Pular para o conteúdo
OS Domains
Use case

Redefinições de senha, OTPs, recibos. Entregues em segundos.

O e-mail transacional —redefinições de senha, OTPs, confirmações de pagamento, avisos de envio— é um problema operacional distinto do marketing: o destinatário está esperando, então a latência mediana de entrega e a confiabilidade do SLA importam mais que a taxa de inbox. A OS Domains opera infraestrutura transacional residente na UE com fila prioritária por mensagem, pools de IP segregados do marketing e do cold, aquecimento acelerado por sinais de engajamento e rotação de plantão com limiares próprios de paginação, com mediana em torno de 1,4 s, P99 sub-4 s e SLA contratual de 99,99%. Para fintechs brasileiras sob a Resolução Bacen 4.893/2021 e para SCA sob PSD2 na UE, a latência mediana é contratualizada com créditos de serviço, e a constituição austríaca mantém CLOUD Act e FISA 702 fora do TIA pós-Schrems II.

As mensagens transacionais são aquelas que o destinatário está esperando ativamente: redefinições de senha que precisam chegar antes que o usuário troque de aba, OTPs de SCA que precisam vencer a contagem regressiva de 60 segundos, confirmações de pagamento Pix que fecham o loop da compra, avisos de envio que evitam tickets de suporte. A mediana de latência importa mais que a taxa de abertura, e o SLA importa mais que o copy criativo. As considerações de infraestrutura são distintas das do marketing, e nossa plataforma se afina em conformidade: fila prioritária por mensagem, pool de IP separado, aquecimento acelerado por sinais de engajamento, equipe de plantão com limiares próprios de paginação.

Temos clientes que enviam 100 000 mensagens transacionais por mês e clientes que enviam mais de 30 milhões. A mesma plataforma, os mesmos tiers de SLA, a mesma rotação de plantão. As considerações arquitetônicas escalam linearmente. Para fintechs brasileiras reguladas pela Resolução Bacen 4.893/2021, os SLAs sobre a mediana de latência são contratualizados; para setor público europeu com selo qualificado eIDAS 2, suportamos integração com QTSP acreditados; para e-commerce com picos sazonais, o pre-warm de capacidade com 7-14 dias de aviso cobre Black Friday sem afogos.

Em resumo

  • Latência mediana de entrega em torno de 1,4 s e P99 sub-4 s, com SLA contratual de 99,99% e créditos de serviço de 5% da fatura por cada 0,1% abaixo do alvo.
  • Pools de IP transacional segregados do marketing e do cold: um evento de reputação no marketing não afeta a entrega de redefinições de senha nem de OTPs.
  • Idempotency-Key no POST /v2/send com response guardado por 24 horas, para que reenvios de webhook de Pagar.me, Stone, Mercado Pago, Stripe ou Adyen não dupliquem recibos.
  • Latência mediana contratualizada para fintechs sob a Resolução Bacen 4.893/2021, com cláusula sub-3 s para Gmail, Outlook e provedores corporativos brasileiros.
  • Residência de dados na UE sob entidade austríaca sem matriz estadunidense: a parte de e-mail não abre a questão de transferência de Schrems II.
Números-chave
Latência mediana entrega
1,4 s
Latência P99 entrega
3,8 s
Taxa de inbox transacional
97-99%
SLA contratual
99,99%

Por que o e-mail transacional é um problema distinto do marketing?

As mensagens transacionais —redefinições de senha, OTP de duplo fator, confirmações de compra, avisos de envio, alertas de conta, recibos eletrônicos, prompts SCA sob PSD2 para clientes europeus, confirmações de Pix para fintechs brasileiras— precisam chegar em segundos a partir do evento que as dispara, todos os dias, sem importar o horário nem o volume instantâneo do dia. O destinatário está em frente à tela esperando. A taxa de inbox importa menos que a latência de entrega e a confiabilidade do SLA. Um atraso de 30 segundos num OTP gera ticket de suporte. Um atraso de 5 minutos provoca um cancelamento. É um problema operacional distinto do marketing e convém tratá-lo como tal: fila separada, IPs separadas, alertas separadas, equipe de plantão com limiares de paginação específicos.

