Pular para o conteúdo principal
PT Deutsch English Español Français Italiano

Diretrizes para remetentes de e-mail do Google

A partir de 1º de fevereiro de 2024, o Google exige padrões específicos de autenticação de e-mail para enviar mensagens para contas pessoais do Gmail. Esses padrões são essenciais para evitar que e-mails sejam marcados como spam ou bloqueados.

  • Todos os remetentes: implemente SPF (Sender Policy Framework) ou DKIM (DomainKeys Identified Mail)

  • Remetentes em massa (qualquer remetente de e-mail que envie cerca de 5.000 ou mais mensagens por dia): implemente SPF, DKIM e DMARC (autenticação, relatórios e conformidade de mensagens baseadas em domínio)

As diretrizes se aplicam a todos os remetentes de e-mail, independentemente do provedor de serviços de e-mail que você usa, desde que você esteja enviando e-mails para contas pessoais do Gmail (contas que terminam em @gmail .com ou @googlemail .com).

Nota

Para obter ajuda com as informações de login, configurações ou registros TXT do seu domínio, entre em contato com seu provedor de domínio.

Por que a autenticação de e-mail é importante

Os requisitos de autenticação de e-mail do Google aprimoram a segurança e evitam atividades maliciosas, como falsificação e phishing. Ao implementar essas práticas recomendadas de autenticação de e-mail, você melhora a capacidade de entrega e a confiabilidade de seus e-mails nas contas do Gmail e, ao mesmo tempo, protege sua organização e os destinatários contra falsificação de identidade e marcação de spam.

Para um desempenho ideal de entrega de e-mail:

  1. Configure o SPF: garanta a entrega de e-mails e evite a falsificação especificando servidores autorizados para seu domínio.

  2. Configure o DKIM: aumente a segurança dos e-mails enviados adicionando assinaturas digitais criptografadas.

  3. Configurar o DMARC: Finalmente, aumente a segurança do spam forjado com o DMARC. O DMARC diz aos servidores receptores o que fazer com e-mails que falham no SPF ou no DKIM e fornece relatórios sobre a atividade de autenticação.

Certifique-se de que SPF, DKIM e DMARC estejam configurados para cada um dos seus domínios de envio por meio do seu provedor de domínio. Se você usa um provedor de serviços de e-mail, verifique se ele autentica o e-mail do seu domínio com SPF e DKIM para evitar problemas de entrega.

Padrões de autenticação de e-mail

Abaixo estão os principais métodos de autenticação que você precisa configurar para cumprir os requisitos do Google e aprimorar a segurança do seu e-mail:

  • SPF (Sender Policy Framework): O SPF evita a falsificação de e-mails especificando quais servidores de e-mail estão autorizados a enviar e-mails em nome do seu domínio. Ele funciona publicando um registro DNS que lista esses servidores autorizados. Quando um e-mail é recebido, o servidor de e-mail do destinatário verifica o registro SPF para verificar o remetente. Para obter instruções de configuração, consulte Configurar registros TXT SPF para seu domínio.

  • DKIM (DomainKeys Identified Mail): O DKIM garante a autenticidade e a integridade do e-mail adicionando uma assinatura digital ao cabeçalho do e-mail. Isso é feito usando um par de chaves criptográficas — uma privada e outra pública. A chave privada é usada para assinar o e-mail, e a chave pública, publicada nos registros DNS do seu domínio, é usada pelo servidor receptor para verificar a assinatura. Para obter instruções de configuração, consulte Configurar registros DKIM TXT para seu domínio.

  • DMARC (Autenticação, Relatórios e Conformidade de Mensagens Baseadas em Domínio): O DMARC se baseia no SPF e no DKIM, fornecendo instruções aos servidores receptores sobre como lidar com e-mails que falham nessas verificações. Ele publica uma política no DNS que informa aos servidores de e-mail destinatários o que fazer com e-mails que falham na verificação SPF ou DKIM, como rejeitá-los ou colocá-los em quarentena. O DMARC também fornece um mecanismo para receber relatórios sobre atividades de autenticação de e-mail que você pode usar para monitorar e-mails enviados de seu domínio e identificar remetentes que possam estar se passando por seu domínio. Para obter instruções de configuração, consulte Configurar registros DMARC TXT para seu domínio.

Configurar registros SPF TXT para seu domínio

O Sender Policy Framework (SPF) é um protocolo de autenticação de e-mail projetado para evitar ataques de falsificação e phishing, especificando quais servidores de e-mail estão autorizados a enviar e-mails em nome do seu domínio. Ao configurar um registro SPF, você ajuda os servidores destinatários a verificar se os e-mails que alegam vir do seu domínio são realmente enviados por servidores autorizados. Se um e-mail for enviado de um servidor não autorizado, ele poderá ser marcado como spam ou rejeitado.

Nota

Para obter ajuda com as informações de login, configurações ou registros TXT do seu domínio, entre em contato com seu provedor de domínio.

Antes de configurar o SPF, verifique se você tem:

  • Acesso ao provedor de domínio: credenciais para fazer login no console de gerenciamento do seu provedor de domínio. O SPF está configurado no seu provedor de hospedagem de domínio, não no Google Admin Console.

