Novas regras de autenticação do Gmail e Yahoo a partir de fevereiro de 2024

Category GuidePosted on:

A Google e a Yahoo implementam em fevereiro de 2024 novas regras de autenticação para remetentes de email, com o objetivo de preservar e proteger o ecossistema de email contra a propagação de emails de spam e phishing.

Para garantir a entrega dos seus emails na caixa de entrada do destinatário, devem os remetentes certificar-se de que cumprem com as novas regras, das quais destacamos:

  • Utilização de um domínio próprio;
  • Validação do email com DKIM, SPF e configuração do DMARC para os domínios de envio;
  • Manter uma taxa de spam abaixo de 0,10% (evite atingir 0,30% ou mais);
  • Inclusão obrigatória de links para  “Unsubscribe” em apenas um clique.

O enquadramento destas novas regras

A Google já tinha anunciado uma limpeza de contas de Gmail inativas em maio de 2023, e explicou publicamente que a monitorização das novas regras teria início a partir de fevereiro de 2024, com especial atenção para os domínios que enviam mais de 5.000 emails por dia. De forma semelhante, a Yahoo anunciou também que pretende implementar estas alterações durante o primeiro trimestre de 2024.

A boa notícia é que ambos os provedores destacaram alterações semelhantes nas suas declarações públicas sobre o tema, concentrando-se principalmente na manutenção de padrões mais elevados de autenticação, facilitando o cancelamento de subscrições de emails de marketing e mantendo os domínios com um limite de taxa de spam mais baixo.

Estes novos padrões são provavelmente os mais significativos que vimos um provedor de email  implementar nos últimos anos, mas não são novos. Na realidade, a autenticação, o cancelamento fácil e a monitorização de spam estão no topo da lista de práticas recomendadas para entrega de emails já há algum tempo.

É expectável que estas novas regras em breve se espalhem por toda a indústria.

Para o ajudar a compreender e implementar estas novas regras de autenticação preparamos algum conteúdo que esperamos lhe seja útil.

O que estas mudanças significam para os remetentes?

Tanto o Gmail como o Yahoo destacaram três mudanças principais que os remetentes têm de priorizar se quiserem ser vistos como remetentes legítimos em 2024:

Autentique o seu email: os remetentes serão obrigados a verificar suas identidades de remetente com protocolos padrão como SPF, DKIM e DMARC.

Facilite o cancelamento fácil da assinatura de email: os remetentes têm de implementar um link de cancelamento de assinatura de emails num único clique (Unsubscribe), caso ainda não o tenham feito, para permitir que os destinatários desistam facilmente.

Enviar apenas emails que os destinatários querem receber e autorizaram previamente o seu envio: Gmail e Yahoo estão a levar a sério a monitorização de spam e os remetentes têm que garantir que se mantêm abaixo de um determinado limite de taxa de spam, preferencialmente até 0,10% (evite atingir 0,30% ou mais).

Estas exigências irão afetar apenas remetentes em massa, definidos pela Google como remetentes com volumes de 5.000 ou mais emails para endereços de Gmail, não sendo claro se se trata do envio de 5.000 emails por dia, ou dentro de um determinado período. Portanto, para avaliar se é um remetente em massa os períodos do ano em que mais comunica via email para verificar se essas regras se aplicam a si. Pode não se considerar um remetente em massa, mas os provedores de email podem discordar, pelo que deve ser cauteloso nesta avaliação.

Guia prático para a autenticação de domínios de email

O que significa ter um domínio autenticado

Autenticar o seu domínio de envio usando SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail) significa que está a fornecer aos provedores de serviços de email, como Gmail e Yahoo, prova de que é um domínio de email autorizado.

O que são o DKIM, SPF e DMARC

O SPF informa ao provedor de email que endereço IP representa o seu domínio. Se o IP num email que afirma ser do seu domínio não corresponder ao endereço IP declarado, o email falhará na autenticação SPF.

DKIM inclui uma assinatura digital criptografada nos seus emails. Sem essa assinatura, qualquer email que se apresente como sendo do seu domínio falhará na autenticação.

O DMARC  é um sistema de autenticação de email criado para proteger o seu domínio contra uso para falsificação de email, phishing e outros crimes cibernéticos.

O objetivo é o de informar os provedores de email o que fazer com emails que falhem na autenticação. Atualmente, existem duas técnicas principais de autenticação de email: SPF (estrutura de política de remetente) e DKIM (correio identificado por chaves de domínio).

