Como corrigir problemas de falsificação de e-mails no WordPress (passo a passo)

Publicado: Divulgação do leitor
LinkedIn
Resumir:ChatGPTPerplexidade

A falsificação de e-mails do WordPress ocorre quando os e-mails parecem ter sido enviados a partir do seu domínio, mas não possuem a autenticação adequada, causando falhas na entrega e riscos de segurança.

Seus formulários de contato podem estar definindo os endereços de e-mail dos visitantes como remetentes, seu servidor pode estar enviando e-mails não autenticados ou seu domínio simplesmente não possui os registros DNS que comprovam a propriedade legítima.

Isso cria dois problemas principais: seus e-mails legítimos são bloqueados ou marcados como spam, e agentes mal-intencionados podem se passar mais facilmente pelo seu domínio para enviar mensagens fraudulentas.

Neste guia, vamos resolver esses problemas de falsificação configurando o WP Mail SMTP com a autenticação adequada, configurando seus registros DNS com SPF, DKIM e DMARC e garantindo que seus formulários de contato tratem os endereços dos remetentes corretamente.

Como corrigir problemas de falsificação de e-mails no WordPress

Vamos começar por compreender como funciona a falsificação de e-mails no WordPress e por que razão ocorre. Em seguida, configuraremos o WP Mail SMTP com a autenticação adequada, que é o método mais fiável para eliminar problemas de falsificação e garantir que os seus e-mails chegam ao destino.

Passo 1: Entenda o que é falsificação de e-mail no WordPress

A falsificação de e-mails no WordPress ocorre quando o seu site envia e-mails que parecem legítimos, mas não conseguem provar a sua autenticidade aos servidores de e-mail destinatários.

Isso ocorre porque o WordPress usa a função de e-mail básica do PHP por padrão, que envia mensagens sem os protocolos de autenticação adequados.

O cenário de spoofing mais comum envolve formulários de contato. Quando alguém preenche seu formulário de contato, muitos plug-ins definem automaticamente o endereço de e-mail dessa pessoa como o remetente.

Outro problema frequente é o WordPress enviar e-mails do sistema (redefinições de senha, registros de usuários, confirmações de pedidos) usando seu nome de domínio, mas sem as assinaturas criptográficas que comprovam que a mensagem realmente veio do seu servidor.

Provedores de e-mail como Gmail e Outlook rejeitam cada vez mais essas mensagens não autenticadas, uma questão explorada mais detalhadamente em nosso guia sobre como entender a capacidade de entrega de e-mails.

Aqui estão os principais sinais de que seu site WordPress tem problemas de falsificação:

  • Os envios do formulário de contato não estão chegando aos destinatários
  • Seus e-mails vão sempre para a pasta de spam
  • Você recebe mensagens de retorno sobre falhas de autenticação
  • Os provedores de e-mail exibem avisos sobre “remetente não verificado”.
  • Seu domínio aparece em relatórios de phishing que você não enviou

A causa principal é sempre a mesma: seus e-mails não possuem as assinaturas digitais e os registros DNS exigidos pela segurança moderna de e-mail.

Para corrigir isso, é necessário mudar para SMTP autenticado e configurar registros de autenticação de e-mail adequados, o que abordaremos nas etapas a seguir.

Ilustração da capacidade de entrega de e-mails SMTP do WP Mail

Corrija seus e-mails do WordPress agora

Etapa 2: Diagnostique seu status atual de autenticação de e-mail

Antes de corrigir seus problemas de spoofing, você precisa entender exatamente o que está falhando na sua configuração atual de e-mail. Comece verificando se o seu domínio já tem registros de autenticação de e-mail configurados.

Use uma ferramenta de pesquisa de registros SPF para verificar se você tem um registro SPF. Basta digitar o nome do seu domínio e clicar em “Pesquisa de registros SPF”. Se nenhum registro for encontrado, como na captura de tela abaixo, isso é um problema.

nenhum registro SPF válido

Em seguida, verifique os registros DKIM usando a pesquisa DKIM do MXToolbox. Você precisará saber seu seletor DKIM, que varia de acordo com o provedor de e-mail. Seletores comuns incluem “padrão”, “google”, “seletor1” ou o seletor específico do seu provedor.

Depois disso, verifique sua política DMARC com a pesquisa DMARC da MXToolbox. Um registro DMARC ausente é uma das causas mais comuns de vulnerabilidade à falsificação de e-mails.

