A autenticação por e-mail é um método que emprega diferentes técnicas para validar a procedência de uma mensagem, verificando se ela foi enviada por uma fonte confiável. Esse processo auxilia na prevenção de mensagens prejudiciais, desempenhando um papel essencial na proteção e confiabilidade das comunicações eletrônicas.
Nesse procedimento, são adotados diversos protocolos, como SPF, DKIM e DMARC, que atuam em conjunto para validar a autenticidade do remetente e defender os destinatários contra mensagens enganosas.
A autenticação de e-mails não se limita apenas à segurança, mas também tem um impacto significativo na entrega das mensagens. Os provedores de serviços de Internet e de e-mail usam dados de autenticação para avaliar a autenticidade das mensagens, o que determina se elas serão entregues na caixa de entrada do destinatário, na pasta de spam ou rejeitadas.
Resumindo, a correta autenticação de e-mail não apenas protege os usuários contra possíveis ameaças online, mas também assegura que os e-mails legítimos sejam entregues ao destinatário desejado, melhorando a eficácia e a confiança do usuário. Neste texto, abordaremos detalhadamente os três principais protocolos de autenticação de e-mail, mostrando como configurá-los e muito mais.
Vamos iniciar!
O documento e as tarefas internas dos processos de verificação de e-mail.
Para garantir que a autenticação seja eficaz, é necessário que os três protocolos mencionados sejam utilizados, pois atuam em conjunto para verificar a autenticidade dos remetentes de e-mail.
O SPF valida os servidores de e-mail permitidos, o DKIM protege a autenticidade do conteúdo da mensagem por meio de assinaturas criptográficas e o DMARC oferece diretrizes e relatórios para supervisionar o resultado de cada verificação.
Os três métodos de verificação mencionados podem auxiliar os usuários na prevenção de golpes de phishing e e-mail spoofing, contribuindo para aumentar a confiança dos usuários. Esses tipos de ataques envolvem indivíduos maliciosos que tentam enganar os destinatários fazendo-os acreditar que um e-mail é legítimo, com o objetivo de roubar dados sensíveis, disseminar malware ou realizar atividades fraudulentas.
Evitar o envio de e-mails indesejados.
E-mail spoofing é um tipo de ataque em que um hacker falsifica o endereço do remetente para que pareça que a mensagem vem de uma fonte confiável. O uso de SPF e DKIM é altamente eficaz para evitar esse tipo de ameaça.
O SPF possibilita a indicação de servidores de email autorizados. Ao receber um email, o servidor do destinatário consulta os registros SPF para validar a autenticidade do remetente. Já o DKIM inclui uma assinatura digital à mensagem, criando um mecanismo de verificação criptográfica para assegurar que o conteúdo não foi alterado durante a transmissão.
Reduzindo Ataques de Phishing
Os golpes de phishing frequentemente envolvem o envio de e-mails falsos que se assemelham a conversas reais, com o objetivo de enganar os destinatários. Os proprietários de domínios têm a capacidade de estabelecer políticas que orientam os servidores de e-mail sobre como lidar com mensagens que não passam nas verificações SPF e DKIM, por meio da aplicação do DMARC. Isso ajuda a impedir a entrega de conteúdo suspeito nas caixas de entrada e diminui o risco de ser vítima de ataques de phishing.
O DMARC possibilita receber relatórios sobre a autenticação de e-mails, o que possibilita acompanhar e agir contra o uso não autorizado de seus domínios.
Melhorar a segurança do usuário.
Um procedimento de verificação eficaz pode aumentar a confiança dos usuários no ambiente de e-mail. As pessoas tendem a se comunicar por e-mail sem receio de expor informações sensíveis se puderem confiar que a mensagem realmente vem do remetente indicado. Isso é crucial para todas as marcas e empresas, especialmente aquelas que dependem muito do marketing por e-mail e de conexões profissionais.
Agora que você tem um conhecimento mais aprofundado sobre os protocolos de autenticação de e-mail em geral, vamos examinar de forma detalhada os três mais comuns.
Você tem a opção de adicionar uma imagem que demonstre como aumentar a confiança do usuário.
Explicação do Quadro de Política de Remetente (SPF)
O SPF é um protocolo criado para prevenir o envio de e-mails não solicitados, determinando quais servidores de correio estão autorizados a enviar mensagens de um domínio específico.
