguem distinguir entre e-mails reais e falsos. O SPF, o DKIM e o DMARC resolvem esse problema. Pense neles como uma verificação de identificação em três partes para cada e-mail que você envia.
Neste artigo, explicarei como o DMARC, o SPF e o DKIM trabalham juntos para verificar seus e-mails enviados e garantir que suas mensagens sempre sejam transmitidas.
Eu realmente preciso de SPF, DKIM e DMARC para meu e-mail?
Sim, você precisa de todos os três, e aqui está o motivo pelo qual isso não é mais opcional.
A partir de fevereiro de 2024, o Google e o Yahoo tornaram esses protocolos obrigatórios para quem envia mais de 5.000 e-mails por dia. Mas mesmo que você envie apenas 10 e-mails por mês, ainda precisa deles. Sem a autenticação de e-mail adequada, até 76% dos seus e-mails legítimos podem acabar nas pastas de spam ou ser completamente rejeitados.
Os números contam uma história assustadora. De acordo com o Relatório de Crimes na Internet de 2024 do FBI, os golpes de BEC (Business Email Compromise) custaram às vítimas US$ 2,9 bilhões somente no ano passado. Isso apenas nos Estados Unidos. Esses ataques funcionam porque a maioria dos domínios ainda não usa a segurança de e-mail adequada.
Quando você não tem o SPF, o DKIM e o DMARC configurados, os criminosos podem enviar e-mails que parecem exatamente como se tivessem vindo de você. Veja a seguir o que cada um deles faz e por que você não pode ignorar nenhum deles:
- O SPF impede a falsificação de servidores. Ele cria uma lista de servidores autorizados a enviar e-mails para seu domínio. Mas o SPF falha quando os e-mails são encaminhados. Esse é o problema número um.
- O DKIM adiciona uma assinatura. Cada e-mail recebe uma assinatura criptografada exclusiva que prova que ele não foi alterado. Mas o DKIM sozinho não impede que alguém use seu nome de domínio. Esse é o problema número dois.
- O DMARC conecta tudo. Ele informa aos servidores receptores o que fazer quando o SPF ou o DKIM falham. Sem o DMARC, os outros dois são apenas sugestões que os servidores podem ignorar.
O resultado final? A autenticação de e-mail não se trata mais de seguir regras ou evitar pastas de spam. Trata-se de proteger sua empresa, sua reputação e todos que confiam em seus e-mails.
Corrija seus e-mails do WordPress agora
Onde devo adicionar registros SPF, DKIM e DMARC?
A configuração do SPF, DKIM e DMARC leva cerca de 15 minutos quando você sabe onde procurar. Todos os três são adicionados como registros TXT nas configurações de DNS do seu domínio. O mesmo local onde você gerencia os servidores de nomes e outros registros do seu site.
Encontrar seus registros DNS leva 30 segundos:
- Se você comprou domínio + hospedagem juntos: Faça login em sua conta de hospedagem (como Bluehost, SiteGround ou HostGator). Procure por "DNS Zone Editor" ou "DNS Management" em seu painel de controle.
- Se você os comprou separadamente: Acesse seu registrador de domínios (GoDaddy, Namecheap, Google Domains). Localize "DNS Settings" (Configurações de DNS) ou "Manage DNS" (Gerenciar DNS) no painel de controle de seu domínio.
- Se você usa o Cloudflare ou similar: Acesse o painel do Cloudflare, selecione seu domínio e clique na guia "DNS" no menu à esquerda. Aqui está um exemplo da Cloudflare:
A ordem de configuração é importante (a maioria das pessoas erra):
Primeiro, adicione o SPF → Aguarde 1 hora → Adicione o DKIM → Aguarde 1 hora → Adicione o DMARC
Por que esse pedido?
O DMARC verifica se o SPF e o DKIM funcionam. Se você adicionar o DMARC primeiro, ele falhará imediatamente e poderá bloquear seus e-mails. Muitos provedores não permitirão que você adicione o DMARC até que o SPF seja aprovado na validação.