Teste a autenticação de e-mail com uma mensagem real

Outra maneira de verificar rapidamente o status de autenticação do seu e-mail é enviar um e-mail de teste para o Gmail e verificar os cabeçalhos da mensagem (clique nos três pontos e, em seguida, em Mostrar original).

spf dkim dmarc gmail test

Procure por estes resultados de autenticação:

  • SPF: APROVADO (bom) vs SPF: REPROVADO (problema)
  • DKIM: APROVADO (bom) vs DKIM: REPROVADO (problema)
  • DMARC: PASS (bom) vs DMARC: FAIL (problema)

Etapa 3: Configurar registros de autenticação de e-mail (nível DNS)

A autenticação de e-mail ocorre no nível do DNS, onde você publica registros que informam aos servidores de e-mail receptores como verificar os e-mails do seu domínio.

Esses três protocolos trabalham juntos para impedir a falsificação: o SPF autoriza servidores de envio, o DKIM adiciona assinaturas digitais e o DMARC define políticas para lidar com falhas de autenticação.

Configurar registros SPF

Os registros SPF (Sender Policy Framework) especificam quais servidores de e-mail estão autorizados a enviar e-mails em nome do seu domínio. Sem um registro SPF, qualquer servidor pode alegar enviar e-mails do seu domínio.

A maioria dos sites WordPress precisa autorizar várias fontes de envio: seu provedor de hospedagem para e-mails do sistema, seu provedor SMTP para envios autenticados e, às vezes, serviços de terceiros, como plataformas de marketing.

Isso muitas vezes leva a vários registros SPF, o que interrompe a autenticação. O segredo é criar um único registro SPF que inclua todos os seus remetentes legítimos.

Você adicionará isso como um registro TXT no DNS do seu domínio, normalmente começando comv=spf1 eterminando com~all para rejeitar remetentes não autorizados.

Regra de registro SPF múltiplo no Cloudflare

Configurar autenticação DKIM

O DKIM (DomainKeys Identified Mail) adiciona uma assinatura criptográfica aos seus e-mails que os servidores de recebimento podem verificar em relação a uma chave pública armazenada no seu DNS.

Seu provedor SMTP irá gerar chaves DKIM para você, mas às vezes o registro DNS resultante é muito longo para uma única entrada TXT.

Quando isso acontecer, você precisará dividir o registro DKIM em várias entradas DNS, mantendo a formatação adequada esperada pelos servidores de e-mail.

O registro DKIM inclui a chave pública do seu provedor e é publicado como um registro TXT em um subdomínio específico, geralmente algo como selector1._domainkey.yourdomain.com.

SendLayer DKIM

Implementar a política DMARC

O DMARC (Domain-based Message Authentication, Reporting, and Conformance) une o SPF e o DKIM, informando aos servidores receptores o que fazer quando os e-mails falham na autenticação.

É a sua principal defesa contra a falsificação de domínios. Criar um registro DMARC envolve definir uma política que pode colocar e-mails suspeitos em quarentena, rejeitá-los completamente ou simplesmente monitorá-los sem tomar nenhuma medida.

Comece com uma política de monitoramento (p=none) para coletar dados sem afetar a entrega, depois passe gradualmente para p=quarantine e , finalmente, p=reject à medida que você verifica que os e-mails legítimos passam pela autenticação.

Aplicar registro DMARC no Cloudflare

Ordem de implementação do DNS

Configure seus registros de autenticação nesta sequência:

  • SPF primeiro – Autoriza seus servidores de envio
  • DKIM segundo – Adiciona assinaturas digitais
  • DMARC last – Define políticas com base nos resultados do SPF/DKIM

Essa ordem garante que cada protocolo se baseie no anterior.

O DMARC precisa que tanto o SPF quanto o DKIM estejam configurados para funcionar de forma eficaz, portanto, não pule esta etapa.

Etapa 4: Instalar e configurar o WP Mail SMTP

A instalação do WP Mail SMTP substitui a função de e-mail padrão pouco confiável do WordPress pelo envio SMTP autenticado, essencial para evitar a falsificação de e-mails.

Se você possui o WP Mail SMTP Pro, faça login na sua conta e acesse a guia Downloads para obter o arquivo mais recente do plugin. A versão Pro inclui recursos avançados e registro de e-mails que ajudam a identificar e resolver problemas de entrega.

baixar-wp-mail-smtp

No painel do WordPress, vá para Plugins » Adicionar novo » Carregar plugin, carregue o arquivo zip e clique em Instalar agora. Após a instalação, ative o plugin imediatamente.