O SPF permite que os donos de domínios indiquem quais servidores têm permissão para enviar e-mails em seu nome. Isso é feito ao publicar registros SPF no DNS do domínio.
Um registro SPF é uma lista que contém todos os endereços IP ou nomes de host autorizados para enviar conteúdo. Ao receber um e-mail, o servidor de correio do destinatário pode consultar o registro SPF do domínio do remetente para confirmar se o servidor de origem está autorizado a enviar mensagens.
Por exemplo, suponhamos que um colaborador da sua empresa esteja enviando um e-mail para um fornecedor. O sistema de correio eletrônico do fornecedor pode checar se o endereço usado pelo seu funcionário está na relação de servidores permitidos e validar a autenticidade do e-mail.
Se o SPF for verificado com sucesso, isso sugere que o e-mail é provavelmente confiável, pois é proveniente de um servidor autenticado. Se a verificação falhar, isso gera dúvidas sobre a autenticidade da mensagem e pode resultar em ser classificado como spam ou até mesmo rejeitado. A implementação desse protocolo auxilia significativamente na diminuição do risco de phishing e e-mail spoofing, pois possibilita a verificação da autenticidade das mensagens recebidas.
Como é a aparência de um SPF?
Agora que você entende o que o SPF faz, vamos analisar o seu funcionamento, explicando como é realizada uma verificação SPF desde o início até o final.
- É necessário adicionar registros SPF no DNS do seu domínio para ativar e aproveitar o protocolo SPF. Esses registros incluem os endereços IP e os nomes de host autorizados a enviar e-mails em nome do seu domínio.
- O servidor do destinatário verifica o SPF do remetente.
- Ação com base no SPF Resultados: Um e-mail será entregue com sucesso se tiver sido aprovado pelo SPF. Caso contrário, isso indica que o endereço utilizado para enviá-lo pode não ser autorizado, levando o servidor do destinatário a possíveis ações como classificar a mensagem como spam, colocá-la em quarentena ou rejeitá-la. Dessa forma, o SPF impede que remetentes não autorizados utilizem o domínio do destinatário. Eles tentarão enviar um e-mail a partir de um endereço que contenha o nome de domínio, mas que não esteja registrado no SPF, sendo assim rejeitado ou marcado como spam.
Adicionar um registro SPF ao seu servidor de nomes de domínio.
Neste trecho do artigo, vamos explicar como você pode determinar quais endereços IP e nomes de domínio estão autorizados a enviar e-mails em seu domínio.
Você terá que inserir um registro SPF no seu DNS, o que pode ser feito seguindo as instruções fornecidas abaixo.
- Acesse as configurações de DNS do seu domínio: Faça login no painel de controle ou no painel do seu provedor de registro ou hospedagem.
- Encontre as Configurações de DNS ou a Administração de DNS: Procure a área que possibilita gerenciar seu DNS.
- Criar um novo registro de TXT: Procure pela alternativa que permite incluir uma nova entrada de TXT.
- Acesse o SPF Record: Adicione um novo registro TXT e inclua os dados do SPF. Geralmente, inicie com “v=spf1” (versão 1 do SPF). Depois, defina quais endereços IP, nomes de host ou mecanismos têm permissão para enviar e-mails em nome do seu domínio. Veja um exemplo básico:
Versão parafraseada: “O registro SPF inclui o endereço IP 192.0.2.1 e o domínio mail.example.com – Todos”
Este registro autoriza que e-mails provenientes do endereço IP 192.0.2.1 e do servidor de correio localizado em mail.example.com possam enviar e-mails em nome do seu domínio.
- Guardar as modificações: Preserve as alterações realizadas e faça a publicação do registro. Isso pode ser denominado como Salvar, atualizar ou publicar.
- Revisão: Pode demorar um pouco até que o seu novo registro SPF comece a funcionar por meio do DNS. É possível utilizar uma ferramenta online para verificar se o seu registro SPF foi publicado de forma correta e é válido.
Explicación de DomainKeys Identified Mail (DKIM)
O DKIM é uma tecnologia de autenticação que inclui uma assinatura digital nos e-mails. Sua finalidade principal é assegurar a integridade das mensagens eletrônicas, certificando-se de que não foram modificadas durante o envio. Suas funções na confirmação da legitimidade dos e-mails podem ser divididas em diferentes aspectos.
