AVAS – Registros SPF, DKIM y DMARC
Para ativar a proteção AvasCloud de seu mail de saída você precisa adicionar no DNS de todos os domínios para proteger o SPF, registros DKIM e DMARC proposto neste documento.
Protocolo SPF
O SPF protocolo (Sender Policy Framework), que é baseado no DNS do seu nome de domínio, pode certificar que o IP de emissão tem o direito de enviar um e-mail para o remetente.
Em outras palavras, com este registro, as infra-estruturas de endereço IP dos provedores são declaradas através das quais você enviará e-mails com remetente em seu domínio.
Para isso, se você for usar o serviço Outbound ou Saída do Planisys AVAS, deverá incluir os blocos de endereços IP do Planisys no seu registro SPF.
Este protocolo é usado para impedir o uso fraudulento do seu nome de domínio e impedir que terceiros se passe por você. Este protocolo é particularmente eficaz contra ataques de phishing. É usado em combinação com DKIM e DMARC.
Adicionar registro SPF
Caso 1: o domínio não tem um registro SPF
Se o domínio não tiver um registro SPF e vai enviar emails apenas por meio do serviço Planisys, o seguinte registro deverá ser criado no DNS:
dominio.com. IN TXT "v=spf1 include:spf.planisys.net -all"
Se, por outro lado, você não tiver um registro SPF e enviar mensagens através do serviço Planisys e, adicionalmente, através de outros serviços, o registro deverá ter o seguinte formato:
dominio.com. IN TXT "v=spf1 include:spf.planisys.net ?all"
Se o domínio não possuir um registro CNAME como o seguinte:
Caso 2: o domínio já tem um registro SPF
Se o domínio já tiver um registro SPF, ele deverá ser modificado incluindo o include: spf.planisys.net nele. Se um domínio tiver um registro como o seguinte, por exemplo:
dominio.com. IN TXT "v=spf1 a include:emailmarketing.net ip4:10.0.0.1 -all"
deve ser modificado, permanecendo da seguinte forma
dominio.com. IN TXT "v=spf1 a include:emailmarketing.net ip4:10.0.0.1 include:spf.planisys.net -all"
No PDNS, o registro deve ser criado da seguinte maneira:
Protocolo DKIM
O protocolo DKIM (DomainKeys Identified Mail) é um protocolo criptográfico baseado no uso de chaves públicas publicadas no seu DNS.
Este protocolo permite assinar seus e-mails com o nome do seu domínio, da mesma forma que você faria ao assinar uma carta com o seu nome. Dessa forma, o destinatário do seu e-mail pode verificar se o e-mail recebido foi assinado pela infraestrutura de saída do seu domínio e não foi alterado durante a transmissão.
Esse protocolo é particularmente eficaz contra ataques do tipo Man in the Middle, impedindo que o conteúdo do email seja alterado depois de assinado.
Você pode ter vários seletores em seu domínio para diferentes sistemas que assinam seus e-mails enviados. No caso do AVAS Planisys, geramos um par de chaves (privadas e públicas), e pedimos aos domínios que usam nosso serviço de Saída para configurar em seus DNSs a chave pública fornecida pela Planisys com o seletor “seletor1”.
Adicionar registro DKIM
O registro a seguir deve ser criado no DNS do domínio:
selector1._domainkey.dominio.com. IN TXT k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDJKwIQcgY5KrBFK80/YDosF3drO+0y1XsOFjK7H/FZPugsdkHtbe/axRu9aEjlJvdQr/QQqUM7jWSp/eSzb2G8UBG06xfRLQPPy7xKzK5jCzlbFy15Eq8zcdmMAIyCfAsF4fLoVbBvDctahFLEQqS03MiG+OgOUNbuJ4HG8oDEPwIDAQAB; t=y
Desta forma, todos os e-mails que saem através do serviço de Saída da AVIS Planisys serão assinados independentemente de você ter registrado este cadastro ou não, portanto o cadastro é obrigatório.
No PDNS, o registro deve ser criado da seguinte maneira:
Protocolo DMARC
O protocolo DMARC (Autenticação de Mensagens Baseada em Domínio, Relatórios e Conformidade) permite publicar no DNS a política sugerida pelo proprietário de um domínio para os operadores de Correio de outros domínios, com relação aos e-mails com remetente ou origem neste domínio.
Em particular, a política sugerida é sobre o que os operadores de email devem fazer caso os emails com remetente em seu domínio tenham falhas de SPF e / ou DKIM.
Adicionar registro DMARC
O registro sugerido pela Planisys é o seguinte, caso seu domínio esteja configurado corretamente com SPF e DKIM:
_dmarc.dominio.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarcplanisys@rebotes.planisys.net; ruf=mailto:dmarcplanisys@rebotes.planisys.net; fo=0; adkim=s; aspf=s; pct=100; rf=afrf; ri=86400; sp=reject"
Com adkim=s; aspf=s; estamos passando para um modo estrito na política DMARC, em vez do modo relaxado utilizado por padrão. Essa mudança atende a novas exigências que começarão a ser aplicadas gradualmente a partir de meados de 2025 por provedores como a Microsoft, especialmente para domínios com alto volume de envio. Isso não afeta apenas o e-mail marketing, mas também domínios com grandes bases de usuários e alto tráfego diário de e-mails.
Dessa forma, se os emails aparecerem de endereços IP incorretos ou não forem assinados com o DKIM ou forem assinados incorretamente, a política sugerida será “REJECT” (REJEITAR). Ou seja, rejeite qualquer email com remetente em seu domínio que não atenda aos requisitos de SPF e DKIM.
O registro DMARC é uma forma de proteger sua marca e reputação na Internet, comprometendo-se a enviar e-mails com seu remetente somente através de canais seguros como AVAS ou DMDS Planisys, e não arriscando remessas de servidores sem autenticação ou e-mail marketing em plataformas compartilhadas.
No PDNS, o registro deve ser criado da seguinte maneira:
