{"id":19881,"date":"2026-06-10T18:21:38","date_gmt":"2026-06-10T16:21:38","guid":{"rendered":"https:\/\/webhosting.de\/mailserver-dkim-alignment-dmarc-enforcement-sicherheit-shield\/"},"modified":"2026-06-10T18:21:38","modified_gmt":"2026-06-10T16:21:38","slug":"servidor-de-correio-eletronico-dkim-alinhamento-dmarc-aplicacao-escudo-de-seguranca","status":"publish","type":"post","link":"https:\/\/webhosting.de\/pt\/mailserver-dkim-alignment-dmarc-enforcement-sicherheit-shield\/","title":{"rendered":"Proteja corretamente o seu servidor de correio eletr\u00f3nico: Alinhamento DKIM e aplica\u00e7\u00e3o DMARC para m\u00e1xima seguran\u00e7a do correio eletr\u00f3nico"},"content":{"rendered":"<p>Protejo sistematicamente o meu servidor de correio eletr\u00f3nico <strong>dkim alinhamento dmarc<\/strong> de forma limpa e gradualmente fazer com que a pol\u00edtica seja aplicada. Desta forma, evito de forma fi\u00e1vel os endere\u00e7os de remetente mal utilizados, mantenho o phishing afastado e refor\u00e7o visivelmente a capacidade de entrega de mensagens leg\u00edtimas.<\/p>\n\n<h2>Pontos centrais<\/h2>\n\n<ul>\n  <li><strong>Alinhamento<\/strong> associa o DKIM\/SPF ao dom\u00ednio vis\u00edvel De<\/li>\n  <li><strong>DMARC<\/strong> For\u00e7a o tratamento dos controlos incorrectos<\/li>\n  <li><strong>Aplica\u00e7\u00e3o da lei<\/strong> ocorre passo a passo: nenhum \u2192 quarentena \u2192 rejeitar<\/li>\n  <li><strong>DKIM<\/strong> permanece fi\u00e1vel durante o reencaminhamento<\/li>\n  <li><strong>Monitoriza\u00e7\u00e3o<\/strong> nos relat\u00f3rios DMARC revela lacunas<\/li>\n<\/ul>\n\n<h2>Porque \u00e9 que o alinhamento DKIM e a aplica\u00e7\u00e3o DMARC devem estar juntos<\/h2>\n\n<p>Eu vincular a verifica\u00e7\u00e3o t\u00e9cnica do remetente via <strong>DKIM<\/strong> e SPF para o dom\u00ednio From vis\u00edvel, para que ningu\u00e9m possa falsificar o meu dom\u00ednio de forma cred\u00edvel. O DMARC define regras claras para este efeito: Se nenhuma das duas verifica\u00e7\u00f5es for aprovada com um alinhamento adequado, a pol\u00edtica entra em vigor. Este acoplamento impede que um dom\u00ednio de terceiros, corretamente assinado, seja utilizado como disfarce. Os redireccionamentos, em particular, quebram frequentemente o SPF; o DKIM, por outro lado, permanece intacto e transmite a identidade. Por conseguinte, planeio cada implementa\u00e7\u00e3o de modo a que pelo menos um procedimento alinhado proteja a mensagem.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/06\/emailsicherheit-dkim-dmarc-7423.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Como funciona tecnicamente o alinhamento<\/h2>\n\n<p>No cabe\u00e7alho DKIM, comparo o dom\u00ednio na etiqueta d= com o dom\u00ednio vis\u00edvel <strong>De<\/strong>-dom\u00ednio. Em modo estrito, ambos devem ser exatamente iguais; em modo flex\u00edvel, bastam dom\u00ednios organizacionais comuns. O alinhamento SPF existe em paralelo, o que corresponde ao dom\u00ednio do fluxo\/caminho de retorno do envelope. O DMARC aceita um correio eletr\u00f3nico se existir DKIM com alinhamento ou SPF com alinhamento. Esfor\u00e7o-me por obter ambos, de modo a criar toler\u00e2ncia para as rotas de entrega e o reencaminhamento.<\/p>\n\n<h2>Implementar a aplica\u00e7\u00e3o do DMARC passo a passo<\/h2>\n\n<p>Come\u00e7o com p=nenhum e avalio o <strong>Relat\u00f3rios<\/strong> para capturar todas as fontes de envio leg\u00edtimas. Em seguida, limpo o SPF e ativo o DKIM para cada fonte, incluindo ferramentas de boletim informativo e servidores de aplica\u00e7\u00f5es. Se as taxas de acerto estiverem corretas, aumento para p=quarentena para visualizar quaisquer erros sem correr o risco de uma rejei\u00e7\u00e3o for\u00e7ada. Ap\u00f3s as correc\u00e7\u00f5es, mudo para p=reject e bloqueio consistentemente as falsifica\u00e7\u00f5es. Se quiser ler os pormenores do alinhamento e das pol\u00edticas do SPF, pode encontr\u00e1-los no documento compacto <a href=\"https:\/\/webhosting.de\/pt\/mailserver-spf-alinhamento-dmarc-politicas-guia-seguranca\/\">Guia de alinhamento do SPF<\/a> uma panor\u00e2mica complementar.