Neste artigo, iremos explorar como optimizar facilmente o registo SPF para o seu domínio. Tanto para empresas como para pequenas empresas que possuam um domínio de correio electrónico para enviar e receber mensagens entre os seus clientes, parceiros e empregados, é altamente provável que exista um registo SPF por defeito, que foi criado pelo seu fornecedor de serviços da caixa de entrada. Não importa se tem um registo SPF pré-existente ou se precisa de criar um novo, precisa de optimizar correctamente o seu registo SPF para o seu domínio, a fim de garantir que este não cause problemas de entrega de correio electrónico.

Alguns destinatários de correio electrónico exigem estritamente SPF, o que indica que se não tiver um registo SPF publicado para o seu domínio, os seus e-mails podem ser marcados como spam na caixa de entrada do seu receptor. Além disso, o SPF ajuda a detectar fontes não autorizadas que enviam e-mails em nome do seu domínio.

Vamos primeiro compreender o que é SPF e porque é que precisa dele?

Quadro da Política de Remetentes (SPF)

SPF é essencialmente um protocolo padrão de autenticação de e-mail que especifica os endereços IP que estão autorizados a enviar e-mails do seu domínio. Funciona comparando os endereços de remetente com a lista de hosts de envio autorizados e endereços IP para um domínio específico que é publicada no DNS para esse domínio.

O SPF, juntamente com o DMARC (Domain-based Message Authentication, Reporting and Conformance) foi concebido para detectar endereços de remetente falsificados durante a entrega de correio electrónico e prevenir ataques de falsificação, phishing, e esquemas de correio electrónico.

É importante saber que embora o SPF padrão integrado no seu domínio pelo seu fornecedor de alojamento garanta que os e-mails enviados a partir do seu domínio são autenticados contra SPF se tiver vários fornecedores terceiros para enviar e-mails do seu domínio, este registo SPF preexistente precisa de ser adaptado e modificado para se adequar às suas necessidades. Como pode fazer isso? Vamos explorar duas das formas mais comuns:

  • Criação de um registo SPF novinho em folha
  • Optimização de um registo SPF existente

Instruções sobre como optimizar o registo do SPF

Criar um Novo Registo SPF

Criar um registo SPF é simplesmente publicar um registo TXT no DNS do seu domínio para configurar o SPF para o seu domínio. Este é um passo obrigatório que vem antes de começar a optimizar o registo SPF. Se está apenas a começar com a autenticação e não tem a certeza sobre a sintaxe, pode usar o nosso gerador de registos SPF online grátis para criar um registo SPF para o seu domínio.

Uma entrada de registo SPF com uma sintaxe correcta parecerá algo parecido com isto:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Especifica a versão do FPS que está a ser utilizada
ip4/ip6Este mecanismo especifica os endereços IP válidos que estão autorizados a enviar e-mails a partir do seu domínio.
incluirEste mecanismo diz aos servidores receptores para incluir os valores para o registo SPF do domínio especificado.
-tudoEste mecanismo especifica que as mensagens de correio electrónico que não são compatíveis com SPF seriam rejeitadas. Esta é a etiqueta recomendada que pode utilizar durante a publicação do seu registo SPF. Contudo, pode ser substituída por ~ para SPF Soft Fail (e-mails não conformes seriam marcados como soft fail mas continuariam a ser aceites) ou + que especifica que todo e qualquer servidor seria autorizado a enviar e-mails em nome do seu domínio, o que é fortemente desencorajado.

Se já tem SPF configurado para o seu domínio, também pode usar o nosso verificador de registos SPF gratuito para procurar e validar o seu registo SPF e detectar problemas.

Desafios e erros comuns durante a configuração do SPF

1) 10 DNS Lookup limit 

O desafio mais comum enfrentado pelos proprietários de domínios ao configurarem e adoptarem o protocolo de autenticação SPF para o seu domínio, é que o SPF vem com um limite no número de consultas ao DNS, que não pode exceder 10. Para domínios que dependem de múltiplos fornecedores terceiros, o limite de 10 consultas ao DNS excede facilmente o que, por sua vez, quebra o SPF e devolve um SPF PermError. O servidor receptor em tais casos invalida automaticamente o seu registo SPF e bloqueia-o.

Mecanismos que iniciam as pesquisas DNS: Modificador MX, A, INCLUDE, REDIRECT

2) SPF Void Lookup 

As pesquisas de vazio referem-se às pesquisas DNS que ou devolvem a resposta NOERROR ou a resposta NXDOMAIN (resposta nula). Ao implementar o SPF é recomendado assegurar que as pesquisas DNS não devolvem uma resposta nula.

3) SPF Laço recursivo

Este erro indica que o registo SPF para o seu domínio especificado contém questões recorrentes com um ou mais dos mecanismos INCLUDE. Isto ocorre quando um dos domínios especificados na etiqueta INCLUDE contém um domínio cujo registo SPF contém a etiqueta INCLUDE do domínio original. Isto leva a um loop interminável que faz com que os servidores de correio electrónico efectuem continuamente pesquisas DNS para os registos SPF. Isto leva, em última análise, a exceder o limite de 10 consultas ao DNS, resultando em e-mails com falhas no SPF.

