Autenticação de e-mail por SPF e DKIM

Aprile 13, 2021
|In para a web, Segurança e Privacidade, Destaque
|By Andreas ArnoMichael Voigt

Autenticação de e-mail por SPF e DKIM

Aqui vamos nós outra vez! Acrônimos de novo, coisas para saber de novo, informações nerds de novo! Bem, não, eles são um assunto sério e a entrega correta de seus e-mails depende dessas siglas. Sabemos por experiência própria que essas siglas podem soar estranhas, assustadoras e podem parecer totalmente desinteressantes. Ou talvez eles soem familiares para você, mas você nunca se importou o suficiente para verificar o que eles realmente são. Vamos tentar fazer alguns clareza para não-técnicos.

De qualquer forma, é hora de aprender um pouco sobre o que são SPF e DKIM e como configurá-los nos registros DNS do seu servidor de correio se você quiser ter um melhor controle sobre a entrega de seus e-mails. Farei o possível para explicá-lo em palavras simples, que serão compreendidas não apenas pelos programadores.

O que é SPF? Como funciona o FPS?

Simplificando, o Sender Policy Framework (SPF) é um mecanismo de segurança criado para impedir que criminosos enviem e-mails em seu nome. O mecanismo envolve comunicação entre servidores DNS… e é aqui que tudo começa a parecer assustador! Mas não entre em pânico. Vou tentar mantê-lo o mais simples possível.

Digamos que você enviou um e-mail para Bob. Mas como o servidor DNS de Bob sabe que o e-mail foi realmente enviado por você? O problema é que ele realmente não sabe. A menos que você tenha SPF configurado em seu servidor DNS. Bem, teríamos que explicar o que é um servidor DNS, mas vamos pular, senão você me manda para o inferno!

O SPF define quais endereços IP podem ser usados ​​para enviar e-mail do seu domínio. Então vamos imaginar duas "conversas" possíveis entre os servidores. Para facilitar, vamos supor que seu nome seja Paul.

Cenário 1 – Você não definiu o SPF.

Servidor do Mike: Ei, Servidor do Bob. Tenho uma nova mensagem de Mike.
Bob's Server: Oi, Mike's Server. Qual é o seu FPS?
Servidor do Mike: Sim, sobre o SPF... quem se importa, realmente. Eu não tenho um. Confie em mim, é do Mike.
Servidor do Bob: Se você não tem SPF, não posso ter certeza de que foi o Mike que o enviou. Dê-me os IPs permitidos de Mike para que eu possa compará-los com os seus.
Servidor de Mike: não tenho a lista de permissões de IP de Mike.
Servidor de Bob: Então não quero sua mensagem. Entrega negada. Desculpe amigo…

Cenário 2 – Você definiu o SPF.

Servidor do Mike: Ei, Servidor do Bob. Tenho uma nova mensagem de Mike.
Bob's Server: Oi, Mike's Server. Qual é o seu FPS?
Servidor do Mike: Aqui está o meu SPF. Há toda uma lista de IPs que o próprio Mike declarou como aqueles que podem ser usados ​​em seu nome.
Servidor do Bob: Ok, deixe-me ver… E a mensagem que você tem para mim é enviada do IP 64.233.160.19. Ok, está na lista. Tudo parece bem. Dê-me a mensagem, vou mostrá-la a Bob. Obrigado!

Peço desculpas a todos os leitores do sistema por essa simplificação excessiva. Sei que você está tremendo, mas, por favor, perdoe-me e lembre-se de que invejamos seu conhecimento técnico, mas tenho que falar para um público não técnico e tenho que simplificar.

De qualquer forma, a moral desses dois curtos diálogos é: defina seu SPF. Caso contrário, você pode parecer um menino mau e nem todos os seus e-mails serão entregues.

Quais aplicativos você deve incluir no seu SPF?

A ideia geral é garantir que todos os aplicativos que enviam e-mail em seu nome (e que usam o SMTP deles, não o seu) sejam incluídos no SPF. Por exemplo, se estiver usando o Google Apps para enviar e-mails de seu domínio, você deve colocar o Google em seu SPF. Aqui estão as instruções do Google sobre como fazer isso.

Mas é importante ter certeza de que o Google não é o único aplicativo que tem permissões em seu SPF. Por exemplo, se estivermos usando o HelpScout para gerenciar nossos e-mails de suporte e o MailChimp para enviar nossos boletins informativos, incluímos ambos em nosso SPF.

Devo incluir também o Woodpecker no meu FPS?

Não. Como eu disse, você deve se lembrar de colocar aplicativos que enviam e-mail em seu nome, mas usam seu próprio SMTP, em seu registro SPF. O Woodpecker usa seu próprio SMTP para enviar seus e-mails, portanto, é mais um cliente de e-mail online do que um aplicativo de e-mail em massa.

Dito isso, a capacidade de entrega dos e-mails enviados pelo Woodpecker depende da reputação do seu domínio. Definir SPF e DKIM ajudará você a proteger a boa reputação do seu domínio e, portanto, melhorar a capacidade de entrega de seus e-mails.

Como definir o registro SPF no seu servidor passo a passo?

