Vamos orientá-lo passo a passo na configuração do seu domínio, para enviar e-mail de forma muito segura e com alta taxa de entrega.

Por que essas configurações são necessárias?

Essas configurações são necessárias para combater: (1) hackers que fazem uso de domínio/e-mail de terceiros para operações maliciosas; (2) SPAMs, que representam mais da metade dos e-mails enviados.

Benefícios:

• SEGURANÇA (security): e-mail verificado, autenticado e que impede terceiros de enviarem e-mails se passando por você, assim combate phishing e e-mails ilegítimos;
• MELHOR ENTREGA (deliverability): um e-mail bem configurado tem maior credibilidade e assim, desde que utilizado de maneira correta, ganha reputação e é entregue corretamente.

Para quem serve esse guia?

É recomendado para e-mail de domínio próprio, principalmente empresas que queiram enviar e-mails de negócios para seus clientes através de um domínio próprio, com alta taxa de entrega e com segurança.

E-mails terminados com @gmail.com, @hotmail.com, entre tantos outros, são serviços de e-mail de terceiros (ESPs: E-mail Service Providers), não recomendados para tal finalidade.

Quer utilizar um serviço de e-mail de terceiros mesmo assim?

Então é importante saber que e-mails de serviços de terceiros não podem ser configurados por você. Sendo assim, não são ideais para essa finalidade e podem afetar o seu negócio, dependendo do volume de envio.

Entretanto, aqui vai uma dica importante: caso opte por utilizar esses serviços de e-mail mesmo assim, seja por dificuldade em ter domínio próprio ou facilidade, escolha um serviço de e-mail que se preocupa com a segurança, que seja bem configurado e com boa reputação, como @gmail.com, sem dúvida uma das melhores opções. Fuja de e-mail como @bol.com.br, que não tem essas configurações.

SERVIDORES DE E-MAIL

Os servidores de e-mail são os responsáveis por quase todo o processo, com exceção da ação de iniciar o fluxo, que é feita pelo Remetente (Sender).

Logo, a primeira coisa a ser feita é ter configurado um servidor que envie e receba emails, para depois configurar SPF, DKIM e DMARC.

CONFIGURANDO E-MAIL PARA DOMÍNIO PRÓPRIO

SPF: Sender Policy Framework

TXT seudominio.com.br

Identifica quais servidores de e-mail (domínios ou IPs) têm permissão para enviar e-mails em nome do domínio. Para isso é necessário criar um registro TXT do próprio domínio (ou subdomínio):

“v=spf1 mx include:_spf.google.com include:amazonses.com
include:mail.zendesk.com -all”

A configuração acima permite que somente os servidores do Google, Amazon SES e Zendesk enviem e-mail

• Sintaxe: http://www.openspf.org/SPF_Record_Syntax
• Gerador de SPF: https://dmarcguide.globalcyberalliance.org/#/spf
• Teste: http://www.openspf.org/Tools |
• https://www.kitterman.com/spf/validate.html

Nota: para conseguir 100% de conformidade com SPF na Amazon SES, é necessário configurar a propriedade Mail From para o domínio e e-mail verificados. Isso requer entradas de registro MX e TXT para um subdomínio. Leia mais: https://aws.amazon.com/blogs/ses/amazon-ses-now-supports-custom-mail-from-domains/

DKIM: Domain Keys Identified Mail

Autenticação de e-mail na qual o e-mail enviado é assinado de forma que o receptor possa verificar a assinatura e assim garantir a autenticidade do conteúdo. Para isso é necessário criar um registro TXT, em geral no formato abaixo:

TXT google._domainkey.seudominio.com.br

DKIM-Signature: v=1; a=rsa-sha256; d=seudominio.com.br; s=google; c=relaxed/simple; q=dns/txt; l=1234; t=1117574938; x=1118006938;
h=from:to:subject:date:keywords:keywords;bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=; b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZVoG4ZHRNiYzR

