Resumo de IA
A falsificação de e-mail no WordPress ocorre quando os e-mails parecem vir do seu domínio, mas carecem de autenticação adequada, causando falhas na entrega e riscos de segurança.
Os seus formulários de contacto podem estar a definir os endereços de e-mail dos visitantes como remetente, o seu servidor pode estar a enviar correio não autenticado, ou o seu domínio simplesmente carece dos registos DNS que comprovam a propriedade legítima.
A falsificação de e-mail (spoofing) manifesta-se no WordPress de duas formas relacionadas. Ou os seus próprios e-mails falham na autenticação e são bloqueados ou classificados como spam, ou os atacantes exploram o seu domínio desprotegido para enviar mensagens de phishing que parecem vir de si. Ambos os problemas são resolvidos pela mesma configuração de autenticação, mas saber com qual deles está a lidar ajuda-o a priorizar a correção.
Neste guia, irá configurar o WP Mail SMTP com autenticação adequada, configurar os seus registos DNS com SPF, DKIM e DMARC, e corrigir a forma como os seus formulários de contacto lidam com os endereços do remetente, para que os seus e-mails cheguem efetivamente e seja mais difícil personificar o seu domínio.
Como Corrigir Problemas de Falsificação de E-mail no WordPress
Começaremos por compreender como se manifesta a falsificação de e-mail no WordPress e por que razão acontece. Depois, irá configurar o WP Mail SMTP com autenticação adequada, que é o método mais fiável para eliminar problemas de falsificação e garantir a entrega dos seus e-mails.
Se não tem a certeza onde se encaixa o seu problema, a tabela abaixo associa o sintoma ao passo que o corrige.
| Sintoma que está a ver | Causa mais provável | Onde começar |
|---|---|---|
| E-mails a aterrar em pastas de spam | Sem autenticação no correio de saída | Passo 3 + Passo 4 |
| Submissões de formulários de contacto não a chegar | Endereço de e-mail do visitante usado como endereço De | Passo 4 (Forçar E-mail De) |
| Devoluções de e-mails que não enviou | Domínio a ser ativamente falsificado | Passo 3 (DMARC com p=reject) |
| Relatórios de phishing mencionando o seu domínio | Sem aplicação de DMARC | Passo 3 (Política DMARC) |
| Avisos de "Remetente não verificado" no Gmail | SPF ou DKIM em falta | Passo 2 + Passo 3 |
| Teste do WP Mail SMTP mostra aviso de entrega | Um ou mais registos mal configurados | Passo 2 + Passo 6 |
- Passo 1: Compreender a Falsificação de E-mail no WordPress
- Passo 2: Diagnosticar o seu Estado Atual de Autenticação de E-mail
- Passo 3: Configurar Registos de Autenticação de E-mail (Nível DNS)
- Passo 4: Instalar e Configurar o WP Mail SMTP
- Passo 5: Configuração BIMI (Avançado)
- Passo 6: Testar a sua configuração de e-mail
Passo 1: Compreender a Falsificação de E-mail no WordPress
A falsificação de e-mail no WordPress ocorre quando o seu site envia e-mails que parecem legítimos, mas não conseguem provar a sua autenticidade aos servidores de e-mail recetores.
Isto acontece porque o WordPress utiliza a função de e-mail básica do PHP por defeito, que envia mensagens sem os devidos protocolos de autenticação.
O cenário de falsificação mais comum envolve formulários de contacto. Quando alguém preenche o seu formulário de contacto, muitos plugins definem automaticamente o endereço de e-mail do remetente como "De".
Outro problema frequente é o WordPress enviar e-mails do sistema (redefinições de palavra-passe, registos de utilizador, confirmações de encomenda) usando o nome do seu domínio, mas sem as assinaturas criptográficas que provam que a mensagem veio realmente do seu servidor.
Provedores de e-mail como o Gmail e o Outlook rejeitam cada vez mais estas mensagens não autenticadas, um problema abordado no nosso guia sobre compreender a entregabilidade de e-mail.
A causa raiz é sempre a mesma: os seus e-mails carecem das assinaturas digitais e dos registos DNS que a segurança moderna de e-mail exige.
A correção tem duas partes. Mova o envio para SMTP autenticado e publique os registos de autenticação de e-mail adequados no seu DNS. Abordaremos ambos nos passos abaixo.