Por que as equipes transacionais migram do AWS SES?

O SES é o ponto de partida mais comum porque tem o preço por mensagem mais baixo do mercado (€0,10 por mil). As equipes que crescem costumam abandoná-lo por três razões que se acumulam em paralelo. Primeiro, o aquecimento de IP é inteiramente DIY: a maioria das equipes subestima e termina com throttling no Gmail e no Outlook no dia do primeiro lançamento sério ou de uma Black Friday. Segundo, quando alguma coisa quebra às quatro da manhã, chegar até um humano da AWS que entenda de e-mail passa pelo Business Support pago e por uma fila que não está otimizada para o caso em que a resposta precisa chegar em 30 minutos, não em 30 horas. Terceiro, a carga operacional de monitorar deliverability por provedor de caixa, parsear os relatórios DMARC, gerir reputação de IP e responder a queixas recai integral na equipe cliente, que quase sempre tem outras coisas para fazer. Esses três pontos descrevem o mesmo problema: o SES vende um wrapper sobre SMTP a preço agressivo e deixa todo o resto para o cliente.

O que afinamos especificamente para tráfego transacional.

Três parâmetros são configurados de forma distinta do marketing na nossa plataforma. Primeiro, fila com prioridade por mensagem: os transacionais saltam qualquer fila por lotes do cliente e vão direto à lane de despacho por IP, com pool de rate limit separado do resto. Segundo, as IPs alocadas a pools transacionais aquecem mais rápido porque os sinais de engajamento são inequívocos —os destinatários abrem redefinições de senha e avisos de envio com taxas altas e quase imediatas, o que acelera a curva de confiança junto a Gmail e Outlook. Terceiro, a rotação de plantão tem limiares de paginação específicos para anomalias de latência transacional: se a mediana ultrapassa 3 segundos para um cliente concreto por mais de 5 minutos, o engenheiro de plantão recebe o alerta independentemente do estado global da plataforma. Esse terceiro ponto é o que mais sente falta quem chega de um provedor que só pagina diante de outage global.

Como a Resolução Bacen 4.893/2021 afeta o e-mail transacional de fintechs?

Para uma instituição financeira brasileira (Sociedade de Crédito Direto, SCD, ou Instituição de Pagamento, IP) regulada pelo Banco Central, o e-mail transacional que entrega códigos de autenticação ou confirmações de operação Pix cai diretamente no escopo da Resolução BCB 4.893/2021 sobre política de segurança cibernética para fintechs reguladas. A resolução exige medidas técnicas razoáveis para autenticação forte de clientes e para registro auditável de eventos. O OTP entregue por e-mail é usado tipicamente como fator de posse, o que torna a entrega pontual um requisito regulatório —não um nice-to-have. Se o OTP não chega em janela razoável (costuma se fixar em 60-120 segundos antes da operação cair sem aprovação), a instituição descumpre seu dever de prestar serviço de pagamento adequado, o que abre porta a reclamações de cliente, escalada via Procon, e reportes ao supervisor. Por isso clientes fintech contratam com SLA agressivos que cobrem a mediana de latência além do percentil 99 de submission. Nossos contratos Enterprise para fintech incluem cláusula específica sobre latência mediana sub-3-segundos para Gmail, Outlook e provedores corporativos brasileiros mais comuns, com créditos de serviço se descumprido por mais de 1 hora consecutiva.

Que problema concreto aparece com Microsoft 365 corporativo e os OTPs?

