Entendendo a autenticação de e-mail

O senhor aprenderá

Saiba mais sobre os protocolos de autenticação de e-mail que são usados para criar a reputação do remetente, validar se os e-mails são provenientes de um remetente legítimo e proteger contra abuso de e-mail.

Sobre a autenticação de e-mail

A "autenticação de e-mail" refere-se aos padrões técnicos que permitem a verificação da identidade de um remetente de e-mail. Os padrões de autenticação de e-mail mais comumente usados são SPF, DKIM e DMARC. Os servidores de e-mail usam esses protocolos de autenticação para verificar se os e-mails recebidos são de remetentes legítimos, protegendo sua marca e seus clientes contra agentes mal-intencionados. Além de evitar tentativas de phishing e spoofing, a implementação desses protocolos pode ajudar a melhorar a capacidade de entrega, pois os provedores de caixas de correio poderão confirmar a identidade do remetente. 

FPS

O Sender Policy Framework (SPF) é um método de autenticação de e-mail projetado para detectar endereços de remetente falsos durante a entrega do e-mail. O SPF permite que o servidor de e-mail receptor verifique se os e-mails provenientes de um domínio específico foram enviados por meio de um endereço IP autorizado pelos administradores desse domínio.

Quando um e-mail é enviado de um endereço IP que não foi permitido pelo SPF, o servidor de e-mail receptor pode rejeitar o e-mail ou desviá-lo da caixa de entrada principal. Sem os registros SPF, não era possível autenticar IPs usando seu domínio de envio, o que permitia que agentes mal-intencionados se passassem facilmente por sua marca. 

DKIM 

O DKIM (DomainKeys Identified Mail) atua como uma assinatura digital que é adicionada ao cabeçalho de um e-mail para verificar ainda mais a identidade do remetente. Os servidores de e-mail receptores verificarão se a assinatura DKIM corresponde à do domínio de envio associado. Como a assinatura DKIM existe no cabeçalho de um e-mail, ela também permanecerá quando um e-mail for encaminhado, ao contrário da autenticação SPF.

DMARC

DMARC significa autenticação, relatório e conformidade de mensagens baseadas em domínio. É um protocolo que usa SPF e DKIM para determinar a autenticidade de um e-mail, dando aos proprietários de domínios a capacidade de proteger seus domínios contra o uso não autorizado.

O DMARC fornece instruções aos servidores de recebimento sobre como lidar com os e-mails recebidos. Para serem entregues, as mensagens precisam passar pelas verificações de alinhamento DKIM e SPF de acordo com os requisitos definidos pela política DMARC. As mensagens que não passam nas verificações DMARC podem ser permitidas, rejeitadas ou colocadas na pasta de spam.

A implementação de uma política DMARC em seu domínio pode ajudar a protegê-lo contra falsificações, limitando a exposição de sua marca e dos destinatários a mensagens potencialmente fraudulentas e prejudiciais. 

Exemplo de política DMARC 

Veja abaixo um exemplo de como pode ser um registro DMARC simples e como os diferentes registros afetam a entrega de e-mails. 

v=DMARC1; p=none; rua=mailto:dmarc-reports@yourbrand.com

Embora as políticas DMARC possam ter várias tags com diferentes funções, as tags de política p e sp são as mais importantes quando se trata da Klaviyo e de seu e-mail marketing. 

Os valores dessas duas tags informam aos provedores de caixa de entrada como eles devem reagir quando as verificações de alinhamento falham. Quando usada em endereços de e-mail, a tag p se aplica ao domínio raiz (por exemplo, @suamarca.com) enquanto a tag sp se aplica aos subdomínios(e.g.,@shop.yourbrand.com). 

Enquanto isso, a tag rua no exemplo determina a caixa de entrada para a qual os relatórios DMARC serão enviados. Essa tag é recomendada, mas não obrigatória. 

