No ano passado, os e-mails falsos custaram às empresas e às pessoas mais de 10 mil milhões de dólares. A cada três segundos, alguém clica num e-mail de phishing. Estes ataques acontecem porque o correio eletrónico tem um grande problema: qualquer pessoa pode fazer-se passar por outra.
Quando se envia uma mensagem de correio eletrónico, não existe uma forma integrada de provar que é realmente enviada por si. Os burlões utilizam esta fraqueza para enviar milhões de mensagens de correio eletrónico falsas todos os dias. Fazem-se passar por bancos, empresas ou mesmo pelo seu chefe.
Sem a proteção correta, os fornecedores de correio eletrónico não conseguem distinguir os emails verdadeiros dos falsos. O SPF, o DKIM e o DMARC resolvem este problema. Pense neles como uma verificação de identificação em três partes para cada correio eletrónico que envia.
Neste artigo, explicarei como o DMARC, o SPF e o DKIM funcionam em conjunto para verificar o seu correio de saída e garantir que as suas mensagens são sempre enviadas.
Preciso mesmo de SPF, DKIM e DMARC para o meu correio eletrónico?
Sim, precisa dos três, e eis porque é que isto já não é opcional.
A partir de fevereiro de 2024, a Google e a Yahoo tornaram estes protocolos obrigatórios para quem envia mais de 5000 mensagens de correio eletrónico por dia. Mas mesmo que envie apenas 10 e-mails por mês, continua a precisar deles. Sem uma autenticação de correio eletrónico adequada, até 76% dos seus e-mails legítimos podem acabar em pastas de spam ou ser completamente rejeitados.
Os números contam uma história assustadora. De acordo com o Relatório de Crimes na Internet de 2024 do FBI, as burlas de Business Email Compromise (BEC) custaram às vítimas 2,9 mil milhões de dólares só no ano passado. Isto apenas nos Estados Unidos. Estes ataques funcionam porque a maioria dos domínios ainda não utiliza uma segurança de correio eletrónico adequada.
Quando não tem o SPF, DKIM e DMARC configurados, os criminosos podem enviar e-mails que parecem exatamente como se tivessem vindo de si. Eis o que cada um deles faz e porque é que não pode ignorar nenhum deles:
- O SPF impede a falsificação de servidores. Cria uma lista de servidores autorizados a enviar correio eletrónico para o seu domínio. Mas o SPF falha quando as mensagens de correio eletrónico são reencaminhadas. Esse é o problema número um.
- O DKIM adiciona uma assinatura. Cada correio eletrónico recebe uma assinatura encriptada única que prova que não foi alterado. Mas o DKIM, por si só, não impede que alguém utilize o seu nome de domínio. Esse é o problema número dois.
- O DMARC liga tudo. Diz aos servidores receptores o que fazer quando o SPF ou o DKIM falham. Sem o DMARC, os outros dois são apenas sugestões que os servidores podem ignorar.
O resultado final? A autenticação de correio eletrónico já não se trata de seguir regras ou evitar pastas de spam. Trata-se de proteger a sua empresa, a sua reputação e todos os que confiam nos seus e-mails.
Corrija seus e-mails do WordPress agora
Onde é que adiciono registos SPF, DKIM e DMARC?
A configuração de SPF, DKIM e DMARC demora cerca de 15 minutos quando se sabe onde procurar. Todos os três são adicionados como registos TXT nas definições de DNS do seu domínio. O mesmo local onde gere os servidores de nomes e outros registos do seu site.
Encontrar os seus registos DNS demora 30 segundos:
- Se comprou o domínio e o alojamento em conjunto: Inicie sessão na sua conta de alojamento (como Bluehost, SiteGround ou HostGator). Procure "DNS Zone Editor" ou "DNS Management" no seu painel de controlo.
- Se os tiver comprado separadamente: Aceda ao seu fornecedor de serviços de registo de domínios (GoDaddy, Namecheap, Google Domains). Localize "Definições de DNS" ou "Gerir DNS" no painel de controlo do seu domínio.