  • (Opcional) Registro SPF existente: verifique se um registro SPF já está configurado.

  • Informações do servidor de e-mail: uma lista de endereços IP ou domínios de todos os servidores de e-mail que enviam e-mails em nome do seu domínio.

Para configurar o SPF:

  1. Faça login no console de gerenciamento do seu provedor de domínio: faça login no console de gerenciamento fornecido pelo seu provedor de domínio (por exemplo. GoDaddy). Localize a página ou o painel dedicado à atualização dos registros DNS TXT do seu domínio.

  2. Verifique o registro SPF existente: talvez você já tenha um registro TXT configurado para SPF com seu provedor de domínio. Verifique se um registro SPF já existe usando a caixa de ferramentas de administração do Google:

    • Digite seu nome de domínio e clique em Executar verificações!.

    • Após o teste, clique em Intervalos de endereços SPF efetivos.

    • Analise os resultados das entradas SPF existentes, como:

      • _spf.google.com

      • _netblocks.google.com seguido por vários endereços IP

      • _netblocks2.google.com seguido por vários endereços IP

      • _netblocks3.google.com seguido por vários endereços IP

        Nota

        Os resultados contêm um resumo contendo sinalizadores mostrando se o fluxo de mensagens é:

        • funcionando sem problemas e sem necessidade de ações,

        • trabalhando, mas indicando problemas que precisam ser resolvidos, ou

        • precisa ser configurado.

  3. Defina seu registro SPF: Para definir seu registro SPF, você precisa criar um registro TXT. Depois de entrar no console de gerenciamento do seu domínio, encontre a página na qual você pode atualizar os registros TXT do seu domínio. Lembre-se de que um único domínio pode ter apenas um registro TXT para SPF.

    • Registro SPF: se você usa somente o Google Workspace. Se todos os e-mails da sua organização forem enviados usando somente o Google Workspace, copie esta linha de texto para seu registro SPF:

      v=spf1 inclui:_spf.google.com ~tudo

    • Registro SPF: se você usa o Google Workspace e outros remetentes. Se você enviar e-mails de outras formas além do Google Workspace, deverá criar um registro TXT personalizado para o SPF autorizar esses remetentes. Seu registro SPF deve incluir uma referência ao Google Workspace e a todos os servidores que enviam e-mails para sua organização ou domínio. Isso pode incluir serviços que enviam e-mails automáticos, por exemplo, formulários " Fale conosco " e qualquer provedor ou serviço terceirizado que envie e-mails para seu domínio.

      Para criar um registro TXT personalizado para seu registro SPF, incluindo referência ao Google Workspace e a outros remetentes, você usa:

      (Observe que os endereços IP e os nomes de domínio usados nas etapas a seguir são exemplos. Substitua-os por endereços IP e domínios para seus remetentes. Um registro normal terá uma mistura de elementos.)

      1. Comece com o registro SPF do Google Workplace:

        v=spf1 inclui:_spf.google.com ~tudo

      2. Adicionar endereços IP autorizados: liste os endereços IP únicos (por exemplo, 198.51.100.1 e 2001:db 8:1:1:1:1:1:1) ou sub-redes IP (por exemplo, 198.51.100.0/24 e 2001:db 8:1:1: :/64) autorizados a enviar e-mails. Use a tag ip4: para endereços IPv4 e a tag ip6: para endereços IPv6. Por exemplo:

        v=spf1 ip 4:198,51 .100,0/24 ip 6:2001:db 8:1:1:1:1:1:1 inclui:_spf.google.com ~tudo

      3. Incluir serviços de terceiros: Se outros serviços enviarem e-mails em seu nome, use a tag include: para incluir outro domínio ou subdomínio. Por exemplo:

        v=spf1 ip 4:198,51 .100,0/24 ip 6:2001:db 8:1:1:1:1:1:1 incluem:thirdpartydomain.com incluem:_spf.google.com ~tudo

      4. Especifique os servidores de e-mail: Se outros servidores de e-mail enviarem e-mails em seu nome, use a tag a:. Por exemplo:

        v=spf1 a:mail.exampledomain.com ip 4:198,51 .100.0/24 ip 6:2001:db 8:1:1:1:1:1:1 incluem:thirdpartydomain.com incluem:_spf.google.com ~tudo

      5. Especifique a política para servidores não autorizados: termine com ~all para definir como os e-mails de servidores não autorizados devem ser tratados. Por exemplo, conforme já especificado pelo registro SPF usado no Google Workspace:

        v=spf1 a:mail.exampledomain.com ip 4:198,51 .100.0/24 ip 6:2001:db 8:1:1:1:1:1:1 incluem:thirdpartydomain.com incluem:_spf.google.com ~tudo

      É recomendável começar com uma falha leve (~all) para monitorar e ajustar seu registro SPF sem interromper a entrega de e-mails, garantindo que todas as fontes de e-mail legítimas sejam autorizadas corretamente antes de aplicar uma falha grave(-all). Usar ~all geralmente é eficaz, pois marca mensagens não correspondentes como spam.

      • ~all (soft fail): e-mails de servidores não listados são aceitos, mas marcados como suspeitos.

      • -all (falha grave): e-mails de servidores não listados são rejeitados imediatamente.