Microsoft 365 representa uma porção enorme do e-mail corporativo brasileiro e europeu e traz um comportamento que quebra OTPs com frequência: alguns tenants aplicam políticas de quarentena agressivas que atrasam até e-mails corretamente autenticados com SPF, DKIM e DMARC alinhado, somando 2-3 minutos extras no tempo de chegada. Quando isso acontece sobre um OTP com janela de 60 segundos, o usuário nunca recebe a tempo. A causa-raiz costuma estar em políticas de Defender for Office 365 mal calibradas do lado do cliente final, não do nosso lado, mas o resultado é o mesmo: o usuário liga para o suporte. Duas vias de remediação que funcionam: (a) que o tenant adicione nossas IPs a uma lista de remetentes permitidos (fornecemos as IPs documentadas no painel), ou (b) rotear os OTPs daquele tenant por uma IP dedicada com reputação específica estabelecida que o filtro entrega sem demora. A opção (b) ativamos em questão de horas para clientes Enterprise; em Performance, em 1-2 dias úteis.

A idempotência como requisito de produto, não como adorno técnico.

Um endpoint transacional que não suporta idempotency keys é um endpoint que algum dia vai duplicar OTPs ou confirmações de pagamento durante uma falha intermitente de rede. Nossa API REST aceita um header Idempotency-Key no POST /v2/send e guarda o response por 24 horas: qualquer chamada repetida com a mesma chave dentro dessa janela devolve o response original sem reenviar. Isso importa especialmente em arquiteturas com webhooks de pagamento e reenvios automáticos: o sistema de pagamento reenvia a confirmação ao cliente porque não recebeu 2xx, o webhook reentra na lógica de envio, e sem idempotência o destinatário recebe o recibo duas vezes. Os gateways de pagamento brasileiros mais comuns (Pagar.me, Cielo, Stone, Mercado Pago, EBANX) e os internacionais usados aqui (Stripe, Adyen) reenviam webhooks com backoff exponencial por horas ou dias: o Stripe especificamente reenvia por até 72 horas com backoff exponencial, o que multiplica o risco de duplicata se a integração de e-mail for ingênua. Sim, parte do trabalho cabe à aplicação cliente gerando UUID v4 por evento, mas um provedor sério expõe o header e o respeita.

BIMI e o logo verificado no inbox: o que mudou desde setembro de 2024.

O BIMI (RFC 9495) é o padrão que mostra o logo verificado da marca junto ao nome do remetente no Gmail, Yahoo Mail, Apple Mail (desde iOS 16, iPadOS 16 e macOS Ventura) e Fastmail. Microsoft Outlook ainda não suporta BIMI no começo de 2026 e tem indicado planos sem data definida. A barreira de entrada baixou drasticamente em setembro de 2024 quando o Gmail passou a aceitar Common Mark Certificates (CMC) além dos Verified Mark Certificates (VMC) tradicionais: o CMC não exige registro de marca mas exige evidência de uso público continuado do logo por 12 meses no mínimo. O preço orientativo está na faixa de 650-1100 USD/ano para CMC e 899-1668 USD/ano para VMC, dependendo da CA (DigiCert, Entrust, Sectigo, SSL.com). Para mostrar o logo em qualquer um desses provedores é preciso DMARC em política p=quarantine ou p=reject —p=none não basta—, alinhamento SPF e DKIM, e um SVG Tiny Portable Secure abaixo de 32 KB. Somente o VMC ativa o checkmark azul de verificação no Gmail. No nosso painel você encontra validador BIMI, gerador do DNS record e handoff documentado com DigiCert e Entrust para a emissão do certificado.

Como se calcula o custo total real de um programa transacional sério?

O número que importa não é €/mil mensagens. É o custo total mensal do programa transacional dividido por mensagens entregues com sucesso no prazo SLA. Para um volume de 5 milhões de transacionais mensais com 4 IPs dedicadas, o SES fatura uns 500€ de mensagens mas a operação real soma 2-3 engenheiros de plataforma em tempo parcial (aquecimento, parsing de DMARC reports, gestão de queixas, suporte a incidentes), uma ferramenta SaaS de monitoring deliverability (Glock Apps, MailMonitor, 250+ ARM ID), uma ferramenta de DMARC reporting (dmarcian, Valimail, EasyDMARC, em torno de 200-500€/mês conforme volume). Chegamos a um equivalente real de 2500-5000€/mês uma vez somado o custo internalizado. No nosso Plano Standard, o mesmo volume sai em torno de 1900€/mês com tudo incluído —IPs, plataforma, dashboards, monitoring, DMARC, BIMI— e com SLA contratual. A razão pela qual o SES segue ganhando comparativos é que o comprador típico só olha a linha de mensagens e não a linha de FTE oculto. Quando o comprador é um CFO ou um diretor financeiro (não um engenheiro), o cálculo muda imediatamente.