Mas se um email falhar em algum desses protocolos, o que acontece? Bem, sem uma política DMARC, depende do que o provedor de email decidir fazer. Eles podem deixar esses emails passarem para a caixa de entrada, filtrá-los como spam ou impedir que sejam entregues.

Quando um proprietário de domínio configura um registo DMARC no seu DNS, ele pode solicitar informações sobre quem está a enviar emails em nome de seu domínio.

Conforme mencionado, o DMARC usa SPF e DKIM para autenticar as mensagens e informa o provedor de email do que fazer com os emails recebidos que falham nesses protocolos de autenticação de email. Isso significa que ninguém poderá falsificar o seu domínio de email.

Como funciona o DMARC?

Não vai poder utilizar o DMARC até implementar o SPF e o DKIM, ambos configurados no seu DNS. Depois que elas estiverem em vigor, poderá usar o DMARC para informar aos provedores de email o que fazer se um email falhar em alguma dessas políticas.

Resumindo, SPF e DKIM são métodos de autenticação de email que informam aos provedores de email que um email vem de um remetente legítimo:

Mas o que acontece a seguir? Se um email falhar no SPF ou no DKIM, a sua política DMARC responderá a essa pergunta.

Pode definir a sua política DMARC para uma das três configurações, que indicarão o que precisa acontecer com esses emails que falharam no SPF ou DKIM.

Aqui está cada configuração e o que elas significam:

P = none: Nada acontece, emails não autenticados ainda serão entregues.

P = reject: emails não autenticados são bloqueados e nunca vistos pelo destinatário.

P = quarantine: Emails não autenticados são colocados na pasta de spam.

Todos os principais provedores de email realizam uma verificação DMARC, portanto, ter o DMARC configurado oferece proteção adicional com todos os principais clientes de email.

Um registo DMARC é basicamente uma linha de código que é adicionada ao seu registo DNS TXT, com informações importantes sobre o que fazer quando esta autenticação falha:

v=DMARC1; p=none; rua=mailto:dmarc@example.com; ruf=mailto:dmarc-forensic@example.com; fo=1; 

Vamos detalhar o que é tudo, pedaço por pedaço neste exemplo básico:

  • v=DMARC1: indica que o registo DNS é um registo DMARC.
  • p = none: esta é a política. Configurando o p=none, está a informar aos servidores de de email que nenhuma ação como junk mail ou bloqueio da mensagem deve ser realizada se a mensagem falhar na autenticação.
  • rua=mailto:dmarc@example.com: Especifica o endereço de email para onde os relatórios agregados do DMARC devem ser enviados. Os relatórios agregados fornecem informações resumidas sobre os resultados da autenticação de email. Neste caso, os relatórios são enviados para “dmarc@example.com”. Lembre-se, mesmo que não PRECISE ter um endereço de email aqui, não receberá relatórios a menos que o faça. Sem relatórios, não conseguirá identificar a causa da falha de autenticação e resolver a situação.
  • ruf=mailto:dmarc-forensic@example.com: especifica o endereço de email para onde os relatórios forenses do DMARC devem ser enviados. Os relatórios forenses fornecem informações detalhadas sobre falhas individuais de autenticação de email, o que pode ser útil para investigar e corrigir problemas. O nosso conselho permanece o mesmo aqui.
  • fo=1: define as opções de relatório. Pode escolher entre quatro opções:
    • Fo=0 para obter um relatório de falha se SPF e DKIM falharem no alignment
    • Fo=1 para um relatório quando qualquer método de autenticação falhar. Portanto, se o SPF falhar, mas o DKIM não, quando você tiver fo=1 em seu registo, ainda receberá um relatório.
    • Fo=d gera um relatório quando o DKIM falha em qualquer verificação, não apenas no alignment
    • Fo=s gera um relatório quando o SPF falha em alguma verificação, não apenas no alignment.

Como publicar o registo DMARC?

1- Aceda à sua ferramenta de gestão de DNS

2- Encontre o domínio apropriado

3- Insira as seguintes informações onde indicado:

  • O nome do host deve ser _dmarc
  • O tipo de recurso é TXT, pois é assim que todos os registos DMARC são
  • O valor é o registo DMARC que criou, que deve seguir o formato que descrevemos anteriormente

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *