Como validar se a autenticação de e-mail está configurada corretamente (DKIM, DMARC, SPF)

Validador DKIM DMARC SPF

Se você está enviando e-mails em qualquer tipo de volume, é um setor em que você é considerado culpado e precisa provar sua inocência. Trabalhamos com muitas empresas, ajudando-as com seus problemas de migração de e-mail, aquecimento de IP e entregabilidade. A maioria das empresas nem percebe que tem um problema.

Os problemas invisíveis da entregabilidade

Existem três problemas invisíveis com a capacidade de entrega de e-mail que as empresas desconhecem:

  1. Permissão – Provedores de serviços de e-mail (ESP) gerencie as permissões opt-in… mas o provedor de serviços de Internet (ISP) gerencia o gateway para o endereço de e-mail de destino. É realmente um sistema terrível. Você pode fazer tudo certo como uma empresa para adquirir permissão e endereços de e-mail, e o ISP não tem ideia e pode bloqueá-lo de qualquer maneira.
  2. Posicionamento da caixa de entrada – ESPs promovem alta entregabilidade taxas que são basicamente um disparate. Um e-mail que é roteado diretamente para a pasta de lixo eletrônico e nunca visto pelo seu assinante de e-mail é tecnicamente entregue. Para monitorar verdadeiramente o seu posicionamento da caixa de entrada, você tem que usar uma lista de sementes e ir olhar para cada ISP. Existem serviços que fazem isso.
  3. Reputação – ISPs e serviços de terceiros também mantêm pontuações de reputação para o endereço IP de envio do seu e-mail. Existem listas negras que os ISPs podem usar para bloquear todos os seus e-mails, ou você pode ter uma reputação ruim que o levaria para a pasta de lixo eletrônico. Existem vários serviços que você pode usar para monitorar sua reputação de IP... mas eu ficaria um pouco pessimista, já que muitos não têm conhecimento dos algoritmos de cada ISP.

Autenticação do email

As práticas recomendadas para mitigar quaisquer problemas de posicionamento da caixa de entrada são garantir que você configurou vários registros DNS que os ISPs podem usar para pesquisar e garantir que os e-mails que você está enviando sejam realmente enviados por você e não por alguém fingindo ser sua empresa . Isso é feito através de uma série de padrões:

  • Estrutura de Política do Remetente (SPF) – o padrão mais antigo que existe, é aqui que você registra um registro TXT no registro do seu domínio (DNS) que indica de quais domínios ou endereços IP você está enviando e-mails para sua empresa. Por exemplo, eu envio e-mail para Martech Zone desde Espaço de trabalho do Google ea partir CircuPress (meu próprio ESP atualmente em beta). Eu tenho um plugin SMTP no meu site para enviar também via Google, caso contrário eu teria um endereço IP incluído nele também.

v=spf1 include:circupressmail.com include:_spf.google.com ~all

  • DomínioAutenticação, Relatório e Conformidade de Mensagens Baseadas (DMARC) – esse padrão mais recente possui uma chave criptografada que pode validar meu domínio e o remetente. Cada chave é produzida pelo meu remetente, garantindo que os emails enviados por um spammer não sejam falsificados. Se você estiver usando o Google Workspace, aqui está como configurar o DMARC.
  • Correio Identificado DomainKeys (DKIM) – Trabalhando em conjunto com o registro DMARC, este registro informa aos ISPs como tratar minhas regras DMARC e SPF, bem como para onde enviar quaisquer relatórios de entrega. Quero que os ISPs rejeitem todas as mensagens que não passam DKIM ou SPF e quero que eles enviem relatórios para esse endereço de e-mail.

v=DMARC1; p=reject; rua=mailto:dmarc@martech.zone; adkim=r; aspf=s;

  • Indicadores de marca para identificação de mensagem (BIM) – a mais nova adição, o BIMI fornece um meio para os ISPs e seus aplicativos de e-mail exibirem o logotipo da marca no cliente de e-mail. Existe tanto um padrão aberto quanto um padrão criptografado para Gmail onde você também precisa de um certificado criptografado. Os certificados são muito caros, então não estou fazendo isso ainda.

v=BIMI1; l=https://martech.zone/logo.svg;a=self;

NOTA: Se você precisar de ajuda para configurar qualquer autenticação de e-mail, não hesite em entrar em contato com minha empresa Highbridge. Temos uma equipe de especialistas em marketing por e-mail e entregabilidade que pode auxiliar.

