Saltar para o conteúdo 
SPF, DKIM, DMARC e BIMI são ferramentas essenciais para garantir a autenticidade e a segurança dos e-mails comerciais. Quem implementa o SPF DKIM não só reduz o risco de falsificação e phishing, como também melhora a capacidade de entrega e a perceção dos seus e-mails.
Pontos centrais
- SPF define os servidores que estão autorizados a enviar mensagens de correio eletrónico em nome de um domínio.
- DKIM protege o texto da mensagem contra manipulações e confirma a sua autenticidade.
- DMARC inclui o SPF e o DKIM com uma diretriz de comunicação e aplicação.
- BIMI mostra o seu logótipo na caixa de entrada - apenas se o sistema de proteção estiver configurado corretamente.
- Aplicação da lei dos protocolos aumenta a confiança, a visibilidade e as taxas de entrega no tráfego de correio eletrónico.
O que o SPF realmente faz
SPF (Sender Policy Framework) é um mecanismo baseado no DNS para determinar que servidores de correio estão autorizados a enviar mensagens de correio eletrónico em nome de um domínio. Isto significa que apenas os servidores autorizados constam desta lista - todos os outros são considerados suspeitos. Se uma mensagem for enviada através de um servidor não incluído na lista, é classificada como potencialmente perigosa ou bloqueada pelo sistema recetor.
A força deste protocolo reside na sua simplicidade. Fornece uma proteção fiável contra ataques de falsificação, em que os endereços dos remetentes são falsificados para realizar phishing, por exemplo. Para as empresas em particular, este é um passo indispensável para uma comunicação segura por correio eletrónico.
Tenho o cuidado especial de não utilizar entradas curinga como "*" no SPF - elas abrem a porta a abusos. Em vez disso, apenas os servidores de correio e endereços IP conhecidos podem aparecer no registo SPF do meu domínio. As alterações importantes aos servidores de envio devem ser sempre actualizadas diretamente nas definições de DNS.
É também aconselhável planear cuidadosamente as várias entradas possíveis no SPF. A incluirPor exemplo, uma entrada para um fornecedor externo de boletins informativos deve aplicar-se apenas ao serviço que é efetivamente utilizado. A ordem das entradas também pode ser relevante: o SPF será cancelado se houver demasiadas entradas pesquisas (predefinição: máximo 10) é problemático. Por isso, determino antecipadamente quais os serviços de remetente que são realmente necessários. Para empresas maiores, também vale a pena dividir em subdomínios se diferentes equipas ou departamentos trabalharem com diferentes servidores de correio. Isto aumenta a visão geral e evita sobreposições acidentais.
Muitas vezes também surgem dificuldades com o reencaminhamento, porque com um Avançar os servidores de correio eletrónico receptores podem perder a informação original do IP do remetente. É por este motivo que uma verificação SPF pode, por vezes, falhar, mesmo que o correio seja legítimo. É aqui que o DMARC (em conjunto com o DKIM) pode ajudar a verificar o remetente de qualquer forma. Desta forma, o reencaminhamento corretamente configurado pode ser intercetado sem mover os e-mails autorizados para a pasta de spam.
Assinaturas digitais com DKIM
DKIM (DomainKeys Identified Mail) não só protege as mensagens de correio eletrónico contra a falsificação do remetente, mas também contra a manipulação do conteúdo. Cada mensagem enviada é fornecida com uma assinatura individual do lado do servidor, que é derivada do próprio conteúdo. A chave pública para o efeito está abertamente disponível no DNS do domínio, pelo que todos os servidores receptores podem verificar a autenticidade.
Esta assinatura digital torna impossível alterar uma mensagem durante o seu percurso sem que isso seja detectado. Os conteúdos comprometidos, as ligações manipuladas ou os anexos trocados são desmascarados de forma fiável. Além disso, uma verificação DKIM bem sucedida mostra ao sistema recetor que o remetente é de confiança - o que melhora a taxa de entrega.
