Por que solicitamos configurações em seu DNS
Quando você utiliza uma ferramenta para comunicação corporativa, é importante que o servidor da ferramenta esteja autorizado a enviar emails em nome do endereço utilizado como remetente. Caso contrário, os servidores podem classificar seus comunicados como spam, ou inseguros para serem exibidos, já que os servidores não tem como saber se o e-mail foi enviado por alguém que de fato está autorizado a utilizar esse endereço de email.
Para evitar tais transtornos, enviamos abaixo tabela de DNS que deve ser configurado pela sua equipe de TI ou responsável pela hospedagem e/ou gerenciamento de seu domínio, antes que possa utilizar todos os benefícios de nossa solução.
Assim, todos os e-mails enviados através do SimplificaCI serão enviados exclusivamente através de nossos servidores, não tendo relação com os e-mails da sua empresa, nem serão considerados como parte de sua cota de correio interna (se houver) ou até mesmo usarão sua rede como parte de seu envio.
Por que configurar um e-mail na SimplificaCI é importante?
Nosso principal compromisso é fornecer uma solução para que a Comunicação Interna funcione sem que você se preocupe com a infraestrutura ou com os custos decorrentes dela.
Fornecemos para a área Comunicação Interna uma ferramenta completa para conseguir atingir os objetivos do negócio e engajar o público interno, por isso é muito importante que sua conta esteja devidamente configurada para poder atender dois importantes aspectos não técnicos.
- O engajamento na abertura é sempre maior quando o e-mail tem um remetente da própria empresa. Os empregados entendem que é uma informação importante, pois se o remetente for de terceiro o senso de importância é menor.
- Quando o empregado decide responder o e-mail (com alguma dúvida ou feedback), este precisa ter uma caixa de entrada administrada pelos responsáveis da área de comunicação, ou seja, os e-mails são disparados da plataforma, mas a caixa de entrada do mesmo é deve ser de um remetente válido e pronto para receber respostas.
Segurança no Envio de seus Comunicados
- Os comunicados por e-mail serão enviados por onde?
Nossos servidores de envio de e-mail estão alocados na Amazon AWS, especificamente em Leste dos EUA (Norte da Virgínia) na qual utilizamos os serviços da Amazon SES, um serviço altamente escalável e estável para o envio e recebimento de e-mails.
- Segurança Anti-Fishing
Todos os e-mails enviados pela SimplificaCI em nome da sua empresa são enviados exclusivamente por meio de API de conexão direta entre nossos servidores EC2 na Amazon e os servicos Amazon SES. Ou seja, na prática, isso significa que sua autorização de DNS permite que apenas nosso servidor autorizado possa enviar esses e-mails, evitando que ele seja disparados de outra localização. Além disso, nossos serviços de e-mail não permitem a utilização de protocolos SMTP para envio do seu e-mail por fora da nossa estrutura, o que aumentam ainda mais sua segurança, evitando que ações mal intencionadas como a prática de E-mail-Fishing seja evitada.
Por que solicitamos as configurações de SPF e DKIM
- Evitando Spam e Vírus
Nossos servidores usam várias medidas de proteção contra spam e vírus. Ele usa listas de bloqueio para, antes de qualquer coisa, impedir que e-mails de remetentes conhecidos de spam entrem no sistema. Ele também executa verificações antivírus para cada e-mail trafegado pela nossa rede e que contenha um anexo. Além disso, dispomos de monitoramentos avançados que detectam classificações abusivas como spam, bloqueando e-mails endevidos em uma blacklist até que essa seja devidamente verificada. Por isso, a autorização e verificação do DKIM e do SPF que solicitamos é tão importante, pois esses favorecem as verificações, deixando claro a origem e assinatura de cada um dos e-mails.