O que você realmente acrescentará:
- SPF: um registro TXT começando com "v=spf1" (leva 2 minutos)
- DKIM: um ou dois registros TXT com cadeias de caracteres longas (leva 3 minutos)
- DMARC: Um registro TXT em "_dmarc.yourdomain.com" (leva 2 minutos)
Tempo até que eles funcionem:
- FPS: Ativo em 5 a 30 minutos
- DKIM: Ativo em 1-4 horas
- DMARC: Ativo em 1-24 horas (mas precisa que o SPF/DKIM funcione primeiro)
Erros comuns de configuração que prejudicam tudo:
- Ter dois registros SPF (combine-os em um só)
- Nome do seletor DKIM incorreto (verifique o formato exato do seu provedor de e-mail)
- Iniciar o DMARC com p=reject (sempre comece com p=none, depois aumente)
- Adição de registros ao subdomínio errado
- Espaços extras ou aspas nos valores de registro
Teste rápido após a configuração:
Envie um e-mail de teste para o Gmail e verifique os cabeçalhos da mensagem (clique nos três pontos e depois em Mostrar original). Procure por estas linhas:
- FPS: APROVADO
- DKIM: PASS
- DMARC: PASS
O que são DMARC, SPF e DKIM?
O que é DMARC?
O DMARC ajuda a evitar falsificação de domínio e gera relatórios de e-mail se for detectada atividade suspeita. A sigla significa Domain-based Authentication, Reporting, and Conformance (autenticação baseada em domínio, relatórios e conformidade), portanto, a pista está parcialmente no nome.
Em um nível básico, o registro DMARC funciona como a cola entre os registros SPF e DKIM. E ele faz três coisas:
- Ele compara o IP de envio com o remetente autorizado para o domínio, observando o SPF e o DKIM. É assim que esses três registros trabalham juntos para impedir que os e-mails do WordPress sejam enviados para spam.
- Se essa verificação falhar, ele informa ao servidor de e-mail o que fazer. Por exemplo, o e-mail pode ser rejeitado ou colocado em quarentena.
- O DMARC também pode gerar relatórios de e-mail se detectar e-mails que não estejam devidamente autenticados. No registro DMARC, é possível especificar o endereço de e-mail que receberá esses relatórios. Eles serão enviados a você como arquivos XML.
Se você receber relatórios DMARC, não se preocupe. Seu registro DMARC está fazendo o trabalho que deveria fazer. É importante não ignorar os relatórios, pois eles podem ser um sinal de que alguém está abusando do seu domínio para enviar spam. Você pode encaminhar o relatório ao seu provedor de serviços de e-mail se precisar de ajuda para entender o conteúdo.
Como adicionar um registro DMARC
Se o seu provedor de e-mail fornecer um registro DMARC específico, você deverá adicioná-lo ao seu DNS. Se o seu provedor não informar o que incluir, consulte nosso artigo sobre o que é um registro DMARC e como criar um. Ele inclui um registro DMARC genérico que pode ser copiado e colado, e funcionará em qualquer domínio.
A única vez que você não O DMARC é necessário quando você está enviando de um domínio que não controla. Por exemplo, uma conta do Gmail com um domínio @gmail.com não precisa de DMARC, mas uma conta do Google Workspace com um nome de domínio personalizado precisa.
O que é FPS?
O registro SPF é um registro TXT no seu DNS. O nome significa Sender Policy Framework. O SPF é responsável por verificar se um endereço IP está autorizado a enviar e-mails do domínio de envio. Ele funciona um pouco como um endereço de retorno em uma carta.
Se você não tiver um registro SPF, seus e-mails do WordPress provavelmente serão marcados como spam. Em alguns casos, eles serão descartados.
Por exemplo, o Gmail bloqueia e-mails sem autenticação SPF. Portanto, um registro SPF ausente é uma causa comum do não envio de e-mails pelo WordPress.