Como as tags p e sp afetam o envio na Klaviyo 

Ao enviar em um domínio de envio compartilhado, os e-mails sempre terão um desalinhamento entre seu endereço de origem (por exemplo, marketing@yourbrand.com) e o domínio de envio real do e-mail (por exemplo, ksdn.klaviyomail.com). O próprio domínio de envio compartilhado da Klaviyo tem uma política DMARC definida como p=none, de modo que seus e-mails podem chegar às caixas de entrada dos clientes apesar do desalinhamento.

Quando o senhor usa um domínio de envio de marca, um domínio de propriedade da sua marca, o domínio de endereço de origem se alinha com o domínio de envio. Como resultado, as verificações DMARC serão aprovadas.

tags rua e relatórios DMARC

A tag rua em um registro DMARC permite que o endereço de e-mail associado receba relatórios DMARC em .xml formato. Esses relatórios são difíceis e tediosos de interpretar, portanto, a Klaviyo recomenda trabalhar com um provedor de serviços DMARC se o senhor planeja usar a tag rua para relatórios DMARC. Esses provedores ajudam a processar o arquivo .xml Relatórios DMARC e apresentá-los para que sua marca possa obter insights com mais facilidade. 

Alguns exemplos de provedores de DMARC recomendados pela Klaviyo são:

• Valimail
• EasyDMARC
• Dmarcian

Configuração da autenticação de e-mail

Ao enviar e-mails com a Klaviyo, não é necessário adicionar seus próprios registros SPF e DKIM. Se o senhor estiver enviando no domínio de envio compartilhado da Klaviyo, os registros necessários já foram configurados para aprovar a autenticação. Com um domínio de envio com marca (também conhecido como domínio de envio dedicado), os registros NS ou CNAME da Klaviyo adicionados durante a configuração ativam automaticamente a autenticação DKIM e SPF.

No entanto, a configuração do DMARC é um processo externo realizado fora da Klaviyo com seu provedor de DNS. A política DMARC que o senhor define determina como lidar com as mensagens que falham na autenticação SPF e DKIM. As políticas DMARC podem colocar em quarentena e-mails não autenticados e enviá-los para a pasta de spam dos Destinatários, permitir que cheguem às caixas de entrada apesar do desalinhamento ou rejeitá-los totalmente e bloquear a entrega aos Destinatários. 

Se a sua marca não tiver uma política DMARC no momento, configurar p=none é uma ótima primeira etapa para atender aos requisitos do Gmail e do Yahoo. No entanto, a Klaviyo recomenda enfaticamente trabalhar com sua equipe de TI ou com um profissional terceirizado se quiser configurar uma política DMARC mais rígida que impeça a falsificação e permita a geração de relatórios sobre falhas de alinhamento.

Configuração do DMARC em seu DNS

A configuração do DMARC é um processo realizado fora da Klaviyo em seu provedor de DNS. Há um grande número de diferentes provedores de DNS, mas as etapas abaixo descrevem como o DMARC é geralmente implementado.

Para configurar o DMARC, o administrador de rede do domínio precisará fazer login nas configurações de DNS do domínio para adicionar um registro DMARC, como o mostrado abaixo. Depois de entrar no provedor de DNS, crie um novo registro com as seguintes informações. 

• Tipo: TXT
• Host: _dmarc
• Valor: v=DMARC1; p=nenhum

Os nomes dos campos, interfaces e processos para criar um novo registro podem variar entre os provedores de DNS. Alguns exemplos de provedores de DNS incluem GoDaddy e Namecheap, mas há muitos outros. 

Para obter mais instruções sobre como configurar o DMARC para o seu domínio, recomendamos os seguintes recursos e serviços, ou entre em contato com o seu provedor de DNS.

• Entenda como o DMARC protege a reputação de seu domínio 
• MXToolBox: Como configurar o DMARC
• DMARCian: Como começar a usar o DMARC
• Valimail 

Tornar seus e-mails do Klaviyo compatíveis com DMARC

Para estar em conformidade com o DMARC, o senhor precisa conectar um domínio de envio de marca à sua conta que corresponda ao domínio raiz do seu endereço de e-mail de origem amigável (ou seja, seu endereço de origem). Por exemplo, se o senhor enviar um e-mail usando sales@yourbrand.com como endereço de origem e yourbrand.com estiver protegido pelo DMARC, sua conta precisará usar um domínio de envio de marca, como send.yourbrand.com, para atender aos requisitos do DMARC.