- Níveis de Autenticação
Spammers podem enviar mensagens de e-mail que alegam ser de outra pessoa e, ao mesmo tempo, ocultar sua real origem. Por falsificar cabeçalhos de e-mail e fazer spoofing de endereços IP de origem, os spammers podem enganar os destinatários a pensar que as mensagens de e-mail que estão recebendo são autênticas.
A maioria dos ISPs que encaminham tráfego de e-mail tomam medidas para avaliar se o e-mail é legítimo e isto é feito através de dois mecanismos de autenticação — Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM).
Uma medida que os ISPs tomam é determinar se um e-mail é autenticado. A autenticação exige que os remetentes verifiquem se eles são os proprietários da conta da qual estão enviando os e-mails. Em alguns casos, os ISPs recusam-se a encaminhar e-mail que não é autenticado. Para garantir a melhor capacidade de entrega, recomendamos a autenticação de e-mails.
Fases de verificação de segurança
Por meio de nosso painel de configurações, fornecemos um ambiente para a verificação de diversas etapas que fortelecerão a sua e a nossa segurança quando os comunicados forem disparados pelo Simplifica Mail, são elas:
- A verificação do e-mail de remente
Idependente das configurações de DNS que solitamos, temos como premissa exigir a verificação de qualquer e-mail de remete incluído em nossa plataforma. Assim, uma vez configurado será necessário que você confirme seu cadastro, onde neste caso, se dará por meio de um e-mail enviado diretamente pela Amazon SES, na qual contém um link único e autenticado que comprovará que seu e-mail for devidamente autorizado para ser vinculado aos nossos servidores. - A verificação de seu domínio
Para que possamos garantir que você tenha o total controle das autorizações fornecidas para que enviemos e-mail em seu nome, nós requisitamos a verificação de seu domínio. Isso não só nos dara este acesso como também garantirá que qualquer mudança futura sem sua autorização seja negada, evitando assim qualquer falhar de alteração indevida.
Esta verificação é feita através da inclusão de uma regra TXT com uma chave única que atesta seu domínio. - A verificação de autenticação DKIM
Todos os comunicados enviados por nós são assinados com uma chave criptográfica DKIM. Então, os provedores de e-mail usam essas assinaturas para verificar se as mensagens não foram modificadas por terceiros enquanto estavam em trânsito.Uma mensagem de e-mail enviada usando DKIM inclui um campo de cabeçalho DKIM-Signature que contém uma representação da mensagem assinada de forma criptográfica. Um provedor que recebe a mensagem pode usar uma chave pública, que é publicada no registro DNS do remetente, para decodificar a assinatura. Então, os provedores de e-mail usam essas informações para determinar se as mensagens são autênticas.
Esta verificação é feita através da inclusão de 3 regras CNAME com chaves únicas que atestam seu domínio. - A verificação de autenticação SPF
Sender Policy Framework (SPF) é um padrão de validação de e-mail, definido no RFC 7208, projetado para combater a falsificação de e-mail. A verificação SPF permite que os proprietários de domínio especifiquem quais servidores de e-mail são autorizados a enviar e-mail para seu domínio, neste caso a SimplificaCI. Para indicar a conformidade com SPF, o proprietário do domínio publica uma lista de servidores de e-mail autorizados em um registro DNS no servidor DNS do domínio.
Quando um servidor de e-mail recebe um e-mail que contém o domínio no endereço MAIL FROM, ele verifica os registros DNS do domínio para comparar os servidores de e-mail do remetente com os autorizados e toma uma ação apropriada no e-mail.
Na SimplificaCI, todos os e-mails são enviados por meio de um sub-dominio de seu domínio, evitando assim qualquer conflito com sua estrutura de DNS padrão de seu domínio. Para isso, solicitamos a configuração de um registro TXT que autoriza nosso servidor na Amazon SES a enviar os e-mails em seu nome, que neste caso serão assinados como "sci.seudominio.com" - A verificação de registro MX
Registros MX são utilizados para que nossos servidores possam verificar as respostas de e-mails quando esses são enviados a partir de nossa estrutura, este procedimento é feito a fim de identificarmos as respostas e reações de seus colaboradores nos seus comunicados, assim como efetuarmos as métricas de leitura adequadamente.