Padrões arquitetônicos que vemos se repetir em clientes transacionais sérios.

Há três padrões que se repetem em arquiteturas transacionais bem-feitas. Primeiro, separação rigorosa de subdomínios por fluxo: orders.dominio.com.br para confirmações de compra e envio, security.dominio.com.br para OTPs e redefinições de senha, billing.dominio.com.br para faturas e recibos, e obviamente news.dominio.com.br para marketing. Cada subdomínio com seu SPF, DKIM e DMARC alinhados independentes. Segundo, retry queue idempotente do lado aplicação: o código que chama o endpoint /v2/send tem sua própria fila persistente com UUID v4 por evento, e em caso de falha de rede reenvia com a mesma chave. Isso soma zero ms ao happy path mas blinda contra duplicatas durante incidentes parciais. Terceiro, monitoring por fluxo não global: o dashboard do cliente precisa mostrar a mediana de OTP separada da de avisos de envio, porque uma degradação em OTP é operação crítica enquanto degradação em avisos de envio é tolerável. Quem olha um único número agregado fica sabendo tarde demais.

Como resolvemos

As capacidades específicas que importam para este caso.

01

Latência de submission sub-segundo

POST /v2/send responde em menos de 80 ms p95 nos nossos PoPs europeus. A entrega real ao MX destinatário acontece em 1-2 segundos para os grandes provedores europeus graças à nossa presença de rede na Europa continental.

02

Pools de IP transacional segregados

As IPs transacionais ficam separadas dos pools de marketing e cold email na sua conta. Um evento de reputação no marketing não pode afetar a entrega de redefinições de senha.

03

Idempotency-Key documentada no contrato

Header Idempotency-Key obrigatório no plano Enterprise. Chamadas duplicadas em uma janela de 24 horas devolvem o response original. Crítico em fluxos OTP, confirmações de pagamento e webhooks com reenvios.

04

Etiquetagem por mensagem para analytics fina

Headers X-OSD-Campaign-ID e X-OSD-Template-ID segmentam suas analytics sem necessidade de subcontas. Você vê a deliverability de OTP separada da de avisos de envio no mesmo painel.

05

Webhook por cada mudança de estado

Eventos queued, delivered, bounced, deferred, complained entregues com assinatura HMAC-SHA256. O timestamp está dentro da assinatura para proteção anti-replay com janela de 5 minutos. Reenvios por 7 dias se seu endpoint cair.

06

Suporte 24/7 telefônico Performance+

Às quatro da manhã de um domingo, quando dispara uma anomalia de latência OTP, você acessa um humano em menos de uma hora. Performance e Enterprise incluem; Starter e Standard adicionam como opção contratada à parte.

07

Atestação de SLA mensal auditável

O plano Enterprise recebe um relatório mensal assinado com cifras de SLA cumprido —mediana, P95, P99, disponibilidade— por PoP. Apto para anexar ao seu próprio reporte regulatório sob Bacen 4.893/2021 ou NIS2 quando aplicável.

08

BIMI com VMC e CMC assistido

Gmail aceita CMC desde setembro de 2024 sem exigir registro de marca. Suportamos o cadastro do DNS record BIMI, validação do SVG Tiny Portable Secure e o handoff com DigiCert ou Entrust para emissão do certificado. Aplica com DMARC em p=quarantine ou p=reject.

09

ARC para forwarding sem perder autenticação

Authenticated Received Chain (RFC 8617) ativado por padrão em Performance e Enterprise. Reduz os DMARC fails por reenvio quando o OTP chega a um alias corporativo com forwarding para Gmail, Outlook ou ProtonMail.