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/06\/mailserver_sicheren_4321.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>DKIM como suporte fi\u00e1vel para a capacidade de entrega<\/h2>\n\n<p>Na pr\u00e1tica, baseio-me, nomeadamente, em <strong>DKIM<\/strong>, porque a assinatura protege o conte\u00fado e os cabe\u00e7alhos importantes. Os redireccionamentos alteram frequentemente o IP de origem ou o envelope, mas a assinatura permanece v\u00e1lida. As grandes caixas de correio favorecem visivelmente as implementa\u00e7\u00f5es corretas do DKIM. Assim, um DKIM alinhado aumenta as minhas hip\u00f3teses de chegar \u00e0 caixa de entrada, ao passo que entradas incorrectas levam rapidamente a que seja posto de lado. Se quiser proteger a sua marca, deve escolher sistematicamente um dom\u00ednio DKIM que corresponda ao dom\u00ednio De.<\/p>\n\n<h2>Pr\u00e1tica: Definir corretamente os registos DKIM e DMARC<\/h2>\n\n<p>Giro um par de chaves DKIM no sistema de envio e publico a chave p\u00fablica como um registo TXT com <strong>v=DKIM1<\/strong>, k=rsa e o valor p=. Ativo a assinatura no servidor de correio e certifico-me de que o dom\u00ednio d= corresponde ao From vis\u00edvel. Crio o registo DMARC como um TXT em _dmarc.mydomain.tld com v=DMARC1, pol\u00edtica p, adkim\/aspf e rua\/ruf. Para um controlo rigoroso, utilizo posteriormente p=reject, adkim=s e, em caso de d\u00favida, aspf=r como transi\u00e7\u00e3o. Ap\u00f3s cada altera\u00e7\u00e3o, verifico a avalia\u00e7\u00e3o do DNS e verifico cuidadosamente os primeiros relat\u00f3rios.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/06\/mailserver-security-dkim-dmarc-3298.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Modos de alinhamento e efeitos pol\u00edticos em compara\u00e7\u00e3o<\/h2>\n\n<p>Tomo uma decis\u00e3o consciente entre relaxado e rigoroso <strong>Alinhamento<\/strong>, porque cada ambiente utiliza caminhos de remetente diferentes. A tabela seguinte mostra as diferen\u00e7as e fornece dicas para mudar para a aplica\u00e7\u00e3o. A defini\u00e7\u00e3o de regras claras reduz os falsos positivos e mant\u00e9m as caixas de entrada limpas. Utilizo as regras claras para a fase de arranque e depois mudo para as regras estritas, conforme necess\u00e1rio. Isto permite-me planear a minha implementa\u00e7\u00e3o e garante a entrega.<\/p>\n\n<table>\n  <thead>\n    <tr>\n      <th>Aspeto<\/th>\n      <th>DKIM estrito (adkim=s)<\/th>\n      <th>DKIM relaxado (adkim=r)<\/th>\n      <th>Nota pr\u00e1tica<\/th>\n    <\/tr>\n  <\/thead>\n  <tbody>\n    <tr>\n      <td>Compara\u00e7\u00e3o de dom\u00ednios<\/td>\n      <td><strong>Exato<\/strong> Id\u00eantico<\/td>\n      <td>Mesmo dom\u00ednio da organiza\u00e7\u00e3o<\/td>\n      <td>O Strict oferece a prote\u00e7\u00e3o mais forte contra a utiliza\u00e7\u00e3o indevida<\/td>\n    <\/tr>\n    <tr>\n      <td>Subdom\u00ednios<\/td>\n      <td>Sem cobertura autom\u00e1tica<\/td>\n      <td>Os subdom\u00ednios s\u00e3o considerados adequados<\/td>\n      <td>O Relaxed simplifica os envios m\u00faltiplos<\/td>\n    <\/tr>\n    <tr>\n      <td>Toler\u00e2ncia a falhas<\/td>\n      <td>Baixa<\/td>\n      <td><strong>Mais alto<\/strong><\/td>\n      <td>Muitas vezes, relaxado para a fase de arranque<\/td>\n    <\/tr>\n    <tr>\n      <td>Pol\u00edtica DMARC<\/td>\n      <td>p=rejeitar boa capacidade de carga<\/td>\n      <td>p=quarentena como passo interm\u00e9dio<\/td>\n      <td>Verificar relat\u00f3rios, depois apertar<\/td>\n    <\/tr>\n    <tr>\n      <td>Capacidade de entrega<\/td>\n      <td>Muito claro para os destinat\u00e1rios<\/td>\n      <td>Mais flex\u00edvel com o reencaminhamento<\/td>\n      <td>Combinar com o alinhamento SPF<\/td>\n    <\/tr>\n  <\/tbody>\n<\/table>\n\n<h2>Controlo: Ler corretamente os relat\u00f3rios e agir em conformidade<\/h2>\n\n<p>Eu avalio agregados <strong>DMARC<\/strong>-relata regularmente e, assim, reconhece novas fontes de transmiss\u00e3o ou configura\u00e7\u00f5es incorrectas. Os IPs vis\u00edveis, as assinaturas DKIM em falta ou as viola\u00e7\u00f5es SPF podem ser rapidamente identificadas. Monitorizo as curvas durante pelo menos duas semanas ap\u00f3s cada altera\u00e7\u00e3o. Se restarem apenas alguns valores an\u00f3malos, refor\u00e7o a pol\u00edtica. Esta monitoriza\u00e7\u00e3o constante torna os ataques vis\u00edveis e protege a minha marca de uma forma mensur\u00e1vel.