    Exemplo de registro SPF

    Descrição

    v=spf1 ip 4:198,51 .100,0/24 incluem:_spf.google.com ~tudo

    Autoriza e-mails de:

    • Servidores com endereços IP entre 198.51.100.0 e 198.51.100.255

    • Espaço de trabalho do Google

    Esse registro permite e-mails de um intervalo de endereços IPv4 específico e do Google Workspace, marcando fontes não listadas como suspeitas.

    v=spf1 ip 4:198,51 .100,0/24 include:_spf.google.com inclue:thirdpartydomain.com ~all

    Autoriza e-mails de:

    • Servidores com endereços IP entre 198.51.100.0 e 198.51.100.255

    • Espaço de trabalho do Google

    • Serviço de e-mail de terceiros Thirdpartydomain

    Esse registro permite e-mails de um intervalo de endereços IPv4 específico, do Google Workspace e de um serviço adicional de terceiros, marcando os não listados como suspeitos.

    v=spf1 ip 6:2001:db8: :/32 incluem:_spf.google.com ~tudo

    Autoriza e-mails de:

    • Servidores com endereços IP entre 2001:db 8:0000:0000:0000:0000:0000:0000 e 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

    • Espaço de trabalho do Google

    Esse registro permite e-mails de uma ampla faixa de endereços IPv6 e do Google Workspace, marcando fontes não listadas como suspeitas.

    v=spf1 a:mail.exampledomain.com ip 4:198,51 .100.0/24 ip 6:2001:db8: :/32 inclui:_spf.google.com ~tudo

    Autoriza e-mails de:

    • Servidor de e-mail mail.exampledomain.com

    • Servidores com endereços IP entre 198.51.100.0 e 198.51.100.255

    • Servidores com endereços IP entre 2001:db 8:0000:0000:0000:0000:0000:0000 e 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

    • Espaço de trabalho do Google

    Esse registro abrange os intervalos IPv4 e IPv6, o Google Workspace e um servidor de e-mail específico, marcando outros como suspeitos.

  4. Adicionar registro SPF: para ativar o SPF em seu domínio, adicione seu registro SPF no console de gerenciamento do seu provedor de domínio:

    1. Faça login no console de gerenciamento do seu provedor de domínio: faça login no console de gerenciamento fornecido pelo seu provedor de domínio. Localize a página ou o painel dedicado à atualização dos registros DNS TXT do seu domínio.

    2. Insira os seguintes valores:

      Nome do campo

      Valor a ser inserido

      Tipo

      Txt

      Host

      • Para o domínio raiz: @

      • Ao configurar um registro SPF, use @ no campo Host para seu domínio raiz e consolide todos os elementos (por exemplo, include:, ip4:, ip6:, a:) em um único registro TXT, pois um domínio só pode ter um registro SPF TXT.

      Valor

      • Se você usa apenas o Google Workspace, digite: v=spf1include:_spf.google.com ~all

      • • Se você usar remetentes de e-mail adicionais, insira o registro SPF que você criou.

      Hora de viver (TTL)

      1 hora ou 3600 segundos
Solucionar problemas de SPF

Nota

Para obter ajuda com as informações de login, configurações ou registros TXT do seu domínio, entre em contato com seu provedor de domínio.

Se você configurou o SPF (Sender Policy Framework), mas está enfrentando problemas como falha na autenticação SPF, rejeição de e-mails ou mensagens que chegam às pastas de spam, siga estas etapas de solução de problemas:

  1. Verificar a configuração do registro SPF

    • Verifique o registro SPF existente: Use um site tool como o MXToolbox ou a interface de gerenciamento de DNS do seu domínio para confirmar se existe um registro SPF para o seu domínio.

    • Definir e adicionar registro SPF: Certifique-se de que seu registro SPF esteja formatado corretamente e inclua todos os servidores de e-mail relevantes. Por exemplo, um registro SPF pode ter a aparência de v=spf1 ip 4:192.168 .0.1 include:_spf.example.com -all.

  2. Verifique os resultados da autenticação SPF

    • Cabeçalhos de e-mail: no Gmail, abra um e-mail, clique nos três pontos no canto superior direito e selecione " Mostrar " original para ver os resultados do SPF na seção " Authentication-Results ".

    • Caixa de ferramentas de administração do Google: Copie os cabeçalhos de e-mail e use o Messageheader do Google Admin Toolbox tool para analisar os resultados de SPF.

  3. Certifique-se de que todos os remetentes estejam incluídos no registro SPF

    • Revise as entradas SPF: certifique-se de que todos os servidores e serviços de e-mail que enviam e-mails para seu domínio estejam incluídos. Isso inclui provedores de e-mail terceirizados e formulários de sites.

    • Atualizar registro SPF: adicione quaisquer endereços IP ou domínios ausentes ao seu registro SPF. Por exemplo, se você usa um serviço de marketing por e-mail, certifique-se de que seus IPs de envio ou mecanismos de inclusão sejam adicionados ao seu registro.

  4. Problemas de encaminhamento de e-mail de endereços

    • Verifique os detalhes do encaminhamento: use a Pesquisa de registro de e-mail para verificar se os e-mails encaminhados estão falhando no SPF. Procure o endereço do destinatário original para confirmar se o encaminhamento está envolvido.

