Resumo de IA
A falsificação de e-mail no WordPress ocorre quando e-mails parecem vir do seu domínio, mas carecem de autenticação adequada, causando falhas na entrega e riscos de segurança.
Seus formulários de contato podem estar definindo os endereços de e-mail dos visitantes como remetente, seu servidor pode estar enviando e-mails não autenticados, ou seu domínio simplesmente carece dos registros DNS que comprovam a propriedade legítima.
A falsificação de e-mail (spoofing) aparece no WordPress de duas maneiras relacionadas. Ou seus próprios e-mails falham na autenticação e são bloqueados ou marcados como spam, ou os invasores exploram seu domínio desprotegido para enviar mensagens de phishing que parecem vir de você. Ambos os problemas são resolvidos pela mesma configuração de autenticação, mas saber com qual deles você está lidando ajuda a priorizar a correção.
Neste guia, você configurará o WP Mail SMTP com autenticação adequada, configurará seus registros DNS com SPF, DKIM e DMARC, e corrigirá a forma como seus formulários de contato lidam com os endereços do remetente, para que seus e-mails realmente cheguem e seu domínio seja mais difícil de ser falsificado.
Como Corrigir Problemas de Falsificação de E-mail no WordPress
Começaremos entendendo como a falsificação de e-mail se manifesta no WordPress e por que ela acontece. Em seguida, você configurará o WP Mail SMTP com autenticação adequada, que é o método mais confiável para eliminar problemas de falsificação e garantir a entrega dos seus e-mails.
Se você não tem certeza de onde seu problema se encaixa, a tabela abaixo mapeia o sintoma para a etapa que o corrige.
| Sintoma que você está vendo | Causa mais provável | Onde começar |
|---|---|---|
| E-mails caindo na pasta de spam | Nenhuma autenticação no e-mail de saída | Etapa 3 + Etapa 4 |
| Envios de formulário de contato não chegando | Endereço de e-mail do visitante usado como remetente | Etapa 4 (Force From Email) |
| E-mails de devolução que você não enviou | Domínio está sendo ativamente falsificado | Etapa 3 (DMARC com p=reject) |
| Relatórios de phishing mencionando seu domínio | Nenhuma aplicação de DMARC | Etapa 3 (Política DMARC) |
| Avisos de "remetente não verificado" no Gmail | SPF ou DKIM ausente | Etapa 2 + Etapa 3 |
| Teste do WP Mail SMTP mostra aviso de entregabilidade | Um ou mais registros mal configurados | Etapa 2 + Etapa 6 |
- Etapa 1: Entenda a Falsificação de E-mail no WordPress
- Etapa 2: Diagnostique seu Status Atual de Autenticação de E-mail
- Etapa 3: Configure Registros de Autenticação de E-mail (Nível DNS)
- Etapa 4: Instale e Configure o WP Mail SMTP
- Etapa 5: Configuração BIMI (Avançado)
- Etapa 6: Teste sua configuração de e-mail
Etapa 1: Entenda a Falsificação de E-mail no WordPress
A falsificação de e-mail no WordPress ocorre quando seu site envia e-mails que parecem legítimos, mas não conseguem provar sua autenticidade aos servidores de e-mail receptores.
Isso acontece porque o WordPress usa a função de e-mail básica do PHP por padrão, que envia mensagens sem os protocolos de autenticação adequados.
O cenário de falsificação mais comum envolve formulários de contato. Quando alguém preenche seu formulário de contato, muitos plugins definem automaticamente o endereço de e-mail do remetente como "De".
Outro problema frequente é o WordPress enviar e-mails do sistema (redefinições de senha, registros de usuários, confirmações de pedidos) usando o nome do seu domínio, mas sem as assinaturas criptográficas que provam que a mensagem realmente veio do seu servidor.
Provedores de e-mail como Gmail e Outlook rejeitam cada vez mais essas mensagens não autenticadas, um problema abordado em nosso guia sobre compreendendo a entregabilidade de e-mail.
A causa raiz é sempre a mesma: seus e-mails carecem das assinaturas digitais e registros DNS que a segurança moderna de e-mail exige.
A correção tem duas partes. Mova o envio para SMTP autenticado e publique os registros de autenticação de e-mail adequados em seu DNS. Abordaremos ambos nas etapas abaixo.