Desafios comuns

O que costuma dar errado e como resolvemos.

Picos de volume durante lançamentos de produto

Um lançamento de produto ou uma Black Friday pode multiplicar por dez o volume transacional em uma hora. Pré-aquecemos capacidade extra a pedido com 7 dias de aviso; sem aviso, o headroom por padrão é 2× a taxa sustentada, o que cobre a maioria dos picos mas não os extremos. Para Black Friday recomendamos 14 dias de aviso sobre as cifras concretas previstas.

Quarentena agressiva em Microsoft 365 corporativo

Alguns tenants Microsoft 365 aplicam Defender for Office 365 com políticas que atrasam OTPs corretamente autenticados em 2-3 minutos. A solução passa por allowlisting do tenant (entregamos a lista de IPs e a documentação de configuração) ou por rotear os OTPs daquele tenant por IP dedicada. A IP dedicada para casos pontuais é contratada por 49€/mês com 7 dias de configuração.

Contaminação de reputação entre fluxos

Um cliente que envia transacional e cold email agressivo do mesmo domínio raiz verá degradar a entrega transacional inevitavelmente em questão de semanas. Exigimos subdomínios separados para transacional, marketing e cold —um não compartilha reputação com outro e um evento em cold não contamina os OTPs. Configuração correta: orders.seudominio.com.br para transacional, news.seudominio.com.br para marketing, outreach.seudominio.com.br para cold.

Volumes muito baixos que não aquecem a IP

Um cliente que envia 200 transacionais por dia desde uma IP dedicada não gera sinal suficiente para sustentar reputação. Abaixo de 5 000 mensagens por mês a recomendação é pool compartilhado transacional segregado por tier de cliente, não IP dedicada. Dizemos antes de contratar: nosso painel calcula a previsão de volume e desaconselha IP dedicada quando não faz sentido econômico.

Conformidade com eIDAS 2 para selo qualificado em clientes UE

Quando o e-mail transacional inclui um selo eletrônico qualificado sob eIDAS 2 (Regulamento (UE) 910/2014 reformado por (UE) 2024/1183), há requisitos adicionais de arquivamento, assinatura e rastreabilidade. Suportamos integração com QTSP (provedores de serviços de confiança qualificados) acreditados; entregamos a lista no onboarding. O cliente típico aqui é setor público europeu; para clientes brasileiros que enviam a destinatários UE, esse cumprimento pode aplicar.

Perguntas frequentes

As perguntas que mais recebemos.

01

Vocês conseguem garantir entrega sub-2-segundos?

Na mediana, sim: medimos mediana em torno de 1,4 segundos para os grandes provedores europeus e brasileiros (Gmail, Outlook 365, ProtonMail, Yahoo, Locaweb, UOL Host) quando o destinatário não aplica filtro em quarentena do lado tenant. O percentil 99 fica entre 3 e 4 segundos porque algumas caixas destinatárias —Exchange corporativos legacy, servidores POP3 antigos, gateways com SEG fronteado— simplesmente respondem mais devagar. Não garantimos sub-2s no P99 porque isso implicaria reclamar controle sobre infraestrutura alheia. Sim, colocamos SLA contratual sobre a latência plataforma-side (da submission API até hand-off ao MTA) em sub-200 ms P99.

02

Como vocês gerem os rate limits durante picos imprevistos?

Por padrão os planos vêm com 50 000 mensagens por hora no Starter, 250 000 no Standard, 1 000 000 no Performance, e sob medida no Enterprise. Capacidade de burst acima desses limites é solicitada com 24 horas de aviso a partir do painel de cliente ou por e-mail ao suporte. Para eventos previsíveis (Black Friday, lançamentos, dias de salário) os pre-warm requests com 7 dias de aviso permitem subir até 5× a taxa sustentada durante a janela planejada.

03

Vocês atendem os requisitos de Gmail e Yahoo de 2024 endurecidos em novembro de 2025?