- Resumo: O DKIM utiliza criptografia assimétrica para incluir uma assinatura no e-mail, onde o servidor envia uma chave privada exclusiva para assinar o e-mail, e disponibiliza a chave pública correspondente nos registros DNS do domínio.
- A chave pública no DNS serve como uma indicação para os servidores receptores. Eles obtêm a chave pública do DNS através do domínio mencionado na assinatura DKIM quando recebem um e-mail.
- Verificação da assinatura: O servidor de e-mail do destinatário utiliza a chave pública para validar a assinatura digital presente no e-mail. Isso assegura que a mensagem não foi modificada e que foi enviada de fato pelo remetente indicado, caso a assinatura seja autêntica.
- Prevenção de falsificação e adulteração: Esse protocolo tem o objetivo de impedir a manipulação de conteúdo eletrônico durante a transmissão. Ele acrescenta uma camada adicional de proteção, assegurando que o e-mail recebido corresponda ao enviado pelo remetente original, evitando assim que possíveis invasores alterem o conteúdo.
- Adicionando a SPF e DMARC, o DKIM se concentra principalmente na autenticidade do conteúdo de um e-mail. Ao ser combinado com SPF e DMARC, ele cria um sistema completo de verificação que abrange tanto a origem quanto o conteúdo, oferecendo assim uma proteção mais forte contra ameaças online.
Incluindo assinaturas digitais em mensagens de e-mail.
Aqui está um guia detalhado de como DKIM incorpora assinaturas digitais aos cabeçalhos de e-mail.
- Produzindo chaves de par: A etapa inicial envolve o servidor de e-mail do remetente criando um conjunto de chaves exclusivo. Esse conjunto inclui uma chave privada, que é protegida no servidor de origem, e uma chave pública correspondente, que é divulgada nos registros DNS do domínio do remetente.
- O servidor de e-mail cria um código único de comprimento fixo para o conteúdo do e-mail antes de enviá-lo, o qual geralmente abrange o corpo e alguns cabeçalhos específicos selecionados.
- Assinar o Hash usando a Chave Privada: Em seguida, a chave privada é empregada para assinar o hash do conteúdo, gerando uma assinatura digital única para o e-mail, a qual é adicionada a ele como um cabeçalho DKIM-Signature.
- Ao adicionar um cabeçalho DKIM-Signature: O cabeçalho DKIM-Signature inclui diversos detalhes, como o seletor, o método criptográfico utilizado e a assinatura em si. O seletor é uma sequência de caracteres que auxilia o servidor de e-mail do destinatário a encontrar a chave pública apropriada nos registros DNS. Este cabeçalho é colocado na seção de cabeçalho do e-mail.
- Enviar o e-mail: Agora, o e-mail é encaminhado para o destinatário correto, juntamente com o cabeçalho DKIM-Signature.
- Verificação: O servidor que recebe a mensagem obtém a chave pública do DNS com base no domínio e seletor indicados no cabeçalho DKIM-Signature.
- Encriptando e comparando: A chave pública é utilizada para decifrar a assinatura digital presente no cabeçalho, revelando o hash original do conteúdo do e-mail. Posteriormente, o servidor do destinatário gera um hash independente do conteúdo recebido.
- Revisando Hashes: O servidor que recebe o e-mail verifica se o hash gerado corresponde ao hash decifrado do cabeçalho DKIM-Singature, para garantir a integridade do e-mail durante o envio.
Explicação sobre DMARC: Autenticação, Relatórios e Conformidade de Mensagens com Base em Domínios.
DMARC é um protocolo de autenticação e relatórios chamado Domain-based Message Authentication, Reporting, and Conformance, que visa aumentar a segurança das comunicações online. Construído com base em SPF e DKIM, ele oferece aos donos de domínio uma solução abrangente para proteger seus e-mails.
Os elementos principais que o compõem são os seguintes:
- Integração com protocolos de autenticação: O DMARC combina SPF e DKIM para oferecer uma proteção em várias etapas contra e-mails falsificados, phishing e outros riscos semelhantes. Isso assegura um processo de autenticação mais avançado, abrangendo o endereço IP de origem e a integridade do conteúdo do e-mail.
- Descrição de Políticas: Essa medida possibilita que os donos de domínios estabeleçam diretrizes sobre o tratamento dos e-mails caso as verificações não sejam bem-sucedidas.
As diretrizes englobam:
- Texto parafraseado: “Nenhum:” Esta é uma forma de acompanhamento em que o DMARC gera relatórios, porém não implementa nenhuma medida.
- “Quarentena: Mensagens sem autenticação podem ser encaminhadas para a pasta de spam ou quarentena do destinatário.”
- “E-mails que não passam pelas verificações são recusados e não são encaminhados para o destinatário.”
- Descrição do Mecanismo: Isso possibilita que você obtenha retorno sobre os resultados das análises de autenticação. Os relatórios apresentam dados sobre os servidores que enviam e-mails em nome do domínio, indicando se essas mensagens foram aprovadas ou reprovadas nas análises. Tais relatórios auxiliam na detecção de possíveis abusos, tentativas de phishing e configurações inadequadas.
- Paráfrase: É necessário configurar um registro DNS contendo sua política DMARC e instruções para lidar com e-mails que não passam nas verificações SPF e DKIM, para poder adotar esse protocolo. Esse registro também contém informações sobre para onde enviar os relatórios agregados e forenses.
- Paráfrase: A implementação em etapas é possível com esse protocolo, que possibilita começar no modo de monitoramento para avaliar o impacto no seu sistema de e-mail antes de avançar para uma abordagem mais ativa.
- Reformulação: A DMARC é amplamente utilizada e respaldada por grandes provedores e organizações de e-mail em todo o mundo. Sua adoção generalizada possibilita uma forma mais segura e uniforme de autenticação, trazendo benefícios tanto para quem envia quanto para quem recebe e-mails.
Estabelecendo as Diretrizes do DMARC
Estabelecer diretrizes DMARC requer a configuração de registros DNS para o seu domínio.
Aqui está um manual detalhado de como você pode realizar essa tarefa:
- Entender os Elementos do DMARC.
- Políticas: Determine quais medidas devem ser adotadas em caso de falha na autenticação de um email (aceitar, colocar em quarentena ou rejeitar).
- Revisão: Assegura que os domínios presentes no cabeçalho e nas verificações “De” (SPF/DKIM) estão em concordância.
- Receba relatórios por e-mail que informam sobre os resultados de autenticação.
- Criar um registro TXT DMARC: Acesse o site do seu provedor de hospedagem DNS e adicione um novo registro TXT para “_dmarc.seudominio.com” substituindo “seudominio.com” pelo seu domínio real. Especifique a sua política de segurança. Veja um exemplo:
v=DMARC1; p=quarentena; rua=mailto:seu@email.com; ruf=mailto:seu@email.com;
- v=DMARC1: Especifica a versão 1 de DMARC.
- Indica a preferência pela política de não rejeição ou quarentena.
- Endereço de e-mail da Rua: Indica o local para enviar os relatórios agregados.
- O texto indica o local para onde os relatórios forenses (falha) devem ser encaminhados.
- Garantir que seu domínio tenha registros DKIM e SPF configurados é essencial para a ativação do DMARC, pois esse último depende desses mecanismos. Além disso, é importante que estejam em concordância com o domínio “De”.
- Implementação passo a passo: Inicie com uma abordagem “Nenhuma” para supervisionar os desfechos da autenticação sem impactar a operação. Avalie os relatórios e adapte a estratégia conforme necessário.
- Ajuste na política: Decida entre utilizar a política “Quarantina” ou “Rejeitar” com base nas informações coletadas nos relatórios.
- Verifique sua configuração: Teste seu setup utilizando as ferramentas de teste DMARC.
- Acompanhe regularmente os relatórios do DMARC para verificar se os e-mails autênticos estão sendo autenticados corretamente.