Corrija seus e-mails do WordPress agora
Etapa 2: Diagnostique seu Status Atual de Autenticação de E-mail
Antes de corrigir seus problemas de falsificação, você precisa entender exatamente o que está falhando em sua configuração de e-mail atual. Comece verificando se seu domínio já possui registros de autenticação de e-mail configurados.
Use uma ferramenta de Pesquisa de Registro SPF para ver se você tem um registro SPF. Simplesmente insira o nome do seu domínio e clique em "SPF Record Lookup". Se nenhum registro for encontrado, como na captura de tela abaixo, isso é um problema.
Em seguida, verifique os registros DKIM usando o MXToolbox’s DKIM Lookup. Você precisará saber seu seletor DKIM, que varia de acordo com o provedor de e-mail. Seletores comuns incluem "default", "google", "selector1" ou o seletor específico do seu provedor.
Depois disso, verifique sua política DMARC com o MXToolbox’s DMARC Lookup. Um registro DMARC ausente é uma das causas mais comuns de vulnerabilidade à falsificação de e-mail.
Teste a Autenticação de E-mail com uma Mensagem Real
Outra forma de verificar rapidamente o status de autenticação do seu e-mail é enviar um e-mail de teste para o Gmail e verificar os cabeçalhos da mensagem (clique nos três pontos e depois em Mostrar original).
Etapa 3: Configure Registros de Autenticação de E-mail (Nível DNS)
A autenticação de e-mail acontece no nível do DNS, onde você publica registros que informam aos servidores de e-mail receptores como verificar e-mails do seu domínio.
Três protocolos trabalham juntos para evitar spoofing. O SPF autoriza servidores de envio, o DKIM adiciona assinaturas digitais e o DMARC define políticas para lidar com falhas de autenticação. Veja como cada um se encaixa.
| Protocolo | O que faz | O que falha se estiver faltando |
|---|---|---|
| SPF | Lista os servidores permitidos a enviar e-mails do seu domínio | Qualquer servidor pode enviar e-mails alegando ser você |
| DKIM | Adiciona uma assinatura criptográfica para que os destinatários possam verificar se a mensagem não foi alterada | Os destinatários não conseguem confirmar se a mensagem veio do seu servidor ou chegou intacta |
| DMARC | Diz aos servidores receptores o que fazer quando SPF ou DKIM falham e envia relatórios para você | Mensagens falsificadas ainda são entregues, e você não tem visibilidade sobre quem está enviando como você |
Você precisa dos três. O SPF sozinho não impede o spoofing porque não sobrevive ao encaminhamento, e o DKIM sozinho não diz a ninguém o que fazer com as falhas. O DMARC os une.
Configurar Registros SPF
Registros SPF (Sender Policy Framework) especificam quais servidores de e-mail estão autorizados a enviar e-mails em nome do seu domínio. Sem um registro SPF, qualquer servidor pode alegar enviar e-mails do seu domínio.
A maioria dos sites WordPress precisa autorizar várias fontes de envio: seu provedor de hospedagem para e-mails do sistema, seu provedor de SMTP para envio autenticado e, às vezes, serviços de terceiros como plataformas de marketing.
Isso geralmente leva a múltiplos registros SPF, o que quebra a autenticação. A chave é criar um único registro SPF que inclua todos os seus remetentes legítimos.
Você adicionará isso como um registro TXT no DNS do seu domínio, geralmente começando com v=spf1 e terminando com ~all para rejeitar remetentes não autorizados.
Configurar Autenticação DKIM
DKIM (DomainKeys Identified Mail) adiciona uma assinatura criptográfica aos seus e-mails que os servidores receptores podem verificar em relação a uma chave pública armazenada no seu DNS.
Seu provedor de SMTP gerará chaves DKIM para você, mas às vezes o registro DNS resultante é muito longo para uma única entrada TXT.
Quando isso acontece, você precisará dividir o registro DKIM em várias entradas DNS, mantendo a formatação correta que os servidores de e-mail esperam.
O registro DKIM inclui a chave pública do seu provedor e é publicado como um registro TXT em um subdomínio específico, geralmente algo como selector1._domainkey.seudominio.com.
Implementar Política DMARC
DMARC (Domain-based Message Authentication, Reporting, and Conformance) une SPF e DKIM, ao mesmo tempo que informa aos servidores receptores o que fazer quando os e-mails falham na autenticação.
