Sumário
O que é DMARC?
DMARC, que significa autenticação, relatórios e conformidade de mensagens baseadas em domínio, é um protocolo de autenticação de e-mail que aumenta a segurança da comunicação por e-mail, evitando falsificação de e-mail e ataques de phishing. O DMARC trabalha em colaboração com duas tecnologias de autenticação de e-mail existentes: SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail).
Por que o DMARC?
-
Autenticação: o DMARC implementa uma camada adicional de autenticação para verificar a legitimidade de um remetente de e-mail.
-
Proteção contra phishing: ajuda a proteger contra ataques de phishing, garantindo a autorização e a não adulteração dos e-mails enviados por um domínio.
-
Proteção da marca: o DMARC ajuda a proteger a reputação da sua marca ao reduzir a probabilidade de agentes maliciosos fingirem ser do seu domínio.
- Iniciativas de segurança de e-mail do Gmail e do Yahoo para 2024: em um compromisso contínuo de proteger as caixas de entrada de e-mail, tanto o Gmail quanto o Yahoo anunciaram a implementação de novos padrões de proteção para os remetentes de e-mail em massa. Para saber mais sobre este assunto, consulte o guia a seguir.
DMARC Tags
Tags DMARC são componentes-chave em um registro DMARC. Elas ajudam a definir a política DMARC para um domínio, especificando como os destinatários devem lidar com e-mails que afirmam ser desse domínio. As principais tags DMARC:
Políticas DMARC para mensagens não autenticadas
Essas políticas são definidas na tag “p” do registro DMARC e definem a ação a ser tomada quando a autenticação DMARC falha. Escolha a política que se alinha à política de segurança e à tolerância ao risco da sua empresa.
Quando estiver confiante na autenticação do seu tráfego, você poderá avançar para opções mais restritivas, como "p=quarantine" ou o mais estrito "p=reject". Tenha cuidado com a política "p=reject", pois ela pode impactar significativamente todo o tráfego enviado do seu domínio e só deve ser definida se você tiver certeza absoluta de sua adequação.
Compreendendo o alinhamento do DMARC e seu papel principal
O DMARC opera com base no princípio do alinhamento, determinando a validade de uma mensagem com base na proximidade do cabeçalho “From:” com o domínio de envio especificado pelo SPF ou DKIM.
Embora SPF e DKIM sejam tecnologias bem conhecidas, elas não influenciam diretamente o endereço From – a parte visível para os usuários em um email. Essa lacuna abre espaço para phishing, spoofing e outras atividades maliciosas. O DMARC atua como um controle crucial, abordando essas vulnerabilidades e melhorando a segurança do e-mail.
Alinhar os identificadores está no cerne do DMARC, que une os mecanismos de autenticação do SPF e DKIM com a política de aplicação descrita no registro DMARC. O alinhamento refere-se especificamente ao relacionamento entre o domínio no endereço From Header e os domínios verificados pelas verificações de autenticação SPF e DKIM. O alinhamento bem-sucedido garante que esses domínios correspondam, permitindo que os e-mails passem pelo DMARC. Quando os domínios não combinam, há a uma falha do DMARC.
Vamos ver alguns exemplos de alinhamentos:
Alinhar seu e-mail corretamente sinaliza que um fornecedor específico (neste caso, Mailjet) ou servidor está explicitamente autorizado a enviar e-mails em nome de sua organização. Obter o alinhamento garante que apenas e-mails aprovados sejam entregues, permitindo instruir os destinatários de e-mail a descartarem mensagens não autorizadas. Sem o alinhamento, os destinatários do e-mail não podem verificar a origem e a confiabilidade de uma mensagem.
Como o DMARC opera com base em domínio, é essencial configurar o envio de e-mails em seu nome. Para isso, acesse o DNS da sua organização e coordene com o Mailjet para alinhar suas configurações de envio de e-mail. Dadas as variações únicas nos métodos de configuração, é crucial compreender como identificar, organizar e gerenciar essas fontes em seu ecossistema de e-mail.
O ideal é atingir quase 100% de alinhamento. Posteriormente, implementar uma política DMARC cada vez mais restritiva, progredindo de p=none para p=quarentine e p=reject.
Opções de alinhamento DMARC
Modos de alinhamento
Você pode escolher entre dois modos de alinhamento: strict (estrito) e relaxed (relaxado). O modo de alinhamento é especificado no registro DMARC usando as tags “aspf” e “adkim” para SPF e DKIM, respectivamente.
Esta escolha visa fornecer flexibilidade e acomodar cenários comuns de envio de e-mail. Embora o alinhamento “strict” possa oferecer proteção aprimorada contra determinados spoofing, pode levar a rejeições ou designação de spam para mensagens de subdomínios associados.
Alinhamento strict:
- SPF (Sender Policy Framework): Requer uma correspondência exata entre o domínio "Header from" e o domínio "Return Path".
- DKIM (DomainKeys Identified Mail): Requer uma correspondência exata entre o domínio “Header from” e o domínio de assinatura DKIM.
Alinhamento relaxed:
-
SPF (Sender Policy Framework): Requer uma correspondência exata OU parcial entre o domínio "Header from” e o domínio “Return Path”.
No alinhamento SPF, ocorre uma correspondência parcial quando o domínio "Header From" se alinha com o domínio "Return Path" se os domínios pai/raiz corresponderem.
Exemplo:
- Domínio "Header From" = seudominio.com
- Domínio "Return Path" = bnc3.seudominio.com
Embora não seja uma correspondência exata, é uma correspondência parcial porque "seudominio.com" é o domínio pai/raiz nos domínios "Header From" e "Return Path". Neste cenário, o alinhamento do SPF será PASSADO no modo relaxed.