    • Entre em contato com o serviço de encaminhamento: entre em contato com o serviço de encaminhamento terceirizado para verificar se eles podem ajustar seu método de encaminhamento ou fornecer informações sobre problemas de SPF.

  5. Solução avançada de problemas de SPF

    • Analise os cabeçalhos das mensagens: consulte a seção " Authentication-Results " para ver os resultados do SPF, como " softfail, " " fail, " ou " neutral " e o endereço com base no resultado. Por exemplo:

      • Nenhuma entrada SPF: certifique-se de que seu registro SPF esteja configurado corretamente.

      • Falha ou falha: verifique se todos os IPs de envio legítimos estão incluídos no seu registro SPF.

      • TempError ou PermError: verifique se há problemas de DNS ou excedência do limite de 10 consultas.

  6. Verifique as pesquisas de DNS

    • Contagens de consultas do monitor: os registros SPF são limitados a 10 pesquisas de DNS. Portanto, seu registro SPF TXT não pode incluir mais de 10 referências a outros domínios. Cada um desses mecanismos, incluindo pesquisas aninhadas, em seu registro SPF resulta em uma pesquisa: a, mx, include, ptr. Use o site tool como o Check MX do Google Admin Toolbox para monitorar as contagens de pesquisa e ajustar seu registro SPF para evitar exceder esse limite.

Configurar registros DKIM TXT para seu domínio

O DKIM, ou DomainKeys Identified Mail, é um método essencial de autenticação de e-mail que ajuda a proteger seu domínio contra falsificação e impede que as mensagens enviadas sejam marcadas como spam. A falsificação é uma prática enganosa de e-mail que falsifica o endereço do remetente para parecer que é de uma organização ou domínio legítimo. O DKIM desempenha um papel crucial ao detectar quaisquer modificações não autorizadas no conteúdo da mensagem, incluindo alterações no endereço do remetente. Sem o DKIM, é mais provável que os e-mails enviados do seu domínio sejam sinalizados como spam pelos servidores de e-mail receptores. Para garantir que suas mensagens sejam entregues de forma confiável, especialmente para usuários do Gmail, é recomendável configurar o DKIM junto com a autenticação SPF (Sender Policy Framework) para seu domínio. Isso ajuda a atender às diretrizes do remetente de e-mail do Google e aprimora a autenticação dos e-mails da sua organização.

Nota

Para obter ajuda com as informações de login, configurações ou registros TXT do seu domínio, entre em contato com seu provedor de domínio.

Antes de configurar o DKIM, verifique se você tem:

  • Acesso de administrador do Google: credenciais para fazer login no console do administrador do Google. Você receberá sua chave DKIM no Google Admin Console.

  • Acesso ao provedor de domínio: credenciais para fazer login no console de gerenciamento do seu provedor de domínio. Você adicionará as informações da chave DKIM do Google Admin Console às configurações do seu provedor de domínio.

  • Configurações de gateways de saída definidas para não alterar e-mails após serem enviados: verifique se as configurações de gateways de e-mail de saída não interferem no funcionamento adequado da autenticação DKIM para mensagens enviadas, pois modificações como adicionar rodapés ou reescrever conteúdo após o envio da mensagem podem fazer com que o e-mail falhe na verificação do DKIM.

    • Configure o gateway para que ele não modifique as mensagens de saída ou configure o gateway para alterar primeiro o conteúdo da mensagem e depois adicionar a assinatura DKIM.

  • (Opcional) Chave DKIM existente: verifique se há uma chave DKIM existente para seu domínio.

Para configurar o DKIM:

  1. Faça login no seu Google Admin Console: Acesse seu Google Admin Console. Você deve estar conectado como superadministrador para obter sua chave DKIM.

  2. Verifique a chave DKIM existente: se você já estiver usando uma chave DKIM para seu domínio, ela pode ser com o Google Workspace ou com outro sistema de e-mail.

    1. No Google Admin Console, acesse Menu e selecione Aplicativos, selecione Google Workspace e clique em Gmail.

    2. Clique em Autenticar e-mail e selecione o domínio que você deseja verificar no menu Domínio selecionado.

    3. Localize a seção Nome do host DNS (nome do registro TXT):

      • Se você nunca configurou o DKIM no Google Workspace, esse campo ficará vazio.

      • Se esse campo tiver um valor, observe o texto anterior. _chave de domínio. Esse é o prefixo do seu seletor.

    4. Navegue até a caixa de ferramentas do administrador do Google e insira seu nome de domínio no campo Nome do domínio.

    5. Clique no botão Executar verificações! botão e aguarde a conclusão do teste.

    6. Depois que o teste terminar, revise qual dessas mensagens é exibida:

      • Configuração de DNS de autenticação DKIM: uma chave DKIM é configurada para o domínio e o seletor.

      • O DKIM não está configurado: não existe nenhuma chave DKIM para o seu domínio com o seletor de prefixo inserido. Para resolver isso, configure uma nova chave usando o seletor fornecido (o seletor padrão é google).