TOOLS: https://dkimcore.org/tools/

A assinatura acima é um exemplo do que vai junto com o e-mail (no cabeçalho), inserida pelo servidor de e-mail, uma vez que DKIM esteja configurado. Cada serviço tem seu próprio guia, já que as configurações variam de um serviço para outro. Assim, é preciso procurar o tutorial do serviço que irá utilizar (a validação da configuração é feita pelo próprio serviço). Alguns abaixo:

• G Suite (Google Apps)
• Amazon SES
• Zendesk
• Mailchimp

DMARC: Domain-based Authentication, Reporting and Conformance

Define as regras (policy) para tratar os e-mails recebidos, se vamos deixar os emails passar mesmo não sendo válidos, se vamos colocar em quarentena ou se vamos rejeitar. Também informamos para onde devem ser enviados os relatórios, assim é possível analisar e corrigir possíveis divergências. Para tal, é recomendado começar light, analisar os relatórios e então seguir “apertando o parafuso”:
TXT _dmac.seudominio.com.br

“v=DMARC1; p=reject; rua=mailto:tidmac@seudominio.com.br; ruf=mailto:tidmarc@seudominio.com.br;
sp=reject; fo=1; aspf=r; adkim=s; pct=100; ri=86400″

A configuração acima é aplicada a 100% dos e-mails (pct) e rejeita (p=reject, sp=reject) qualquer e-mail que não passar nas validações de SPF (aspf) e DKIM (adkim). DKIM tem o valor relaxed, o que permite a autenticação a partir de subdomínios (necessário para AWS SES). Os relatórios DMARC serão enviados por cada MTA para o e-mail especificado (rua e ruf) diariamente (ri, 86400 segundos).

• Sintaxe: https://dmarc.org/overview/
• Gerador DMARC: https://dmarcguide.globalcyberalliance.org/#/dmarc
• Teste: https://dmarcian.com/dmarc-inspector/rug.nl

Os relatórios devem chegar no e-mail especificado com anexo no formato XML afrf, por padrão. Esses arquivos podem ser gratuitamente carregados no site https://dmarcian.com/dmarc-xml/ para fácil análise visual.

O dmarcian.com oferece serviço pago de análise contínua dos relatórios DMARC, bem como suporte e consultoria, que pode ser útil para muitos negócios que dependem bastante da comunicação por e-mail.

CONTEÚDO DO E-MAIL

Além das configurações já mencionadas, para ter um domínio com boa reputação de e-mail, é fundamental ter qualidade na estrutura e conteúdo do e-mail, para manter baixa a taxa de bounce (ruído), complaint (queixa) e reject (rejeição).

O que é bounce, complaint e reject?

Todos eles são problemas na entrega do e-mail, reportadas pelo servidor do destinatário:

• Bounce: o e-mail não existe ou o e-mail pode estar em uma “lista negra”, devido ao seu histórico; a caixa de e-mail do destinatário está cheia (abaixo de 5%);
• Complaint: o destinatário classificou o seu e-mail como SPAM (abaixo de 0.1%);
• Reject: conteúdo do e-mail com vírus ou atividade suspeita (não deve ser recorrente).

Boas práticas

• Apenas envie e-mail para destinatários que pediram, se cadastraram ou estão cientes que receberão o e-mail; Tenha um mecanismo fácil e eficiente para o destinatário se descadastrar (sugiro o cabeçalho de e-mail List-Unsubscribe, integrado com alguns serviços de e-mail como Gmail);
• Envie conteúdo de qualidade, um e-mail que o seu destinatário espera receber e vai achar útil; Informe antecipadamente ao seu destinatário o que você planeja enviar e a frequência, deixando sempre acessível a opção para se descadastrar do recebimento;
• Alguns serviços têm quota de envio, fique sempre atento para não ser pego de surpresa;
• Não envie e-mail para os destinatários reportados como bounces ou complaints, tentando assim manter essas taxas baixas; Monitore as estatísticas de envio;
• Muita atenção para os e-mails rejeitados, eles não podem ser recorrentes ou afetam drasticamente a reputação e entrega.

Testes completos:

• https://mxtoolbox.com/supertool.aspx
• https://tools.dnsstuff.com/