Pular para conteúdo

Amazon SES — Bepex

Envio de email em volume (transacional, nutrição, prospecção, marketing). A conta já está fora do sandbox: qualquer domínio verificado com DKIM envia para qualquer destinatário.

Conta

Parâmetro Valor
Conta AWS Bepex (9549-7631-8135)
Região principal us-east-2 (Ohio)
Console SES https://us-east-2.console.aws.amazon.com/ses/home?region=us-east-2#/identities
Sandbox FORA (produção liberada)
Limites 50.000 emails/dia · 14 emails/segundo
Credencial no n8n AWS account (kqmbhAWS0tyL5fuI)

Domínios configurados (estado abr/2026)

Domínio Status DKIM Uso
bepex.com.br Verificado Easy DKIM (3 CNAMEs) Corporativo principal
bepexmkt.com.br Verificado Easy DKIM (3 CNAMEs) Dedicado a marketing/prospecção (isola reputação de envio)
relacionamento@bepex.com.br Verificado Identidade de email individual (legado)

Ambos hospedados na Hostinger (nameservers ns*.dns-parking.com; painel DNS em https://hpanel.hostinger.com/external-domain/<domínio>/dns).

Princípio central: coexistência SES ↔ Hostinger Mail

A Bepex usa o Hostinger Mail como caixa nativa e o SES para volume. Os dois convivem sob três regras — quebrar qualquer uma normalmente derruba o email nativo:

  1. DKIMs convivem: SES publica 3 CNAMEs (<token>._domainkey); o Hostinger publica os dele (hostingermail-a/b/c._domainkey). Nunca remover os do Hostinger.
  2. SPF é único (RFC 7208 — 1 TXT SPF por domínio). Precisa dos dois includes: v=spf1 include:_spf.mail.hostinger.com include:amazonses.com ~all.
  3. DMARC em monitor-only (p=none) — manter como a Hostinger cria; não subir política sem semanas de relatórios com 100% de alinhamento.

Fluxo validado para adicionar um domínio (o que funcionou para bepexmkt.com.br)

  1. Criar identidade no SES (tipo Domínio, Easy DKIM, RSA_2048_BIT, sem Route 53). Gera 3 tokens DKIM CNAME (<token>._domainkey.<domínio><token>.dkim.amazonses.com).
  2. Publicar os 3 CNAMEs na Hostinger (nome só a parte antes do domínio — a Hostinger completa o sufixo; cuidado com sufixo duplicado). Os 3 do SES são adicionais aos do Hostinger Mail.
  3. Ajustar o SPF raiz (editar o existente, nunca criar segundo) para conter os dois includes + ~all (softfail — não subir para -all cedo).
  4. Verificar DMARC: se não existir, criar v=DMARC1; p=none;; se duplicado, apagar um (duplicado invalida os dois — foi o caso do bepex.com.br).
  5. Aguardar verificação (geralmente <15 min). Se passar de 1h: typo nos CNAMEs, sufixo duplicado, ou nameservers diferentes.

Padrão de envio (apps / n8n / Make)

Com domínio verificado e fora do sandbox, qualquer remetente do domínio funciona sem validação individual (qualquer@bepex.com.br, nome@bepexmkt.com.br, noreply@bepexmkt.com.br).

  • API SES (apps): AWS SDK + IAM, endpoint email.us-east-2.amazonaws.com.
  • SMTP SES (no-code): host email-smtp.us-east-2.amazonaws.com, porta 587 (STARTTLS) ou 465 (TLS). Credenciais SMTP são geradas em SES → Configurações SMTP → Criar credenciais SMTP (≠ IAM) e aparecem uma única vez — salvar na hora.

⚠️ No n8n, NUNCA usar o node nativo awsSes nem contentType: form-urlencoded com AWS auth — o auth double-encoda o @. Usar contentType: raw + rawContentType: application/x-www-form-urlencoded + encodeURIComponent manual. É o padrão validado nas automações de SES (Reps, Conteúdo Infinito, Ofertas). Detalhe na referencia-tecnica.md desses projetos.

Troubleshooting

  • "Email address not verified": conta em sandbox, ou from-address de domínio não verificado (ex. .com vs .com.br).
  • DKIM "falhou" depois de horas: quase sempre CNAME com sufixo duplicado na Hostinger.
  • Caixa Hostinger parou de receber depois de mexer no DNS: removeram os hostingermail-*._domainkey, trocaram o MX, ou criaram um segundo SPF — restaurar o estado anterior.
  • Emails caindo em spam: checar reputação no painel SES, SPF via mxtoolbox (spf:<domínio>), loop de bounce, e warm-up se o volume subiu de repente.
  • Custo do SES é irrisório (~$1,57 em 6 meses) — ver custos.md.