- Se você usa o Cloudflare ou similar: Aceda ao seu painel de controlo do Cloudflare, selecione o seu domínio e, em seguida, clique no separador "DNS" no menu da esquerda. Aqui está um exemplo do Cloudflare:
A ordem de configuração é importante (a maioria das pessoas se engana):
Primeiro, adicionar SPF → Aguardar 1 hora → Adicionar DKIM → Aguardar 1 hora → Adicionar DMARC
Porquê esta ordem?
O DMARC verifica se o SPF e o DKIM funcionam. Se adicionar o DMARC primeiro, este falha imediatamente e pode bloquear os seus e-mails. Muitos fornecedores nem sequer o deixam adicionar DMARC até que o SPF passe na validação.
O que vai realmente acrescentar:
- SPF: Um registo TXT que começa com "v=spf1" (demora 2 minutos)
- DKIM: Um ou dois registos TXT com cadeias de caracteres longas (demora 3 minutos)
- DMARC: Um registo TXT em "_dmarc.yourdomain.com" (demora 2 minutos)
Tempo até funcionarem:
- SPF: Ativo em 5-30 minutos
- DKIM: Ativo em 1-4 horas
- DMARC: Ativo em 1-24 horas (mas precisa que o SPF/DKIM funcione primeiro)
Erros comuns de configuração que quebram tudo:
- Ter dois registos SPF (combiná-los num só)
- Nome do seletor DKIM errado (verifique o formato exato do seu fornecedor de correio eletrónico)
- Iniciar DMARC com p=reject (começar sempre com p=none, depois aumentar)
- Adicionar registos ao subdomínio errado
- Espaços extra ou aspas nos valores de registo
Teste rápido após a configuração:
Envie um e-mail de teste para o Gmail e verifique os cabeçalhos da mensagem (clique nos três pontos e depois em Mostrar original). Procure estas linhas:
- SPF: PASS
- DKIM: PASS
- DMARC: PASS
O que são DMARC, SPF e DKIM?
O que é DMARC?
O DMARC ajuda a evitar a falsificação de domínios e gera relatórios de correio eletrónico se for detectada atividade suspeita. A sigla significa Domain-based Authentication, Reporting, and Conformance, pelo que a pista está, em parte, no nome.
A um nível básico, o seu registo DMARC funciona como a cola entre os seus registos SPF e DKIM. E faz 3 coisas:
- Ele compara o IP de envio com o remetente autorizado para o domínio, observando o SPF e o DKIM. É assim que estes 3 registos trabalham em conjunto para impedir que os e-mails do WordPress sejam enviados para spam.
- Se essa verificação falhar, indica ao servidor de correio eletrónico o que fazer. Por exemplo, o correio eletrónico pode ser rejeitado ou colocado em quarentena.
- O DMARC também pode gerar relatórios de correio eletrónico se detetar correio eletrónico que não esteja devidamente autenticado. No registo DMARC, pode especificar o endereço de correio eletrónico que receberá estes relatórios. Estes serão enviados para si como ficheiros XML.
Se receber relatórios DMARC, não se preocupe. O seu registo DMARC está a fazer o trabalho que é suposto fazer. É importante não ignorar os relatórios, pois podem ser um sinal de que alguém está a abusar do seu domínio para enviar spam. Pode reencaminhar o relatório para o seu fornecedor de serviços de correio eletrónico se precisar de ajuda para compreender o conteúdo.
Como adicionar um registo DMARC
Se o seu fornecedor de correio eletrónico lhe fornecer um registo DMARC específico, deve adicioná-lo ao seu DNS. Se o seu fornecedor não lhe disser o que deve incluir, consulte o nosso artigo sobre o que é um registo DMARC e como criar um. Inclui um registo DMARC genérico que pode copiar e colar e que funcionará em qualquer domínio.
A única vez que não O DMARC é necessário quando está a enviar a partir de um domínio que não controla. Por exemplo, uma conta do Gmail com um domínio @gmail.com não precisa de DMARC, mas uma conta do Google Workspace com um nome de domínio personalizado precisa.
O que é o SPF?
O registo SPF é um registo TXT no seu DNS. O nome significa Sender Policy Framework. O SPF é responsável por verificar se um endereço IP está autorizado a enviar e-mails a partir do domínio de envio. Funciona um pouco como um endereço de retorno numa carta.
