Chapter 3
Embora a inteligência artificial generativa (gen AI) ofereça muitas promessas para o futuro, ela também está dificultando distinguir o que é real e o que não é – especialmente nas mãos erradas. Enquanto os remetentes de e-mail usam a AI para melhorar a eficiência e debater ideias de marketing, os golpistas e spammers encontraram seus próprios usos nefastos para ela.
Phishing tem sido uma grande preocupação por anos. Agora, com ferramentas de AI generativa, agentes mal-intencionados podem criar rapidamente e-mails enganosos para parecerem que vieram de qualquer marca. Eles também podem usar grandes modelos de linguagem (LLMs) para personalizar golpes para uma engenharia social mais convincente.
Os protocolos de autenticação de e-mail ajudam os provedores de caixa de correio a identificá-lo como um remetente legítimo. Isso prova que você é quem diz ser, que suas mensagens são confiáveis e que elas devem ser entregues na caixa de entrada. Mas há remetentes suficientes usando a autenticação de e-mail?
dos remetentes sabem que estão usando tanto o SPF quanto o DKIM para a autenticação de e-mail.
de aumento nos remetentes que sabem que estão usando o DMARC em comparação com nossa pesquisa de 2023.
daqueles que enviam mais de 100 mil e-mails por mês sabem que estão usando o DMARC para a autenticação de e-mail (20% não têm certeza).
dos remetentes que usam o DMARC sabem que o estão aplicando com uma política de Reject ou Quarantine.
A autenticação é um dos aspectos mais técnicos da entregabilidade de e-mail. Isso envolve registros DNS que os servidores de e-mail de recebimento devem consultar antes que as mensagens sejam entregues.
Como uma rápida revisão, estes são os registros TXT DNS conectados à autenticação de e-mail e o básico do que eles fazem:
Sender Policy Framework: O SPF especifica quais endereços IP estão autorizados a enviar e-mails em nome de um domínio. Ele ajuda a verificar se uma fonte válida enviou o e-mail.
DomainKeys Identified Mail: O DKIM usa uma assinatura digital criptográfica, que permite que os servidores de e-mail de recebimento verifiquem se o e-mail veio do domínio de onde afirma ser.
Domain-based Message Authentication, Reporting and Conformance: O DMARC baseia-se no SPF e no DKIM, fornecendo uma maneira para os proprietários de domínios especificarem como os servidores de e-mail de recebimento devem lidar com falhas de autenticação.
Brand Indicators for Message Identification: O BIMI baseia-se no DMARC e permite que as marcas exibam um logotipo verificado ao lado dos e-mails na caixa de entrada do destinatário quando o DMARC é aplicado.
Os remetentes em massa precisam usar SPF, DKIM e DMARC se quiserem alcançar a entrega na caixa de entrada com os principais provedores de caixa de correio. No entanto, todo remetente pode se beneficiar do uso de todos esses três métodos – e o BIMI é como a cereja do bolo.
Os protocolos SPF e DKIM são essenciais para a autenticação de e-mail. Embora os remetentes de baixo volume possam conseguir chegar à caixa de entrada de e-mail com apenas um dos dois, o uso de ambos é altamente recomendado. Os remetentes em massa devem usar o SPF e o DKIM para cumprir os requisitos do Gmail e do Yahoo de 2024.
Quase dois terços de todos os remetentes (66,2%) dizem que usam o SPF e o DKIM para a autenticação de e-mail. 25,7% dos entrevistados não tinham certeza sobre como suas organizações usavam o DKIM e o SPF. Menos de 9% disseram que estavam usando apenas um ou outro.
Quando filtramos esses resultados com base nos volumes de envio, mais de 75% dos entrevistados que enviam mais de 50.000 e-mails por mês estão confiantes de que usam ambos os protocolos. O maior grau de incerteza em torno do SPF e do DKIM veio dos remetentes de baixo volume, com menos de 50.000 e-mails por mês.
Para aqueles que não têm certeza sobre a autenticação SPF e a autenticação DKIM, é provável que estejam usando pelo menos um deles. A maioria dos provedores de serviços de e-mail (ESPs) exige que esses protocolos sejam configurados antes que quaisquer e-mails sejam enviados. Em alguns casos, um ESP pode usar seus próprios registros SPF e DKIM em nome de remetentes menores em IPs compartilhados.
O protocolo DKIM envolve um par de chaves, uma pública e uma privada, que são usadas para autenticar um domínio de envio. A chave privada contém a assinatura digital criptografada e é enviada juntamente com as mensagens de e-mail. A chave pública reside no DNS e é combinada com a chave privada para verificar a autenticidade da mensagem.
As chaves DKIM precisam ser alteradas periodicamente. Esta é uma prática conhecida como rotação de chaves DKIM. Isso é necessário porque essas chaves podem ser comprometidas, o que abre as portas para agentes mal-intencionados causarem danos reais.
