Saltar a contenido

Autenticação de Email

A autenticação adequada de email é essencial para alta entregabilidade com o FrontEngine. Este guia aborda a configuração de SPF, DKIM e DMARC para seus domínios de envio.

Por Que a Autenticação é Importante

A autenticação de email comprova para os servidores de destino que suas mensagens são legítimas e não foram forjadas. Sem ela:

  • As mensagens podem ir para a pasta de spam
  • Grandes provedores (Gmail, Outlook, Yahoo) podem rejeitar seu email completamente
  • Seu domínio fica vulnerável a ataques de spoofing e phishing

Obrigatório para Envio

O FrontEngine exige verificação de domínio com pelo menos SPF e DKIM antes de permitir o envio de email a partir do seu domínio. DMARC é fortemente recomendado.

Verificação de Domínio

Antes de configurar os registros de autenticação, verifique a propriedade do domínio:

  1. Vá em Serviços > Email Transacional > Domínios de Envio
  2. Clique em Adicionar Domínio e insira seu domínio
  3. Adicione o registro TXT de verificação fornecido ao seu DNS
  4. Clique em Verificar após a propagação do registro

Configuração do SPF

O SPF informa aos servidores de destino que o FrontEngine está autorizado a enviar email em nome do seu domínio.

Adicione ou atualize o registro TXT do seu domínio:

example.com.    3600    IN    TXT    "v=spf1 include:_spf.frontengine.intesys.io ~all"

Se você já possui um registro SPF (ex.: para sua hospedagem de email), combine a instrução include:

; ERRADO: Dois registros SPF separados (apenas um é permitido por domínio)
example.com.    IN    TXT    "v=spf1 include:_spf.intesys.io ~all"
example.com.    IN    TXT    "v=spf1 include:_spf.frontengine.intesys.io ~all"

; CORRETO: Registro SPF único e combinado
example.com.    IN    TXT    "v=spf1 include:_spf.intesys.io include:_spf.frontengine.intesys.io ~all"

Um Registro SPF por Domínio

O DNS permite apenas um registro TXT SPF por domínio. Múltiplos registros SPF causam falhas de autenticação. Sempre combine os includes em um único registro.

Configuração do DKIM

O DKIM adiciona uma assinatura criptográfica a cada mensagem enviada. O FrontEngine gera um par de chaves exclusivo para cada domínio de envio.

Após adicionar seu domínio, o portal fornece um registro CNAME:

fe._domainkey.example.com.    3600    IN    CNAME    fe._domainkey.frontengine.intesys.io.

Essa abordagem permite que a InteSys gerencie a rotação de chaves automaticamente, sem exigir alterações no DNS da sua parte.

Verificando o DKIM

Após adicionar o registro, verifique se ele resolve corretamente:

dig +short fe._domainkey.example.com CNAME
# Esperado: fe._domainkey.frontengine.intesys.io.

dig +short fe._domainkey.frontengine.intesys.io TXT
# Esperado: "v=DKIM1; k=rsa; p=MIGfMA0..."

Configuração do DMARC

O DMARC se baseia no SPF e no DKIM para fornecer aplicação de políticas e relatórios.

Implantação Recomendada

Fase 1 — Monitoramento (semanas 1-2):

_dmarc.example.com.    3600    IN    TXT    "v=DMARC1; p=none; rua=mailto:[email protected]"

Analise os relatórios agregados para confirmar que todas as fontes legítimas de email passam no SPF e DKIM.

Fase 2 — Quarentena (semanas 3-4):

_dmarc.example.com.    3600    IN    TXT    "v=DMARC1; p=quarantine; pct=25; rua=mailto:[email protected]"

Aumente gradualmente o pct de 25 para 100 conforme a confiança aumenta.

Fase 3 — Rejeição (contínuo):

_dmarc.example.com.    3600    IN    TXT    "v=DMARC1; p=reject; rua=mailto:[email protected]"

Análise de Relatórios DMARC

Os relatórios agregados do DMARC são arquivos XML que podem ser difíceis de ler. Use um serviço gratuito como dmarcian, Postmark DMARC ou DMARC Analyzer para analisar e visualizá-los.

Alinhamento DMARC

Para o DMARC passar, o SPF ou o DKIM deve estar alinhado com o domínio do cabeçalho "From":

Verificação Alinhamento Significado
SPF Domínio do Mail-From corresponde ao domínio do cabeçalho From O remetente do envelope corresponde ao remetente visível
DKIM Tag d= na assinatura corresponde ao domínio do cabeçalho From O domínio da assinatura corresponde ao remetente visível

O FrontEngine garante o alinhamento do DKIM assinando com o seu domínio. O alinhamento do SPF requer que o domínio do return-path corresponda ao seu domínio de envio, o que o FrontEngine configura automaticamente.

Ferramentas de Verificação

Use o Validador de Autenticação de Email da InteSys para verificar sua configuração de SPF, DKIM e DMARC. A ferramenta está disponível em intesys.io/tools.

Exemplo Completo de DNS

; SPF (combinado com hospedagem de email)
example.com.                      3600  IN  TXT    "v=spf1 include:_spf.intesys.io include:_spf.frontengine.intesys.io -all"

; DKIM para o FrontEngine
fe._domainkey.example.com.        3600  IN  CNAME  fe._domainkey.frontengine.intesys.io.

; DMARC
_dmarc.example.com.               3600  IN  TXT    "v=DMARC1; p=reject; rua=mailto:[email protected]"