Corrija os Seus Emails do WordPress Agora
Passo 2: Diagnosticar o seu Estado Atual de Autenticação de E-mail
Antes de corrigir os seus problemas de falsificação, precisa de compreender exatamente o que está a falhar na sua configuração de e-mail atual. Comece por verificar se o seu domínio já tem registos de autenticação de e-mail configurados.
Use uma ferramenta de Pesquisa de Registos SPF para ver se tem um registo SPF. Basta introduzir o nome do seu domínio e clicar em "SPF Record Lookup". Se nenhum registo for encontrado, como na captura de ecrã abaixo, isso é um problema.
Em seguida, verifique os registos DKIM usando a Pesquisa DKIM do MXToolbox. Precisará de saber o seu seletor DKIM, que varia consoante o provedor de e-mail. Seletores comuns incluem "default", "google", "selector1", ou o seletor específico do seu provedor.
Depois disso, verifique a sua política DMARC com a Pesquisa DMARC do MXToolbox. Um registo DMARC em falta é uma das causas mais comuns de vulnerabilidade à falsificação de e-mail.
Teste a Autenticação de E-mail com uma Mensagem Real
Outra forma de verificar rapidamente o estado de autenticação do seu email é enviar um email de teste para o Gmail e verificar os cabeçalhos da mensagem (clique nos três pontos e depois em Mostrar original).
Passo 3: Configurar Registos de Autenticação de E-mail (Nível DNS)
A autenticação de email acontece ao nível do DNS, onde publica registos que indicam aos servidores de email recetores como verificar emails do seu domínio.
Três protocolos trabalham em conjunto para prevenir o spoofing. O SPF autoriza os servidores de envio, o DKIM adiciona assinaturas digitais e o DMARC define políticas para lidar com falhas de autenticação. Eis como cada um se encaixa.
| Protocolo | O que faz | O que falha se estiver em falta |
|---|---|---|
| SPF | Lista os servidores autorizados a enviar emails do seu domínio | Qualquer servidor pode enviar emails alegando ser você |
| DKIM | Adiciona uma assinatura criptográfica para que os recetores possam verificar se a mensagem não foi alterada | Os recetores não conseguem confirmar se a mensagem veio do seu servidor ou se chegou intacta |
| DMARC | Indica aos servidores recetores o que fazer quando o SPF ou DKIM falham, e envia-lhe relatórios | Mensagens falsificadas continuam a ser entregues, e não tem visibilidade sobre quem está a enviar como você |
Precisa dos três. O SPF sozinho não impede o spoofing porque não sobrevive ao reencaminhamento, e o DKIM sozinho não diz a ninguém o que fazer com as falhas. O DMARC une-os.
Configurar Registos SPF
Os registos SPF (Sender Policy Framework) especificam quais os servidores de email autorizados a enviar emails em nome do seu domínio. Sem um registo SPF, qualquer servidor pode alegar enviar emails do seu domínio.
A maioria dos sites WordPress precisa de autorizar várias fontes de envio: o seu alojamento web para emails do sistema, o seu fornecedor de SMTP para envio autenticado e, por vezes, serviços de terceiros como plataformas de marketing.
Isto leva frequentemente a múltiplos registos SPF, o que quebra a autenticação. A chave é criar um único registo SPF que inclua todos os seus remetentes legítimos.
Adicionará isto como um registo TXT no DNS do seu domínio, tipicamente começando com v=spf1 e terminando com ~all para rejeitar remetentes não autorizados.
Configurar Autenticação DKIM
O DKIM (DomainKeys Identified Mail) adiciona uma assinatura criptográfica aos seus emails que os servidores recetores podem verificar com uma chave pública armazenada no seu DNS.
O seu fornecedor de SMTP irá gerar chaves DKIM para si, mas por vezes o registo DNS resultante é demasiado longo para uma única entrada TXT.
Quando isto acontece, terá de dividir o registo DKIM por múltiplos registos DNS mantendo a formatação correta que os servidores de email esperam.
O registo DKIM inclui a chave pública do seu fornecedor e é publicado como um registo TXT num subdomínio específico, geralmente algo como selector1._domainkey.seudominio.com.
Implementar Política DMARC
O DMARC (Domain-based Message Authentication, Reporting, and Conformance) une o SPF e o DKIM, ao mesmo tempo que indica aos servidores recetores o que fazer quando os emails falham a autenticação.