Se não tiver um registo SPF, os seus e-mails do WordPress serão provavelmente marcados como spam. Em alguns casos, serão descartados.
Por exemplo, o Gmail bloqueia e-mails sem autenticação SPF. Assim, um registo SPF em falta é uma causa comum para o WordPress não enviar emails.
De facto, o WordPress pode estar a gerar emails e a enviá-los sem qualquer problema. Mas é provável que os emails sejam descartados mais à frente porque não existe um registo SPF para os validar.
Não utilize mais do que 1 registo SPF
A criação de um registo SPF é importante e o seu fornecedor dar-lhe-á instruções sobre o que deve adicionar exatamente ao seu DNS.
Quando o fizer, não se esqueça de que também é importante que tenha apenas um registo SPF no seu domínio, pelo que deve verificar primeiro se existem regras.
Por exemplo, pode já ter criado um registo SPF para o seu fornecedor de marketing por correio eletrónico. Se depois quiser adicionar outro para o seu fornecedor de correio eletrónico transacional, terá de combinar esses registos SPF num só.
Consulte o nosso guia sobre como fundir vários registos SPF para obter a forma mais fácil de o fazer.
O que é o DKIM?
O seu registo DKIM é responsável pela verificação do seu domínio através de uma chave. A sigla significa DomainKeys Identified Mail.
O principal objetivo do DKIM é provar que o conteúdo não foi alterado entre o remetente e o destinatário. Assim, o DKIM é um pouco como colocar a sua própria assinatura em cada correio eletrónico que envia.
No seu DNS, terá uma parte do registo DKIM: a chave pública. E o servidor de correio eletrónico possui a chave privada correspondente. Ao comparar estas duas chaves, os servidores de correio eletrónico podem verificar se a mensagem de correio eletrónico veio realmente de si.
Posteriormente, o registo DMARC verifica esta verificação e decide se o correio eletrónico é legítimo.
Como adicionar um registo DKIM
Para adicionar um registo DKIM ao seu DNS, deverá contactar o seu fornecedor de correio eletrónico para saber o que deve incluir. A maioria dos fornecedores inclui instruções na sua documentação de configuração.
Se estiver a utilizar o WP Mail SMTP, também temos instruções detalhadas para todos os nossos fornecedores de correio eletrónico suportados:
| Mailers disponíveis em todas as versões | Mailers no WP Mail SMTP Pro |
|---|---|
| SendLayer | Amazon SES |
| SMTP.com | Microsoft 365 / Outlook.com |
| Brevo (anteriormente Sendinblue) | Zoho Mail |
| Google Workspace / Gmail | |
| Pistola de correio | |
| Carimbo do correio | |
| SendGrid | |
| SparkPost | |
| Outros SMTP |
Por vezes, pode ser necessário dividir um registo DKIM em duas linhas. Temos um guia sobre como dividir um registo DKIM que explica como fazer isso.
Por fim, vamos dar uma olhadela rápida a uma forma fácil de verificar os seus registos DNS no WordPress.
Como verificar DMARC, SPF, DKIM no WP Mail SMTP
Se estiver a enviar e-mails a partir do WordPress, vai querer certificar-se de que DMARC, SPF e DKIM estão corretamente configurados no seu domínio. O WP Mail SMTP torna isso fácil.
Pode enviar um e-mail de teste a qualquer momento para se certificar de que os seus e-mails do WordPress estão a funcionar, o que também irá verificar estes 3 registos DNS importantes ao mesmo tempo.
Se o plugin detetar que algum dos seus registos DNS está em falta ou avariado, avisa-o imediatamente.
E para total tranquilidade, também verá os alertas do Verificador de domínios no ecrã Saúde do site. E é isso! Agora já sabe como o DMARC, o SPF e o DKIM funcionam em conjunto para melhorar a capacidade de entrega de correio eletrónico.
FAQs sobre registos SPF, DKIM e DMARC
Tem mais perguntas sobre registos DNS e capacidade de entrega de correio eletrónico? Abordá-las-ei a seguir.
Como posso criar um registo DMARC?