Realização práticaGero a chave pública e privada através do meu servidor de correio eletrónico. Em seguida, introduzo a chave pública como um registo TXT no DNS. A partir daí, o servidor de correio eletrónico adiciona automaticamente a assinatura a todas as mensagens enviadas - os destinatários verificam a validade com a chave publicada.
Ao configurar o DKIM, deve também utilizar o chamado Seletor manter um olho. Isto torna possível operar várias chaves públicas em paralelo. Por exemplo, se eu rodar uma chave, posso adicionar um novo seletor e eliminar o antigo após uma fase de transição. Isto garante uma assinatura contínua e evita problemas aquando da mudança de chaves.
Outra recomendação é substituir regularmente (rodar) as chaves. Substituo a chave em intervalos de 6 a 12 meses para minimizar os potenciais riscos de segurança. Se uma chave privada for comprometida, posso reagir rapidamente e continuar a proteger as assinaturas.
DMARC: Orientações, controlo e relatórios
DMARC combina o SPF e o DKIM numa decisão de verificação holística e determina a forma como o servidor de correio eletrónico recetor trata as verificações falhadas. Como proprietário do domínio, posso decidir o que fazer com as mensagens não autenticadas - ignorá-las, colocá-las em quarentena ou bloqueá-las.
Os relatórios DMARC são um componente importante: fornecem feedback diário sobre os e-mails enviados sob o meu domínio - e se passaram nas verificações. Isto torna os abusos transparentes e permite-me reconhecer as tentativas de ataque numa fase inicial.
Para um funcionamento produtivo, recomendo claramente a política de "rejeição", mas apenas após uma fase de observação com "nenhum" e, posteriormente, "quarentena". Analiso regularmente os meus relatórios e optimizo a proteção com uma ferramenta de monitorização, como Analisar relatórios DMARC de forma orientada.
Um aspeto que muitas empresas subestimam inicialmente é a questão dos requisitos de alinhamento no DMARC. Para que o DMARC classifique um correio eletrónico como autenticado, o remetente e o DKIM/domínio têm de corresponder (o chamado Alinhamento). Isto pode ser feito de uma forma "relaxada" ou "rigorosa". Rigoroso significa que o domínio no cabeçalho "From" deve corresponder exatamente ao da assinatura DKIM. Isto evita que um atacante utilize um subdomínio que seja válido para SPF ou DKIM, por exemplo, mas que continue a forjar o domínio principal no remetente visível.
Dependendo da infraestrutura técnica, o alinhamento rigoroso pode ser um desafio. Os sistemas de CRM, as plataformas de boletins informativos ou os serviços externos que enviam e-mails em nome do domínio principal devem ser configurados corretamente. Evito a utilização desnecessária de subdomínios ou configuro-os deliberadamente de modo a que cada subdomínio tenha o seu próprio seletor DKIM e entrada SPF. Isto permite-me manter uma visão geral consistente e identificar mais rapidamente quaisquer problemas de autenticação.
BIMI: Tornar a segurança visível
BIMI (Indicadores de marca para identificação de mensagens) destaca os e-mails exibindo o logótipo oficial na caixa de entrada. No entanto, esta função de visibilidade só funciona se as verificações SPF, DKIM e DMARC passarem corretamente e se o DMARC estiver definido como "quarentena" ou "rejeitar".
Criei o meu logótipo em formato SVG com o SVG Tiny P/S e adquiri um certificado VMC adequado. Em seguida, configurei uma linha DNS em conformidade com a especificação BIMI. Resultado: o logótipo da minha empresa aparece na caixa de entrada dos serviços de correio eletrónico compatíveis, o que cria confiança e reforça a fidelidade à marca.
Passo a passo, mostro-lhe como BIMI com logótipo visível na caixa de correio eletrónico.
A implementação do BIMI requer frequentemente uma abordagem coordenada dentro da empresa. Os responsáveis de marketing querem colocar o logótipo, os responsáveis de TI têm de garantir que tanto as entradas DNS como os protocolos de segurança estão corretos, e o departamento jurídico presta atenção aos dados do certificado. É precisamente nesta interação de departamentos que é essencial uma coordenação adequada. Elaboro um plano de projeto claro para garantir que todos os passos não são esquecidos nem repetidos.