Esta verificação é feita através da inclusão de uma regra MX autorizando o servidor da Amazon SES alocado no Leste dos EUA (Norte da Virgínia). - A verificação para relatórios DMARC (Opcional)
Autenticação de mensagens com base em Domain-based Message Authentication, Reporting and Conformance (DMARC) é um protocolo de autenticação de e-mail que usa Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM) para detectar a falsificação de e-mails. Para estar em conformidade com o DMARC, as mensagens devem ser autenticadas por meio de SPF, DKIM ou ambos.A fim de melhorar a análise do DKIM e SPF préviamente explicados quanto a sua importãncia, embora opcional, nós pedimos que uma regra DMARC seja criada a fim de acompanharmos os status de entrega e alinhamento das assinaturas dos e-mails enviados.
Evitando bloqueios indevidos de nossos e-mails
Uma das perguntas que recebemos de tempos em tempos aqui na SimplificaCI é “Qual endereço IP meu e-mail está passando?” E esta dúvida, costumeiramente ocorre quando há a possibilidade ou está ocorrendo o bloqueio de e-mails internos dentro de sua estrutura.
Neste caso a fim de colocar na lista de permissões do firewall de sua empresa, fornecemos abaixo os endereços IP do Amazon SES, caso seja necessário a implementação de um whitelist em sua estrutura.
Lista de IPs para Whitelist
O Amazon SES mantém vários endereços IP dos quais seu e-mail pode ser enviado e você pode descobrir esses endereços consultando o registro SPF do SES (no domínio amazonses.com), veja como fazer isso:
No Linux
$ dig TXT amazonses.com +short| grep 'v=spf1'
No Windows
nslookup -type=TXT amazonses.com | find "v=spf1"
Método alternativo (Domínio Secundário)
Em algumas corporações as alterações nos seus domínios são muito restritras, o que dificultam e em alguns casos impossibilitam que por exemplo uma unidade da sua empresa representada no Brasil tenha que por exemplo se envolver com a Matriz no exterior.
Neste caso, como alternativa sugerimos que voce crie um novo registro de domínio e caixas de e-mail exclusivas para utilização junto a SimplificaCI, assim, você terá total autonomia para gerir tais configurações sem que tenha que alterar ou justificar qualquer modificação na sua estrutura atual.
Por exemplo:
Imagine que seu nome de domínio seja acme.com, e que atualmente o e-mail do seu setor responsável por enviar os comunicados pela SimplificaCI seja comunicacao@acme.com.
Neste caso, você poderá registrar um novo domínio, por exemplo, acme-ci.com para vincular todas as regras solicitadas por nós e então criar um e-mail para envio dos comunicados como sendo comunicacao@acme-ci.com.
Nesta estrutura alternativa, seus comunicados serão enviados pelo novo domínio, então é importante que esse e-mail esteja configurado e direcionado para a mesma pessoa detentora do comunicacao@acme.com. Como sugestão recomendamos que você crie uma regra de redirecionamento deste novo e-mail alternativo (comunicacao@acme-ci.com) para o e-mail oficial (comunicacao@acme.com), evitando qualquer confusão quanto ao recebimento de e-mails.
Primeiros passos pós configuração dos DNSs
Esperamos que as informações acima tenham ajuda a compreender os aspectos de segurança do Simplifica Mail, caso não, sintam-se a vontade para falar conosco caso algum ponto não tenha ficado claro, teremos o prazer em ajudá-lo com qualquer desafio em relação a implantação de nossa solução.
Caso tudo tenha ficado claro é só seguir pelo link abaixo para começar a configurar sua conta na SimplificaCI junto ao seu domínio.
Comentários
0 comentário
Por favor, entre para comentar.