É sua defesa primária contra falsificação de domínio. Um registro DMARC define uma política que pode colocar e-mails suspeitos em quarentena, rejeitá-los completamente ou simplesmente monitorar sem tomar nenhuma ação.
Comece com uma política de monitoramento (p=none) para coletar dados sem afetar a entrega, depois avance gradualmente para p=quarantine e, finalmente, p=reject, à medida que você verifica se os e-mails legítimos passam na autenticação. Eu ficaria em p=none por pelo menos duas semanas antes de apertar, mais tempo se você tiver várias fontes de envio ou realizar campanhas de marketing regulares. Os relatórios agregados do DMARC mostrarão qualquer coisa que você esqueceu de autorizar antes que uma política mais rigorosa comece a bloquear e-mails reais.
Etapa 4: Instale e Configure o WP Mail SMTP
O WP Mail SMTP substitui a função de e-mail padrão não confiável do WordPress pelo envio SMTP autenticado, o que é essencial para evitar a falsificação de e-mail.
Se você tem o WP Mail SMTP Pro, faça login na sua conta e navegue até a guia Downloads para obter o arquivo de plugin mais recente. A versão Pro inclui recursos avançados e registro de e-mail que ajudam a identificar e resolver problemas de entrega.
No seu painel do WordPress, vá para Plugins » Adicionar Novo » Enviar Plugin, envie o arquivo zip e clique em Instalar Agora. Após a instalação, ative o plugin imediatamente.
O Assistente de Configuração aparece automaticamente após a ativação e é essencial para corrigir problemas de falsificação de e-mail. Não pule esta etapa.
Clique em Vamos Começar para iniciar o processo de configuração que eliminará suas vulnerabilidades de falsificação.
Eu geralmente escolho um provedor transacional como SendLayer, SMTP.com ou Brevo para velocidade e confiabilidade, pois eles lidam com filas e limites de taxa melhor do que o webmail básico.
Depois de escolher seu provedor de e-mail, clique no link abaixo para abrir a documentação dele. Temos um guia completo para cada remetente para que você possa conectar facilmente seu site WordPress:
| Remetentes disponíveis em todas as versões | Remetentes no WP Mail SMTP Pro |
|---|---|
| SendLayer | Amazon SES |
| SMTP.com | Microsoft 365 / Outlook.com |
| Brevo | Zoho Mail |
| Google Workspace / Gmail | |
| Mailjet | |
| Mailgun | |
| Postmark | |
| SendGrid | |
| SMTP2GO | |
| SparkPost | |
| Elastic Email | |
| Outro SMTP |
Siga as etapas na tela para conectar sua conta, em seguida, preencha os campos que o remetente solicitar. Dependendo da sua escolha, você colará uma chave de API, fará login com OAuth ou aprovará o envio do seu domínio.
Durante a configuração do WP Mail SMTP, você encontrará a configuração Forçar E-mail de Remetente localizada abaixo do campo de configuração principal E-mail de Remetente.
O WordPress normalmente usa o endereço de e-mail de administrador do seu site para mensagens de saída, mas isso cria problemas de autenticação quando diferentes plugins tentam usar vários endereços de remetente.
Formulários de contato, e-mails de registro de usuário e notificações de e-commerce podem tentar usar diferentes endereços de remetente. Diferentes endereços de remetente quebram a autenticação e acionam sinalizações de falsificação.
A configuração Forçar E-mail de Remetente padroniza todas as mensagens de saída para usar o endereço de domínio autenticado que você define no campo E-mail de Remetente.
Etapa 5: Configuração BIMI (Avançado)
BIMI (Brand Indicators for Message Identification) é um protocolo avançado anti-falsificação que exibe o logotipo da sua marca diretamente nos clientes de e-mail dos destinatários quando suas mensagens passam nas verificações de autenticação.
Essa verificação visual adiciona uma confirmação rápida sobre a autenticação que você já configurou. Os destinatários veem seu logotipo ao lado de mensagens legítimas, o que torna as mensagens falsificadas sem ele mais obviamente falsas.
Para obter instruções detalhadas de implementação, requisitos de logotipo, formatação de registros DNS e configuração de certificado de marca verificada, consulte nosso guia completo sobre o que é BIMI e como implementá-lo.