Instalar o WP Mail SMTP

O Assistente de Configuração aparece automaticamente após a ativação e é essencial para corrigir problemas de falsificação de e-mails. Não pule esta etapa.

Precisa de ajuda?

Você pode adquirir o White Glove Setup para que um especialista instale e configure o WP Mail SMTP para você!

Clique em Vamos começar para iniciar o processo de configuração que eliminará suas vulnerabilidades de falsificação.

clique no botão Let's Get Started (Vamos começar)

Normalmente, escolho um provedor transacional, como SendLayer, SMTP.com ou Brevo, para velocidade e confiabilidade, pois eles lidam com filas e limites de taxa melhor do que o webmail básico.

Selecione seu servidor de correio SMTP

Depois de escolher seu provedor de e-mail, clique no link abaixo para abrir a documentação correspondente. Temos um guia completo para cada provedor de e-mail, para que você possa conectar facilmente seu site WordPress:

Mailers disponíveis em todas as versõesRemetentes no WP Mail SMTP Pro
SendLayerAmazon SES
SMTP.comMicrosoft 365 / Outlook.com
BrevoZoho Mail
Google Workspace / Gmail
Correio eletrônico
Pistola de correio
Carimbo do correio
SendGrid
SMTP2GO
SparkPost
Elastic Email
Outros SMTP

Siga as etapas na tela para conectar sua conta e, em seguida, preencha os campos solicitados pelo remetente. Dependendo da sua escolha, você colará uma chave de API, entrará com o OAuth ou aprovará o envio do seu domínio.

Durante a configuração do WP Mail SMTP, você encontrará a configuração “Forçar e-mail de origem ” localizada abaixo do campo principal de configuração “E-mail de origem ”.

O WordPress normalmente usa o endereço de e-mail do administrador do seu site para mensagens enviadas, mas isso cria problemas de autenticação quando diferentes plugins tentam usar vários endereços de remetente.

Formulários de contato, e-mails de registro de usuários e notificações de comércio eletrônico podem tentar usar endereços de remetente diferentes, levando a uma autenticação inconsistente e possíveis sinalizações de falsificação.

A ativação da opção “Habilitar a força do e-mail ” padroniza todas as mensagens enviadas para usar o endereço de domínio autenticado que você definiu no campo “De e-mail”.

Configurações de e-mail do WP Mail SMTP From

Etapa 5: Configuração do BIMI (Avançado)

O BIMI (Brand Indicators for Message Identification) é um protocolo avançado anti-spoofing que exibe o logotipo da sua marca diretamente nos clientes de e-mail dos destinatários quando suas mensagens passam pelas verificações de autenticação.

Essa verificação visual torna imediatamente óbvio para os destinatários que os e-mails realmente vêm da sua organização, fornecendo uma camada adicional de proteção contra tentativas de falsificação.

Exemplo de BIMI

Para obter instruções detalhadas de implementação, requisitos de logotipo, formatação de registros DNS e configuração do Certificado de Marca Verificada, consulte nosso guia completo sobre o que é BIMI e como implementá-lo.

Etapa 6: Teste sua configuração de e-mail

Depois de configurar tudo, use o recurso de teste integrado do WP Mail SMTP para avaliar a capacidade de entrega dos seus e-mails. Vá para Ferramentas e clique na guia Teste de e-mail para começar.

Envio de um e-mail de teste com o WP Mail SMTP

Nessa tela, personalize o endereço do destinatário para seu e-mail de teste e clique em Send Email (Enviar e-mail).

Enviar e-mail de teste do WP Mail SMTP

Se tudo estiver configurado corretamente, você verá uma mensagem verde.

Teste o e-mail do Cloudflare no WordPress - mensagem de sucesso

Se o WP Mail SMTP detectar algum problema, ele mostrará um aviso.

A capacidade de entrega deve ser melhorada mensagem de aviso

Abaixo do aviso, você verá algumas informações sobre as etapas a serem seguidas para melhorá-lo.

O guia comum de resolução de problemas do WP Mail SMTP abrange soluções para problemas típicos de configuração.

Perguntas frequentes sobre como corrigir a falsificação de e-mails no WordPress

Corrigir a falsificação de e-mails do WordPress é um tema de grande interesse entre nossos leitores. Aqui estão as respostas para algumas perguntas frequentes sobre o assunto:

O que é falsificação de e-mail no WordPress?