A rotação de chaves DKIM é muito parecida com a alteração das senhas da sua conta pessoal para mantê-las seguras. Infelizmente, os remetentes parecem não ter o hábito de fazer a rotação das chaves DKIM.
47,7% dos remetentes que usam o DKIM admitem que só alternarão as chaves após um problema de segurança. Até lá, pode ser tarde demais. Outros 40% dos remetentes em nossa pesquisa dizem que não têm certeza sobre as práticas de rotação de chaves DKIM.
Apenas 12% combinados dos remetentes dizem que têm um prazo aproximado para alternar as chaves DKIM. Os outros 88% podem estar colocando seus clientes e assinantes, bem como a reputação de sua marca, em risco.
Se alguém roubar suas chaves DKIM, nem precisará usar spoofing. Eles são literalmente capazes de assinar e-mails como se fossem enviados do seu domínio.
É considerado uma das best practices fazer a rotação das chaves DKIM a cada 6 a 12 meses, no mínimo. Se suas chaves DKIM vazarem ou um agente mal-intencionado conseguir decifrá-las, mude as chaves o mais rápido possível. Visite a central de ajuda do Sinch Mailgun para saber como atualizar ou alternar suas chaves DKIM.
É justo dizer que o aspecto mais importante das novas regras do Google e do Yahoo para remetentes em massa é o requirement do DMARC. O DMARC oferece uma maneira de aproveitar o poder do SPF e do DKIM para uma forte autenticação de e-mail.
Os resultados da nossa pesquisa mostram um aumento na adoção do DMARC em comparação com os resultados que publicamos no Estado da entregabilidade de e-mail de 2023. Em 2024, 53,8% dos remetentes nos disseram que estavam usando o DMARC. Isso representa um aumento de 11% em relação aos 42,6% que implementaram o DMARC em 2023.
Como você pode esperar, devido ao requirement do DMARC do Google, o aumento parece ainda mais forte entre os remetentes em massa. Enquanto cerca de 56% dos remetentes de maior volume haviam configurado o DMARC em 2023, aproximadamente 70% ou mais deles o fizeram em 2024.
Ao configurar o DMARC, os remetentes devem escolher uma política específica que informa aos servidores de e-mail de recebimento como lidar com mensagens que falham no SPF ou no DKIM. Veja como cada uma das três políticas funciona:
1. None (p=none): Esta política do DMARC diz aos servidores de e-mail de recebimento para não fazerem nada se uma mensagem falhar na autenticação.
2. Quarantine (p=quarantine): Esta política do DMARC diz aos servidores de e-mail de recebimento que as falhas de autenticação devem ser filtradas para o spam.
3. Reject (p=reject): Esta política do DMARC é a mais forte. Ela diz aos servidores de e-mail de recebimento que as falhas de autenticação não devem ser entregues de forma alguma.
O requirement do DMARC do Yahoo e do Google apenas ditava que os remetentes usassem uma política de p=none. Isso ocorre porque, neste ponto, os provedores de caixa de correio estão tentando fazer com que os remetentes deem o primeiro passo em direção à aplicação.
A política p=none foi a política mais comum que os remetentes usaram em 2023, e continuou assim em nossa pesquisa mais recente. 31,8% dos remetentes que usam o DMARC têm sua política definida como None, 19,3% estão usando Quarantine e 17,7% têm uma política definida como Reject.
Em 2023, cerca de 23% dos remetentes tinham as políticas de DMARC definidas como None. Mas a mudança mais notável foi uma diminuição nos remetentes que não têm certeza sobre qual política é usada. Embora 31,3% dos remetentes na pesquisa deste ano não tenham certeza de sua política DMARC, esse número caiu de mais de 40% em 2023.
Esse resultado sugere que os novos requisitos do remetente não apenas encorajaram a adoção do DMARC, mas também aumentaram a conscientização em torno do padrão e de suas políticas específicas.
“O DMARC na verdade preenche uma lacuna que o SPF e o DKIM deixaram para trás, introduzindo o conceito de alinhamento… ele fecha essa brecha e garante que você é quem diz ser. Você pode definir uma política DMARC que diz: rejeitar, colocar em quarentena ou monitorar. No momento, os provedores de caixa de correio não estão exigindo nada mais rigoroso do que p=none, mas isso pode mudar.”
Há um problema em usar a política DMARC p=none. Ela não faz muito para melhorar a sua autenticação. As mensagens que falham no DKIM ou no SPF ainda podem ser entregues em caixas de entrada de e-mail. Tecnicamente, você não está aplicando o DMARC até implementar uma política de p=quarantine ou p=reject.
A política p=none deve ser usada para testar o DMARC durante a configuração. Eventualmente, os remetentes devem mudar a política. Então, é esse o plano dos remetentes na nossa pesquisa?
Os resultados mostram que um total de 25,5% dos remetentes que usam p=none têm o plano de atualizar a política no próximo ano. No entanto, 61% só o farão se forem exigidos e 13% não têm o plano de atualizar porque atendem aos requisitos atuais do DMARC.
“O objetivo final é idealmente uma política de p=reject. É para isso que o DMARC serve. Garantir que seu domínio não possa ser falsificado e proteger nossos clientes mútuos de abusos.”
Os remetentes cujo plano é esperar até que a aplicação do DMARC seja exigida podem não esperar muito. Representantes do Gmail e do Yahoo nos disseram que eventualmente exigirão uma política mais forte. Os remetentes que tomaram medidas para aplicar o DMARC estão à frente do jogo – e estão fazendo a coisa certa.
Se você precisa de outro motivo para escolher uma política DMARC mais forte, talvez o BIMI resolva. Esta especificação permite que os remetentes exibam um logotipo verificado ao lado de seus e-mails. Para ser elegível para um logotipo BIMI, no entanto, você precisa estar aplicando o DMARC com uma política de Reject ou Quarantine.
O Gmail, o Apple Mail e o Yahoo Mail dão suporte ao BIMI, mas o Outlook atualmente não. Veja como um logotipo BIMI pode aparecer na caixa de entrada:
Então, quão popular é o BIMI? O site BIMI Radar rastreia mais de 72 milhões de domínios para o que chama de “prontidão para o BIMI”. Até o momento da redação deste artigo, o site indica que apenas 3,8% desses domínios seriam elegíveis para um logotipo BIMI. Isso significa que a grande maioria não está usando o DMARC ou não tem uma política forte o suficiente.
Nossa pesquisa mais recente perguntou aos remetentes de e-mail se eles já haviam implementado o BIMI. Os resultados mostram que 5,7% dos entrevistados usam o BIMI, enquanto outros 11,4% estão trabalhando para implementar a especificação. Ainda assim, quase 60% dos remetentes não estão usando o BIMI.
O BIMI não impacta diretamente a entregabilidade nem faz nada para autenticar seus e-mails. No entanto, ele é associado à autenticação porque apenas os remetentes que se esforçaram em torno do DMARC podem exibir um logotipo da caixa de entrada verificado. Como você pode imaginar, isso tem vantagens para muitas marcas.
Confiança do cliente/assinante
Protegendo a reputação da marca
Construindo o reconhecimento da marca
Segurança de e-mail
Queríamos descobrir o que levou os remetentes que estão usando o BIMI a buscar um logotipo da caixa de entrada. O que eles esperavam ganhar com isso? Aqui está o que esses remetentes dizem ser o principal impulsionador da implementação do BIMI:
Um logotipo na caixa de entrada certamente fornece um branding extra por meio de seus e-mails. Embora o BIMI em si não faça nada para aprimorar a segurança de e-mail, é uma prova de que um remetente tomou outras medidas para isso. Os destinatários podem ser mais propensos a abrir e interagir com e-mails que exibem um logotipo na caixa de entrada porque parece mais confiável.
7,4% dos entrevistados nos disseram que buscaram o BIMI para impulsionar o engajamento de e-mail. E isso pode muito bem ser verdade. Um estudo de 2021 sobre logotipos na caixa de entrada sugere que eles afetam positivamente as métricas de engajamento, como taxas de abertura.
Como a autenticação de e-mail beneficia os remetentes:
• Evita que sua marca seja falsificada.
• Protege os clientes contra ameaças à segurança.
• Dá suporte a uma boa reputação do remetente.
• Leva a uma melhor entrega na caixa de entrada.
Como a autenticação de e-mail ajuda os provedores de caixa de correio:
• Ajuda a identificar remetentes legítimos em comparação com mensagens maliciosas.
• Dá suporte à integridade do seu produto.
• Mantém as pessoas usando e-mail para comunicações da marca.
• Oferece orientação sobre a filtragem de falhas de autenticação.
Como a autenticação de e-mail dá suporte aos destinatários:
• Impede que e-mails de phishing, spam e malware cheguem às suas caixas de entrada.
• Cria confiança nas marcas das quais eles desejam ouvir.
• Melhora a experiência da caixa de entrada reduzindo e-mails indesejados
Configurar a autenticação de e-mail pode ser complexo, mas todo o trabalho compensa. É uma vitória para todos os envolvidos… exceto spammers e golpistas.
Os resultados de nossa pesquisa mostram que a comunidade de e-mail está fazendo progresso com a autenticação e a segurança da caixa de entrada, mas ainda há espaço para melhorias.
Com os Deliverability Services do Sinch Mailgun, você terá seu próprio Gerente Técnico de Contas (TAM) para ajudá-lo a navegar pelas complexidades de alcançar a entrega na caixa de entrada. Entre em contato conosco para saber mais.