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/06\/MailserverSicherheit3587.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Casos especiais: Reencaminhamento, listas de correio eletr\u00f3nico e gateways<\/h2>\n\n<p>Verifico as regras de reencaminhamento porque o SPF quebra frequentemente em rel\u00e9s externos e <strong>DKIM<\/strong> torna-se um salvador. As listas de correio eletr\u00f3nico modificam por vezes o assunto ou inserem rodap\u00e9s, que devem ser testados para detetar uma fraca canoniza\u00e7\u00e3o DKIM. Os gateways que enviam mensagens de correio eletr\u00f3nico a partir de faxes em PDF ou de eventos de CRM necessitam da sua pr\u00f3pria assinatura DKIM, alinhada com o dom\u00ednio principal. Quando isto n\u00e3o funciona, utilizo subdom\u00ednios dedicados com pol\u00edticas claras. Isto mant\u00e9m a cadeia de assinaturas intacta e minimiza os falsos alarmes.<\/p>\n\n<h2>Pense na seguran\u00e7a SMTP de forma abrangente<\/h2>\n\n<p>Eu combino <strong>TLS<\/strong> para encripta\u00e7\u00e3o de transporte, filtros de conte\u00fados para padr\u00f5es de spam e autentica\u00e7\u00e3o de dom\u00ednios atrav\u00e9s de SPF, DKIM e DMARC. Estas camadas trabalham em conjunto e colmatam as lacunas deixadas em aberto pelas medidas individuais. Mesmo que algu\u00e9m envie uma mensagem de correio eletr\u00f3nico atrav\u00e9s de um IP comprometido, o DMARC ir\u00e1 parar a mensagem com o alinhamento correto. Por isso, concentro-me em entradas de DNS limpas, caminhos de remetente consistentes e monitoriza\u00e7\u00e3o cont\u00ednua. O resultado \u00e9 menos casos de apoio e uma entrega fi\u00e1vel.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/06\/mailserver_sicherheit_4623.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Estabilidade da assinatura e canoniza\u00e7\u00e3o DKIM<\/h2>\n\n<p>Eu escolho o <strong>Canoniza\u00e7\u00e3o<\/strong> para que as altera\u00e7\u00f5es habituais no cabe\u00e7alho ou no espa\u00e7o em branco n\u00e3o invalidem a assinatura. Para muitas configura\u00e7\u00f5es, relaxed\/relaxed \u00e9 mais adequado do que strict\/strict porque as gateways fazem frequentemente pequenos ajustes. Ao mesmo tempo, o \u00e2mbito n\u00e3o deve ser demasiado alargado para que a autenticidade seja mantida. Se quiser aprofundar o tema, pode encontrar mais informa\u00e7\u00f5es em <a href=\"https:\/\/webhosting.de\/pt\/dkim-canonicalizacao-assinatura-estabilidade-servidor-de-correio-seguranca\/\">Canoniza\u00e7\u00e3o do DKIM<\/a> Dicas pr\u00e1ticas sobre a estabilidade da assinatura. Eu testo todas as altera\u00e7\u00f5es com caminhos de expedi\u00e7\u00e3o reais antes de refor\u00e7ar as pol\u00edticas.<\/p>\n\n<h2>Configura\u00e7\u00e3o no Plesk e pain\u00e9is comuns<\/h2>\n\n<p>Utilizo os pain\u00e9is de administra\u00e7\u00e3o para <strong>DKIM<\/strong>-e introduzir os registos DNS de forma conveniente. Muitas interfaces permitem-lhe atribuir o seletor certo por dom\u00ednio e subdom\u00ednio. Para ambientes mistos com CRM, boletins informativos e aplica\u00e7\u00f5es, separo os selectores para poder rodar as teclas sem tocar em tudo. Se precisar de uma introdu\u00e7\u00e3o r\u00e1pida, encontrar\u00e1 o compacto <a href=\"https:\/\/webhosting.de\/pt\/spf-dkim-dmarc-plesk-guia-seguranca-tuning-profissional\/\">Configura\u00e7\u00e3o do correio eletr\u00f3nico Plesk<\/a> um guia \u00fatil. Em seguida, verifico os registos e confirmo a efic\u00e1cia com mensagens de teste para grandes caixas de correio.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/06\/mailserver-sicherheit-4829.