Pode copiar e colar um registo DMARC e adicioná-lo à zona DNS do seu domínio. Existe um exemplo de registo DMARC no nosso guia sobre como criar um registo DMARC e adicioná-lo ao seu domínio.
Como é que adiciono registos SPF para o WordPress e o WP Mail SMTP?
Primeiro, encontre as definições de DNS no seu fornecedor de domínios (como GoDaddy ou Namecheap). Adicione um novo registo TXT com o seu nome de domínio como anfitrião. Para o valor, comece com "v=spf1" e inclua o seu servidor de correio eletrónico.
Para o WP Mail SMTP, o registo exato depende do mailer que escolher. Se utilizar o SendLayer, adicione: "v=spf1 includesendlayer.net ~all". Para o Gmail, use: "v=spf1 include:_spf.google.com ~all".
O erro que a maioria das pessoas comete? Adicionar dois registos SPF. Só pode ter um. Se precisar de vários serviços, combine-os da seguinte forma: "v=spf1 includesendlayer.net include:_spf.google.com ~all". Guarde o registo e aguarde cerca de 15 minutos. E pronto.
Porque é que o WP Mail SMTP precisa da configuração DKIM?
O WP Mail SMTP precisa do DKIM porque o WordPress não assina os e-mails por si só. Quando envia um e-mail através do WordPress, este é enviado sem assinatura. Os fornecedores de correio eletrónico, como o Gmail, consideram os e-mails não assinados como suspeitos, mesmo que sejam reais.
O DKIM adiciona uma assinatura especial a cada correio eletrónico que envia. Pense nela como um selo de cera numa carta antiga. Esta assinatura prova duas coisas: que o e-mail veio realmente do seu sítio Web e que ninguém o alterou pelo caminho.
Sem o DKIM, cerca de 30% dos seus e-mails do WordPress podem ir para as pastas de spam. Com ele, a sua taxa de entrega aumenta para mais de 95%. O plugin facilita a configuração do DKIM. Gera as chaves para si e diz-lhe exatamente o que deve adicionar ao seu DNS.
Que registo SPF devo utilizar para o alojamento do WP Engine?
Para o WP Engine, utilize este registo SPF: "v=spf1 include:mail1.wpengine.com ~all"
Mas eis o que apanha as pessoas: se estiver a usar o WP Engine para alojamento, mas a enviar emails através de um serviço diferente, precisa do SPF desse serviço. Muitos utilizadores do WP Engine enviam emails através do SendGrid ou do Mailgun. Nesse caso, usaria os registos SPF deles, não os do WP Engine.
Se precisar de ambos, combine-os: "v=spf1 include:mail1.wpengine.com include:sendgrid.net ~all". Adicione isto como um registo TXT no seu DNS. Não o adicione no painel de controlo do WP Engine - vai para as definições de DNS do seu fornecedor de serviços de registo de domínios.
Posso utilizar o DMARC sem o SPF e o DKIM?
Sim, o DMARC funciona com apenas um deles, mas é arriscado. O DMARC é aprovado quando o SPF ou o DKIM são aprovados e se alinham com o seu domínio. Por isso, tecnicamente, só precisa de um.
Mas eis porque é que isso é uma má ideia: O SPF falha quando as mensagens de correio eletrónico são reencaminhadas. O DKIM pode falhar se o seu serviço de correio eletrónico modificar as mensagens. Quando só tem um e ele falha, o DMARC falha completamente. Os seus e-mails são rejeitados.
Já vi empresas perderem milhares de dólares por confiarem apenas no SPF. Um cliente reencaminhou a sua fatura para a contabilidade, o SPF falhou e a fatura nunca chegou. Comece com o SPF e o DKIM e, em seguida, adicione o DMARC. Demora talvez 20 minutos no total e poupa enormes dores de cabeça mais tarde.
Qual é a diferença entre SPF, DKIM e DMARC?
O SPF é uma lista de servidores autorizados a enviar correio eletrónico para o seu domínio. É como dizer "só estas estações de correio podem enviar o meu correio". O problema? Ele verifica o servidor, não o remetente real.
