Como corrigir problemas de falsificação de e-mails no WordPress (passo a passo)

Publicado: Divulgação aos leitores
LinkedIn
Resumir:ChatGPTPerplexidade

A falsificação de e-mails no WordPress ocorre quando os e-mails parecem ter sido enviados a partir do seu domínio, mas não possuem a autenticação adequada, causando falhas na entrega e riscos de segurança.

Os seus formulários de contacto podem estar a definir os endereços de e-mail dos visitantes como remetentes, o seu servidor pode estar a enviar e-mails não autenticados ou o seu domínio simplesmente não possui os registos DNS que comprovam a propriedade legítima.

Isso cria dois problemas principais: os seus e-mails legítimos são bloqueados ou marcados como spam, e agentes maliciosos podem se passar mais facilmente pelo seu domínio para enviar mensagens fraudulentas.

Neste guia, iremos resolver esses problemas de falsificação configurando o WP Mail SMTP com a autenticação adequada, configurando os seus registos DNS com SPF, DKIM e DMARC e garantindo que os seus formulários de contacto tratam os endereços dos remetentes corretamente.

Como resolver problemas de falsificação de e-mails no WordPress

Vamos começar por compreender como é que o spoofing de e-mail se manifesta no WordPress e por que razão acontece. Em seguida, configuraremos o WP Mail SMTP com a autenticação adequada, que é o método mais fiável para eliminar problemas de spoofing e garantir que os seus e-mails chegam ao destino.

Passo 1: Compreender a falsificação de e-mails no WordPress

A falsificação de e-mails no WordPress ocorre quando o seu site envia e-mails que parecem legítimos, mas não conseguem provar a sua autenticidade aos servidores de e-mail destinatários.

Isso acontece porque o WordPress usa a função básica de e-mail do PHP por padrão, que envia mensagens sem os protocolos de autenticação adequados.

O cenário mais comum de spoofing envolve formulários de contacto. Quando alguém preenche o seu formulário de contacto, muitos plugins definem automaticamente o endereço de e-mail dessa pessoa como o remetente «De».

Outro problema frequente é o WordPress enviar e-mails do sistema (redefinições de senha, registos de utilizadores, confirmações de encomendas) usando o seu nome de domínio, mas sem as assinaturas criptográficas que comprovam que a mensagem realmente veio do seu servidor.

Provedores de e-mail como Gmail e Outlook rejeitam cada vez mais essas mensagens não autenticadas, uma questão explorada mais detalhadamente em nosso guia sobre compreensão da capacidade de entrega de e-mails.

Aqui estão os principais sinais de que o seu site WordPress tem problemas de falsificação:

  • Os envios do formulário de contacto não estão a chegar aos destinatários
  • Os seus e-mails vão sempre para a pasta de spam
  • Recebe mensagens de devolução sobre falhas de autenticação
  • Os provedores de e-mail exibem avisos sobre "remetente não verificado"
  • O seu domínio aparece em relatórios de phishing que não enviou

A causa principal é sempre a mesma: os seus e-mails não possuem as assinaturas digitais e os registos DNS exigidos pela segurança moderna de e-mail.

Para corrigir isso, é necessário mudar para SMTP autenticado e configurar registos de autenticação de e-mail adequados, o que abordaremos nas etapas a seguir.

Ilustração da capacidade de entrega de correio eletrónico SMTP do WP Mail

Corrija seus e-mails do WordPress agora

Passo 2: Diagnostique o seu estado atual de autenticação de e-mail

Antes de corrigir os seus problemas de spoofing, precisa de compreender exatamente o que está a falhar na sua configuração atual de e-mail. Comece por verificar se o seu domínio já tem registos de autenticação de e-mail configurados.

Use uma ferramenta de pesquisa de registos SPF para verificar se tem um registo SPF. Basta introduzir o nome do seu domínio e clicar em «Pesquisa de registos SPF». Se nenhum registo for encontrado, como na captura de ecrã abaixo, isso é um problema.

nenhum registo SPF válido

Em seguida, verifique os registos DKIM usando a pesquisa DKIM do MXToolbox. Precisará de saber o seu seletor DKIM, que varia de acordo com o provedor de e-mail. Seletores comuns incluem «default», «google», «selector1» ou o seletor específico do seu provedor.

Depois disso, verifique a sua política DMARC com a pesquisa DMARC da MXToolbox. Um registo DMARC em falta é uma das causas mais comuns de vulnerabilidade à falsificação de e-mails.