Na verdade, o WordPress pode estar gerando e-mails e enviando-os sem nenhum problema. Mas os e-mails provavelmente estão sendo descartados mais adiante porque não há registro SPF para validá-los.
Não use mais de um registro SPF
A criação de um registro SPF é importante, e seu provedor fornecerá instruções sobre o que exatamente deve ser adicionado ao seu DNS.
Ao fazer isso, lembre-se de que também é importante ter apenas um registro SPF no seu domínio, portanto, verifique primeiro se há regras existentes.
Por exemplo, talvez você já tenha criado um registro SPF para o seu provedor de e-mail marketing. Se quiser adicionar outro para o seu provedor de e-mail transacional, será necessário combinar esses registros SPF em um só.
Consulte nosso guia sobre como mesclar vários registros SPF para obter a maneira mais fácil de fazer isso.
O que é DKIM?
Seu registro DKIM é responsável por verificar seu domínio usando uma chave. Ela significa DomainKeys Identified Mail (Correio Identificado por Chaves de Domínio).
O principal objetivo do DKIM é provar que o conteúdo não foi alterado entre o remetente e o destinatário. Portanto, o DKIM é um pouco como colocar sua própria assinatura em cada e-mail que você envia.
No seu DNS, você terá uma parte do registro DKIM: a chave pública. E o servidor de e-mail tem a chave privada correspondente. Ao comparar essas duas chaves, os servidores de e-mail podem verificar se o e-mail realmente veio de você.
Posteriormente, o registro DMARC verifica essa verificação e decide se o e-mail é legítimo.
Como adicionar um registro DKIM
Para adicionar um registro DKIM ao seu DNS, entre em contato com seu provedor de e-mail para saber o que deve ser incluído. A maioria dos provedores inclui instruções em sua documentação de configuração.
Se estiver usando o WP Mail SMTP, também temos instruções detalhadas para todos os provedores de e-mail compatíveis:
| Mailers disponíveis em todas as versões | Remetentes no WP Mail SMTP Pro |
|---|---|
| SendLayer | Amazon SES |
| SMTP.com | Microsoft 365 / Outlook.com |
| Brevo (anteriormente Sendinblue) | Zoho Mail |
| Google Workspace / Gmail | |
| Pistola de correio | |
| Carimbo do correio | |
| SendGrid | |
| SparkPost | |
| Outros SMTP |
Às vezes, pode ser necessário dividir um registro DKIM em duas linhas. Temos um guia sobre como dividir um registro DKIM que explica como fazer isso.
Por fim, vamos dar uma olhada rápida em uma maneira fácil de verificar seus registros DNS no WordPress.
Como verificar DMARC, SPF, DKIM no WP Mail SMTP
Se estiver enviando e-mails a partir do WordPress, certifique-se de que DMARC, SPF e DKIM estejam configurados corretamente no seu domínio. O WP Mail SMTP torna isso fácil.
Você pode enviar um e-mail de teste a qualquer momento para se certificar de que seus e-mails do WordPress estão funcionando, e isso também verificará esses três registros DNS importantes ao mesmo tempo.
Se o plug-in detectar que algum dos seus registros DNS está ausente ou quebrado, ele o informará imediatamente.
E para sua total tranquilidade, você também verá os alertas do Domain Checker na tela Site Health. E é isso! Agora você sabe como o DMARC, o SPF e o DKIM trabalham juntos para melhorar a capacidade de entrega de e-mails.
Perguntas frequentes sobre registros SPF, DKIM e DMARC
Você tem mais perguntas sobre registros DNS e capacidade de entrega de e-mail? Eu as abordarei a seguir.
Como faço para criar um registro DMARC?
Você pode copiar e colar um registro DMARC e adicioná-lo à zona DNS do seu domínio. Há um exemplo de registro DMARC em nosso guia sobre como criar um registro DMARC e adicioná-lo ao seu domínio.
Como faço para adicionar registros SPF para WordPress e WP Mail SMTP?
