search
A mídia que reinventa a empresa
Registrar un software

Como você pode garantir que seus e-mails sejam autenticados usando DMARC?

Como você pode garantir que seus e-mails sejam autenticados usando DMARC?

Por Jennifer Montérémal

Em 29 de outubro de 2024

O protocolo de segurança DMARC (Domain-based Message Authentication), aplicado ao envio de e-mails, é de interesse crescente para as empresas. E por um bom motivo: ele não apenas protege os destinatários de e-mails fraudulentos e mal-intencionados, mas também ajuda a melhorar a reputação dos remetentes, o que garante uma melhor taxa de entrega de e-mails.

Mas, embora padrões de segurança como DKIM e SPF já tenham sido adotados por muitas organizações, como o DMARC se destaca? Quais são suas vantagens?

Para entender os benefícios da autenticação de mensagens baseada em domínio, vamos examinar sua definição, como funciona e como é implementada.

DMARC: definição

O que é DMARC?

O DMARC é uma especificação técnica criada por um grupo de colaboradores fundadores (Gmail, Hotmail, AOL, etc.).

O objetivo desse padrão é aliviar os problemas de segurança associados à autenticação de e-mail, principalmente detectando o uso indevido do nome de domínio do remetente.

Para que ele é usado?

No mundo do correio eletrônico, o roubo de identidade infelizmente se tornou uma prática comum. Todos nós já fomos confrontados com esse tipo de e-mail malicioso. Para os fraudadores, a prática consiste em falsificar o domínio de uma empresa e os e-mails que ela envia, para fazer com que o destinatário acredite que eles vêm de um remetente conhecido e/ou legítimo. O objetivo? Enganar as vítimas para que instalem softwares maliciosos ou forneçam informações confidenciais, como dados bancários.

O objetivo do DMARC é combater essas práticas, verificando se o remetente é confiável. Em resumo, essa especificação técnica é uma excelente maneira de combater o spam e outras tentativas de phishing.

Os riscos são duplos para as empresas:

  • evitar que indivíduos mal-intencionados usurpem sua identidade;
  • aumentar a taxa de entrega de e-mails. Graças ao DMARC, as organizações podem apresentar um "atestado de boa saúde" aos servidores de e-mail de seus destinatários. Dessa forma, elas evitam ser incluídas em listas negras (devido à apropriação de seu domínio) e, portanto, ver seus e-mails rejeitados ou relegados ao lixo eletrônico.

Como o DMARC funciona?

Os protocolos DKIM e SPF

O DMARC se baseia em dois outros protocolos de segurança:

DKIM (DomainKeys Identified Mail)

Com o DKIM, o destinatário pode ter certeza de que o e-mail de um determinado domínio foi aprovado por esse domínio.

Esse padrão é baseado em uma assinatura criptográfica. Uma vez aplicada, ela garante que a mensagem enviada não foi alterada.

No destino, a qualidade do e-mail pode ser verificada por meio da correspondência :

  • a chave privada usada para registrar a mensagem,
  • e a chave pública disponível no registro DNS (Domain Name System).

SPF (Sender Policy Framework)

O protocolo SPF permite que empresas e organizações especifiquem quem tem o direito de enviar e-mails usando seu nome de domínio.

Em seguida, elas registram os endereços IP que aprovam (como os endereços IP do provedor de serviços de e-mail) no DNS.

Portanto, o SPF é uma excelente maneira de verificar a autenticidade do remetente, identificando e-mails fraudulentos que usurpam endereços "de" e nomes de domínio.

As limitações dos protocolos DKIM e SPF

Entretanto, o uso dos protocolos DKIM e SPF por si só revelou uma série de limitações. Eles exigem que o MTA (Mail Transfer Agent) do destinatário esteja totalmente ciente das medidas a serem tomadas em caso de falha na autenticação. Além disso, o remetente não tem visibilidade das ações tomadas.

É nesse ponto que o DMARC entra em ação: o remetente define antecipadamente as medidas a serem tomadas pelo MTA do destinatário, ou seja, como ele deve reagir se as verificações DKIM e SPF falharem.

