Você poderia pensar que a autenticação de e-mail seria simples: configure um registro Amazon SES SPF, publique alguns registros e pronto. Mas acontece que as equipes se deparam com todos os tipos de problemas quando vão além do básico.
Isso ocorre porque o SPF, o DKIM e o DMARC são sistemas ativos vinculados à reputação do seu domínio, e até mesmo pequenos erros podem se transformar em grandes problemas de capacidade de entrega posteriormente.
Para este artigo, reunimos lições de equipes que gerenciam o SES em fluxos de e-mail de marketing, transacionais e de notificação para explicar onde as pessoas ficam presas, por que essas ferramentas são importantes e quais padrões surgem quando você olha por baixo do capô. Continue lendo!
Como as coisas funcionam no plano de fundo do seu domínio
Quando você envia e-mails pelo Amazon SES (ou qualquer outro servidor de e-mail), há muita coisa acontecendo que você nunca vê, mas os provedores de caixa de correio veem.
O SMTP, o protocolo que move seus e-mails pela Internet, por si só, não verifica se o remetente é real, e é por isso que a falsificação de e-mail é um problema tão grande atualmente. Cabe ao provedor de e-mail examinar as configurações de DNS do seu domínio, verificar o registro SPF, verificar os registros DKIM e confirmar se o seu domínio foi autenticado corretamente antes de decidir se a sua mensagem deve ser enviada para a caixa de entrada, para o spam ou para nenhum lugar.
Sem a configuração correta da estrutura de política do remetente (SPF) e do DKIM, até mesmo os e-mails transacionais de rotina podem falhar nas verificações de SPF, o que pode prejudicar a reputação do remetente e a capacidade de entrega de e-mails ao longo do tempo.
Os proprietários de domínios responsáveis sabem que cada verificação de SPF, cada atualização de DNS e cada registro publicado é importante. Eles prestam muita atenção a esses detalhes porque sabem o quanto eles afetam o fato de os e-mails chegarem à caixa de entrada.
O que o FPS faz (e o que não faz)
O SPF (Sender Policy Framework) não é uma barreira que bloqueia todas as falsificações de e-mail. O que ele faz é informar aos provedores de caixas de correio: “Estes são os servidores em que confio para enviar e-mails para mim“. É um conjunto de regras, publicado no DNS do seu domínio como um registro TXT, que permite que os servidores de recebimento verifiquem se uma mensagem recebida veio de uma fonte autorizada.
Para o Amazon SES, esse registro geralmente tem a seguinte aparência:
v=spf1 include:amazonses.com -all.
Em termos simples, ele está dizendo: Aceite os e-mails que chegam pelo Amazon SES; rejeite todo o resto. Mas se você já tiver um registro SPF e simplesmente adicionar um segundo, o sistema ficará confuso. O SPF só funciona quando você tem um registro combinado, portanto, é necessário mesclar tudo (como include:amazonses.com) em uma única linha.
Muitos dos problemas também decorrem do esquecimento da conexão do domínio MAIL FROM. As verificações SPF estão vinculadas ao endereço MAIL FROM, não ao “From” visível em seus e-mails, portanto, se o domínio pai MAIL FROM não estiver configurado corretamente, a validação SPF pode falhar. E, quando isso acontece, os provedores de caixa de correio podem não bloquear você de imediato, mas podem ter uma falha branda nos seus e-mails, colocando-os em spam ou ignorando-os completamente. É por isso que o SPF deve ser tratado com cuidado.
Você deseja aumentar sua reputação de remetente além da configuração do SPF? Dê uma olhada no InboxAlly para ver como ajudamos os remetentes a melhorar o posicionamento na caixa de entrada e a recuperar a confiança dos provedores de caixa de correio.
Padrão vs. personalizado MAIL FROM Domínios
Um dos erros mais comuns que até mesmo usuários experientes cometem é presumir que o Amazon SES cuida do SPF para eles, não importa o que aconteça. Sim, se você usar o domínio MAIL FROM padrão da Amazon (algo como subdomain.amazonses.com), o SPF já estará configurado.
Mas no momento em que você muda para um domínio MAIL FROM personalizado (como mail.yourcompany.com), as coisas mudam. Agora, você precisa publicar ou atualizar o registro SPF no seu servidor DNS para incluir o Amazon SES(v=spf1 include:amazonses.com -all). Se você não fizer isso, talvez nem perceba quando suas verificações de SPF falharem até que as taxas de entrega se tornem um problema.
Além do SPF, você também precisa configurar corretamente os registros MX para o domínio MAIL FROM, apontando para feedback-smtp.region.amazonses.com. Mas se o seu domínio MAIL FROM tiver vários registros SPF e MX (de configurações antigas ou de outros sistemas de e-mail), a validação do SES pode falhar e sua configuração de envio não funcionará.
Lembre-se de que os códigos de região do AWS (como us-east-1 ou eu-west-1) precisam corresponder exatamente às suas entradas MX e SPF, ou você corre o risco de invalidar a configuração.
Se tudo isso parece um pouco complicado, é porque pode ser, mas fazer isso corretamente significa a diferença entre um envio sem esforço e um dia preso no inferno da solução de problemas, portanto, certifique-se de que você dedique algum tempo aqui.
Se a sua configuração personalizada do Amazon SES estiver prejudicando a capacidade de entrega, agende uma demonstração gratuita com a InboxAlly e deixe-nos ajudar você a reconstruir sua reputação de remetente e colocar seus e-mails de volta nas caixas de entrada.
DKIM e DMARC: completando o triângulo de confiança
Se o SPF informa aos provedores de caixas de correio quem tem permissão para enviar em seu nome, o DKIM (DomainKeys Identified Mail) informa se a mensagem foi adulterada no caminho.
O DKIM funciona adicionando uma assinatura criptográfica aos seus e-mails (um tipo de selo digital) que o servidor receptor pode verificar em relação aos seus registros DNS públicos. Se a assinatura corresponder, isso prova que a mensagem é autêntica e não foi alterada.
Com o Amazon SES, a configuração do DKIM é surpreendentemente gerenciável graças ao Easy DKIM.
No console do Amazon SES:
- Gerar configurações DKIM para seu domínio
- Adicione os registros CNAME fornecidos à sua configuração de DNS
- Aguarde a verificação
Uma vez verificado, o SES começará automaticamente a assinar seus e-mails de saída, e seus e-mails perderão o “via amazonses.com“. Isso aumenta a probabilidade de os provedores de caixa postal confiarem neles e os entregarem.
No entanto, o DKIM e o SPF só funcionam com um DMARC (Domain-based Message Authentication, Reporting, and Conformance) em vigor. O DMARC informa aos provedores de caixa de correio o que fazer se o SPF ou o DKIM falhar (colocar em quarentena, rejeitar ou permitir) e fornece a você relatórios sobre o desempenho do seu domínio.
Todos esses três métodos de autenticação criam um “triângulo de confiança” que fortalece a capacidade de entrega, protege sua marca contra falsificações e, por fim, aumenta o envolvimento do usuário. Sem eles, você está deixando lacunas que os filtros de caixa de correio modernos detectarão e penalizarão.
Você configurou o SPF, o DKIM e o DMARC corretamente? Melhor verificar isso gratuitamente com nosso testador de e-mail para ter certeza de que sua autenticação está correta antes de você enviar sua próxima campanha.
Dicas de configuração no mundo real
Mesmo que você siga perfeitamente todos os guias de SPF e DKIM, ainda assim poderá ter problemas e, embora eles geralmente não sejam culpa sua, é melhor que você os conheça com antecedência. Então, vamos ver quais são esses problemas.
Atrasos na propagação do DNS
Quando você atualiza os registros SPF ou DKIM, essas alterações não são aplicadas instantaneamente em toda a Internet. Dependendo do seu provedor de DNS, pode levar até 72 horas para que os provedores de caixa de correio comecem a reconhecer as atualizações. Isso significa que, ao testar logo após fazer as alterações, você poderá obter falhas falsas, portanto, seja paciente.
Problemas com o provedor de DNS
Algumas plataformas de DNS não permitem sublinhados em nomes de registros (ou seja, _amazonses), o que força você a ajustar a formatação.
Outros acrescentam automaticamente seu nome de domínio às entradas de registro, portanto, adicionar um ponto no final do nome (para marcá-lo como totalmente qualificado) pode evitar que você tenha registros duplicados. Também vale a pena observar que a formatação de registros TXT, como quebras de linha, espaços extras ou aspas mal colocadas, também pode quebrar tudo.
Desordem de “inclusão” de SPF
Se você estiver usando vários serviços (Amazon SES, Mailchimp, Salesforce, etc.), o empilhamento de registros SPF não funciona – o SPF analisa apenas o primeiro registro correspondente. Você precisa mesclar todas as inclusões em um único registro, mantê-las limpas e abaixo do limite de 10 pesquisas.
Portanto, se você quiser usar seu tempo de forma inteligente, certifique-se de planejar esses possíveis problemas com antecedência, pois isso pode poupar horas de frustração no futuro.
Testando, verificando e mantendo-se à frente
Então você configurou o SPF e o DKIM – ótimo! Mas como você sabe que eles estão funcionando?
Comece usando o MXToolbox ou as ferramentas de administração do Google para executar uma verificação de SPF. Envie um e-mail de teste para você mesmo, abra os cabeçalhos completos do e-mail e procure por Received-SPF: pass. Isso é um sinal de que o registro SPF foi reconhecido corretamente. Para o DKIM, verifique se a assinatura está presente e se é validada corretamente (você verá um cabeçalho DKIM-Signature no e-mail bruto).
Mas se você quiser ter a melhor visibilidade possível, não se esqueça do monitoramento DMARC. Depois de configurar um registro DMARC, você poderá receber relatórios regulares mostrando quantos dos seus e-mails foram aprovados ou reprovados nas verificações de SPF e DKIM (e por quê). Os relatórios DMARC ajudarão você a identificar novos problemas, como serviços que você adicionou e que ainda não estão cobertos pela sua configuração de SPF ou DKIM.
Lembre-se: a autenticação de e-mail exige trabalho e manutenção contínuos. A propriedade do domínio pode mudar, os registros DNS podem ser substituídos acidentalmente ou você pode adicionar uma nova ferramenta de marketing que comece a enviar em seu nome. A verificação periódica do domínio mantém sua autenticação hermética e sua capacidade de entrega em um bom lugar.
Considerações finais
Espero que esta postagem tenha ajudado você a ter mais confiança na configuração de SPF, DKIM e DMARC em sua configuração do Amazon SES.
A capacidade de entrega de e-mail é um processo contínuo de melhoria da confiança e da consistência com os provedores de caixa de correio. E, sim, isso requer manutenção regular, testes e um pouco de paciência.
Se melhorar a capacidade de entrega está no seu radar, estamos aqui para você. O InboxAlly ajuda os remetentes a melhorar o posicionamento na caixa de entrada, aumentar o engajamento e se recuperar de problemas de entregabilidade, independentemente da sujeira da sua reputação atual.
Você quer ver o que uma melhor capacidade de entrega pode significar para seus e-mails? Saiba mais ou agende um bate-papo com nossa equipe –adoraríamos mostrar a você o que é possível.