É a sua defesa principal contra a falsificação de domínios. Um registo DMARC define uma política que pode colocar emails suspeitos em quarentena, rejeitá-los totalmente ou simplesmente monitorizar sem tomar qualquer ação.
Comece com uma política de monitorização (p=none) para recolher dados sem afetar a entrega, depois avance gradualmente para p=quarantine e, finalmente, para p=reject à medida que verifica que os emails legítimos passam na autenticação. Eu ficaria em p=none durante pelo menos duas semanas antes de apertar, mais tempo se tiver várias fontes de envio ou realizar campanhas de marketing regulares. Os relatórios agregados DMARC mostrar-lhe-ão qualquer coisa que se tenha esquecido de autorizar antes que uma política mais rigorosa comece a bloquear emails reais.
Passo 4: Instalar e Configurar o WP Mail SMTP
O WP Mail SMTP substitui a função de email padrão não fiável do WordPress pelo envio SMTP autenticado, o que é essencial para prevenir a falsificação de emails.
Se tiver o WP Mail SMTP Pro, inicie sessão na sua conta e navegue até ao separador Downloads para obter o ficheiro do plugin mais recente. A versão Pro inclui funcionalidades avançadas e registo de emails que ajudam a identificar e resolver problemas de entrega.
No seu painel WordPress, vá a Plugins » Adicionar Novo » Carregar Plugin, carregue o ficheiro zip e clique em Instalar Agora. Assim que estiver instalado, ative o plugin imediatamente.
O Assistente de Configuração aparece automaticamente após a ativação e é essencial para corrigir problemas de falsificação de emails. Não salte esta etapa.
Clique em Vamos Começar para iniciar o processo de configuração que eliminará as suas vulnerabilidades de falsificação.
Eu costumo escolher um fornecedor transacional como SendLayer, SMTP.com ou Brevo para velocidade e fiabilidade, uma vez que eles gerem filas e limites de taxa melhor do que o webmail básico.
Depois de escolher o seu fornecedor de email, clique na ligação abaixo para abrir a documentação correspondente. Temos um guia completo para cada serviço de email para que possa facilmente ligar o seu site WordPress:
| Mailers disponíveis em todas as versões | Mailers no WP Mail SMTP Pro |
|---|---|
| SendLayer | Amazon SES |
| SMTP.com | Microsoft 365 / Outlook.com |
| Brevo | Zoho Mail |
| Google Workspace / Gmail | |
| Mailjet | |
| Mailgun | |
| Postmark | |
| SendGrid | |
| SMTP2GO | |
| SparkPost | |
| Elastic Email | |
| Outro SMTP |
Siga os passos no ecrã para ligar a sua conta, depois preencha os campos que o remetente solicitar. Dependendo da sua escolha, irá colar uma chave de API, iniciar sessão com OAuth ou aprovar o envio a partir do seu domínio.
Durante a configuração do WP Mail SMTP, encontrará a definição Forçar Email de Remetente localizada abaixo do campo de configuração principal Email de Remetente.
O WordPress utiliza tipicamente o endereço de email de administrador do seu site para mensagens de saída, mas isto cria problemas de autenticação quando diferentes plugins tentam usar vários endereços de remetente.
Formulários de contacto, emails de registo de utilizador e notificações de e-commerce podem tentar usar diferentes endereços de Remetente. Endereços de Remetente diferentes quebram a autenticação e acionam alertas de falsificação.
A definição Forçar Email de Remetente padroniza todas as mensagens de saída para usar o endereço de domínio autenticado que definiu no campo Email de Remetente.
Passo 5: Configuração BIMI (Avançado)
BIMI (Brand Indicators for Message Identification) é um protocolo avançado anti-spoofing que exibe o logótipo da sua marca diretamente nos clientes de e-mail dos destinatários quando as suas mensagens passam nos controlos de autenticação.
Esta verificação visual adiciona uma confirmação rápida por cima da autenticação que já configurou. Os destinatários veem o seu logótipo ao lado de mensagens legítimas, o que torna as mensagens falsificadas sem ele mais obviamente falsas.
Para instruções detalhadas de implementação, requisitos de logótipo, formatação de registos DNS e configuração de Certificado de Marca Verificada, consulte o nosso guia completo sobre o que é BIMI e como implementá-lo.