Como validar sua autenticação de e-mail

Todas as informações de origem, informações de retransmissão e informações de validação associadas a cada email são encontradas nos cabeçalhos das mensagens. Se você é um especialista em entregabilidade, interpretá-los é muito fácil... mas se você é um novato, eles são incrivelmente difíceis. Veja como é o cabeçalho da mensagem para o nosso boletim informativo, esmaguei alguns dos e-mails de resposta automática e informações da campanha:

Cabeçalho da mensagem - DKIM e SPF

Se você ler, poderá ver quais são minhas regras DKIM, se o DMARC passa (não passa) e se o SPF passa… mas isso é muito trabalho. Há uma solução muito melhor, porém, e isso é usar Validador DKIM. O DKIMValidator fornece um endereço de e-mail que você pode adicionar à sua lista de newsletters ou enviar pelo e-mail do escritório… e eles traduzem as informações do cabeçalho em um bom relatório:

Primeiro, ele valida minha criptografia DMARC e assinatura DKIM para ver se passa ou não (não passa).

DKIM Information:
DKIM Signature

Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=circupressmail.com;
	s=cpmail; t=1643110423;
	bh=PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=;
	h=Date:To:From:Reply-to:Subject:List-Unsubscribe;
	b=HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=


Signature Information:
v= Version:         1
a= Algorithm:       rsa-sha256
c= Method:          relaxed/relaxed
d= Domain:          circupressmail.com
s= Selector:        cpmail
q= Protocol:        
bh=                 PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=
h= Signed Headers:  Date:To:From:Reply-to:Subject:List-Unsubscribe
b= Data:            HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=
Public Key DNS Lookup

Building DNS Query for cpmail._domainkey.circupressmail.com
Retrieved this publickey from DNS: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC+D53OskK3EM/9R9TrX0l67Us4wBiErHungTAEu7DEQCz7YlWSDA+zrMGumErsBac70ObfdsCaMspmSco82MZmoXEf9kPmlNiqw99Q6tknblJnY3mpUBxFkEX6l0O8/+1qZSM2d/VJ8nQvCDUNEs/hJEGyta/ps5655ElohkbiawIDAQAB
Validating Signature

result = fail
Details: body has been altered

Em seguida, ele procura meu registro SPF para ver se ele passa (ele passa):

SPF Information:
Using this information that I obtained from the headers

Helo Address = us1.circupressmail.com
From Address = info@martech.zone
From IP      = 74.207.235.122
SPF Record Lookup

Looking up TXT SPF record for martech.zone
Found the following namesevers for martech.zone: ns57.domaincontrol.com ns58.domaincontrol.com
Retrieved this SPF Record: zone updated 20210630 (TTL = 600)
using authoritative server (ns57.domaincontrol.com) directly for SPF Check
Result: pass (Mechanism 'include:circupressmail.com' matched)

Result code: pass
Local Explanation: martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)
spf_header = Received-SPF: pass (martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)) receiver=ip-172-31-60-105.ec2.internal; identity=mailfrom; envelope-from="info@martech.zone"; helo=us1.circupressmail.com; client-ip=74.207.235.122

E, por último, ele me fornece informações sobre a mensagem em si e se o conteúdo pode sinalizar algumas ferramentas de detecção de SPAM, verifica se estou em listas negras e me informa se é ou não recomendável enviar para a pasta de lixo eletrônico:

SpamAssassin Score: -4.787
Message is NOT marked as spam
Points breakdown: 
-5.0 RCVD_IN_DNSWL_HI       RBL: Sender listed at https://www.dnswl.org/,
                            high trust
                            [74.207.235.122 listed in list.dnswl.org]
 0.0 SPF_HELO_NONE          SPF: HELO does not publish an SPF Record
 0.0 HTML_FONT_LOW_CONTRAST BODY: HTML font color similar or
                            identical to background
 0.0 HTML_MESSAGE           BODY: HTML included in message
 0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily
                            valid
 0.0 T_KAM_HTML_FONT_INVALID Test for Invalidly Named or Formatted
                            Colors in HTML
 0.1 DKIM_INVALID           DKIM or DK signature exists, but is not valid

Certifique-se de testar todos os serviços de mensagens ESP ou de terceiros dos quais sua empresa está enviando e-mails para garantir que sua autenticação de e-mail esteja configurada corretamente!

Teste seu e-mail com o DKIM Validator

Divulgação: estou usando meu link de afiliado para Espaço de trabalho do Google neste artigo.