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Compacto de boas pr\u00e1ticas<\/h2>\n\n<p>Considero <strong>SPF<\/strong>, O DKIM e o DMARC est\u00e3o sempre juntos e evitam contradi\u00e7\u00f5es entre os registos. Documentei imediatamente novas fontes de transmiss\u00e3o e associei-as a selectores adequados. Fa\u00e7o a rota\u00e7\u00e3o das chaves de forma previs\u00edvel e mantenho o comprimento atualizado. No caso de implementa\u00e7\u00f5es, come\u00e7o com uma abordagem flex\u00edvel, recolho dados e mudo para uma abordagem rigorosa mais tarde, quando as rotas do remetente s\u00e3o claras. Monitorizo todas as altera\u00e7\u00f5es at\u00e9 os valores permanecerem est\u00e1veis.<\/p>\n\n<h2>Alinhamento SPF em pormenor e SRS para redireccionamentos<\/h2>\n<p>Com o SPF, fa\u00e7o a distin\u00e7\u00e3o entre o dom\u00ednio MailFrom\/caminho de retorno e a identidade HELO\/EHLO. O dom\u00ednio MailFrom conta para o alinhamento DMARC; se este falhar, um HELO correspondente pode salvar o SPF, mas n\u00e3o o pode alinhar de acordo com o DMARC. Por conseguinte, certifico-me de que o dom\u00ednio \"from\" do envelope \u00e9 id\u00eantico ao dom\u00ednio \"from\" (estrito) ou, pelo menos, pertence ao mesmo dom\u00ednio da organiza\u00e7\u00e3o (flex\u00edvel). Para o reencaminhamento, utilizo o SRS (Sender Rewriting Scheme) para que o caminho de retorno seja adaptado e o SPF seja novamente v\u00e1lido para o destinat\u00e1rio a jusante. Quando n\u00e3o posso controlar o SRS, confio num alinhamento DKIM forte que transmite a identidade.<\/p>\n\n<h2>ARC: Cadeia de confian\u00e7a para trajectos de entrega complexos<\/h2>\n<p>Tenho em conta <strong>ARC<\/strong> (Authenticated Received Chain) quando as mensagens passam por gateways, listas de correio eletr\u00f3nico ou servi\u00e7os de reencaminhamento que alteram minimamente o conte\u00fado. O ARC preserva os resultados da autentica\u00e7\u00e3o original numa cadeia assinada. As caixas de correio de grandes dimens\u00f5es podem assim reconhecer que um correio foi corretamente autenticado na origem, mesmo que as modifica\u00e7\u00f5es subsequentes violem o DMARC. No entanto, eu n\u00e3o aceito cegamente o ARC, mas incluo-o como um sinal adicional: Se o DKIM\/DMARC n\u00e3o for aprovado apesar do ARC, verifico se o sistema interposto \u00e9 fi\u00e1vel ou se est\u00e1 a reescrever incorretamente.<\/p>\n\n<h2>Utiliza\u00e7\u00e3o direcionada dos par\u00e2metros DMARC<\/h2>\n<p>N\u00e3o s\u00f3 configuro o DMARC com v=DMARC1 e p=..., como tamb\u00e9m utilizo o controlo fino de forma consistente:<\/p>\n<ul>\n  <li><strong>rua\/call<\/strong>Utilizo permanentemente os relat\u00f3rios agregados (rua); utilizo os relat\u00f3rios forenses (ruf) com precau\u00e7\u00e3o porque podem conter conte\u00fados pessoais. Autorizo sempre os destinat\u00e1rios externos dos relat\u00f3rios atrav\u00e9s do DNS, para que os relat\u00f3rios sejam entregues.<\/li>\n  <li><strong>pct<\/strong>Para implementa\u00e7\u00f5es sem risco, inicialmente s\u00f3 deixo as pol\u00edticas afectarem uma percentagem e aumento-as passo a passo at\u00e9 atingir 100%.<\/li>\n  <li><strong>esp<\/strong>Defino uma pol\u00edtica diferente para os subdom\u00ednios, se necess\u00e1rio. Por exemplo, o dom\u00ednio principal j\u00e1 pode executar p=reject, enquanto os subdom\u00ednios de teste ou de ferramentas continuam a reportar p=none.<\/li>\n  <li><strong>adkim\/aspf<\/strong>Muitas vezes, come\u00e7o com a op\u00e7\u00e3o relaxada (r) e passo para a op\u00e7\u00e3o estrita (s) ap\u00f3s a estabiliza\u00e7\u00e3o, se as rotas do remetente estiverem claramente definidas.<\/li>\n  <li><strong>ri<\/strong>Escolho intervalos sensatos para os relat\u00f3rios agregados, de modo a receber os dados atempadamente, mas sem os inundar.<\/li>\n<\/ul>\n\n<h2>Gest\u00e3o de chaves DKIM e estrat\u00e9gia de sele\u00e7\u00e3o<\/h2>\n<p>Estou a planear o <strong>Rota\u00e7\u00e3o das teclas<\/strong> desde o in\u00edcio. Cada caminho de remetente recebe o seu pr\u00f3prio seletor para que eu possa trocar chaves de forma direcionada. Utilizo 2048 bits como comprimento da chave; 1024 j\u00e1 n\u00e3o est\u00e1 atualizado, 4096 conduz a registos DNS demasiado longos. Certifico-me de que o registo DKIM TXT em <em>seletor._domainkey.domain.tld<\/em> \u00e9 segmentado de forma limpa em blocos de 255 caracteres e n\u00e3o cont\u00e9m v\u00edrgulas invertidas ou espa\u00e7os desnecess\u00e1rios. Para as fases de teste, posso utilizar o sinalizador t=y no registo da chave; se necess\u00e1rio, limito os ambientes restritivos ao dom\u00ednio exato com t=s. O Ed25519 tem um bom desempenho, mas n\u00e3o \u00e9 aceite por todos os destinat\u00e1rios - mantenho-me fiel ao RSA at\u00e9 n\u00e3o haver lacunas no suporte.