Passo 6: Testar a sua configuração de e-mail
Depois de tudo estar configurado, utilize a funcionalidade de teste integrada do WP Mail SMTP para avaliar a sua entregabilidade de e-mail. Vá a Ferramentas e clique no separador Teste de E-mail para começar.
Neste ecrã, personalize o endereço do destinatário para o seu e-mail de teste e clique em Enviar E-mail.
Se tudo estiver configurado corretamente, verá uma mensagem verde.
Se o WP Mail SMTP detetar quaisquer problemas, apresentará um aviso.
Por baixo do aviso, verá algumas informações sobre os passos que precisa de dar para o melhorar.
O guia comum de resolução de problemas do WP Mail SMTP cobre soluções para problemas típicos de configuração.
Continue a monitorizar após o lançamento
Passar num único teste significa que os seus registos são válidos hoje. Não lhe diz o que acontecerá na próxima semana, quando um novo plugin começar a enviar e-mails, ou quando uma plataforma de marketing de que se esqueceu for sinalizada por falta de DKIM. Duas ferramentas gratuitas valem a pena verificar semanalmente durante o primeiro mês após a configuração.
Os relatórios agregados DMARC chegam como ficheiros XML para qualquer endereço que coloque na etiqueta rua= do seu registo DMARC. Listam todos os IPs que enviaram e-mails alegando ser o seu domínio nas 24 horas anteriores, com resultados de aprovação ou falha de SPF e DKIM para cada um. O XML bruto é difícil de ler, mas analisadores gratuitos como o DMARC Digests da Postmark ou as ferramentas da dmarcian transformam os relatórios em algo legível. Se vir e-mails autenticados a vir de um IP que não reconhece, é um serviço esquecido que precisa de autorizar, ou alguém a falsificar ativamente o seu domínio.
As Ferramentas do Google Postmaster mostram o que o Gmail pensa do seu domínio de envio — taxa de spam, reputação do IP, taxas de aprovação de autenticação e o novo painel de Estado de Conformidade que sinaliza falhas nos requisitos do remetente em massa. O nosso guia sobre como configurar as Ferramentas do Google Postmaster percorre a verificação do seu domínio e a leitura dos relatórios.
FAQs sobre Como Corrigir o Spoofing de E-mail do WordPress
Corrigir o spoofing de e-mail do WordPress é um tópico de interesse popular entre os nossos leitores. Aqui estão as respostas a algumas perguntas comuns sobre o assunto:
O que é falsificação de e-mail no WordPress?
A falsificação de e-mail no WordPress ocorre quando os e-mails parecem vir do seu domínio, mas carecem de autenticação adequada, causando falhas na entrega e riscos de segurança.
Isto acontece porque o WordPress utiliza a função de e-mail básica do PHP por defeito, que envia mensagens sem os protocolos de autenticação SPF, DKIM ou DMARC que comprovam a legitimidade do e-mail.
Como sei se os meus e-mails do WordPress estão a ser falsificados?
Verifique estes sinais:
- as submissões de formulários de contacto não chegam aos destinatários
- os e-mails aterram consistentemente nas pastas de spam
- recebe mensagens de devolução sobre falhas de autenticação
- os fornecedores de e-mail mostram avisos de "remetente não verificado"
- o seu domínio aparece em relatórios de phishing que não enviou.
Teste enviando um e-mail para o Gmail e verificando em Mostrar original os resultados PASS/FAIL do SPF, DKIM e DMARC.
Como sei se alguém está a falsificar o meu domínio?
O sinal mais claro são as mensagens de devolução ou as respostas de "fora do escritório" para e-mails que nunca enviou. Relatos de clientes sobre mensagens suspeitas "de si" são outro sinal de alerta. A resposta definitiva vem dos relatórios agregados do DMARC, que listam todos os IPs que enviam e-mails sob o seu domínio. Se vir e-mails autenticados de IPs que não reconhece, o seu domínio está a ser falsificado. Mova a sua política DMARC para p=reject assim que confirmar que todos os seus remetentes legítimos estão a passar na autenticação.
Qual é a diferença entre e-mail pirateado e e-mail falsificado?