  3. Gere a chave DKIM:

    1. No Google Admin Console, acesse Menu e selecione Aplicativos, selecione Google Workspace e clique em Gmail.

    2. Clique em Autenticar e-mail e selecione o domínio em que você deseja configurar o DKIM no menu Domínio selecionado.

    3. Clique no botão Gerar novo registro.

    4. Selecione suas configurações de chave DKIM:

      Configuração

      Opções

      Comprimento de bits da chave DKIM

      2048. Se o seu provedor de domínio oferecer suporte a chaves de 2048 bits, selecione essa opção. As chaves mais longas são mais seguras do que as mais curtas. 1024. Se seu host de domínio não oferecer suporte a chaves de 2048 bits, selecione essa opção.

      1024. Se seu host de domínio não oferecer suporte a chaves de 2048 bits, selecione essa opção.

      Seletor de prefixo

      O prefixo padrão do seletor é google. Recomendamos que você use o padrão. Mas se seu domínio já usa uma chave DKIM com o prefixo google, insira um prefixo diferente.

    5. Clique em Gerar e copie os valores de DKIM mostrados na janela Autenticar e-mail:

      • Nome do host DNS (nome do registro TXT) — Esse texto é o nome do registro DKIM TXT que você adicionará aos registros DNS do seu provedor de domínio.

      • Valor do registro TXT — Esse texto é a chave DKIM que você adicionará ao seu registro DKIM TXT.

  4. Adicionar chave DKIM: observe que depois de adicionar uma chave DKIM, pode levar até 48 horas para que a autenticação DKIM comece a funcionar.

    1. Faça login no console de gerenciamento do seu provedor de domínio: faça login no console de gerenciamento fornecido pelo seu provedor de domínio. Localize a página ou o painel dedicado à atualização dos registros DNS TXT do seu domínio.

    2. Adicionar um novo registro TXT para o DKIM: insira os valores a seguir e salve suas alterações.

      Nome do campo

      Valor a ser inserido

      Nome do registro TXT (no primeiro campo, abaixo do nome do host DNS)

      Insira o nome do host DNS (nome do registro TXT) mostrado no Google Admin Console.

      Valor do registro TXT (no segundo campo)

      Insira o valor do registro TXT (chave DKIM) mostrado no Google Admin Console.

  5. Ative a assinatura DKIM: observe que a página de e-mail Autenticar no Google Admin Console pode continuar exibindo esta mensagem por até 48 horas:” Você deve atualizar os registros DNS desse domínio. Se você adicionou corretamente sua chave DKIM ao seu provedor de domínio, você pode ignorar a mensagem.”

    1. No Google Admin Console, acesse Menu e selecione Aplicativos, selecione Google Workspace e clique em Gmail.

    2. Clique em Autenticar e-mail e selecione o domínio em que você deseja configurar o DKIM no menu Domínio selecionado.

    3. Clique no botão Iniciar autenticação.

  6. Verifique a autenticação DKIM:

    1. Envie uma mensagem de e-mail para alguém que esteja usando o Gmail ou o Google Workspace. (Você não pode verificar se o DKIM está ativado enviando uma mensagem de teste para si mesmo.)

    2. Abra a mensagem na caixa de entrada do destinatário e encontre todo o cabeçalho da mensagem. (As etapas para visualizar o cabeçalho da mensagem são diferentes para diferentes aplicativos de e-mail. Para mostrar os cabeçalhos das mensagens no Gmail, ao lado de Responder, clique em Mais Mostrar original.)

    3. No cabeçalho da mensagem, procure Authentication-Results. Os serviços de recebimento usam formatos diferentes para cabeçalhos de mensagens recebidas, no entanto, os resultados do DKIM devem dizer algo como DKIM=pass ou DKIM=OK. Se o cabeçalho da mensagem não incluir uma linha sobre o DKIM, as mensagens enviadas do seu domínio não estão sendo assinadas com o DKIM.

Solucionar problemas do DKIM

Nota

Para obter ajuda com as informações de login, configurações ou registros TXT do seu domínio, entre em contato com seu provedor de domínio.

Se os e-mails do seu domínio não estiverem passando pela autenticação DKIM ou estiverem sendo rejeitados ou marcados como spam, siga estas etapas para solucionar problemas de DKIM:

  1. Verificar a configuração do DKIM

    1. Obtenha a chave DKIM: no Admin Console, obtenha a chave DKIM necessária para seu domínio.

    2. Adicionar chave DKIM: adicione a chave DKIM como um registro TXT nas configurações de DNS do seu provedor de domínio. Verifique se a chave foi inserida e preenchida corretamente.

    3. Ativar o DKIM: no Admin Console, ative a assinatura do DKIM para seu domínio.

  2. Verifique os resultados da autenticação DKIM

    1. Verifique as mensagens: envie um e-mail de teste para uma conta de e-mail pessoal (por exemplo, Gmail) para descartar problemas com servidores de recebimento específicos.

    2. Revise os cabeçalhos dos e-mails: no Gmail, clique em " Mostrar " original para ver o status do DKIM no cabeçalho " Authentication-Results ".

    3. Use o Google Admin Toolbox: Analise os cabeçalhos das mensagens com o Google Admin Toolbox Messageheader tool para verificar os resultados do DKIM.

  3. Confirme a integridade da chave DKIM

    1. Verifique o registro DKIM TXT: Certifique-se de que seu registro DKIM TXT não esteja truncado e esteja formatado corretamente. As chaves DKIM com mais de 255 caracteres podem ser divididas em vários registros TXT.