Destinatários internos

Ao usar um domínio compartilhado para enviar e-mails para destinatários internos, os provedores de caixa de entrada podem exibir uma mensagem de aviso e colocar os e-mails em spam quando o endereço de e-mail do destinatário corresponder ao domínio do endereço de origem.

Por exemplo, no Gmail: 

Embora isso afete apenas os usuários com endereços de e-mail que correspondam ao seu próprio domínio de endereço de origem, é possível configurar um domínio de envio de marca para evitar isso.

Se o senhor estiver vendo esse aviso em uma caixa de entrada pessoal, não corporativa, é provável que o resultado seja uma falha do DMARC. Para estar em conformidade com o DMARC, o senhor precisa conectar um domínio de envio de marca à sua conta que corresponda ao domínio no endereço de e-mail do remetente (ou seja, o seu endereço de origem).

Verificação da configuração da autenticação de e-mail

Para verificar se o registro foi publicado com êxito, o senhor pode inserir seu domínio no verificador DMARC oferecido pelo EasyDMARC. Com essa ferramenta, um status de Aviso ou Válido está em conformidade com os requisitos de remetente do Gmail e do Yahoo.

Como alternativa, o senhor pode verificar se a autenticação do seu e-mail está configurada corretamente usando o cabeçalho de um e-mail enviado pela sua marca.

Um cabeçalho de e-mail contém metadados sobre um e-mail e o caminho de rede que ele percorreu. Isso inclui informações como endereço do remetente, linha de assunto, destinatário e detalhes importantes de autenticação, como se SPF, DKIM e DMARC estão sendo aprovados.

Mudança para uma política DMARC mais segura 

Embora uma política DMARC de p=none seja suficiente para atender aos requisitos iniciais de remetente estabelecidos pelo Gmail e pelo Yahoo, a mudança para uma política mais segura pode proteger melhor sua empresa contra agentes mal-intencionados. 

Benefícios de políticas mais seguras 

A principal vantagem de usar p=quarantine ou p=reject é que eles impedirão que e-mails desalinhados (ou seja, e-mails enviados de um domínio de envio que não corresponde ao domínio raiz da sua marca) cheguem à caixa de entrada principal do destinatário. P=none não afeta o posicionamento na caixa de entrada nos casos em que um e-mail é enviado de um domínio desalinhado, de modo que os destinatários ainda podem receber e-mails de um agente mal-intencionado que tenta se passar por sua marca. Se um usuário acabar visualizando um e-mail falsificado que parece ter sido enviado pela sua marca, isso pode prejudicar a confiança que o cliente tem no e-mail da sua marca. 

Enquanto isso, ao usar uma política de p=quarentena ou p=rejeitar, os e-mails desalinhados serão bloqueados ou enviados para a pasta de spam dos destinatários. Os provedores de caixa de entrada saberão que devem evitar mostrar o e-mail ao destinatário, e os e-mails falsificados não chegarão à caixa de entrada principal. 

Outras considerações 

É importante observar que o DMARC se aplica a qualquer e-mail enviado de sua marca, inclusive aqueles enviados para fora da Klaviyo. Com uma política de p=none, seus envios não serão afetados, pois os e-mails ainda chegarão à caixa de entrada principal. No entanto, as políticas mais rígidas do DMARC podem fazer com que os e-mails não sejam entregues se os domínios não estiverem alinhados em toda a infraestrutura de envio de e-mails e casos de uso da empresa.

Por esse motivo, a Klaviyo recomenda trabalhar com sua equipe de TI ou com um provedor de serviços DMARC para implementar uma política que melhor atenda às necessidades da sua marca. 

Recursos adicionais 

Como configurar um domínio de envio de marca 

Entendendo a capacidade de entrega de e-mail

Compreender os domínios que desempenham um papel na capacidade de entrega de e-mails