<\/p>\n<p>Na assinatura propriamente dita, eu sobre-assino cabe\u00e7alhos cr\u00edticos como From, To, Subject, Date, Message-ID e MIME-Version para evitar manipula\u00e7\u00e3o posterior. Evito a arriscada etiqueta l= (comprimento do corpo) porque mesmo pequenas altera\u00e7\u00f5es no corpo podem invalidar a assinatura. Utilizo a relaxed para a canoniza\u00e7\u00e3o de cabe\u00e7alhos, de modo a que uma formata\u00e7\u00e3o trivial n\u00e3o invalide imediatamente a assinatura.<\/p>\n\n<h2>Design SPF sem riscos de trope\u00e7ar<\/h2>\n<p>Mantenho a regra SPF t\u00e3o simples quanto poss\u00edvel e lembro-me do limite de 10 pesquisas de DNS. Includes, a, mx, ptr e redirect somam; reduzo-os sempre que posso e prefiro trabalhar com entradas ip4\/ip6 fixas ou subdom\u00ednios dedicados por servi\u00e7o. Um perigoso +all n\u00e3o entra no meu registo; utilizo ~all nas fases iniciais e passo para -all mais tarde, quando todas as fontes leg\u00edtimas est\u00e3o cobertas. Para fornecedores terceiros, configuro os meus pr\u00f3prios dom\u00ednios envelope-from para que o alinhamento SPF funcione sem contorcionismos e a pol\u00edtica DMARC tenha efeito.<\/p>\n\n<h2>Subdom\u00ednios, espa\u00e7os de marca e dom\u00ednios organizacionais<\/h2>\n<p>Estruturei o meu panorama de remetentes: os e-mails transaccionais, de marketing e os alertas de sistema recebem os seus pr\u00f3prios subdom\u00ednios. Utilizo a tag sp DMARC para controlar a sua pol\u00edtica independentemente do dom\u00ednio principal. Ao faz\u00ea-lo, observo o conceito de dom\u00ednio organizacional (sufixo p\u00fablico +1): No alinhamento descontra\u00eddo, uma correspond\u00eancia a este n\u00edvel \u00e9 suficiente. Se a marca corresponder, aumento mais tarde a prote\u00e7\u00e3o com um alinhamento rigoroso e, assim, evito que subdom\u00ednios desviantes sejam utilizados como uma sa\u00edda.<\/p>\n\n<h2>Diagn\u00f3sticos com resultados de autentica\u00e7\u00e3o<\/h2>\n<p>No caso de um erro, leio sistematicamente o cabe\u00e7alho Authentication-Results. Um bloco t\u00edpico mostra-me dkim=pass\/fail, spf=pass\/fail e dmarc=pass\/fail juntamente com a pol\u00edtica aplicada. Se encontrar dkim=fail devido a uma incompatibilidade de hash do corpo, procuro gateways que insiram rodap\u00e9s ou linhas de quebra. Se spf=fail, verifico o caminho de retorno e o IP, incluindo o achatamento SPF. Se dmarc=fail apesar de dkim=pass, o alinhamento est\u00e1 normalmente quebrado (o dom\u00ednio d= n\u00e3o corresponde ao dom\u00ednio from) - corrijo ent\u00e3o o d= ou a identidade from.<\/p>\n\n<h2>BIMI: Refor\u00e7o vis\u00edvel da marca com base no DMARC<\/h2>\n<p>Eu uso <strong>BIMI<\/strong>, onde faz sentido apresentar o log\u00f3tipo da marca nas caixas de correio de apoio. O pr\u00e9-requisito \u00e9 uma pol\u00edtica DMARC aplicada (colocar em quarentena\/rejeitar) e um espa\u00e7o de remetente limpo. Garanto um log\u00f3tipo SVG correto e - dependendo do destinat\u00e1rio - um certificado de marca verificado. O BIMI n\u00e3o \u00e9 um substituto para a seguran\u00e7a, mas uma recompensa pela autentica\u00e7\u00e3o consistente e uma confirma\u00e7\u00e3o vis\u00edvel para os destinat\u00e1rios.<\/p>\n\n<h2>ADN e higiene dos transportes como base<\/h2>\n<p>Mantenho a infraestrutura limpa: um PTR (Reverse DNS) correspondente aponta para o nome EHLO\/HELO, que por sua vez aponta para um endere\u00e7o A\/AAAA v\u00e1lido. SPF, DKIM e DMARC correspondem a este espa\u00e7o de nomes. Para o transporte, utilizo TLS com cifras modernas, adicionando opcionalmente MTA-STS\/TLS-RPT e - se dispon\u00edvel - DANE com DNSSEC. Isto reduz a superf\u00edcie de ataque e tamb\u00e9m melhora os sinais de entrega.