E-mail marketing e automação

Como validar se a autenticação de e-mail está configurada corretamente para DKIM, DMARC, SPF e BIMI

Se você estiver enviando volumes significativos de e-mails de marketing, é provável que seu e-mail não chegue à caixa de entrada se você não tiver configurado sua autenticação de e-mail. Trabalhamos com muitas empresas auxiliando-as com sua migração de e-mail, aquecimento de IP e problemas de capacidade de entrega. A maioria das empresas nem percebe que tem um problema; eles acham que os assinantes simplesmente não estão engajados com seus e-mails.

Phishing

Em causa está o crescente problema de e-mails maliciosos e fraudulentos, especialmente Phishing e-mails. Phishing é um ataque cibernético em que indivíduos ou organizações tentam induzir as pessoas a revelar informações confidenciais, como senhas ou detalhes de cartão de crédito, disfarçando-se como entidades confiáveis. Isso é feito principalmente por e-mail. O invasor enviará um e-mail que parece ser de uma fonte legítima e o levará a uma página de destino que você acredita ser um login ou outra página de autenticação na qual a vítima inadvertidamente insere suas informações pessoais.

Os problemas invisíveis da entregabilidade

Existem três problemas invisíveis com a capacidade de entrega de e-mail que as empresas desconhecem:

  1. Permissão – Provedores de serviços de e-mail (ESPs) gerencie as permissões opt-in… mas o provedor de serviços de Internet (ISP) gerencia o gateway para o endereço de e-mail de destino. É um sistema inerentemente falho que disparou esquemas fraudulentos como phishing. Você pode fazer tudo certo como empresa para obter permissão e endereços de e-mail, e o ISP não tem ideia e pode bloqueá-lo de qualquer maneira. Os ISPs assumem que você é um spammer ou está enviando e-mails maliciosos... a menos que você prove o contrário.
  2. Posicionamento da caixa de entrada – ESPs promovem consistentemente altas taxas de entrega que são absurdas. Um e-mail encaminhado diretamente para a pasta de lixo eletrônico e nunca visto pelo seu assinante de e-mail é tecnicamente entregue. Para monitorar verdadeiramente o posicionamento de sua caixa de entrada, você deve usar um lista de sementes e examine cada ISP para identificar se o seu e-mail foi parar na caixa de entrada ou na pasta de lixo eletrônico. Minha empresa também pode fornecer esses testes para você.
  3. Reputação – ISPs e serviços de terceiros também mantêm pontuações de reputação para o endereço IP de envio do seu e-mail. Existem listas negras que os ISPs podem usar para bloquear todos os seus e-mails, ou você pode ter uma reputação ruim que o encaminharia para a pasta de lixo eletrônico. Você pode usar muitos serviços para monitorar sua reputação de IP, mas eu seria um pouco pessimista, pois muitos não têm informações sobre o algoritmo de cada ISP.

Autenticação do email

A melhor prática para atenuar quaisquer problemas de posicionamento da caixa de entrada é garantir que você configurou registros de autenticação de e-mail que os ISPs possam usar para verificar e validar se os e-mails que você está enviando são realmente enviados por você e não por alguém que finge ser sua empresa. Isso é feito por meio de alguns padrões:

  • Estrutura de Política do Remetente (SPF) – o padrão mais antigo, é onde você registra um registro TXT no registro do seu domínio (DNS) que indica quais domínios ou IP endereços de onde você está enviando e-mails para sua empresa. Por exemplo, eu envio e-mails para Martech Zone da Espaço de trabalho do Google.
v=spf1 include:_spf.google.com ~all
  • DomínioAutenticação, Relatório e Conformidade de Mensagens Baseadas (DMARC) – esse padrão mais recente possui uma chave criptografada que pode validar meu domínio e o remetente. Cada chave é produzida pelo meu remetente, garantindo que os e-mails enviados por um spammer não sejam falsificados. Se você estiver usando o Google Workspace, aqui está como configurar o DMARC.
  • Correio Identificado DomainKeys (DKIM) – Trabalhando junto com o registro DMARC, esse registro informa aos ISPs como tratar minhas regras DMARC e SPF e para onde enviar quaisquer relatórios de capacidade de entrega. Quero que os ISPs rejeitem todas as mensagens que não passem pelo DKIM ou SPF e que enviem relatórios para esse endereço de e-mail.
v=DMARC1; p=reject; rua=mailto:dmarc@martech.zone; aspf=s; fo=s;
  • Indicadores de marca para identificação de mensagem (BIM) – a mais nova adição, o BIMI fornece um meio para ISPs e seus aplicativos de e-mail exibirem o logotipo da marca no cliente de e-mail. Há um padrão aberto e um padrão criptografado para Gmail, onde você também precisa de um certificado de marca verificada criptografada (VMC). Os certificados são caros, então ainda não estou fazendo isso. VMCs estão sendo emitidos por duas Autoridades de Verificação de Marcas aceitas: Confiar e DigiCert. Mais informações podem ser encontradas no grupo BIMI.
v=BIMI1; l=https://martech.zone/logo.svg;a=self;