Sim. O Gmail apertou o enforcement em novembro de 2025: as mensagens não conformes passam de deferrals temporários (421) para rejections permanentes (550). Os requisitos vigentes são SPF + DKIM alinhados ao domínio do From, DMARC com política mínima p=none (recomendado p=quarantine), taxa de reclamações sustentada abaixo de 0,3% (Gmail bloqueia desde 0,3%, o Google recomenda manter abaixo de 0,1%), one-click unsubscribe RFC 8058 com header List-Unsubscribe-Post para marketing —os transacionais estão isentos do unsubscribe mas todos os outros requisitos aplicam igual. Nosso painel valida cada um antes de habilitar o envio.

04

Vocês suportam o merge de templates com renderização server-side?

Sim. Você salva templates via POST /v2/templates com sintaxe Mustache ou Handlebars, ambas suportadas no motor de renderização. No tempo de envio você passa template_id e um objeto data com as variáveis. A renderização passa em menos de 5 ms server-side dentro do PoP UE mais próximo da sua origem. A latência total de submission não é afetada. Variáveis aninhadas, condicionais e loops são suportados; cálculos custom e chamadas externas não, por razões de isolamento de tenant.

05

Podemos enviar apenas transacional, sem marketing?

Sim, e é o que muitos clientes fazem: nos usam como camada transacional e roteiam marketing pela sua ferramenta existente (RD Station, HubSpot, Mailchimp, Klaviyo). Não exigimos consolidar tudo em nós. As chaves API se segmentam com scopes separados: uma chave pode ter permissões só de envio transacional sem acesso a templates de marketing nem à API de listas. É o setup mais limpo quando a equipe de growth tem suas próprias ferramentas estabelecidas.

06

O que acontece se houver um outage durante um envio crítico?

O SLA contratual paga créditos de serviço (5% da fatura mensal por cada 0,1% abaixo do target de 99,99%). Em operação real: nosso incident commander pagina aos clientes afetados em 30 minutos a partir da detecção. Os clientes Performance e Enterprise recebem convite a war-room com nossa engenharia de plataforma. Publicamos RCA escrito em 48 horas a partir da resolução e RCA detalhado sob NDA para clientes Enterprise do setor financeiro em 5 dias úteis.

07

Vocês cumprem LGPD e GDPR para processamento cross-border?

Sim. A residência de dados por padrão é UE nos sete PoPs. O processamento fica integralmente em território UE salvo ativação explícita do cliente. Nosso DPA Enterprise inclui as cláusulas contratuais tipo da Comissão Europeia de junho de 2021 para transferências internacionais (quando aplicáveis), e o addendum brasileiro sob LGPD artigo 33 quando o cliente brasileiro processa dados de residentes europeus. A constituição austríaca elimina por construção a exposição a CLOUD Act e FISA 702 estadunidenses, o que importa quando seu DPO te pede TIA (Transfer Impact Assessment) pós-Schrems II.

08

Que assinatura usa o webhook que entrega os eventos transacionais?

HMAC-SHA256 sobre o body completo do webhook, com um timestamp Unix em epoch segundos incluído dentro do payload assinado. A janela de validade por padrão é de 5 minutos: se seu endpoint recebe um webhook com timestamp mais antigo, descarta como replay attack. O secret se rotaciona desde o painel sem downtime: por 24 horas aceitamos ambas as assinaturas (a antiga e a nova) para que seu deployment possa promover a rotação sem coordenar deploys exatos. O header de assinatura é X-OSD-Signature com formato v1=hex_hash. O payload segue o esquema CloudEvents v1.0 com extensões específicas de e-mail (event_type, message_id, recipient, smtp_response).

Vamos conversar

Agende uma ligação técnica de 45 minutos com um engenheiro.

Sem SDR, sem comissão, sem rondas de qualificação. Conta o que precisa, dizemos se faz sentido, e você sai com uma recomendação de qualquer jeito.

Telefone +43 1 205 11 80 Seg–Sex · 9–18 CET
Email [email protected] Resposta média 4h em horário comercial
Escritório Fleischmarkt 1, 1010 Wien Com agendamento