O fluxo de autenticação de e-mail é um conjunto de processos e tecnologias que visam verificar a legitimidade das mensagens enviadas, protegendo tanto a organização remetente quanto os destinatários contra spam, spoofing e phishing.
O Google recomenda a configuração do DKIM e do SPF, e também do DMARC. Remetentes de e-mails em massa (mais de 5.000 mensagens por dia) precisam configurar SPF, DKIM e DMARC.
Como Funcionam os Métodos de Autenticação
DKIM (DomainKeys Identified Mail)
Propósito: Ajudar a proteger seu domínio contra falsificação (spoofing) e impedir que o conteúdo da mensagem seja alterado durante o trânsito, autenticando seu e-mail com uma assinatura digital.
Como funciona:
Gera-se um par de chaves criptográficas para o domínio: uma chave pública e uma privada.
A chave pública é publicada em um registro TXT no DNS do seu domínio.
A chave privada é mantida no servidor de e-mail e usada para gerar uma assinatura digital única para cada mensagem enviada.
Quando o e-mail é enviado, o servidor do remetente anexa essa assinatura ao cabeçalho.
O servidor do destinatário busca a chave pública no DNS do remetente.
Ele usa a chave pública para verificar a assinatura. Se corresponder, o e-mail é autêntico.
Uma autenticação bem-sucedida resulta em um status como `DKIM=pass`.
SPF (Sender Policy Framework)
Propósito: Evitar que spammers enviem e-mails falsificando seu domínio, especificando quais servidores de e-mail têm permissão para enviar mensagens em seu nome.
Como funciona:
Adiciona-se um registro TXT ao DNS do seu domínio, conhecido como registro SPF.
Este registro lista todos os servidores (endereços IP ou domínios) autorizados a enviar e-mails.
Quando um servidor recebe um e-mail do seu domínio, ele verifica o registro SPF para confirmar se o IP de origem está na lista de permissões.
Se o e-mail vier de um servidor não autorizado, ele falha na verificação e pode ser marcado como spam.
DMARC (Domain-based Message Authentication, Reporting, and Conformance)
Propósito: Unificar o SPF e o DKIM, informando aos servidores de destino o que fazer com e-mails que falham nessas verificações e fornecendo relatórios sobre a atividade de e-mail do seu domínio.
Como funciona:
É crucial que SPF e/ou DKIM estejam configurados por pelo menos 48 horas antes de ativar o DMARC.
Publica-se um registro DMARC (também um TXT no DNS) que define uma política.
A política instrui os servidores de recebimento a `rejeitar` (reject), `colocar em quarentena` (quarantine) ou não fazer nada (`none`) com os e-mails que falham na autenticação.
O DMARC protege contra e-mails falsificados e fornece visibilidade através de relatórios.
Em resumo:
O SPF diz 'quem' pode enviar, o DKIM prova que o e-mail não foi alterado, e o DMARC define as regras do jogo e relata os resultados. Juntos, eles criam uma defesa robusta para proteger a comunicação por e-mail.
