A autenticidade de seus emails e a batalha secreta contra o SPAM

Publicado por Lucas André de Alencar no dia dev

Servidores de emails vs SPAM

O mundo dos emails é muito surpreendente. Antes de começar a trabalhar aqui na Resultados Digitais, enviar emails parecia ser uma tarefa bem simples e que dificilmente teria problemas. Porém, aprofundando mais no assunto, percebi que existe uma batalha acontecendo entre os servidores de emails e os spammers, que não transparece na superfície que enxergamos. Existem várias manobras e estratégias diferentes para evitar a proliferação de SPAMs pelas caixas de entrada dos usuários de email.

Há alguns meses criamos um time especializado em Email Marketing que tem como objetivo melhorar a entregabilidade dos emails de nossos clientes. Neste post, apresentarei algumas das técnicas que utilizamos para melhor garantir que os emails enviados por nossos clientes cheguem à caixa de entrada de seus contatos.

Entregabilidade

A palavra entregabilidade tem origem da palavra em inglês deliverability que significa “ter capacidade de entregar”. No meio de campanhas de emails, a palavra é utilizada para representar a garantia de que o email que está sendo enviado vai chegar ao seu destino corretamente. Uma forma de garantir a entregabilidade é através de técnicas de autenticação de emails que são utilizadas por muitos (ou até todos) os servidores de email do mundo. As principais são SPF, DKIM e DMARC.

Um tipo de email evitado é relacionado a fraudes ou golpes que circularam na internet. O protocolo SMTP (Simple Mail Transfer Protocol) descreve o formato da mensagem e a forma de comunicação dos servidores para se realizar a troca de emails entre eles. No entanto, o protocolo não previa a verificação da autenticidade das mensagens sendo trocadas, isto é, se as mensagens enviadas são mesmo das pessoas que elas dizem ser. Qualquer pessoa poderia assinar um email em nome de outra e nenhuma verificação era realizada.

É daí que surgem aqueles emails da Polícia Federal cujo o endereço de email que te enviou parece verídico (denuncias@dpf.gov.br), mesmo você tendo certeza que não entrou em nenhum site ilegal para contratar golfinhos ucranianos assassinos. Essa prática é ruim para a reputação da pessoa que o email está sendo utilizado indevidamente e é nessa falha que entram as técnicas de autenticação de email atuais.

Emails falsos e sem autenticação

SPF (Sender Policy Framework)

O SPF é vastamente utilizado e tem o objetivo de autenticar quais são os servidores que têm permissão de enviar emails em nome de um domínio. Todo email possui 2 campos de remetente, um relacionado com a pessoa que está enviando o email e outro relacionado ao servidor que o email foi disparado. Digamos que uma pessoa deseja enviar emails utilizando seu domínio, porém ela não possui um servidor próprio para isso. Então ela contrata um servidor de terceiros que não se identificam com o seu domínio e que utilizam endereços de IPs próprios. Quando essa pessoa dispara um email, o servidor destino verifica se os registros de SPF existem no domínio do remetente e se o servidor que enviou o email (identificado pelo endereço IP) tem permissão de assinar a mensagem utilizando o domínio em questão. Caso o servidor não esteja listado, a verificação de autenticidade do SPF falha.

Dessa forma, para que o email seja considerado autêntico, utiliza-se a configuração de registros SPF no domínio de quem deseja enviar emails. Esta configuração se dá através da inserção de um registro TXT no domínio do remetente, que indica os IPs dos servidores que tem permissão de disparar emails utilizando o domínio especificado.

DKIM (DomainKeys Identified Mail)

Outro método de autenticação bastante utilizado é o DKIM, que também tem como objetivo verificar a autenticidade de um email, porém realiza a verificação de uma maneira diferente. Enquanto um email está transitando pelos “tubos da internet” até o servidor destino, no meio do caminho podem existir pessoas mal intencionadas que interceptem e copiem a assinatura do email, isto é, informações como o endereço IP de origem que tem permissão de disparar emails para um domínio. Isso abre uma brecha na autenticação do SPF, permitindo que os mal intencionados consigam enviar emails com uma assinatura válida porém com conteúdo de interesse próprio (alguma fraude ou golpe para roubar informações). Isso permite que outras pessoas possam fingir que estão enviando emails de um servidor válido, tendo sucesso na autenticação do SPF.

O DKIM serve para evitar este problema de autenticidade. Utilizando de magias criptográficas, uma chave pública e outra privada são geradas utilizando o conteúdo do email como base. O email é enviado com a chave pública e, assim que chega ao destino, o servidor compara as chaves e autentica a mensagem. Caso o conteúdo do email seja diferente, a chave pública também é, causando uma inconsistência e indicando que o email não é autêntico.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

Configurando SPF e DKIM já é um grande avanço na garantia de autenticidade de seus emails. No entanto o controle sobre o que fazer com um email que apresenta falha na autenticação está inteiramente no servidor destino, podendo colocar a mensagem na caixa de SPAM ou simplesmente não entregar para o destinatário. Pensando em evitar estes problemas, criou-se o DMARC, estratégia mais recente e pouco difundida. O DMARC é como um acordo de cavalheiros entre donos de domínios e servidores de email, visto que permite ao responsável pelo domínio decidir o que fazer com o email que apresentou falha na autenticação (colocar na caixa de SPAM, rejeitar ou se abster da decisão).

DMARC não substitui SPF ou DKIM, as estratégias se complementam, onde DMARC utiliza os resultados de autenticação do SPF e DKIM em seu processo de decisão. Dentre as vantagens de utilizar DMARC para autenticação de emails estão:

  1. entrega da responsabilidade da autenticação e reputação dos emails nas mãos dos donos dos domínios;
  2. minimiza falsos positivos (emails que falharam autenticação porém são autênticos) que podem prejudicar a reputação de domínios que não merecem;
  3. possibilita o feedback para o responsável do domínio sobre a autenticação de seus emails e de que forma seu domínio está sendo utilizados no disparo de emails (inexistente anteriormente).

É o fim do SPAM?

Teoricamente, estas técnicas não foram criadas com o intuito de acabar com os SPAMs, mas sim dificultar a prática de fraudes em email (que é um tipo de SPAM). Existem várias razões para um email cair na caixa de SPAM e várias condições que influenciam na decisão de alguma mensagem ser SPAM ou não. Ao utilizar estas técnicas de autenticação de emails, você elimina alguns fatores que podem influenciar na entregabilidade de seus emails, no entanto o conteúdo e a reputação de seu domínio continuam sendo avaliados.

Neste post tem mais alguns outros pontos sobre entregabilidade que podem te interessar. Espero que eu tenha esclarescido algumas dúvidas de como esse mundo bizarro de emails funciona. Se algo não tenha ficado claro ou tenha alguma outra dúvida, fique a vontade para se manifestar nos comentários.

Lucas André de Alencar

Lucas André de Alencar

Full Stack Developer

Comentários