Teste a autenticação de e-mail com uma mensagem real

Outra forma de verificar rapidamente o estado da autenticação do seu e-mail é enviar um e-mail de teste para o Gmail e verificar os cabeçalhos da mensagem (clique nos três pontos e, em seguida, em Mostrar original).

spf dkim dmarc gmail test

Procure estes resultados de autenticação:

  • SPF: APROVADO (bom) vs SPF: REPROVADO (problema)
  • DKIM: PASS (bom) vs DKIM: FAIL (problema)
  • DMARC: PASS (bom) vs DMARC: FAIL (problema)

Etapa 3: Configurar registos de autenticação de e-mail (nível DNS)

A autenticação de e-mail ocorre no nível do DNS, onde você publica registos que informam aos servidores de e-mail receptores como verificar os e-mails do seu domínio.

Esses três protocolos trabalham em conjunto para impedir a falsificação: o SPF autoriza servidores de envio, o DKIM adiciona assinaturas digitais e o DMARC define políticas para lidar com falhas de autenticação.

Configurar registos SPF

Os registos SPF (Sender Policy Framework) especificam quais servidores de e-mail estão autorizados a enviar e-mails em nome do seu domínio. Sem um registo SPF, qualquer servidor pode alegar enviar e-mails a partir do seu domínio.

A maioria dos sites WordPress precisa autorizar várias fontes de envio: o seu alojamento web para e-mails do sistema, o seu fornecedor SMTP para envios autenticados e, por vezes, serviços de terceiros, como plataformas de marketing.

Isso muitas vezes leva a vários registos SPF, o que interrompe a autenticação. O segredo é criar um único registo SPF que inclua todos os seus remetentes legítimos.

Adicione isso como um registo TXT no DNS do seu domínio, normalmente começando comv=spf1 eterminando com~all para rejeitar remetentes não autorizados.

Regra de registo SPF múltiplo no Cloudflare

Configurar autenticação DKIM

O DKIM (DomainKeys Identified Mail) adiciona uma assinatura criptográfica aos seus e-mails que os servidores de receção podem verificar em relação a uma chave pública armazenada no seu DNS.

O seu fornecedor SMTP irá gerar chaves DKIM para si, mas, por vezes, o registo DNS resultante é demasiado longo para uma única entrada TXT.

Quando isso acontecer, será necessário dividir o registo DKIM em várias entradas DNS, mantendo a formatação adequada esperada pelos servidores de e-mail.

O registo DKIM inclui a chave pública do seu fornecedor e é publicado como um registo TXT num subdomínio específico, geralmente algo como selector1._domainkey.yourdomain.com.

SendLayer DKIM

Implementar a política DMARC

O DMARC (Domain-based Message Authentication, Reporting, and Conformance) une o SPF e o DKIM, informando aos servidores receptores o que fazer quando os e-mails falham na autenticação.

É a sua principal defesa contra a falsificação de domínios. Criar um registo DMARC envolve definir uma política que pode colocar e-mails suspeitos em quarentena, rejeitá-los completamente ou simplesmente monitorizá-los sem tomar nenhuma ação.

Comece com uma política de monitorização (p=none) para recolher dados sem afetar a entrega, depois passe gradualmente para p=quarantine e , finalmente, para p=reject, à medida que verifica que os e-mails legítimos passam na autenticação.

Aplicar registo DMARC no Cloudflare

Ordem de implementação do DNS

Configure os seus registos de autenticação nesta sequência:

  • SPF primeiro – Autoriza os seus servidores de envio
  • DKIM segundo – Adiciona assinaturas digitais
  • DMARC last – Define políticas com base nos resultados SPF/DKIM

Esta ordem garante que cada protocolo se baseia no anterior.

O DMARC precisa que tanto o SPF quanto o DKIM estejam configurados para funcionar de forma eficaz, portanto, não pule esta etapa.

Passo 4: Instalar e configurar o WP Mail SMTP

A instalação do WP Mail SMTP substitui a função de e-mail padrão pouco fiável do WordPress por um envio SMTP autenticado, essencial para evitar a falsificação de e-mails.

Se tiver o WP Mail SMTP Pro, inicie sessão na sua conta e aceda ao separador Downloads para obter o ficheiro do plugin mais recente. A versão Pro inclui funcionalidades avançadas e registo de e-mails que ajudam a identificar e resolver problemas de entrega.

descarregar-wp-mail-smtp

No seu painel do WordPress, vá para Plugins » Adicionar novo » Carregar plugin, carregue o ficheiro zip e clique em Instalar agora. Depois de instalado, ative o plugin imediatamente.

Instalar o WP Mail SMTP

O Assistente de configuração aparece automaticamente após a ativação e é essencial para corrigir problemas de falsificação de e-mail. Não pule esta etapa.

Precisa de ajuda?

Você pode adquirir o White Glove Setup para que um especialista instale e configure o WP Mail SMTP para você!

Clique em Vamos começar para iniciar o processo de configuração que eliminará as suas vulnerabilidades de falsificação.

clique no botão Vamos começar

Normalmente, escolho um fornecedor transacional como o SendLayer, SMTP.com ou Brevo pela velocidade e fiabilidade, uma vez que lidam melhor com filas de espera e limites de taxas do que o webmail básico.

Selecione o seu servidor de correio SMTP

Depois de escolher o seu provedor de e-mail, clique no link abaixo para abrir a documentação correspondente. Temos um guia completo para cada provedor de e-mail, para que você possa conectar facilmente o seu site WordPress:

Mailers disponíveis em todas as versõesMailers no WP Mail SMTP Pro
SendLayerAmazon SES
SMTP.comMicrosoft 365 / Outlook.com
BrevoZoho Mail
Google Workspace / Gmail
Jato de correio
Pistola de correio
Carimbo do correio
SendGrid
SMTP2GO
SparkPost
Elastic Email
Outros SMTP

Siga as etapas na tela para conectar sua conta e, em seguida, preencha os campos solicitados pelo remetente. Dependendo da sua escolha, irá colar uma chave de API, iniciar sessão com o OAuth ou aprovar o envio a partir do seu domínio.

Durante a configuração do WP Mail SMTP, encontrará a definição «Force From Email» (Forçar e-mail de origem) localizada abaixo do campo principal de configuração «From Email» (E-mail de origem).

O WordPress normalmente usa o endereço de e-mail do administrador do seu site para mensagens enviadas, mas isso cria problemas de autenticação quando diferentes plugins tentam usar vários endereços de remetente.

Formulários de contacto, e-mails de registo de utilizadores e notificações de comércio eletrónico podem tentar usar endereços de remetente diferentes, levando a uma autenticação inconsistente e a possíveis sinalizações de falsificação.

Ativar a opção Forçar o remetente do e-mail padroniza todas as mensagens enviadas para usar o endereço de domínio autenticado que você definiu no campo Remetente do e-mail.

WP Mail SMTP From Email Settings (Definições de origem do correio eletrónico)

Etapa 5: Configuração do BIMI (Avançado)

O BIMI (Brand Indicators for Message Identification) é um protocolo anti-spoofing avançado que exibe o logótipo da sua marca diretamente nos clientes de e-mail dos destinatários quando as suas mensagens passam pelas verificações de autenticação.

Essa verificação visual torna imediatamente óbvio para os destinatários que os e-mails realmente vêm da sua organização, fornecendo uma camada adicional de proteção contra tentativas de falsificação.

Exemplo de BIMI

Para obter instruções detalhadas de implementação, requisitos de logótipo, formatação de registos DNS e configuração do Certificado de Marca Verificada, consulte o nosso guia completo sobre o que é BIMI e como implementá-lo.

Passo 6: Teste a configuração do seu e-mail

Depois de configurar tudo, use o recurso de teste integrado do WP Mail SMTP para avaliar a capacidade de entrega dos seus e-mails. Vá para Ferramentas e clique na guia Teste de e-mail para começar.

Enviar um e-mail de teste com o WP Mail SMTP

Neste ecrã, personalize o endereço do destinatário para o seu e-mail de teste e prima Enviar e-mail.

Enviar e-mail de teste a partir do WP Mail SMTP

Se tudo estiver corretamente configurado, verá uma mensagem verde.

Testar o e-mail do Cloudflare no WordPress - mensagem de sucesso

Se o WP Mail SMTP detetar algum problema, mostrará um aviso.

A capacidade de entrega deve ser melhorada mensagem de aviso

Por baixo do aviso, verá algumas informações sobre os passos a dar para o melhorar.

O guia comum de resolução de problemas do WP Mail SMTP abrange soluções para problemas típicos de configuração.

Perguntas frequentes sobre como corrigir a falsificação de e-mails no WordPress

Corrigir a falsificação de e-mails do WordPress é um tema muito popular entre os nossos leitores. Aqui estão as respostas para algumas perguntas frequentes sobre o assunto:

O que é falsificação de e-mail no WordPress?

A falsificação de e-mails no WordPress ocorre quando os e-mails parecem vir do seu domínio, mas não possuem a autenticação adequada, causando falhas na entrega e riscos de segurança.

Isso acontece porque o WordPress usa a função básica de e-mail do PHP por padrão, que envia mensagens sem os protocolos de autenticação SPF, DKIM ou DMARC que comprovam a legitimidade do e-mail.

Como posso saber se os meus e-mails do WordPress estão a ser falsificados?

Verifique se há estes sinais:

  • os envios do formulário de contacto não estão a chegar aos destinatários
  • os e-mails vão sempre para a pasta de spam
  • recebe mensagens de devolução sobre falhas de autenticação
  • Os provedores de e-mail exibem avisos de «remetente não verificado»
  • o seu domínio aparece em relatórios de phishing que não enviou.

Teste enviando um e-mail para o Gmail e verificando Mostrar original para os resultados SPF, DKIM e DMARC PASS/FAIL.

Como posso resolver problemas de falsificação de e-mails no WordPress?

Instale o plugin WP Mail SMTP, configure-o com um provedor SMTP profissional como SendLayer, configure os registos SPF, DKIM e DMARC no seu DNS, ative a configuração «Force From Email» para usar o endereço do seu domínio autenticado e teste a autenticação de e-mail usando o recurso de teste do WP Mail SMTP.

Os formulários de contacto do WordPress podem causar falsificação de e-mails?

Sim, os formulários de contacto geralmente causam falsificação quando utilizam o endereço de e-mail do visitante como remetente, fazendo parecer que o visitante enviou o e-mail diretamente, em vez de o seu site ter reencaminhado a mensagem.

Corrija isso usando o WP Mail SMTP com a opção Force From Email ativada e definindo os e-mails dos visitantes no campo Reply-To .

Quais provedores SMTP impedem a falsificação de e-mails do WordPress?

Provedores SMTP profissionais como SendGrid, Mailgun, Amazon SES, Postmark e SMTP.com impedem a falsificação, fornecendo autenticação adequada, assinatura DKIM e infraestrutura de entrega.

Evite utilizar fornecedores de webmail básicos, como contas pessoais do Gmail, pois não possuem os recursos de autenticação necessários para o envio pelo WordPress.

A hospedagem partilhada pode causar problemas de falsificação de e-mails no WordPress?

Sim, a hospedagem partilhada frequentemente causa spoofing porque vários sites partilham o mesmo endereço IP do servidor, dificultando a autenticação SPF, e a maioria dos hosts partilhados não configura DKIM nem fornece autenticação de e-mail adequada.

Corrija isso usando o WP Mail SMTP com um provedor de serviços de e-mail dedicado, em vez de depender dos servidores de e-mail do seu provedor de hospedagem.

A seguir, aprenda a corrigir atrasos no envio de e-mails no WordPress.

Os seus e-mails do WordPress estão a chegar com 20 minutos de atraso? Ou pior, chegam horas depois de alguém enviar um formulário ou concluir o checkout? Consulte este guia para saber o que realmente está a causar os atrasos no seu site e como corrigi-los para que os seus e-mails sejam enviados instantaneamente.

Corrija seus e-mails do WordPress agora

Pronto para corrigir os seus e-mails? Comece hoje mesmo com o melhor plugin SMTP para WordPress. Se não tiver tempo para corrigir os seus e-mails, pode obter assistência completa de Configuração de Luva Branca como uma compra extra, e há uma garantia de reembolso de 14 dias para todos os planos pagos.

Se este artigo o ajudou, siga-nos no Facebook e no Twitter para obter mais dicas e tutoriais sobre o WordPress.

Divulgação: O nosso conteúdo é apoiado pelos leitores. Isso significa que se você clicar em alguns de nossos links, podemos ganhar uma comissão. Veja como o WPForms é financiado, por que isso é importante e como você pode nos apoiar.

Hamza Shahid

Hamza é um escritor do WP Mail SMTP, que também é especializado em tópicos relacionados com marketing digital, cibersegurança, plugins WordPress e sistemas ERP.Saiba mais

Experimente o nosso plugin gratuito WP Mail SMTP

Use seu provedor SMTP favorito para enviar seus e-mails do WordPress de forma confiável.