-
SPF (Sender Policy Framework): Requer uma correspondência exata OU parcial entre o domínio "Header from” e o domínio “Return Path”.
No alinhamento SPF, ocorre uma correspondência parcial quando o domínio "Header From" se alinha com o domínio "Return Path" se os domínios pai/raiz corresponderem.
Exemplo:
- Domínio "Header From" = seudominio.com
- Domínio de assinatura DKIM = test.seudominio.com
Embora não seja uma correspondência exata, é uma correspondência parcial porque "seudominio.com" é o domínio pai/raiz tanto no domínio de assinatura DKIM quanto no domínio "Header From". Neste cenário, o alinhamento DKIM será PASSADO no modo relaxed.
Por exemplo, "bnc3.seudominio.com" difere do cabeçalho From, que normalmente é "seudominio.com". Essa abordagem equilibrada otimiza a autenticação de e-mail e ao mesmo tempo reconhece distinções de domínio específicas.
O alinhamento relaxed fornece proteção suficiente contra falsificação e é normalmente usado para evitar rejeições desnecessárias ou classificação como spam.
Por outro lado, com DKIM, é viável obter uma correspondência de alinhamento "strict" , quando configurado corretamente com Mailjet.
Para obter mais informações sobre como configurar seu SPF e DKIM corretamente com Mailjet para obter o alinhamento ideal da verificação DMARC, consulte nosso guia.
Verificações DMARC
Para que uma mensagem passe no DMARC, ela deve ter pelo menos uma das seguintes verificações:
- Autenticação e alinhamento SPF.
- Autenticação e alinhamento DKIM.
Atenção!
Embora o alinhamento relaxed normalmente forneça proteção suficiente contra falsificação, usar o alinhamento strict pode levar à rejeição ou classificação como spam de mensagens de subdomínios associados.
Configurando o DMARC
Etapa 1: Configuração do registro DNS
-
Acesse suas configurações de DNS:
- Faça login no seu provedor de registro de domínio ou de hospedagem DNS.
- Faça login no seu provedor de registro de domínio ou de hospedagem DNS.
-
Crie um registro TXT do DMARC:
- Adicione um registro TXT do DMARC às suas configurações de DNS. O registro deverá especificar a política para lidar com e-mails que falham na autenticação DMARC.
- O nome do host/nome do registro TXT deve ser "_dmarc.seudominio.com" com "seudominio.com" substituído pelo seu nome de domínio real ou subdomínio.
- Certifique-se de que o tipo de registro esteja definido como 'TXT', que o host/nome esteja configurado como '_dmarc', e que o valor TXT corresponda ao registro fornecido abaixo.
- Importante: Alguns hosts de domínio adicionam automaticamente o nome de domínio após _dmarc. Após adicionar o registro TXT, verifique o nome do registro TXT DMARC para garantir que ele esteja formatado corretamente.
- Recomendamos usar o TTL padrão.
Exemplo de registro TXT do DMARC:
v=DMARC1; p=nenhum; rua=mailto:seu@email.com; ruf=mailto:seu@email.com
-
v=DMARC1
: indica o uso do DMARC versão 1. -
p=none
: especifica a política para quando um e-mail falhar no DMARC. As opções incluem “nenhum”, “quarentena” e “recusar”.
-
Especifique endereços agregados e de relatórios de falhas:
-
rua=mailto:your@email.com
: este endereço de e-mail receberá relatórios agregados. -
ruf=mailto:your@email.com
: este endereço de e-mail receberá relatórios de falhas.
-
Etapa 2: Implementação gradual
Após a implementação inicial, a etapa crucial é monitorar a autenticação do seu tráfego (p=none). Revise diariamente os relatórios agregados e/ou forenses do DMARC. À medida que você acumula dados suficientes que demonstram a autenticação bem-sucedida de e-mails legítimos, você pode prosseguir com segurança com a implementação gradual de uma política DMARC mais rigorosa ("p=quarantine" ou "p=reject"). Essa abordagem em fases melhora a segurança do seu e-mail ao longo do tempo.
Etapa 3: Ajuste da Política
-
Transição para quarentena ou recusa:
- Quando você estiver confiante nos resultados, ajuste a política DMARC para “quarentena” ou “recusa”, para se proteger contra e-mails não autorizados.
Exemplo de registro TXT do DMARC a ser recusado:
v=DMARC1; p=recusar; rua=mailto:seu@email.com; ruf=mailto:seu@email.com
Práticas recomendadas
-
Implementação de SPF e DKIM:
- Confira se o Sender Policy Framework (SPF) e o DomainKeys Identified Mail (DKIM) estão configurados corretamente.
-
Implementação gradual da política:
- Comece com uma política de “nenhum”, analise os relatórios e, gradualmente, passe para “quarentena” ou “recusar”.
-
Monitoramento frequente dos relatórios:
- Mantenha-se informado(a) sobre os resultados da autenticação de e-mail por meio dos relatórios DMARC.
-
Atualização dos registros SPF e DKIM:
- Atualize com frequência os registros SPF e DKIM para incluir todas as fontes legítimas de e-mail.
Conclusão
A implementação do DMARC é uma etapa crucial para proteger sua comunicação por e-mail, prevenir ataques de phishing e resguardar a reputação da sua marca. Monitore regularmente os relatórios, ajuste as políticas conforme necessário e adote uma postura proativa na manutenção de um ambiente de e-mail seguro.
Lembre-se de que o sucesso da implementação do DMARC reside na continuidade do monitoramento, da análise e da adaptação à evolução das ameaças de e-mail.