Vantagens da adoção de SPF, DKIM e DMARC.
| Benefícios | O que eles se aproximam |
|---|---|
| Melhoria da entrega de e-mails e redução da marcação de spam | – Verificação exata do remetente: SPF ajuda você a especificar qual e-mail servidores estão autorizados a enviar conteúdo de seu domínio, o que reduz a probabilidade de suas mensagens serem marcadas como spam. O servidor do destinatário pode verificar se o remetente é legítimo, melhorando as chances de entrega de e-mail. – Redução de falsos positivos: DKIM’s assinaturas digitais ajudar a solidificar a integridade do conteúdo de e-mail, o que diminui as chances de mensagens serem falsamente identificado como spam. |
| Confiança Melhorada Recipiente Devido à Identidade Verificada do Remetente | – Garantia de Autenticação: SPF, DKIM e DMARC aumentar coletivamente a autenticação do remetente. Eles permitem que os destinatários fiquem mais confiantes de que e-mails que alegam ser de um domínio específico são genuinamente enviados a partir dele. – Proteção da marca: A identidade de remetente verificada através destes protocolos protege as marcas de e-mail spoofing. |
| Mitigação de ataques de phishing e e-mail Spoofing | – Prevenção de phishing: A DMARC desempenha um papel crucial na prevenção de ataques de phishing, aplicando políticas que ditam como e-mails não autorizados devem ser tratados. Se as verificações SPF e DKIM falharem, a DMARC pode impedir que os emails de phishing passem pelas políticas “Rejeitar” e “Quarantine”. |
É muito importante utilizar um serviço de hospedagem de e-mail confiável e seguro, que inclua SPF, DKIM e DMARC, para proteger seu domínio e marca contra ameaças e garantir uma boa entrega de e-mails. Um exemplo de provedor que oferece esses recursos é o ScalaHosting, que disponibiliza hospedagem de e-mail empresarial de alta qualidade, com proteção avançada contra spam e suporte técnico disponível 24 horas por dia, 7 dias por semana.
Resumo
No geral, SPF, DKIM e DMARC são recursos importantes para proteger suas comunicações online e aumentar a eficácia na entrega. Cada um possui funções essenciais na verificação de e-mails, sendo recomendado que todas as empresas e marcas os implementem.
Para melhorar a eficácia dos três protocolos existentes, é importante garantir a escolha de um provedor de hospedagem confiável e eficiente, seja para o seu e-mail ou para o seu site em geral. A ScalaHosting pode auxiliá-lo na proteção da sua caixa de entrada contra spam e phishing, além de aumentar a capacidade de entrega por meio de endereços IP exclusivos e verificações de otimização periódicas.
Perguntas comuns
Pergunta: Quais são algumas recomendações principais para autenticação de e-mail?
Alguns métodos recomendados para autenticação por e-mail são os seguintes:
- Revisando e mantendo registros atualizados de forma regular.
- Adotar uma abordagem progressiva ao implementar políticas rigorosas.
- Observando a situação da autenticação.
- Manter-se atualizado em relação às transformações do setor industrial.
- Manter sua configuração SPF de forma simplificada;
- Garanta que suas chaves DKIM tenham uma extensão mínima de 1.024 bits.
- Garanta que o alinhamento do identificador da DMARC seja utilizado.
Como você analisa os relatórios do DMARC?
Texto parafraseado: O DMARC oferece dois tipos de relatórios: agregado e forense (falha). Inicie a análise pelos relatórios agregados e identifique padrões, como a proporção de e-mails que foram aprovados ou reprovados nas verificações, suas origens, entre outros aspectos. Dê especial atenção às fontes que não obtiveram êxito na avaliação do DMARC, a fim de aprimorar sua configuração.
Utilize os relatórios forenses para analisar de forma mais aprofundada as mensagens específicas que não passaram nas verificações do DMARC. Esses relatórios também podem ser empregados para identificar e solucionar problemas na avaliação.
Como você pode efetivamente trabalhar com registros SPF?
Alguns bons métodos para criar registros SPF eficazes são os seguintes:
- Inicie com uma falha leve: Comece por estabelecer um registo SPF com um mecanismo de falha suave (~tudo) em vez de um severo (-todo).
- Utilize a opção “Incluir” para integrar os registros SPF de serviços de e-mail de terceiros, como o MailChimp, ao seu próprio para assegurar a autenticidade das mensagens enviadas por essas ferramentas.
- Revise e mantenha atualizado seu registro SPF com frequência: Verifique regularmente se o seu registro SPF está completo, com todos os servidores de envio autorizados, e remova os que já não são válidos.