0

Como optimizar a configuração do seu email Google Workspace (SPF, DKIM e DMARC)

Configuração SPF, DKIM e DMARC

Optimize o seu email Workspace para evitar que caia na caixa de spam dos receptores

As operações referidas nesta página deverão ser efectuadas na área de gestão de DNS do seu domínio.
Caso não tenha conhecimento neste tipo de operações, informe-se perante o seu responsável técnico. Recomendamos atenção redobrada já que uma deficiente configuração dos registos de DNS poderá comprometer o envio e recepção de emails do seu domínio.

1º PASSO - SPF - validação do servidor de envio de email

O SPF é uma das primeiras tentativas de validação de comunicações por e-mail.

Ao utilizar o serviço Workspace os emails identificados com nome @seu_dominio.com, são enviados atravês dos servidores do Google. O registo SPF instalado no seu domínio permite informar os servidores de recepção quais são os servidores que estão autorizados a enviar em nome do seu domínio.

Este registo é obrigatório para a configuração do serviço Workspace.

Configurar SPF para Workspace

  • Nome / host / alias: @ ou deixe em branco
  • Time to Live (TTL): digite 3600 ou deixe em branco.
  • Valor / resposta / destino: digite v=spf1 include:_spf.google.com ~all.

SPF

Sender Policy Framework
Esta configuração informa que servidores poderão enviar emails em seu nome (do seu domínio).
Testar SPF

Deverá existir apenas um registo SPF por domínio.

Se precisar de incluir mais IPs na lista de autorizações, por exemplo para serviços de newsletters, altere o registo SPF existente e não insira um novo.

2º PASSO - DKIM - autenticação das mensagens de email

O DKIM adiciona uma assinatura criptografada ao cabeçalho de todas as mensagens enviadas.

Os servidores de e-mail que recebem essas mensagens usam o DKIM para descriptografar o cabeçalho da mensagem e confirmar que ela não foi alterada após o envio.

Na consola Workspace

  • Aceda à admin.google.com
  • Clique em Configurar Workspace
  • Selecione GMail.
  • Seleccione Autenticar Email
  • Clique em Gerar Nova Referência
  • Será gerada uma chave de código que deverá inserir na plataforma de gestão do seu domínio

O Gestor do seu Domínio

  • Aceda à área onde detêm os DNS do seu domínio
  • Escolha a opção de inserir um novo registo TXT
  • Insira os dados apresentados na consola de administração
  • Volte à consola de administração Workspace, e clique em Validar código DKIM

DKIM

Domain Keys Identified Mail
É uma técnica de autenticação de email que permite ao destinatário verificar se um email foi de fato enviado e autorizado pelo proprietário desse domínio.
Testar DKIM

3º PASSO - DMARC - unificação de validações

O 3º nível de validação de emails é feito atravês do registo DMARC. 

O DMARC usa os resultados de validação de SPF e DKIM e verifica os nomes de domínio em relação ao endereço FROM no e-mail. Se a validação for bem-sucedida e o nome do domínio alinhar, o resultado da validação do DMARC será aprovado.

Além disso, o DMARC pode dizer explicitamente ao servidor receptor o que fazer com um e-mail se falhar o SPF e o DKIM, fornecendo uma provisão para relatar todas as tentativas de validação.

Um endereço de e-mail pode ser especificado no registro DMARC e o servidor receptor pode enviar relatórios que incluem informações como o endereço IP da origem de um e-mail. Isso é particularmente útil para entender a frequência e quantidade de e-mail não autorizados.

Existem três políticas DMARC para especificar como seu domínio lida com e-mails suspeitos:

  • não fazer nada na mensagem e registrá-la no relatório diário
  • marcar a mensagem como spam e retê-la para processamento adicional (quarentena)
  • cancelar a mensagem para que ela não seja enviada ao destinatário

Registo TXT: "Nenhuma ação"

Não tomar medidas em relação a mensagens que parecem ser do seu domínio, mas não passam nas verificações do DMARC. Envia o relatório diário para postmaster@seu_domínio.com.

Registo TXT
v=DMARC1; p=none; rua=mailto:postmaster@seu_dominio.com

Registo TXT: "Colocação em Quarentena"

Coloca em quarentena 5% das mensagens que parecem ser do seu domínio, mas não passam nas verificações do DMARC. Envia o relatório diário para postmaster@seu_domínio.com.

Registo TXT
v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@seu_dominio.com

Registo TXT: "Rejeitar mensagem"

Rejeita 100% das mensagens que parecem ser do seu domínio, mas não passam nas verificações do DMARC. Envia o relatório diário para postmaster@seu_domínio.com.

Registo TXT
v=DMARC1; p=reject; rua=mailto:postmaster@seu_dominio.com, mailto:dmarc@seu_dominio.com

DMARC

Domain-based Message Authentication, Reporting & Conformance
3º nível de autenticação, o DMARC associa os resultados de SPF e DKIM ao conteúdo do email: especificamente ao domínio encontrado no cabeçalho De: de um email.
Testar DMARC

Email postmaster@seu_dominio.com

postmaster@... e abuse@... são dois endereços de email reservados que funcionam para monitorização e controlo de spam

O Google monitora todos os e-mails enviados para os endereços abuse@seudomínio.com e postmaster@seudomínio.com, a fim de garantir o tratamento adequado de todas as denúncias de spam, abuso e problemas técnicos. Já que abuse e postmaster são aliases reservados, não é possível usá-los como nomes de usuário ou apelidos.

Se quiser que utilizadores específicos da sua empresa recebam e-mails enviados para abuse@seudomínio.com e postmaster@seudomínio.com, crie grupos chamados abuse e postmaster. Os utilizadores que participam desses grupos receberão os e-mails enviados para esses endereços.