4) Erros de sintaxe 

Um registo SPF pode existir no DNS do seu domínio, mas não tem qualquer utilidade se contiver erros de sintaxe. Se o seu registo SPF TXT contiver espaços brancos desnecessários enquanto digita o nome do domínio ou o nome do mecanismo, a string que precede o espaço extra seria completamente ignorada pelo servidor receptor enquanto executa uma pesquisa, invalidando assim o registo SPF.

5) Múltiplos registos SPF para o mesmo domínio

Um único domínio pode ter apenas uma entrada SPF TXT no DNS. Se o seu domínio contiver mais de um registo SPF, o servidor receptor invalida todos eles, fazendo com que os e-mails falhem SPF.

6) Comprimento do registo do SPF 

O comprimento máximo de um registo SPF no DNS é limitado a 255 caracteres. Contudo, este limite pode ser excedido e um registo TXT para SPF pode conter várias cadeias concatenadas, mas não além de um limite de 512 caracteres, para caber na resposta à consulta DNS (de acordo com o RFC 4408). Embora isto tenha sido revisto mais tarde, os destinatários que dependessem de versões mais antigas do DNS não seriam capazes de validar e-mails enviados a partir de domínios contendo um longo registo SPF.

Optimizar o seu registo SPF

A fim de modificar rapidamente o seu registo SPF pode utilizar as seguintes melhores práticas SPF:

  • Tente escrever as suas fontes de e-mail por ordem decrescente de importância da esquerda para a direita no seu registo SPF
  • Remover fontes de correio electrónico obsoletas do seu DNS
  • Utilizar mecanismos IP4/IP6 em vez de A e MX
  • Mantenha o seu número de mecanismos de INCLUIR o mais baixo possível e evite aninhar-se inclui
  • Não publique mais do que um registo SPF para o mesmo domínio no seu DNS
  • Certifique-se de que o seu registo SPF não contém quaisquer espaços brancos redundantes ou erros de sintaxe

Nota: SPF flattening não é recomendado uma vez que não se trata de um negócio único. Se o seu fornecedor de serviços de correio electrónico alterar a sua infra-estrutura, terá de alterar os seus registos SPF em conformidade, cada vez que o fizer.

Optimização do seu registo SPF facilitada com PowerSPF

Pode ir em frente e tentar implementar todas as modificações acima mencionadas para optimizar manualmente o seu registo SPF, ou pode esquecer o incómodo e confiar no nosso PowerSPF dinâmico para fazer tudo isso por si automaticamente! PowerSPF ajuda-o a optimizar o seu registo SPF com um único clique, no qual pode:

  • Adicionar ou remover fontes de envio com facilidade
  • Actualize facilmente os registos sem ter de fazer alterações manuais ao seu DNS
  • Obtenha um registo auto SPF optimizado com um simples clique de um botão
  • Permanecer sempre abaixo do limite de 10 consultas DNS
  • Atenuar com sucesso PermError
  • Esqueça os erros de sintaxe dos registos SPF e as questões de configuração
  • Tiramos o fardo de resolver as limitações do SPF em seu nome

Inscreva-se hoje com o PowerDMARC para licitar adieu às limitações do SPF para sempre!  

A taxa a que os e-mails chegam às caixas de entrada dos destinatários é chamada taxa de entregabilidade de e-mails. Esta taxa pode ser atrasada ou atrasada ou mesmo levar a falhas na entrega quando as mensagens de correio electrónico acabam na pasta de spam ou são bloqueadas por servidores receptores. É essencialmente um parâmetro importante para medir o sucesso das suas mensagens de correio electrónico que chegam às caixas de entrada dos seus receptores desejados sem serem marcadas como spam. A autenticação de correio electrónico é definitivamente uma das opções a que os novatos podem recorrer, para ver uma melhoria substancial na capacidade de entrega de correio electrónico ao longo do tempo.

Neste blogue estamos aqui para falar consigo sobre como pode melhorar a sua taxa de entrega de correio electrónico com facilidade e também discutir as melhores práticas da indústria para assegurar um fluxo suave de mensagens através de todos os seus canais de correio electrónico!

O que é a Autenticação por Email?

A autenticação de e-mail é a técnica utilizada para validar o seu e-mail para autenticidade contra todas as fontes autorizadas que estão autorizadas a enviar e-mails do seu domínio. Ajuda ainda a validar a propriedade do domínio de qualquer agente de transferência de correio electrónico (MTA) envolvido na transferência ou modificação de um correio electrónico.

Porque precisa de autenticação de e-mail?