Comparação técnica dos protocolos
Neste quadro, comparo os quatro protocolos para ilustrar claramente as suas funções:
| Protocolo | Objetivo principal | Entrada DNS necessária | Evita a falsificação? | Outras vantagens |
|---|---|---|---|---|
| SPF | Endereços IP fixos do remetente | Sim (TXT) | Sim (apenas com controlo do passaporte) | Melhorar a taxa de entrega |
| DKIM | Conteúdo assinado seguro | Sim (TXT com chave pública) | Sim | Integridade da mensagem |
| DMARC | Aplicação + Relatórios | Sim (TXT) | Sim | Controlar protocolos de forma centralizada |
| BIMI | Visibilidade da marca | Sim (TXT + VMC opcional) | Apenas em combinação com DMARC | Remetentes de confiança |
O SPF desempenha um papel fundamental nestes protocolos, uma vez que fecha as portas de entrada aos remetentes falsos logo desde o início. O DKIM também garante que o conteúdo da mensagem permanece inalterado. O DMARC combina ambos com regras de aplicação claras e relatórios valiosos. Por último, o BIMI melhora visualmente todo o processo, tornando o remetente visualmente reconhecível pelo destinatário. A combinação destes protocolos vai, portanto, muito para além de uma solução anti-spam pura - melhora a imagem global da marca e reforça a confiança na comunicação digital a longo prazo.
Realização na prática
O meu conselho: primeiro, implemento o SPF e testo se os servidores de correio legítimos são listados corretamente. Segue-se o DKIM, juntamente com a chave de assinatura. O DMARC vem em último lugar como instância de controlo. Assim que todas as verificações estiverem isentas de erros e o abuso for excluído, mudo para "rejeitar" - e depois ativo completamente o BIMI.
Se quiser aprofundar as definições técnicas, encontrará uma visão geral neste artigo. guia técnico compacto para autenticação de correio eletrónico.
Com base na minha experiência prática, posso também afirmar que uma fase de teste exaustiva é crucial. Durante este período, envio todos os emails regularmente, monitorizo os relatórios DMARC e certifico-me de que todos os serviços utilizados são introduzidos corretamente. A newsletter externa, o CRM ou as ferramentas de apoio são frequentemente esquecidos. Todas as fontes que reivindicam direitos de remetente sob o meu domínio devem ser registadas no SPF e, se possível, também incluídas no DKIM. Se os e-mails forem rejeitados algures, podem ser incluídos nos relatórios DMARC, o que é extremamente útil para a depuração e o ajuste final.
Assim que tudo estiver a funcionar corretamente, posso mudar com confiança o meu domínio para "quarentena" ou "rejeitar". A vantagem: os e-mails que não estão corretamente autenticados são imediatamente eliminados, o que torna os ataques de phishing muito mais difíceis. Internamente, também organizo acções de formação para garantir que outros departamentos não utilizam espontaneamente novas ferramentas ou servidores de correio sem primeiro ajustar as entradas DNS.
Comparação de fornecedores de alojamento
Muitos fornecedores de alojamento suportam SPF, DKIM e DMARC diretamente no painel do cliente. No entanto, alguns oferecem mais - como resumos de relatórios automatizados ou integrações BIMI simples. A visão geral a seguir mostra os serviços recomendados:
| Local | Fornecedor de alojamento | Suporte de segurança de correio eletrónico | Características especiais |
|---|---|---|---|
| 1 | webhoster.de | Sim | Mobiliário confortável, melhor relação preço/desempenho |
| 2 | Fornecedor B | Sim | – |
| 3 | Fornecedor C | Sim | – |
Na minha experiência, um bom fornecedor de alojamento oferece agora mais do que um simples botão "on/off" para SPF e DKIM. Por exemplo, os painéis modernos sugerem correcções se o registo SPF for demasiado longo ou se forem utilizados mais de dez registos DNS.pesquisas são necessários. Alguns fornecedores também fornecem visões gerais gráficas dos registos DMARC anteriores, o que simplifica uma interpretação rápida. Nesses painéis, o ideal é integrar as informações necessárias para ativar o BIMI e carregar o certificado VMC.
Deve ter em atenção qual o fornecedor responsável pela gestão do DNS. Se esta gestão for efectuada noutro local que não o alojamento web, é frequente ter de sincronizar as definições manualmente. Isto não é um problema, mas exige disciplina para garantir que o fornecedor de alojamento não substitui uma configuração SPF automática ou vice-versa. As verificações regulares das entradas DNS podem evitar falhas desnecessárias no tráfego de correio eletrónico.
Sugestões para problemas e resolução de problemas
Por vezes, apesar de todo o cuidado, algo corre mal - os e-mails são rejeitados ou acabam nas pastas de spam. Nesses casos, adopto uma abordagem estruturada:
- Testar o FPS individualmente: Posso usar ferramentas online ou a linha de comando (por exemplo, usando "dig") para consultar o registo SPF e ver se todos os IPs ou serviços estão incluídos.
- Verificar a assinatura DKIM: Uma ferramenta de teste externa que leia o cabeçalho do correio eletrónico e mostre se a assinatura é válida ajuda muitas vezes. Também verifico o Seletor-entradas no DNS.
- Analisar ativamente os relatórios DMARC: O Relatórios agregados mostram-me quantos e-mails foram colocados em quarentena ou rejeitados. Isto permite-me reconhecer rapidamente padrões quanto aos servidores que não estão autenticados.
- Ver os registos do servidor de correio: Aqui posso ver se um tempo limite de DNS, endereços IP incorrectos ou cabeçalhos de correio diferentes estão a causar problemas.
- Ter em conta os redireccionamentos: As mensagens de correio eletrónico provêm realmente da fonte originalmente autorizada? O DKIM deve permanecer intacto em todos os casos de reencaminhamento complexo.
Graças a estes passos de investigação, normalmente encontro a causa muito rapidamente. É importante proceder de forma sistemática e não mudar tudo de uma só vez e de forma descoordenada. Muitos pequenos passos parciais funcionam de forma mais fiável do que uma mudança radical completa, onde se perde a visão geral.
Melhoria da comunicação com o cliente e da gestão da marca
SPF, DKIM e DMARC não só garantem uma maior segurança, como também aumentam a reputação do meu domínio. Muitos fornecedores de correio eletrónico confiam mais nos emails recebidos regularmente e corretamente autenticados, o que se reflecte em taxas de entrega mais elevadas. As newsletters e as campanhas de marketing, em particular, beneficiam do facto de não serem inadvertidamente marcadas como spam. Por conseguinte, os clientes podem ter a certeza de que receberão sempre mensagens originais sem malware oculto ou esquemas de phishing.
O BIMI reforça ainda mais este efeito. Os e-mails com um logótipo reconhecível sugerem imediatamente profissionalismo. A presença visual na caixa de entrada significa: certifico-me de que a minha marca é recordada - uma vantagem que vai muito para além do mero efeito de segurança.
Também faz diferença para o apoio ao cliente se o cliente receber um e-mail com uma etiqueta oficial. Tenho todo o gosto em indicar, nas minhas assinaturas ou no meu sítio Web, que cumpro estas normas, a fim de evitar inquéritos e prevenir possíveis tentativas de fraude. Isto promove a consciencialização de ambas as partes para uma comunicação segura.
A minha conclusão
SPF, DKIM, DMARC & BIMI funcionam em conjunto, como uma porta digital com campainha, videovigilância e placa de porta. Estas normas não só reduziram drasticamente o número de tentativas de spam, como também reforçaram a confiança dos meus clientes a longo prazo. O meu logótipo na caixa de entrada assinala: Esta mensagem vem mesmo de mim - inalterada e verificada.
Recomendo a todas as empresas: Não façam experiências e sigam o caminho de ativação comprovado. Implementadas passo a passo, estas medidas de proteção reforçarão a sua comunicação, a sua marca e a sua segurança informática a longo prazo.