Etapa 6: Teste sua configuração de e-mail
Depois que tudo estiver configurado, use o recurso de teste integrado do WP Mail SMTP para avaliar a entregabilidade do seu e-mail. Vá para Ferramentas e clique na guia Teste de E-mail para começar.
Nesta tela, personalize o endereço do destinatário para seu e-mail de teste e clique em Enviar E-mail.
Se tudo estiver configurado corretamente, você verá uma mensagem verde.
Se o WP Mail SMTP detectar algum problema, ele exibirá um aviso.
Abaixo do aviso, você verá algumas informações sobre as etapas que precisa seguir para melhorá-lo.
O guia comum de solução de problemas do WP Mail SMTP cobre soluções para problemas típicos de configuração.
Continue monitorando após o lançamento
Passar em um único teste significa que seus registros são válidos hoje. Isso não diz o que acontecerá na próxima semana, quando um novo plugin começar a enviar e-mails, ou quando uma plataforma de marketing que você esqueceu for sinalizada por falta de DKIM. Duas ferramentas gratuitas valem a pena verificar semanalmente durante o primeiro mês após a configuração.
Relatórios agregados DMARC chegam como arquivos XML no endereço que você colocar na tag rua= do seu registro DMARC. Eles listam todos os IPs que enviaram e-mails alegando ser do seu domínio nas últimas 24 horas, com resultados de aprovação ou falha de SPF e DKIM para cada um. O XML bruto é difícil de ler, mas analisadores gratuitos como o DMARC Digests da Postmark ou as ferramentas da dmarcian transformam os relatórios em algo legível. Se você vir e-mails autenticados vindos de um IP que não reconhece, esse é um serviço esquecido que você precisa autorizar ou alguém falsificando ativamente seu domínio.
Google Postmaster Tools mostra o que o Gmail pensa do seu domínio de envio — taxa de spam, reputação do IP, taxas de aprovação de autenticação e o novo painel de Status de Conformidade que sinaliza falhas nos requisitos do remetente em massa. Nosso guia sobre como configurar o Google Postmaster Tools detalha a verificação do seu domínio e a leitura dos relatórios.
Perguntas frequentes sobre como corrigir a falsificação de e-mail do WordPress
Corrigir a falsificação de e-mail do WordPress é um tópico popular de interesse entre nossos leitores. Aqui estão as respostas para algumas perguntas comuns sobre isso:
O que é falsificação de e-mail no WordPress?
A falsificação de e-mail no WordPress ocorre quando e-mails parecem vir do seu domínio, mas não possuem autenticação adequada, causando falhas na entrega e riscos de segurança.
Isso acontece porque o WordPress usa a função de e-mail básica do PHP por padrão, que envia mensagens sem os protocolos de autenticação SPF, DKIM ou DMARC que comprovam a legitimidade do e-mail.
Como saber se meus e-mails do WordPress estão sendo falsificados?
Verifique estes sinais:
- envios de formulário de contato não chegam aos destinatários
- e-mails chegam consistentemente às pastas de spam
- você recebe mensagens de devolução sobre falhas de autenticação
- provedores de e-mail mostram avisos de "remetente não verificado"
- seu domínio aparece em relatórios de phishing que você não enviou.
Teste enviando um e-mail para o Gmail e verificando em Mostrar original os resultados PASS/FAIL de SPF, DKIM e DMARC.
Como saber se alguém está falsificando meu domínio?
O sinal mais claro são mensagens de devolução ou respostas de fora do escritório para e-mails que você nunca enviou. Relatos de clientes sobre mensagens suspeitas "de você" são outro sinal de alerta. A resposta definitiva vem dos relatórios agregados do DMARC, que listam todos os IPs que enviam e-mails sob seu domínio. Se você vir e-mails autenticados de IPs que não reconhece, seu domínio está sendo falsificado. Mova sua política DMARC para p=reject assim que confirmar que todos os seus remetentes legítimos estão passando na autenticação.
Qual a diferença entre e-mail hackeado e e-mail falsificado?
Uma conta de e-mail hackeada significa que um invasor realmente obteve acesso à sua caixa de correio, geralmente por meio de uma senha roubada. Você verá mensagens desconhecidas em sua pasta de Enviados e alertas de login de locais onde você nunca esteve. A falsificação não requer nenhum acesso. O invasor falsifica o endereço do remetente em uma mensagem que envia de seu próprio servidor, portanto, sua conta nunca é tocada. Mensagens falsificadas nunca aparecem em sua pasta de Enviados. Registros de autenticação (SPF, DKIM, DMARC) evitam a falsificação. Senhas fortes e autenticação de dois fatores evitam o hacking de contas.
