Nossos e-mails corporativos estão caindo em spam de clientes, com impacto direto em relacionamento comercial. Há sinais preliminares de problemas de autenticação de e-mail (dkim, spf e dmarc) e de registros dns legados de um provedor de hospedagem anterior. Queremos um diagnóstico técnico independente do nosso ambiente de e-mail e DNS, um relatório de correções com recomendações priorizadas, e a execução das correções aprovadas.
Stack atual (resumo)
E-mail corporativo: Microsoft 365 / Exchange Online (MX no Outlook).
Gestão de DKIM: Microsoft Defender / Microsoft 365.
Identidade: Microsoft Entra ID.
Marketing e automação: RD Station.
Envio transacional: SendGrid.
Vendas e cadência: Meetime (envia pela caixa Microsoft 365, via integração na nossa conta).
CRM: Pipedrive (envia pela caixa Microsoft 365, via integração na nossa conta).
DNS público e site institucional: HostGator (cPanel).
Registrador do domínio:
Registro.br.
Levantar e documentar a configuração atual de dns e e-mail (spf, seletores dkim, dmarc, mx, registros legados, verificação contra blacklists).
Confirmar o inventário de sistemas que enviam e-mail em nome do domínio.
Entregar relatório de correções com achados priorizados por severidade, causa raiz de cada problema e impacto na entregabilidade.
Recomendar a decisão de hospedagem de DNS (manter na HostGator ou migrar a zona pública, por exemplo para Azure DNS), com justificativa técnica, custo, riscos e esforço.
Entregar plano de ação por fases, com dependências, janelas de mudança, plano de rollback e critério de validação por etapa.
Executar plano de ação
Aprovação da contratante
A contratante revisa o relatório, define o escopo de execução e aprova antes do início da execução.
Fase 2: Execução do escopo aprovado
Executar todas as correções aprovadas, com runbook e evidências de antes e depois.
Itens tipicamente esperados (confirmados conforme o relatório): correção e ativação completa do DKIM no Microsoft Defender (ambos os seletores do Microsoft 365); criação de caixa ou agregador de relatórios dmarc; correção do spf e evolução de soft fail para hard fail respeitando o limite de 10 consultas dns; remoção de registros dns legados; evolução progressiva do dmarc de monitoramento até enforcement sem perda de e-mail legítimo; e, conforme recomendação aprovada, mta-sts, tls-rpt, dnssec, caa, bimi e eventual migração de zona dns.
Modelo de acesso e segurança (requisito obrigatório)
A contratante atua em segurança da informação e privacidade. O profissional executa as mudanças, dentro deste modelo:
NDA assinado antes de qualquer acesso ou detalhe técnico do ambiente.
Conta nominal dedicada para o profissional, sem compartilhamento de credenciais. Nenhuma credencial trafega por chat ou e-mail.
Privilégio mínimo por função e por tempo limitado (exemplos: role Security Administrator apenas para a gestão de dkim; role rbac restrita ao resource group de dns, caso haja azure dns).
Registrador (
Registro.br): a troca de nameservers, se houver migração, é executada pela contratante, ou o acesso é concedido de forma temporária e escopada.
Todas as mudanças registradas em runbook (trilha de auditoria).
Todos os acessos revogados ao final do projeto.
Entregáveis obrigatórios
Fase 1: relatório de correções, plano de ação por fases e estimativa de execução.
Fase 2: runbook executável de todas as mudanças, com comandos e evidências de antes e depois; evidências de validação por ferramentas externas independentes; documento de fechamento com a configuração resultante e recomendações de manutenção.
Critérios de aceite (Fase 2)
DKIM-Signature válido com dkim=pass para os dois seletores do Microsoft 365.
spf em hard fail cobrindo 100% dos remetentes legítimos, sem falhas legítimas nos relatórios dmarc por 14 dias consecutivos.
DMARC em enforcement no nível combinado, sem perda de e-mail legítimo.
Mail-Tester 10/10 e MXToolbox Email Health sem erros.
Registros legados removidos e confirmados ausentes via consulta DNS.
Perfil desejado
Experiência comprovada em entregabilidade e autenticação de e-mail (spf, dkim, dmarc, mta-sts).
Administração de Microsoft 365 / Exchange Online e Microsoft Defender (gestão de DKIM).
Exchange Online PowerShell.
Gestão de DNS (HostGator/cPanel e, desejável, Azure DNS).
Experiência com
Registro.br (delegação de ns, dnssec, publicação de ds record).
Diferencial: Azure CLI ou Azure PowerShell para Azure DNS.
Português fluente, comunicação objetiva, disponibilidade para sessões síncronas no fuso de Brasília.
Prazo de Entrega: Não estabelecido