    2. Compare os registros: Use o Google Admin Toolbox Dig tool para verificar se o valor do registro TXT corresponde à chave no Admin Console. Insira seu registro DKIM (por exemplo, google. _chave de domínio) seguido pelo seu domínio para comparar os resultados.

  4. Problemas de encaminhamento de mensagens de endereço

    1. Verifique se há modificações: inspecione o cabeçalho " Authentication-Results " em busca de qualquer hash de corpo " que não tenha verificado " mensagens, indicando que o e-mail foi alterado durante o encaminhamento.

    2. Gateways de saída: certifique-se de que os gateways de saída não modifiquem o conteúdo das mensagens de saída, pois isso pode causar falhas no DKIM.

    3. Verifique o encaminhamento: use a Pesquisa de registro de e-mail para verificar se as mensagens encaminhadas são a causa dos problemas do DKIM. Entre em contato com o serviço de encaminhamento, se necessário.

  5. Entre em contato com administradores para mensagens rejeitadas assinadas pelo DKIM

    1. Entre em contato: se o DKIM estiver configurado corretamente, mas as mensagens ainda forem rejeitadas ou enviadas para spam, entre em contato com o administrador do servidor de e-mail de rejeição para obter mais assistência.

  6. Verifique os limites de caracteres do registro TXT

    • Limites de revisão: certifique-se de que seus registros DKIM TXT estejam de acordo com os limites de caracteres do seu provedor de domínio. A maioria dos registros TXT pode ter até 255 caracteres. Para registros TXT que incluem mais de 255 caracteres, o DNS adiciona várias sequências de caracteres em um único registro.

      Se você estiver usando uma chave DKIM de 2048 bits, não poderá inseri-la como uma única string de texto em um registro DNS com um limite de 255 caracteres. Em vez disso, siga estas etapas:

      1. Divida os caracteres principais em várias sequências de texto.

      2. Coloque cada string entre aspas.

      3. Insira as sequências de caracteres uma após a outra no campo Valor do registro TXT no seu provedor de domínio.

Configurar registos DMARC TXT para o seu domínio

Autenticação, Relatórios e Conformidade de Mensagens Baseados em Domínio (DMARC) é um protocolo de autenticação de e-mail baseado no SPF (Sender Policy Framework) e no DKIM (DomainKeys Identified Mail) para evitar falsificação de e-mail e ataques de phishing. Com o DMARC, os proprietários de domínios podem instruir os servidores de e-mail receptores sobre como lidar com e-mails que falham nas verificações de SPF e DKIM.

Os principais componentes do DMARC são:

  • Política (p): especifica a ação a ser tomada quando um e-mail falha nas verificações de autenticação. As opções de política são nenhuma (somente monitorar), quarentena (marcar como spam) ou rejeitar (não entregar).

  • Reporting (rua=mailto:): Especifica para onde os relatórios DMARC devem ser enviados. Esses relatórios fornecem informações detalhadas sobre e-mails aprovados e reprovados nas verificações de autenticação.

Antes de configurar o DMARC, certifique-se de que tem:

  • Acesso ao provedor de domínio: credenciais para fazer login no console de gerenciamento do seu provedor de domínio. O DMARC está habilitado no seu provedor de hospedagem de domínio, não no console do Google Admin.

  • SPF e DKIM já configurados: antes de implementar o DMARC, certifique-se de que o Sender Policy Framework (SPF) e o DomainKeys Identified Mail (DKIM) estejam ativados para seu domínio. Essa autenticação é essencial para a funcionalidade do DMARC, pois o DMARC diz aos servidores de e-mail destinatários o que fazer quando recebem uma mensagem que parece ser da sua organização, mas a mensagem não passa pelas verificações de autenticação de e-mail SPF e/ou DKIM.

    Atenção

    • Se você não configurar o SPF e o DKIM antes de ativar o DMARC, as mensagens enviadas do seu domínio provavelmente terão problemas de entrega.

    • Aguarde 48 horas após configurar o SPF e o DKIM antes de configurar o DMARC.

  • (Opcional) Registro DMARC existente: verifique se há um registro DMARC existente para seu domínio.

  • Autenticação de correio de terceiros: Certifique-se de que as mensagens enviadas por fornecedores terceirizados sejam autenticadas para cumprir as políticas do DMARC. Para aprimorar a autenticação de mensagens enviadas por provedores terceirizados:

    • Confirme com seu provedor terceirizado se o DKIM está configurado corretamente.

    • Certifique-se de que o domínio do remetente do envelope usado pelo provedor corresponda ao seu domínio.

    • Adicione os endereços IP dos servidores de e-mail de envio do provedor ao registro SPF do seu domínio.

Configurar o DMARC

Para configurar o DMARC:

  1. Faça login no console de gerenciamento do seu provedor de domínio: acesse a plataforma do seu provedor de domínio e navegue até a seção de gerenciamento de registros DNS TXT.

