Configuração SPF, DKIM e DMARC

Este guia mostrará o processo de configuração de SPF, DKIM e DMARC – três componentes vitais para melhorar o desempenho do envio de e-mail.

A configuração adequada de SPF, DKIM e DMARC aumentará a confiança dos servidores de e-mail e minimizará a probabilidade de seus e-mails caírem em spam.

• SPF (Sender Policy Framework) é uma medida de segurança projetada para evitar que outros enviem e-mails em seu nome. Ela determina quais endereços IP têm permissão para enviar e-mails e quais não.
• DKIM (DomainKeys Identified Mail) é um método de autenticação de mensagens. Quando cada e-mail é enviado, ele é assinado com a chave privada e então verificado no servidor de e-mail receptor (ou provedor de serviços de Internet) com a chave pública DNS.
• DMARC (Domain-based Message Authentication, Reporting & Conformance) usa SPF e DKIM para autenticação de e-mail, reduzindo ataques de spam e phishing.

Configuração SPF (Sender Policy Framework)

1.1. Para configurar o SPF, um registro TXT deve ser adicionado às configurações de DNS do seu domínio.

1.2. Esta é a seguinte sintaxe do registro SPF:

• v=spf1: determina uma versão SPF usada por você. Hoje, apenas SPF1 é usado.
• ip4:[IP_do_seu_servidor_de_e-mail]: Indica que o endereço IP do seu servidor de e-mail tem permissão para enviar e-mails em nome do seu domínio.
• a: Especifica que se um domínio tiver um registro A (endereço IPv4) no DNS, o servidor especificado nesse registro poderá enviar e-mails em nome do domínio.
• mx: Indica que se um domínio tiver um registro MX (mail exchange) no DNS, o servidor especificado neste registro poderá enviar e-mails em nome do domínio.
• ~all: Indica que apenas servidores no registro SPF podem enviar e-mail em nome do domínio. Se o e-mail vier de outro servidor, ele será marcado como "soft match" (~), o que significa que ele pode ser aceito, mas marcado como possível spam.

Juntos, esses elementos formam um FPS que se parece com isto:

Nome: [Seu_Domínio]

v=spf1 ip4:[Your_Mail_Server_IP] a mx ~all

Substitua [IP_do_seu_servidor_de_e-mail] pelo endereço IP do seu servidor de e-mail.

Configuração DKIM (DomainKeys Identified Mail)

2.1. Primeiro instale o opendkim e o opendkim-tools. O processo de instalação depende do sistema operacional:

Para CentOS:

yum install opendkim -y

Para Debian/Ubuntu:

apt install opendkim opendkim-tools -y

2.2. Em seguida, inicie o serviço opendkim e habilite seu lançamento durante a inicialização:

systemctl start opendkim
systemctl enable opendkim

2.3. Crie um diretório para armazenamento de chaves:

mkdir -p /etc/opendkim/keys/yourdomain.com

2.4. Gere chaves usando a ferramenta opendkim-genkey:

opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkim

Não se esqueça de substituir 'seudominio.com' pelo seu nome de domínio real.

2.5. Defina permissões apropriadas para chaves:

chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com

2.6. Agora precisamos configurar o opendkim. Abra o arquivo /etc/opendkim.conf e adicione as seguintes configurações:

AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost

2.7. Adicione seu domínio ao arquivo /etc/opendkim/TrustedHosts

127.0.0.1
localhost
*.yourdomain.com

2.8. Edite o arquivo /etc/opendkim/KeyTable para ficar assim:

dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private

2.9. Altere o arquivo /etc/opendkim/SigningTable. Para ficar assim

*@yourdomain.com dkim._domainkey.yourdomain.com

2.10. Se você usa Debian/Ubuntu, especifique a porta opendkim:

echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim

2.11. Reinicie o serviço opendkim para que as alterações sejam aplicadas:

systemctl restart opendkim

2.12. Por fim, adicione a chave pública às configurações de DNS do seu domínio. As chaves estão em /etc/opendkim/keys/yourdomain.com/dkim.txt.

Configuração DMARC (Domain-based Message Authentication, Reporting & Conformance)

3.1. Para configurar o DMARC, adicione um registro TXT às configurações do seu domínio:

Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=none

Substitua [Seu_Domínio] pelo nome do seu domínio.

Configuração PTR (Pointer Record)

4.1. Um registro PTR, também conhecido como registro DNS reverso, é usado para transformar um endereço IP em um nome de domínio. Isso é importante para servidores de e-mail porque alguns servidores podem rejeitar mensagens sem um registro PTR.

4.2. O registro PTR geralmente é configurado nas configurações do provedor de serviços de internet ou provedor de hospedagem. Se você tiver acesso a essas configurações, você pode configurar um registro PTR especificando o endereço IP do seu servidor e seu nome de domínio correspondente.

4.3. Se você não tiver acesso às configurações do registro PTR, entre em contato com seu provedor de serviços de internet ou provedor de hospedagem com uma solicitação de configuração do registro PTR.

4.4. Após instalar o PTR, você pode verificá-lo usando o comando dig no Linux:

dig -x your_server_IP

Substitua 'your_server_IP' pelo endereço IP do seu servidor. A resposta deve incluir seu nome de domínio.

Depois de concluir todas as etapas de configuração do SPF, DKIM e DMARC, o servidor de e-mail terá muito menos probabilidade de marcar seus e-mails como spam – ele garantirá que suas cartas cheguem aos destinatários.