<\/p>\n\n<h2>Requisitos de conformidade para caixas de correio de grandes dimens\u00f5es<\/h2>\n<p>Observo os requisitos dos grandes fornecedores: Remetente claro, assinatura DKIM v\u00e1lida, pol\u00edtica DMARC, baixas taxas de reclama\u00e7\u00e3o, lista de cancelamento de subscri\u00e7\u00e3o funcional para remetentes em massa, rDNS\/HELO consistente e TLS. Se cumprir estas regras b\u00e1sicas, evitar\u00e1 bloqueios em massa e classifica\u00e7\u00f5es de spam desnecess\u00e1rias. A aplica\u00e7\u00e3o do DMARC \u00e9 um componente essencial aqui - n\u00e3o s\u00f3 para proteger os destinat\u00e1rios, mas tamb\u00e9m como um recurso de qualidade para remetentes respeit\u00e1veis.<\/p>\n\n<h2>Estrat\u00e9gia de teste e implementa\u00e7\u00e3o<\/h2>\n<p>Trabalho com listas de sementes em grandes caixas de correio e monitorizo o desenvolvimento do posicionamento da caixa de entrada. Come\u00e7o por testar todas as altera\u00e7\u00f5es \u00e0s chaves, pol\u00edticas ou caminhos de envio em pequenas doses (pct) e com p=nenhum, depois p=quarentena e s\u00f3 mais tarde p=rejeitar. Ao mesmo tempo, monitorizo os c\u00f3digos de devolu\u00e7\u00e3o e verifico se os problemas de entrega est\u00e3o relacionados com a autentica\u00e7\u00e3o. Esta disciplina evita quebras bruscas e encurta o tempo at\u00e9 \u00e0 produ\u00e7\u00e3o est\u00e1vel.<\/p>\n\n<h2>Dom\u00ednios internacionalizados e caracteres especiais<\/h2>\n<p>Tenho em conta os IDN: para os dom\u00ednios From e DKIM-d=, trabalho internamente com o Punycode para que o alinhamento se mantenha robusto. Diferentes ortografias e normaliza\u00e7\u00e3o Unicode podem levar a falsos alarmes subtis. Por conseguinte, analiso tanto a representa\u00e7\u00e3o nativa como a forma ASCII nos registos e na monitoriza\u00e7\u00e3o.<\/p>\n\n<h2>Fontes t\u00edpicas de erro na pr\u00e1tica<\/h2>\n<ul>\n  <li><strong>Seletor DKIM incorreto<\/strong>Os selectores de assinatura e de publica\u00e7\u00e3o s\u00e3o diferentes - a assinatura n\u00e3o pode ser verificada.<\/li>\n  <li><strong>Registos DNS demasiado longos<\/strong>Os valores p= segmentados incorretamente ultrapassam os 255 caracteres; os receptores l\u00eaem ent\u00e3o chaves vazias ou corrompidas.<\/li>\n  <li><strong>Unstable from-domains<\/strong>As aplica\u00e7\u00f5es definem remetentes vari\u00e1veis que n\u00e3o correspondem ao dom\u00ednio DKIM-d= - o alinhamento cai.<\/li>\n  <li><strong>Limite de pesquisa SPF<\/strong>Demasiados includes; o registo falha tecnicamente, embora esteja sintaticamente correto.<\/li>\n  <li><strong>Gateways com reescrita do rodap\u00e9<\/strong>O DKIM rompe as declara\u00e7\u00f5es de exonera\u00e7\u00e3o de responsabilidade inseridas; eu ajusto a canoniza\u00e7\u00e3o ou assino de novo atr\u00e1s do gateway.<\/li>\n<\/ul>\n\n<h2>Brevemente resumido<\/h2>\n\n<p>Protejo efetivamente o meu servidor de correio eletr\u00f3nico <strong>Alinhamento<\/strong> de forma consistente e definir o DMARC para p=rejeitar assim que os remetentes leg\u00edtimos forem devidamente verificados. O DKIM tamb\u00e9m transporta a identidade dos reencaminhadores, raz\u00e3o pela qual tenciono utiliz\u00e1-lo como base. O SPF complementa-o e fornece transpar\u00eancia adicional sobre as fontes de envio autorizadas. Com relat\u00f3rios, selectores claros e entradas DNS organizadas, mantenho as falsifica\u00e7\u00f5es afastadas. Desta forma, refor\u00e7o a confian\u00e7a na marca, aumento a taxa de entrega e poupo custos de apoio atrav\u00e9s de menos entregas falsas.<\/p>","protected":false},"excerpt":{"rendered":"<p>Descubra como o alinhamento DKIM e a imposi\u00e7\u00e3o DMARC protegem os seus servidores de correio eletr\u00f3nico e evitam eficazmente a falsifica\u00e7\u00e3o de correio eletr\u00f3nico com a palavra-chave dkim alignment dmarc.<\/p>","protected":false},"author":1,"featured_media":19874,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[708],"tags":[],"class_list":["post-19881","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-email"],"acf":[],"_wp_attached_file":null,"_wp_attachment_metadata":null,"litespeed-optimize-size":null,"litespeed-optimize-set":null,"_elementor_source_image_hash":null,"_wp_attachment_image_alt":null,"stockpack_author_name":null,"stockpack_author_url":null,"stockpack_provider":null,"stockpack_image_url":null,"stockpack_license":null,"stockpack_license_url":null,"stockpack_modification":null,"color":null,"original_id":null,"original_url":null,"original_link":null,"unsplash_location":null,"unsplash_sponsor":null,"unsplash_exif":null,"unsplash_attachment_metadata":null,"_elementor_is_screenshot":null,"surfer_file_name":null,"surfer_file_original_url":null,"envato_tk_source_kit":null,"envato_tk_source_index":null,"envato_tk_manifest":null,"envato_tk_folder_name":null,"envato_tk_builder":null,"envato_elements_download_event":null,"_menu_item_type":null,"_menu_item_menu_item_parent":null,"_menu_item_object_id":null,"_menu_item_object":null,"_menu_item_target":null,"_menu_item_classes":null,"_menu_item_xfn":null,"_menu_item_url":null,"_trp_menu_languages":null,"rank_math_primary_category":null,"rank_math_title":null,"inline_featured_image":null,"_yoast_wpseo_primary_category":null,"rank_math_schema_blogposting":null,"rank_math_schema_videoobject":null,"_oembed_049c719bc4a9f89deaead66a7da9fddc":null,"_oembed_time_049c719bc4a9f89deaead66a7da9fddc":null,"_yoast_wpseo_focuskw":null,"_yoast_wpseo_linkdex":null,"_oembed_27e3473bf8bec795fbeb3a9d38489348":null,"_oembed_c3b0f6959478faf92a1f343d8f96b19e":null,"_trp_translated_slug_en_us":null,"_wp_desired_post_slug":null,"_yoast_wpseo_title":null,"tldname":null,"tldpreis":null,"tldrubrik":null,"tldpolicylink":null,"tldsize":null,"tldregistrierungsdauer":null,"tldtransfer":null,"tldwhoisprivacy":null,"tldregistrarchange":null,"tldregistrantchange":null,"tldwhoisupdate":null,"tldnameserverupdate":null,"tlddeletesofort":null,"tlddeleteexpire":null,"tldumlaute":null,"tldrestore":null,"tldsubcategory":null,"tldbildname":null,"tldbildurl":null,"tldclean":null,"tldcategory":null,"tldpolicy":null,"tldbesonderheiten":null,"tld_bedeutung":null,"_oembed_d167040d816d8f94c072940c8009f5f8":null,"_oembed_b0a0fa59ef14f8870da2c63f2027d064":null,"_oembed_4792fa4dfb2a8f09ab950a73b7f313ba":null,"_oembed_33ceb1fe54a8ab775d9410abf699878d":null,"_oembed_fd7014d14d919b45ec004937c0db9335":null,"_oembed_21a029d076783ec3e8042698c351bd7e":null,"_oembed_be5ea8a0c7b18e658f08cc571a909452":null,"_oembed_a9ca7a298b19f9b48ec5914e010294d2":null,"_oembed_f8db6b27d08a2bb1f920e7647808899a":null,"_oembed_168ebde5096e77d8a89326519af9e022":null,"_oembed_cdb76f1b345b42743edfe25481b6f98f":null,"_oembed_87b0613611ae54e86e8864265404b0a1":null,"_oembed_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_oembed_time_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_tldname":null,"_tldclean":null,"_tldpreis":null,"_tldcategory":null,"_tldsubcategory":null,"_tldpolicy":null,"_tldpolicylink":null,"_tldsize":null,"_tldregistrierungsdauer":null,"_tldtransfer":null,"_tldwhoisprivacy":null,"_tldregistrarchange":null,"_tldregistrantchange":null,"_tldwhoisupdate":null,"_tldnameserverupdate":null,"_tlddeletesofort":null,"_tlddeleteexpire":null,"_tldumlaute":null,"_tldrestore":null,"_tldbildname":null,"_tldbildurl":null,"_tld_bedeutung":null,"_tldbesonderheiten":null,"_oembed_ad96e4112edb9f8ffa35731d4098bc6b":null,"_oembed_8357e2b8a2575c74ed5978f262a10126":null,"_oembed_3d5fea5103dd0d22ec5d6a33eff7f863":null,"_eael_widget_elements":null,"_oembed_0d8a206f09633e3d62b95a15a4dd0487":null,"_oembed_time_0d8a206f09633e3d62b95a15a4dd0487":null,"_aioseo_description":null,"_eb_attr":null,"_eb_data_table":null,"_oembed_819a879e7da16dd629cfd15a97334c8a":null,"_oembed_time_819a879e7da16dd629cfd15a97334c8a":null,"_acf_changed":null,"_wpcode_auto_insert":null,"_edit_last":null,"_edit_lock":null,"_oembed_e7b913c6c84084ed9702cb4feb012ddd":null,"_oembed_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_time_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_03514b67990db061d7c4672de26dc514":null,"_oembed_time_03514b67990db061d7c4672de26dc514":null,"rank_math_news_sitemap_robots":null,"rank_math_robots":null,"_eael_post_view_count