  2. Verifique o registro DMARC existente: Antes da configuração do DMARC, verifique se o seu domínio já tem um registro DMARC DNS TXT. Se estiver presente, revise os relatórios DMARC para confirmar a autenticação e entrega bem-sucedidas da mensagem. Para verificar no seu provedor de domínio um registro TXT para DMARC:

    1. Faça login no console de gerenciamento fornecido pelo seu provedor de domínio.

    2. Localize a página ou o painel dedicado à atualização dos registros DNS TXT do seu domínio.

    3. Revise os registros DNS TXT associados ao seu domínio. Se existir um registro DMARC, ele normalmente começará com v=DMARC.

  3. Defina seu registro DMARC: Para definir seu registro DMARC, você precisa criar um registro TXT que defina o quão estritamente o DMARC deve verificar as mensagens e as ações recomendadas para servidores receptores.

    Ao começar a implementar o DMARC, sugerimos começar com uma política de aplicação relaxada definida como " none. " À medida que você obtém insights sobre como as mensagens do seu domínio são autenticadas pelos servidores receptores, ajuste gradualmente sua política de “nenhuma” para " quarentena " e, por fim, para " rejeição. "

    O registro DMARC tem a forma de uma linha de texto simples que consiste em uma lista de valores DMARC tag, separados por ponto e vírgula. Alguns tag são obrigatórios e outros são opcionais. Exemplo: v=dmarc1; p=reject; rua=mailto: mailbox@example.com, mailto: dmarc@example.com; pct=10; adkim=r; aspf=r

    tag

    Obrigatório?

    Descrição

    Valores

    v

    Requu

    Especifica a versão do DMARC.

    Deve ser DMARC1.

    p

    Obrigatório

    Instrui o servidor de e-mail receptor sobre ações para mensagens que falham na autenticação.

    none — Não realize nenhuma ação, entregue a mensagem e registre-a. Os relatórios são enviados para o endereço de e-mail especificado na tag rua.

    quarentena — Marque a mensagem como spam e envie-a para a pasta de spam. Os destinatários podem analisá-lo para verificar a legitimidade.

    rejeitar — Rejeite a mensagem e geralmente envie uma mensagem devolvida ao remetente.

    pct

    Obrigatório

    Define a porcentagem de mensagens sujeitas à política DMARC.

    Deve ser um número inteiro de 1 a 100. Se não for especificada, a política se aplica a 100% das mensagens.

    rua

    Opcional

    Receba relatórios DMARC enviados para um endereço de e-mail. O endereço de e-mail deve incluir mailto:.

    Para enviar relatórios DMARC para vários e-mails, separe cada endereço de e-mail com uma vírgula e adicione o prefixo mailto: antes de cada endereço.

    Exemplo: mailto: dmarc-reports@example.com, mailto: dmarc-admin@example.com (substitua example.com pelo seu domínio).

    espião

    Opcional

    Define a política para subdomínios do seu domínio principal.

    none — Não realize nenhuma ação, entregue a mensagem e registre-a. Os relatórios são enviados para o endereço de e-mail especificado na tag rua.

    quarentena — Marque a mensagem como spam e envie-a para a pasta de spam. Os destinatários podem analisá-lo para verificar a legitimidade.

    rejeitar — Rejeite a mensagem e geralmente envie uma mensagem devolvida ao remetente.

    Se não for especificado, os subdomínios herdam a política do domínio pai.

    adkim

    Opcional

    Especifica a política de alinhamento para o DKIM, indicando com que rigor o domínio do remetente deve corresponder ao d=domainname nas assinaturas do DKIM.

    —Alinhamento estrito. O nome de domínio do remetente deve corresponder exatamente ao d=domainname correspondente nos cabeçalhos de e-mail do DKIM.

    R — alinhamento relaxado (padrão). Permite correspondências parciais. Qualquer subdomínio válido de d=domain nos cabeçalhos de e-mail do DKIM é aceito

    adspf

    Opcional

    Especifica a política de alinhamento para SPF, indicando com que rigor o domínio do remetente deve corresponder ao domínio no comando SMTP MAIL FROM.

    —Alinhamento estrito. O domínio do remetente deve corresponder exatamente ao domínio no comando SMTP MAIL FROM.

    R — alinhamento relaxado (padrão). Permite correspondências parciais. Qualquer subdomínio ou nome de domínio válido é aceito.

  4. Adicionar registro DMARC: Observe que o DKIM e o SPF devem autenticar as mensagens por pelo menos 48 horas antes de ativar o DMARC.

    1. Faça login no console de gerenciamento do seu provedor de domínio: faça login no console de gerenciamento fornecido pelo seu provedor de domínio. Localize a página ou o painel dedicado à atualização dos registros DNS TXT do seu domínio.

    2. Adicionar um novo registro TXT para DMARC. Insira os valores a seguir e salve suas alterações.

      Nome do campo

      Valor a ser inserido

      Nome do registro TXT (no primeiro campo, abaixo do nome do host DNS)

      Digite _dmarc.exampledomain.com (substitua exampledomain.com pelo seu domínio)

      Valor do registro TXT (no segundo campo)

      Insira o texto da sua política DMARC.

      Por exemplo, digite v=DMARC1; p=none; rua=mailto: dmarc-reports@exampledomain.com (substitua exampledomain.com pelo seu domínio).