A falsificação de e-mails no WordPress ocorre quando os e-mails parecem ter sido enviados a partir do seu domínio, mas não possuem a autenticação adequada, causando falhas na entrega e riscos de segurança.

Isso ocorre porque o WordPress utiliza a função de e-mail básica do PHP por padrão, que envia mensagens sem os protocolos de autenticação SPF, DKIM ou DMARC que comprovam a legitimidade do e-mail.

Como posso saber se meus e-mails do WordPress estão sendo falsificados?

Verifique se há estes sinais:

  • Os envios do formulário de contato não estão chegando aos destinatários
  • os e-mails vão sempre para a pasta de spam
  • você recebe mensagens de retorno sobre falhas de autenticação
  • Os provedores de e-mail exibem avisos de “remetente não verificado”.
  • Seu domínio aparece em relatórios de phishing que você não enviou.

Teste enviando um e-mail para o Gmail e verificando Mostrar original para os resultados SPF, DKIM e DMARC PASS/FAIL.

Como posso resolver problemas de falsificação de e-mails no WordPress?

Instale o plugin WP Mail SMTP, configure-o com um provedor SMTP profissional como SendLayer, configure os registros SPF, DKIM e DMARC no seu DNS, habilite a configuração “Force From Email” para usar seu endereço de domínio autenticado e teste a autenticação de e-mail usando o recurso de teste do WP Mail SMTP.

Os formulários de contato do WordPress podem causar falsificação de e-mails?

Sim, os formulários de contato geralmente causam falsificação quando usam o endereço de e-mail do visitante como remetente, fazendo parecer que o visitante enviou o e-mail diretamente, em vez de seu site ter encaminhado a mensagem.

Corrija isso usando o WP Mail SMTP com a opção Force From Email ativada e definindo os e-mails dos visitantes no campo Reply-To .

Quais provedores SMTP impedem a falsificação de e-mails do WordPress?

Provedores SMTP profissionais como SendGrid, Mailgun, Amazon SES, Postmark e SMTP.com impedem a falsificação, fornecendo autenticação adequada, assinatura DKIM e infraestrutura de entrega.

Evite usar provedores de webmail básicos, como contas pessoais do Gmail, pois eles não possuem os recursos de autenticação necessários para o envio pelo WordPress.

A hospedagem compartilhada pode causar problemas de falsificação de e-mails no WordPress?

Sim, a hospedagem compartilhada frequentemente causa spoofing porque vários sites compartilham o mesmo endereço IP do servidor, dificultando a autenticação SPF, e a maioria dos hosts compartilhados não configura DKIM nem fornece autenticação de e-mail adequada.

Corrija isso usando o WP Mail SMTP com um provedor de serviços de e-mail dedicado, em vez de depender dos servidores de e-mail do seu provedor de hospedagem.

A seguir, aprenda como corrigir atrasos no envio de e-mails no WordPress.

Os seus e-mails do WordPress estão a chegar com 20 minutos de atraso? Ou pior ainda, chegam horas depois de alguém ter enviado um formulário ou concluído o checkout? Consulte este guia para saber o que está realmente a causar os atrasos no seu site e como corrigi-los para que os seus e-mails sejam enviados instantaneamente.

Corrija seus e-mails do WordPress agora

Pronto para corrigir seus e-mails? Comece hoje mesmo a usar o melhor plugin SMTP para WordPress. Se você não tiver tempo para corrigir seus e-mails, poderá obter assistência completa da White Glove Setup como uma compra extra, e há uma garantia de reembolso de 14 dias para todos os planos pagos.

Se este artigo o ajudou, siga-nos no Facebook e no Twitter para obter mais dicas e tutoriais sobre o WordPress.

Divulgação: Nosso conteúdo é apoiado pelo leitor. Isso significa que, se você clicar em alguns de nossos links, poderemos receber uma comissão. Veja como o WPForms é financiado, por que isso é importante e como você pode nos apoiar.

Hamza Shahid

Hamza é redator do WP Mail SMTP e também é especializado em tópicos relacionados a marketing digital, segurança cibernética, plug-ins do WordPress e sistemas ERP.Saiba mais

Experimente nosso plugin gratuito WP Mail SMTP

Use seu provedor de SMTP favorito para enviar seus e-mails do WordPress de forma confiável.