":"81","_trp_automatically_translated_slug_ru_ru":null,"_trp_automatically_translated_slug_et":null,"_trp_automatically_translated_slug_lv":null,"_trp_automatically_translated_slug_fr_fr":null,"_trp_automatically_translated_slug_en_us":null,"_wp_old_slug":null,"_trp_automatically_translated_slug_da_dk":null,"_trp_automatically_translated_slug_pl_pl":null,"_trp_automatically_translated_slug_es_es":null,"_trp_automatically_translated_slug_hu_hu":null,"_trp_automatically_translated_slug_fi":null,"_trp_automatically_translated_slug_ja":null,"_trp_automatically_translated_slug_lt_lt":null,"_elementor_edit_mode":null,"_elementor_template_type":null,"_elementor_version":null,"_elementor_pro_version":null,"_wp_page_template":null,"_elementor_page_settings":null,"_elementor_data":null,"_elementor_css":null,"_elementor_conditions":null,"_happyaddons_elements_cache":null,"_oembed_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_time_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_time_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_59808117857ddf57e478a31d79f76e4d":null,"_oembed_time_59808117857ddf57e478a31d79f76e4d":null,"_oembed_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_time_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_81002f7ee3604f645db4ebcfd1912acf":null,"_oembed_time_81002f7ee3604f645db4ebcfd1912acf":null,"_elementor_screenshot":null,"_oembed_7ea3429961cf98fa85da9747683af827":null,"_oembed_time_7ea3429961cf98fa85da9747683af827":null,"_elementor_controls_usage":null,"_elementor_page_assets":[],"_elementor_screenshot_failed":null,"theplus_transient_widgets":null,"_eael_custom_js":null,"_wp_old_date":null,"_trp_automatically_translated_slug_it_it":null,"_trp_automatically_translated_slug_pt_pt":null,"_trp_automatically_translated_slug_zh_cn":null,"_trp_automatically_translated_slug_nl_nl":null,"_trp_automatically_translated_slug_pt_br":null,"_trp_automatically_translated_slug_sv_se":null,"rank_math_analytic_object_id":null,"rank_math_internal_links_processed":"1","_trp_automatically_translated_slug_ro_ro":null,"_trp_automatically_translated_slug_sk_sk":null,"_trp_automatically_translated_slug_bg_bg":null,"_trp_automatically_translated_slug_sl_si":null,"litespeed_vpi_list":null,"litespeed_vpi_list_mobile":null,"rank_math_seo_score":null,"rank_math_contentai_score":null,"ilj_limitincominglinks":null,"ilj_maxincominglinks":null,"ilj_limitoutgoinglinks":null,"ilj_maxoutgoinglinks":null,"ilj_limitlinksperparagraph":null,"ilj_linksperparagraph":null,"ilj_blacklistdefinition":null,"ilj_linkdefinition":null,"_eb_reusable_block_ids":null,"rank_math_focus_keyword":"dkim alignment dmarc","rank_math_og_content_image":null,"_yoast_wpseo_metadesc":null,"_yoast_wpseo_content_score":null,"_yoast_wpseo_focuskeywords":null,"_yoast_wpseo_keywordsynonyms":null,"_yoast_wpseo_estimated-reading-time-minutes":null,"rank_math_description":null,"surfer_last_post_update":null,"surfer_last_post_update_direction":null,"surfer_keywords":null,"surfer_location":null,"surfer_draft_id":null,"surfer_permalink_hash":null,"surfer_scrape_ready":null,"_thumbnail_id":"19874","footnotes":null,"_links":{"self":[{"href":"https:\/\/webhosting.de\/pt\/wp-json\/wp\/v2\/posts\/19881","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/webhosting.de\/pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/webhosting.de\/pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/webhosting.de\/pt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/webhosting.de\/pt\/wp-json\/wp\/v2\/comments?post=19881"}],"version-history":[{"count":0,"href":"https:\/\/webhosting.de\/pt\/wp-json\/wp\/v2\/posts\/19881\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/webhosting.de\/pt\/wp-json\/wp\/v2\/media\/19874"}],"wp:attachment":[{"href":"https:\/\/webhosting.de\/pt\/wp-json\/wp\/v2\/media?parent=19881"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/webhosting.de\/pt\/wp-json\/wp\/v2\/categories?post=19881"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/webhosting.de\/pt\/wp-json\/wp\/v2\/tags?post=19881"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}