O DKIM é uma assinatura que prova que uma mensagem de correio eletrónico não foi alterada. Cada correio eletrónico recebe um carimbo encriptado único. Mas o DKIM não impede que alguém utilize o seu nome de domínio num servidor diferente.
O DMARC é o chefe que verifica se o SPF ou o DKIM foram aprovados e, em seguida, diz aos servidores receptores o que fazer com as falhas. Sem o DMARC, os outros dois são apenas sugestões. Os servidores podem ignorá-las.
A verdade é simples: o SPF diz quem pode enviar, o DKIM prova que os e-mails são reais e o DMARC impõe as regras. São necessários os três, porque cada um corrige o que os outros não conseguem.
Como posso testar se o SPF, o DKIM e o DMARC estão a funcionar corretamente?
Envie um e-mail de teste para uma conta do Gmail que controle. Assim que o e-mail chegar, abra-o e clique no menu de três pontos. Selecione "Mostrar original" para ver os detalhes técnicos.
Procurar estas três linhas:
- SPF: PASS (com o seu domínio)
- DKIM: PASS (mostra 'header.d' com o seu domínio)
- DMARC: PASS
Se algum mostrar FALHA, tem um problema. As falhas SPF significam definições de servidor incorrectas. As falhas DKIM significam registos ou chaves DNS incorrectos. As falhas de DMARC ocorrem quando SPF e DKIM não correspondem ao seu domínio "De".
Para um teste rápido, pode utilizar a funcionalidade de teste de correio eletrónico do WP Mail SMTP. Envie um e-mail para qualquer endereço de teste e obtenha resultados instantâneos.
Preciso de me autenticar com SPF e DKIM, ou apenas com um?
Deve configurar ambos, embora tecnicamente um seja suficiente para a autenticação básica. Atualmente, o Google e o Yahoo exigem ambos para quem envia mais de 5.000 mensagens de correio eletrónico por dia. Mas mesmo os pequenos remetentes beneficiam da utilização de ambos.
Eis o que acontece com apenas um: O SPF sozinho falha quando alguém reencaminha o seu correio eletrónico. O DKIM sozinho não prova qual o servidor que enviou o correio eletrónico. Quando se tem ambos, um pode falhar e o correio eletrónico continua a ser enviado.
Exemplo real: Um cliente só tinha SPF. A sua newsletter funcionava bem até os subscritores começarem a reencaminhá-la para amigos. Todos os emails reencaminhados eram devolvidos. A adição do DKIM resolveu o problema imediatamente.
Como é que corrijo as falhas DMARC no WordPress?
As falhas do DMARC no WordPress geralmente acontecem porque o endereço "De" não corresponde ao seu domínio. O WordPress usa como padrão "[email protected]", mas seu site pode enviar de "[email protected]". Isso é uma incompatibilidade.
Corrija-o indo às definições SMTP do WP Mail. Defina o "From Email" para um endereço no seu próprio domínio. Nunca use o Gmail, Yahoo ou outros endereços de e-mail gratuitos como remetente. Em seguida, certifique-se de que o seu registo SPF inclui o seu servidor de correio real. Se utilizar SMTP.com, o seu SPF precisa de "include:smtp.com".
Verifique se o DKIM está ativo e se os registos DNS estão corretos. O seletor (normalmente "default" ou o nome do seu serviço) tem de corresponder exatamente. Mesmo um carácter errado quebra tudo.
Em seguida, verifique o seu registo PTR
Enquanto verifica o seu DNS, é uma boa ideia verificar o seu registo PTR. O registo PTR é um tipo especial de registo que também desempenha um papel na prevenção de spam. Para saber mais, consulte o nosso artigo sobre O que é um registo PTR (e preciso de um?)
Corrija seus e-mails do WordPress agora
Pronto para corrigir os seus e-mails? Comece hoje mesmo com o melhor plugin SMTP para WordPress. Se não tiver tempo para corrigir os seus e-mails, pode obter assistência completa de Configuração de Luva Branca como uma compra extra, e há uma garantia de reembolso de 14 dias para todos os planos pagos.
Se este artigo o ajudou, siga-nos no Facebook e no Twitter para obter mais dicas e tutoriais sobre o WordPress.