Uma conta de e-mail pirateada significa que um atacante obteve acesso à sua caixa de correio, geralmente através de uma palavra-passe roubada. Verá mensagens desconhecidas na sua pasta Enviados e alertas de login de locais onde nunca esteve. A falsificação não requer qualquer acesso. O atacante falsifica o endereço De numa mensagem que envia do seu próprio servidor, pelo que a sua conta nunca é tocada. Mensagens falsificadas nunca aparecem na sua pasta Enviados. Registos de autenticação (SPF, DKIM, DMARC) previnem a falsificação. Palavras-passe fortes e autenticação de dois fatores previnem o hacking de contas.
Como resolvo problemas de falsificação de e-mail no WordPress?
Instale o plugin WP Mail SMTP, configure-o com um fornecedor de SMTP profissional como o SendLayer, configure os registos SPF, DKIM e DMARC no seu DNS, ative a definição "Forçar E-mail De" para usar o seu endereço de domínio autenticado e teste a autenticação de e-mail usando a funcionalidade de teste do WP Mail SMTP.
Quanto tempo demora a resolver a falsificação de e-mail no WordPress?
O lado do plugin demora cerca de 30 minutos. Instalar o WP Mail SMTP, conectar o seu remetente e ativar o "Forçar E-mail De" é geralmente feito em menos de meia hora, incluindo o envio de teste. O lado do DNS é mais lento. Os registos SPF e DKIM geralmente propagam-se em poucas horas, mas podem levar até 48. A aplicação do DMARC é um processo mais longo: comece com p=none e reveja os relatórios durante pelo menos duas semanas antes de passar para p=quarantine, depois mais duas semanas antes de p=reject. O caminho completo, desde a configuração incorreta até à aplicação total do DMARC, geralmente leva de quatro a seis semanas.
O SPF sozinho pode impedir a falsificação de e-mail?
N.º O SPF apenas informa aos servidores de receção quais os IPs que têm permissão para enviar e-mails do seu domínio. Não sobrevive ao reencaminhamento (se alguém reencaminhar a sua mensagem, o novo servidor de envio falha o SPF) e não diz aos destinatários o que fazer quando uma verificação falha. Precisa de DKIM para assinar digitalmente as mensagens e DMARC para definir a política em caso de falhas. Os três a trabalhar em conjunto é o que realmente impede a falsificação.
Os formulários de contacto do WordPress podem causar falsificação de e-mail?
Sim, os formulários de contacto causam frequentemente falsificação quando utilizam o endereço de e-mail do visitante como remetente From, fazendo parecer que o visitante enviou o e-mail diretamente em vez de o seu website reencaminhar a mensagem.
Resolva isto utilizando o WP Mail SMTP com Forçar E-mail From ativado e definindo os e-mails dos visitantes no campo Reply-To em vez disso.
Que fornecedores de SMTP impedem a falsificação de e-mail do WordPress?
Fornecedores de SMTP profissionais como SendGrid, Mailgun, Amazon SES, Postmark e SMTP.com impedem a falsificação, fornecendo autenticação adequada, assinatura DKIM e infraestrutura de entrega.
Evite usar fornecedores básicos de webmail, como contas pessoais do Gmail, pois carecem das funcionalidades de autenticação necessárias para o envio do WordPress.
A alojamento partilhado pode causar problemas de falsificação de e-mail do WordPress?
Sim, o alojamento partilhado causa frequentemente falsificação porque múltiplos websites partilham o mesmo endereço IP do servidor, dificultando a autenticação SPF, e a maioria dos alojamentos partilhados não configura DKIM nem fornece autenticação de e-mail adequada.
Resolva isto utilizando o WP Mail SMTP com um fornecedor de serviços de e-mail dedicado em vez de depender dos servidores de e-mail do seu fornecedor de alojamento.
Em seguida, Saiba Como Corrigir Atrasos de E-mail no WordPress
Os seus e-mails do WordPress estão a chegar com 20 minutos de atraso? Ou pior, a chegar horas depois de alguém ter enviado um formulário ou completado o checkout? Consulte este guia para saber o que está realmente a causar os atrasos no seu site e como corrigi-los para que os seus e-mails sejam enviados instantaneamente.
Corrija os Seus Emails do WordPress Agora
Pronto para corrigir os seus emails? Comece hoje mesmo com o melhor plugin SMTP para WordPress. Se não tem tempo para corrigir os seus emails, pode obter assistência completa de Configuração White Glove como compra adicional, e existe uma garantia de reembolso de 14 dias para todos os planos pagos.
Se este artigo o ajudou, por favor siga-nos no Facebook e Twitter para mais dicas e tutoriais do WordPress.