O processo do DMARC

A função da configuração do DMARC é garantir que o e-mail enviado esteja em conformidade com pelo menos um dos dois protocolos a seguir:

  • Autenticação e alinhamento SPF,
  • autenticação e alinhamento DKIM.

Para fazer isso, o proprietário do nome de domínio informa aos servidores de e-mail que as técnicas DKIM e SPF foram implementadas. Quando o e-mail chega ao servidor, o servidor verifica se a autenticação foi bem-sucedida usando pelo menos uma dessas duas técnicas.

O DMARC só entrará em ação se pelo menos um dos dois protocolos acima não tiver sido respeitado, pois o e-mail em questão será considerado suspeito. Nesse caso, a ação tomada dependerá das regras de segurança escolhidas pelo proprietário do domínio. Há três tipos diferentes de política:

  • PolíticaDMARC nenhuma: aqui, o e-mail ainda é entregue ao destinatário. Ao mesmo tempo, um relatório DMARC é enviado ao proprietário do domínio para indicar seu status e informá-lo sobre a falta de alinhamento.
  • Quarentena da política DMARC: o e-mail em questão é colocado em "quarentena", em uma pasta específica. Ele pode ser processado posteriormente.
  • Rejeição da política do DMARC: o e-mail é rejeitado, ou seja, não é encaminhado ao destinatário.

Portanto, o DMARC é a solução de política de autenticação preferida, pois o remetente informa ao destinatário o que ele deve fazer se suspeitar de algo. Ele não deixa margem para dúvidas.

Além disso, graças aos seus recursos de quarentena e rejeição, o protocolo evita qualquer exposição a mensagens perigosas.

Como você implementa o DMARC?

Como você pode ver, como a política do DMARC se baseia no SPF e no DKIM, primeiro você precisa implementar esses dois protocolos.

Em seguida, você precisa ir ao campo TXT do seu domínio para definir a tag. A tag deve conter os dois elementos a seguir:

  • v: essa é a versão do protocolo. O registro deve começar com "v=DMARC1;",
  • p: essa letra corresponde à regra de segurança selecionada entre as três descritas acima:
    • "none
    • "quarantine
    • "reject" (rejeitar).

Além disso, há alguns elementos não obrigatórios, que você pode ou não optar por inserir:

  • pct: a porcentagem de mensagens filtradas,
  • adkim: alinhamento com o protocolo DKIM:
    • "s" para strict,
    • "r" para relaxar,
  • aspf: alinhamento com o protocolo SPF:
    • "s" para estrito,
    • "r" para relaxar,
  • sp: o procedimento aplicável aos subdomínios do seu domínio ("none", "quarantine" e "reject"). Se você não especificar isso, o valor de "p" será aplicado por padrão,
  • ruf: o endereço de e-mail que receberá o relatório em caso de falha,
  • fo: as condições para o envio do relatório:
    • "1" para falha de DKIM e/ou SPF,
    • "d" para falha de DKIM,
    • "s" para falha de SPF,
    • "0" para falha de DKIM e SPF, por padrão,
  • rua: o endereço de e-mail que receberá os relatórios agregados.

Para ver concretamente como pode ser um parâmetro de tag, veja um exemplo fornecido pela Wikipedia:

v=DMARC1;pct=42;adkim=s;aspf=s;p=quarantine;sp=none;ruf=mailto:forensik@example.org;fo=1;rua=mailto:postmaster@example.org!50m

Entretanto, deve-se observar que a implementação bem-sucedida de sua política DMARC pode ser complexa. Um bom gerenciamento significa ir além da simples configuração do seu DNS. É por isso que existem softwares como o Merox. O Merox ajuda você a implantar e atualizar seu protocolo DMARC, simplificando a :

  • configuração
  • coleta de relatórios
  • agregação de relatórios
  • visualização de dados.

Assim, você pode ter certeza da proteção ideal para seus domínios, bem como do sucesso de suas campanhas de marketing graças a uma taxa ideal de entrega de e-mails!

Artigo traduzido do francês