Primeiro, localize as configurações de DNS em seu provedor de domínio (como GoDaddy ou Namecheap). Adicione um novo registro TXT com seu nome de domínio como o host. Para o valor, comece com "v=spf1" e inclua seu servidor de e-mail.
No caso do WP Mail SMTP, o registro exato depende do gerenciador de correio escolhido. Se você usar o SendLayer, adicione: "v=spf1 includesendlayer.net ~all". Para o Gmail, use: "v=spf1 include:_spf.google.com ~all".
O erro que a maioria das pessoas comete? Adicionar dois registros SPF. Você só pode ter um. Se você precisar de vários serviços, combine-os da seguinte forma: "v=spf1 includesendlayer.net include:_spf.google.com ~all". Salve o registro e aguarde cerca de 15 minutos. É isso aí.
Por que o WP Mail SMTP precisa da configuração do DKIM?
O WP Mail SMTP precisa do DKIM porque o WordPress não assina e-mails por si só. Quando você envia um e-mail pelo WordPress, ele é enviado sem assinatura. Os provedores de e-mail, como o Gmail, consideram os e-mails não assinados como suspeitos, mesmo que sejam reais.
O DKIM adiciona uma assinatura especial a cada e-mail que você envia. Pense nela como um selo de cera em uma carta antiga. Essa assinatura prova duas coisas: que o e-mail realmente veio de seu site e que ninguém o alterou ao longo do caminho.
Sem o DKIM, cerca de 30% de seus e-mails do WordPress podem ir para as pastas de spam. Com ele, sua taxa de entrega salta para mais de 95%. O plug-in facilita a configuração do DKIM. Ele gera as chaves para você e informa exatamente o que deve ser adicionado ao seu DNS.
Qual registro SPF devo usar para a hospedagem do WP Engine?
Para o WP Engine, use este registro SPF: "v=spf1 include:mail1.wpengine.com ~all"
Mas o que chama a atenção das pessoas é o seguinte: se você estiver usando o WP Engine para hospedagem, mas enviando e-mails por meio de um serviço diferente, precisará do SPF desse serviço. Muitos usuários do WP Engine enviam e-mails por meio do SendGrid ou do Mailgun. Nesse caso, você usaria os registros SPF deles, não os do WP Engine.
Se você precisar de ambos, combine-os: "v=spf1 include:mail1.wpengine.com include:sendgrid.net ~all". Adicione isso como um registro TXT no seu DNS. Não o adicione no painel de controle do WP Engine - ele vai para as configurações de DNS do seu registrador de domínios.
Posso usar o DMARC sem o SPF e o DKIM?
Sim, o DMARC funciona com apenas um deles, mas é arriscado. O DMARC é aprovado quando o SPF ou o DKIM é aprovado e se alinha com seu domínio. Portanto, tecnicamente, você só precisa de um.
Mas aqui está o motivo pelo qual isso é uma má ideia: O SPF é interrompido quando os e-mails são encaminhados. O DKIM pode falhar se o seu serviço de e-mail modificar as mensagens. Quando você tem apenas um e ele falha, o DMARC falha completamente. Seus e-mails são rejeitados.
Já vi empresas perderem milhares de dólares por confiarem apenas no SPF. Um cliente encaminhou sua fatura para a contabilidade, o SPF falhou e a fatura nunca chegou. Comece com o SPF e o DKIM e, em seguida, adicione o DMARC. Isso leva talvez 20 minutos no total e evita enormes dores de cabeça mais tarde.
Qual é a diferença entre SPF, DKIM e DMARC?
O SPF é uma lista de servidores autorizados a enviar e-mails para seu domínio. É como dizer "somente estes correios podem enviar minha correspondência". O problema? Ele verifica o servidor, não o remetente real.
O DKIM é uma assinatura que prova que um e-mail não foi alterado. Cada e-mail recebe um selo criptografado exclusivo. Mas o DKIM não impede que alguém use seu nome de domínio em um servidor diferente.