  5. Estenda para subdomínios e domínios adicionais (se aplicável). Se você tiver vários domínios ou subdomínios, cada domínio pode ter uma política diferente e opções de relatório diferentes (definidas no registro). Para definir uma política DMARC para subdomínios, use a tag de política sp no registro DMARC do domínio principal. Se você não criar políticas DMARC para subdomínios, eles herdarão a política DMARC do domínio pai.

Monitore relatórios DMARC

Monitore regularmente os relatórios sobre a atividade do DMARC para o seu domínio. Esses relatórios, enviados para o endereço de e-mail especificado na política DMARC (rua tag), fornecem informações sobre a atividade do servidor de e-mail. Ajuste sua política de DMARC conforme necessário com base nesses relatórios.

Analise os relatórios para descobrir:

  • Quais servidores ou remetentes de terceiros estão enviando e-mails para seu domínio

  • Que porcentagem de mensagens do seu domínio passam pelo DMARC

Procure qualquer tendência problemática, como:

  • Mensagens válidas marcadas como spam

  • Mensagens devolvidas ou de erro dos destinatários

Colocar em quarentena uma pequena porcentagem de mensagens

Inicialmente, comece com uma política de DMARC descontraída, sem nenhuma aplicação. Isso permite que você comece a receber relatórios sem correr o risco de que as mensagens do seu domínio sejam rejeitadas ou marcadas como spam pelos servidores receptores. Depois de observar os relatórios DMARC por pelo menos uma semana, ajuste sua política para "quarentena" e adicione a tag pct para aplicar a política a uma pequena porcentagem de seus e-mails.

Para colocar uma pequena porcentagem de mensagens em quarentena:

  1. Faça login no console de gerenciamento fornecido pelo seu provedor de hospedagem de domínio para atualizar o registro DMARC DNS TXT.

  2. Adicione uma política que afete uma pequena porcentagem das mensagens e imponha quarentena. Por exemplo, uma política que se aplica a apenas 5% dos e-mails recebidos e direciona as mensagens que falham nas verificações do DMARC para as pastas de spam dos destinatários:

    v=Dmarc1; p=quarentena; pct=5; rua=mailto: dmarc-reports@exampledomain.com

Dica

As grandes organizações devem aumentar gradualmente a porcentagem de mensagens afetadas para minimizar o risco de rejeições ou marcações de spam. Por exemplo, uma pequena organização pode começar com 10% de quarentena, enquanto uma empresa maior pode começar com 1%.

Solucionar problemas de DMARC

Se os e-mails do seu domínio falharem na autenticação DMARC, forem rejeitados pelos servidores receptores ou chegarem às pastas de spam dos destinatários, siga estas etapas para solucionar problemas de DMARC:

  1. Verifique o registro DMARC

    • Verifique a configuração: Certifique-se de que seu registro DMARC esteja configurado corretamente. Verifique se o registro DMARC está configurado corretamente com seu provedor de domínio e está presente nas configurações de DNS.

  2. Verifique se o SPF e o DKIM estão habilitados

    • Ativar SPF e DKIM: confirme se o SPF e o DKIM estão habilitados e configurados corretamente para seu domínio. Ambos devem estar ativos por pelo menos 48 horas antes de habilitar o DMARC.

    • Configuração detalhada: siga as instruções de configuração do SPF e do DKIM para garantir que elas sejam implementadas corretamente.

  3. Verifique os resultados da autenticação

    • Revisar cabeçalhos: inspecione os cabeçalhos de e-mail para verificar os resultados de SPF, DKIM e DMARC. No Gmail, clique em " Mostrar " original para ver esses resultados.

    • Use o Diagnostic tool: Insira os cabeçalhos das mensagens no Messageheader tooldo Google Admin Toolbox para verificar os status de autenticação.

  4. Verifique os relatórios do DMARC

    • Verifique os relatórios: Verifique seus relatórios DMARC para garantir que as mensagens passem pelas verificações SPF, DKIM e DMARC. O senhor pode usar uma análise de relatório DMARC tool ou um serviço para obter insights abrangentes.

  5. Resolver falhas do DMARC

    • Resolver falhas: Se as mensagens enviadas falharem no DMARC, verifique suas configurações de SPF e DKIM. Certifique-se de que as mensagens sejam aprovadas em pelo menos uma dessas verificações para cumprir as políticas do DMARC.

    • Revise a Política DMARC: Verifique sua política DMARC e configurações de alinhamento. Uma política rígida pode aumentar as taxas de rejeição ou a colocação de spam.

    • Verifique os relatórios diários: Examine os relatórios diários do DMARC para identificar quais mensagens de saída não passam por SPF, DKIM ou DMARC.

  6. Avalie as práticas de envio de e-mails

    • Siga as melhores práticas: garanta a conformidade com as melhores práticas para enviar e-mails, especialmente se você enviar grandes volumes. Consulte as diretrizes para enviar e-mails aos usuários do Gmail.

  7. Use a pesquisa de registros de e-mail para obter informações

    • Pesquisa detalhada: utilize a Pesquisa de registros de e-mail para obter informações detalhadas sobre mensagens específicas enviadas pelo Google Workspace. Pesquise por endereço IP do remetente e revise os detalhes da mensagem para diagnosticar problemas.

Was this article helpful?

Voltar ao topo