O primeiro passo é verificar qual é o seu registro SPF atual. Você pode fazer isso usando ferramentas como:

Quando você digita seu domínio (por exemplo, eu digitaria woodpecker.co), as ferramentas executarão alguns testes e mostrarão seu SPF atual ou uma notificação de que ainda não foi definido.

Quais são os próximos passos?

Dependendo do host do seu domínio, as etapas serão diferentes. Basicamente, é uma questão de colar uma linha de texto devidamente estruturada no lugar certo do console. Por exemplo, se você estiver usando o Google Apps para enviar todos os e-mails de seu domínio, a linha deve ter esta aparência:

“v=spf1 inclui:_spf.google.com ~all”

A parte “v=spf1” do registro é chamada de versão, e as que vêm depois são chamadas de mecanismos.

Agora vamos ver o que exatamente cada parte significa.

  • v = spf1 este elemento identifica o registro como um SPF
  • inclui:_spf.google.com este mecanismo inclui servidores de correio que são servidores autorizados
  • ~v=spf1 esse elemento indica que, se um e-mail for recebido de um servidor não autorizado (não listado no mecanismo "incluir:"), ele será marcado como uma falha temporária, o que significa que pode passar, mas pode ser sinalizado como spam ou suspeito.

Mas se você estiver usando mais aplicativos do que isso (por exemplo, algo para enviar sua newsletter, algo para enviar suas mensagens de suporte, etc.), a linha será um pouco mais longa, porque você precisará incluir todos os outros aplicativos em isto. Ou se você não usa o Google Apps, mas um servidor de outro host, por exemplo GoDaddy, a linha será diferente.

Veja como definir o SPF para os hosts de domínio mais comuns:

O que é DKIM?

O padrão DomainKeys Identified Mail (DKIM) foi criado pelo mesmo motivo do SPF: para impedir que criminosos se passem por você como remetente de e-mail. É uma maneira de assinar ainda mais seus e-mails de forma a permitir que o servidor do destinatário verifique se o remetente é você ou não.

Ao configurar o DKIM no seu servidor DNS, você está adicionando outro método para dizer aos seus destinatários “sim, sou eu mesmo enviando esta mensagem”.

Como definir dkim e spf

A ideia toda é baseada na criptografia e descriptografia da assinatura adicional colocada no cabeçalho da sua mensagem. Para tornar isso possível, você precisa ter duas chaves:

  • a chave privada (que é exclusiva do seu domínio e disponível apenas para você. Ela permite que você criptografe sua assinatura no cabeçalho de suas mensagens).
  • a chave pública (que você adiciona aos seus registros DNS usando o padrão DKIM, para permitir que o servidor do destinatário a recupere e descriptografe sua assinatura oculta no cabeçalho da mensagem).

Pegue Game of Thrones para a grande figura do DKIM. Ned Stark está enviando um corvo com uma mensagem ao Rei Robert. Todos poderiam pegar um pedaço de papel, escrever uma mensagem e assinar Ned Stark. Mas existe uma forma de autenticar a mensagem – o selo. Agora, todo mundo sabe que o sigilo de Ned é um lobo gigante (esta é a chave pública). Mas apenas Ned tem o selo original e pode colocá-lo em suas mensagens (esta é a chave privada) Configurar o DKIM é apenas colocar as informações da chave pública nos registros do servidor. É simplesmente um registro txt que precisa ser colocado no lugar certo.

Depois de configurar isso, toda vez que alguém receber um e-mail seu, o servidor do destinatário tentará descriptografar sua assinatura oculta usando a chave pública. Se for bem-sucedido, isso autenticará ainda mais sua mensagem e, consequentemente, aumentará a autoridade de todos os seus e-mails.

Como configurar o registro DKIM no seu servidor passo a passo?

Primeiro, você precisa gerar a chave pública. Para fazer isso, você precisa fazer login no console de administração do seu provedor de e-mail. As próximas etapas podem ser diferentes dependendo do seu provedor de e-mail.

Se você estiver usando o Google Apps para enviar seus e-mails, aqui estão os instruções passo a passo. Para usuários do Google Apps, você deve saber que as assinaturas DKIM estão desativadas por padrão, portanto, você deve ativá-las manualmente no console de administração do Google.

Quando você tiver a chave pública, pegue o registro txt gerado e cole-o no lugar certo em seus registros DNS.

Por fim, você precisa habilitar a assinatura de e-mail para começar a enviar e-mails com sua assinatura criptografada com sua chave privada. Veja como fazer, se você estiver usando o Google Apps para enviar seus e-mails.

Defina SPF e DKIM e melhore sua capacidade de entrega

Se você está enviando muitos e-mails, seja para marketing ou para vendas recebidas ou enviadas, a reputação do seu domínio é crucial e você deve cuidar disso. Você não quer que seu domínio seja colocado na lista negra e seus e-mails vão para o spam. Definir corretamente os registros SPF e DKIM em seu servidor DNS é uma etapa necessária para a segurança de seu domínio e a alta capacidade de entrega de suas mensagens.

Configurá-los pode parecer complicado, mas sem dúvida vale a pena. Se eu fosse você, acessaria minha conta e verificaria se meu SPF e DKIM estão configurados corretamente agora ou pediria ao meu pessoal de TI para fazer isso. E se a resposta for "não", peço que me ajudem.