O DMARC é o chefe que verifica se o SPF ou o DKIM foi aprovado e, em seguida, informa aos servidores receptores o que fazer com as falhas. Sem o DMARC, os outros dois são apenas sugestões. Os servidores podem ignorá-las.
A verdade é simples: o SPF diz quem pode enviar, o DKIM comprova que os e-mails são reais e o DMARC aplica as regras. Você precisa de todos os três porque cada um corrige o que os outros deixam passar.
Como posso testar se o SPF, o DKIM e o DMARC estão funcionando corretamente?
Envie um e-mail de teste para uma conta do Gmail que você controle. Quando ele chegar, abra o e-mail e clique no menu de três pontos. Selecione "Mostrar original" para ver os detalhes técnicos.
Procure por essas três linhas:
- SPF: PASS (com seu domínio)
- DKIM: PASS (mostra 'header.d' com seu domínio)
- DMARC: PASS
Se alguma delas mostrar FAIL, você tem um problema. Falhas no SPF significam configurações de servidor incorretas. As falhas de DKIM significam chaves ou registros de DNS incorretos. As falhas de DMARC ocorrem quando SPF e DKIM não correspondem ao seu domínio "From".
Para testes rápidos, você pode usar o recurso de teste de e-mail do WP Mail SMTP. Envie um e-mail para qualquer endereço de teste e obtenha resultados instantâneos.
Preciso me autenticar com SPF e DKIM, ou apenas com um?
Você deve configurar ambos, embora tecnicamente um seja suficiente para a autenticação básica. O Google e o Yahoo agora exigem ambos para quem envia mais de 5.000 e-mails por dia. Mas mesmo os pequenos remetentes se beneficiam do uso de ambos.
Veja o que acontece com apenas um: O SPF sozinho falha quando alguém encaminha seu e-mail. O DKIM sozinho não prova qual servidor enviou o e-mail. Quando você tem os dois, um deles pode falhar e seu e-mail ainda será encaminhado.
Exemplo real: Um cliente só tinha SPF. Seu boletim informativo funcionava bem até que os assinantes começaram a encaminhá-lo para amigos. Todos os e-mails encaminhados eram devolvidos. A adição do DKIM corrigiu o problema imediatamente.
Como faço para corrigir falhas de DMARC no WordPress?
As falhas do DMARC no WordPress geralmente ocorrem porque o endereço "From" não corresponde ao seu domínio. O padrão do WordPress é "[email protected]", mas seu site pode enviar de "[email protected]". Isso é uma incompatibilidade.
Para corrigir isso, acesse as configurações de SMTP do WP Mail. Defina o "From Email" como um endereço em seu próprio domínio. Nunca use Gmail, Yahoo ou outros endereços de e-mail gratuitos como remetente. Em seguida, verifique se o registro SPF inclui seu servidor de e-mail real. Se você usa SMTP.com, seu SPF precisa "include:smtp.com".
Verifique se o DKIM está ativo e se os registros DNS estão corretos. O seletor (geralmente "default" ou o nome do seu serviço) deve corresponder exatamente. Até mesmo um caractere errado quebra tudo.
Em seguida, verifique seu registro PTR
Enquanto estiver verificando o DNS, é uma boa ideia verificar o registro PTR. O registro PTR é um tipo especial de registro que também desempenha um papel na prevenção de spam. Para saber mais, confira nosso artigo sobre O que é um registro PTR (e eu preciso de um?)
Corrija seus e-mails do WordPress agora
Pronto para corrigir seus e-mails? Comece hoje mesmo a usar o melhor plugin SMTP para WordPress. Se você não tiver tempo para corrigir seus e-mails, poderá obter assistência completa da White Glove Setup como uma compra extra, e há uma garantia de reembolso de 14 dias para todos os planos pagos.
Se este artigo o ajudou, siga-nos no Facebook e no Twitter para obter mais dicas e tutoriais sobre o WordPress.