Como corrigir problemas de falsificação de e-mail no WordPress?
Instale o plugin WP Mail SMTP, configure-o com um provedor SMTP profissional como SendLayer, configure os registros SPF, DKIM e DMARC em seu DNS, ative a configuração "Forçar E-mail de Remetente" para usar o endereço do seu domínio autenticado e teste a autenticação de e-mail usando o recurso de teste do WP Mail SMTP.
Quanto tempo leva para corrigir a falsificação de e-mail no WordPress?
O lado do plugin leva cerca de 30 minutos. Instalar o WP Mail SMTP, conectar seu provedor de e-mail e ativar o "Forçar E-mail de Remetente" geralmente é feito em meia hora, incluindo o envio de teste. O lado do DNS é mais lento. Os registros SPF e DKIM geralmente se propagam em algumas horas, mas podem levar até 48. A aplicação do DMARC é um processo mais longo: comece com p=none e revise os relatórios por pelo menos duas semanas antes de passar para p=quarantine, depois mais duas semanas antes de p=reject. O caminho completo, de uma configuração quebrada à aplicação total do DMARC, geralmente leva de quatro a seis semanas.
O SPF sozinho pode impedir a falsificação de e-mail?
Não. SPF apenas informa aos servidores de recebimento quais IPs têm permissão para enviar e-mails do seu domínio. Ele não sobrevive ao encaminhamento (se alguém encaminhar sua mensagem, o novo servidor de envio falhará no SPF) e não diz aos destinatários o que fazer quando uma verificação falha. Você precisa do DKIM para assinar criptograficamente as mensagens e do DMARC para definir a política em caso de falhas. Os três trabalhando juntos é o que realmente impede a falsificação.
Os formulários de contato do WordPress podem causar falsificação de e-mail?
Sim, os formulários de contato comumente causam falsificação quando usam o endereço de e-mail do visitante como remetente From, fazendo parecer que o visitante enviou o e-mail diretamente em vez de seu site encaminhar a mensagem dele.
Corrija isso usando o WP Mail SMTP com Forçar E-mail de Origem ativado e definindo os e-mails dos visitantes no campo Responder para em vez disso.
Quais provedores de SMTP evitam a falsificação de e-mail do WordPress?
Provedores de SMTP profissionais como SendGrid, Mailgun, Amazon SES, Postmark e SMTP.com evitam a falsificação, fornecendo autenticação adequada, assinatura DKIM e infraestrutura de entrega.
Evite usar provedores básicos de webmail, como contas pessoais do Gmail, pois eles não possuem os recursos de autenticação necessários para o envio do WordPress.
A hospedagem compartilhada pode causar problemas de falsificação de e-mail do WordPress?
Sim, a hospedagem compartilhada frequentemente causa falsificação porque vários sites compartilham o mesmo endereço IP de servidor, dificultando a autenticação SPF, e a maioria dos hosts compartilhados não configura DKIM nem fornece autenticação de e-mail adequada.
Corrija isso usando o WP Mail SMTP com um provedor de serviços de e-mail dedicado em vez de depender dos servidores de e-mail do seu provedor de hospedagem.
Em seguida, Saiba como Corrigir Atrasos de E-mail no WordPress
Seus e-mails do WordPress estão chegando com 20 minutos de atraso? Ou pior, chegando horas depois que alguém enviou um formulário ou concluiu o checkout? Confira este guia para saber o que realmente está causando os atrasos em seu site e como corrigi-los para que seus e-mails sejam enviados instantaneamente.
Corrija seus e-mails do WordPress agora
Pronto para corrigir seus e-mails? Comece hoje mesmo com o melhor plugin SMTP para WordPress. Se você não tem tempo para corrigir seus e-mails, pode obter assistência completa de Configuração White Glove como uma compra adicional, e há uma garantia de devolução do dinheiro em 14 dias para todos os planos pagos.
Se este artigo ajudou você, por favor, siga-nos no Facebook e Twitter para mais dicas e tutoriais do WordPress.