Como validar sua autenticação de e-mail

Todas as informações de origem, retransmissão e validação associadas a cada e-mail são encontradas nos cabeçalhos das mensagens. Interpretá-los é muito fácil se você for um especialista em capacidade de entrega, mas se for um novato, eles são incrivelmente difíceis. Aqui está a aparência do cabeçalho da mensagem para nosso boletim informativo; Eu esmaguei alguns dos e-mails de resposta automática e informações de campanha:

Cabeçalho da mensagem - DKIM e SPF

Se você ler, poderá ver minhas regras DKIM, se o DMARC é aprovado (não) e o SPF é aprovado... mas isso dá muito trabalho. Porém, há uma solução alternativa muito melhor para usar Validador DKIM. O DKIMValidator fornece um endereço de e-mail que você pode adicionar à sua lista de newsletters ou enviar pelo e-mail do escritório… e eles traduzem as informações do cabeçalho em um bom relatório:

Primeiro, ele valida minha criptografia DMARC e assinatura DKIM para ver se passa ou não (não passa).

DKIM Information:
DKIM Signature

Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=circupressmail.com;
	s=cpmail; t=1643110423;
	bh=PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=;
	h=Date:To:From:Reply-to:Subject:List-Unsubscribe;
	b=HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=


Signature Information:
v= Version:         1
a= Algorithm:       rsa-sha256
c= Method:          relaxed/relaxed
d= Domain:          circupressmail.com
s= Selector:        cpmail
q= Protocol:        
bh=                 PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=
h= Signed Headers:  Date:To:From:Reply-to:Subject:List-Unsubscribe
b= Data:            HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=
Public Key DNS Lookup

Building DNS Query for cpmail._domainkey.circupressmail.com
Retrieved this publickey from DNS: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC+D53OskK3EM/9R9TrX0l67Us4wBiErHungTAEu7DEQCz7YlWSDA+zrMGumErsBac70ObfdsCaMspmSco82MZmoXEf9kPmlNiqw99Q6tknblJnY3mpUBxFkEX6l0O8/+1qZSM2d/VJ8nQvCDUNEs/hJEGyta/ps5655ElohkbiawIDAQAB
Validating Signature

result = fail
Details: body has been altered

Em seguida, ele procura meu registro SPF para ver se ele passa (ele passa):

SPF Information:
Using this information that I obtained from the headers

Helo Address = us1.circupressmail.com
From Address = info@martech.zone
From IP      = 74.207.235.122
SPF Record Lookup

Looking up TXT SPF record for martech.zone
Found the following namesevers for martech.zone: ns57.domaincontrol.com ns58.domaincontrol.com
Retrieved this SPF Record: zone updated 20210630 (TTL = 600)
using authoritative server (ns57.domaincontrol.com) directly for SPF Check
Result: pass (Mechanism 'include:circupressmail.com' matched)

Result code: pass
Local Explanation: martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)
spf_header = Received-SPF: pass (martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)) receiver=ip-172-31-60-105.ec2.internal; identity=mailfrom; envelope-from="info@martech.zone"; helo=us1.circupressmail.com; client-ip=74.207.235.122

E, por último, ele me fornece informações sobre a mensagem em si e se o conteúdo pode sinalizar algumas ferramentas de detecção de SPAM, verifica se estou em listas negras e me informa se é ou não recomendável enviar para a pasta de lixo eletrônico:

SpamAssassin Score: -4.787
Message is NOT marked as spam
Points breakdown: 
-5.0 RCVD_IN_DNSWL_HI       RBL: Sender listed at https://www.dnswl.org/,
                            high trust
                            [74.207.235.122 listed in list.dnswl.org]
 0.0 SPF_HELO_NONE          SPF: HELO does not publish an SPF Record
 0.0 HTML_FONT_LOW_CONTRAST BODY: HTML font color similar or
                            identical to background
 0.0 HTML_MESSAGE           BODY: HTML included in message
 0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily
                            valid
 0.0 T_KAM_HTML_FONT_INVALID Test for Invalidly Named or Formatted
                            Colors in HTML
 0.1 DKIM_INVALID           DKIM or DK signature exists, but is not valid

Certifique-se de testar todos os serviços de mensagens ESP ou de terceiros dos quais sua empresa está enviando e-mails para garantir que sua autenticação de e-mail esteja configurada corretamente!

Melhores práticas na implementação do DMARC

A implementação correta do DMARC é crucial para a segurança do email e a reputação do remetente. A política escolhida depende dos seus objetivos de autenticação de e-mail e da sua prontidão para lidar com possíveis problemas. Aqui está uma análise das três políticas:

  1. Nenhum (p = nenhum): Esta política é normalmente usada para monitorar e coletar dados sem afetar a entrega de seus e-mails. Ele permite que os proprietários de domínio vejam quem está enviando mensagens em nome de seu domínio. É um bom ponto de partida para entender como seu e-mail está sendo processado e para identificar possíveis problemas de autenticação sem arriscar a entrega legítima de e-mails. Embora possa parecer ignorar a política, é uma ferramenta de diagnóstico valiosa para garantir que tudo esteja configurado corretamente antes de passar para políticas mais restritivas.
  2. Quarentena (p=quarentena): Esta política sugere aos servidores de recebimento de e-mail que os e-mails que não passam nas verificações DMARC devem ser tratados com suspeita. Normalmente, isso significa colocá-los na pasta de spam, em vez de rejeitá-los completamente. É um meio-termo que reduz o risco de rejeição de e-mails legítimos, ao mesmo tempo que oferece proteção contra e-mails fraudulentos. É um bom próximo passo depois Nenhum depois de confirmar que seus e-mails legítimos passaram nas verificações do DMARC.
  3. Rejeitar (p=rejeitar): Esta é a política mais segura, indicando aos servidores receptores que os e-mails que não passarem nas verificações DMARC devem ser rejeitados. Esta política evita efetivamente ataques de phishing e garante que apenas e-mails autenticados cheguem aos destinatários. No entanto, deve ser implementado cuidadosamente após testes completos com políticas de “nenhuma” e possivelmente de “quarentena” para evitar a rejeição de e-mails legítimos.

Melhores práticas:

  • Começar com p = nenhum para coletar dados e garantir que seus e-mails legítimos sejam devidamente autenticados.
  • Mover para p = quarentena para começar a proteger o seu domínio e, ao mesmo tempo, minimizar o risco de rejeição de e-mails legítimos.
  • Finalmente, mude para p = rejeitar quando você tiver certeza de que suas práticas de envio de e-mail estão em total conformidade com o DMARC, para maximizar a proteção contra fraudes por e-mail.

Cada etapa deve envolver a análise de relatórios DMARC e o ajuste de suas práticas de envio de e-mail conforme necessário para garantir que e-mails legítimos sejam autenticados corretamente.

Construtor de registros SPF Validador SPF e DKIM Inspetor BIMI

Douglas Karr

Douglas Karr é CMO de AbrirINSIGHTS e o fundador da Martech Zone. Douglas ajudou dezenas de startups de MarTech bem-sucedidas, auxiliou na due diligence de mais de US$ 5 bilhões em aquisições e investimentos da Martech e continua a auxiliar empresas na implementação e automatização de suas estratégias de vendas e marketing. Douglas é um especialista e palestrante em transformação digital e MarTech reconhecido internacionalmente. Douglas também é autor publicado de um guia para leigos e de um livro sobre liderança empresarial.

Artigos Relacionados

Voltar ao topo botão
Fechar

Adblock detectado

Martech Zone é capaz de fornecer a você esse conteúdo sem nenhum custo porque monetizamos nosso site por meio de receita de anúncios, links de afiliados e patrocínios. Agradeceríamos se você removesse seu bloqueador de anúncios ao visualizar nosso site.