Simple Mail Transfer Protocol (SMTP), que é o padrão da Internet para a transferência de correio electrónico, não contém nenhuma característica para autenticar e-mails de entrada e saída, permitindo aos cibercriminosos explorar a falta de protocolos seguros no SMTP. Isto pode ser utilizado por agentes de ameaça para perpetrar esquemas de phishing de correio electrónico, BEC e ataques de falsificação de domínios em que podem imitar a sua marca e prejudicar a sua reputação e credibilidade. A autenticação de correio electrónico aumenta a segurança do seu domínio contra a imitação e fraude, indicando aos servidores receptores que as suas mensagens de correio electrónico são compatíveis com DMARC e provêm de fontes válidas e autênticas. Também serve como ponto de verificação para endereços IP não autorizados e maliciosos que enviam e-mails a partir do seu domínio.

Para proteger a sua imagem de marca, minimizar as ameaças cibernéticas, BEC e assegurar uma melhor taxa de entregabilidade, a autenticação por e-mail é uma obrigação!

Melhores Práticas de Autenticação por Email

Quadro da Política de Remetentes (SPF)

SPF está presente no seu DNS como um registo TXT, exibindo todas as fontes válidas que estão autorizadas a enviar e-mails do seu domínio. Cada correio electrónico que sai do seu domínio tem um endereço IP que identifica o seu servidor e o fornecedor de serviços de correio electrónico utilizado pelo seu domínio que é alistado no seu DNS como registo SPF. O servidor de correio do destinatário valida o correio electrónico contra o seu registo SPF para o autenticar e, consequentemente, marca o correio electrónico como SPF pass ou fail.

Note-se que o SPF tem um limite de 10 DNS de pesquisa, excedendo o qual pode devolver um resultado PermError e levar à falha do SPF. Isto pode ser mitigado utilizando o PowerSPF para ficar sempre abaixo do limite de pesquisa!

DomainKeys Identified Mail (DKIM)

DKIM é um protocolo padrão de autenticação de correio electrónico que atribui uma assinatura criptográfica, criada usando uma chave privada, para validar as mensagens de correio electrónico no servidor receptor, onde o receptor pode recuperar a chave pública do DNS do remetente para autenticar as mensagens. Tal como o SPF, a chave pública DKIM também existe como um registo TXT no DNS do proprietário do domínio.

Autenticação de mensagens com base no domínio, relatórios e conformidade (DMARC)

A simples implementação de SPF e DKIM não é suficiente, uma vez que não há forma de os proprietários dos domínios controlarem a forma como os servidores receptores respondem aos e-mails que falham nas verificações de autenticação.

DMARC é o padrão de autenticação de correio electrónico mais utilizado no tempo actual, que foi concebido para capacitar os proprietários de domínios com a capacidade de especificar a recepção de servidores como devem tratar as mensagens que falham SPF ou DKIM ou ambos. Isto, por sua vez, ajuda a proteger o seu domínio contra acesso não autorizado e ataques de falsificação de correio electrónico.

Como pode o DMARC melhorar a entregabilidade do correio electrónico?

  • Ao publicar um registo DMARC no DNS do seu domínio, o proprietário do domínio solicita aos servidores receptores que suportam DMARC, que enviem feedback sobre os e-mails que recebem para esse domínio, indicando automaticamente aos servidores receptores que o seu domínio estende o suporte para protocolos seguros e padrões de autenticação para e-mails, como DMARC, SPF e DKIM.
  • Os relatórios agregados DMARC ajudam-no a ganhar maior visibilidade no seu ecossistema de correio electrónico, permitindo-lhe visualizar os resultados da autenticação do seu correio electrónico, detectar falhas de autenticação e mitigar os problemas de entrega.
  • Ao aplicar a sua política DMARC, pode bloquear que e-mails maliciosos que se façam passar pela sua marca caiam nas caixas de entrada dos seus receptores.

Dicas adicionais sobre como melhorar a entregabilidade de e-mails:

  • Permita a identificação visual da sua marca nas caixas de entrada dos seus receptores com BIMI
  • Assegurar a encriptação TLS dos e-mails em trânsito com MTA-STS
  • Detectar e responder a problemas de entrega de correio electrónico, permitindo um extenso mecanismo de relatórios com o TLS-RPT

PowerDMARC é uma plataforma única de autenticação de e-mail SaaS que combina todas as melhores práticas de autenticação de e-mail tais como DMARC, SPF, DKIM, BIMI, MTA-STS e TLS-RPT, sob o mesmo tecto. Inscreva-se hoje com o PowerDMARC e testemunhe uma melhoria considerável na entregabilidade de correio electrónico com o nosso pacote de segurança e autenticação de correio electrónico melhorada.

Business Email Compromise ou BEC é uma forma de violação da segurança do correio electrónico ou ataque de personificação que afecta organizações comerciais, governamentais, sem fins lucrativos, pequenas empresas e startups, bem como MNCs e empresas para extrair dados confidenciais que podem influenciar negativamente a marca ou organização. Ataques de phishing, fraudes de facturas e ataques de falsificação são todos exemplos de BEC.

Os cibercriminosos são especialistas em esquemas que visam intencionalmente pessoas específicas dentro de uma organização, especialmente aqueles em posições autoritárias como o CEO ou alguém semelhante, ou mesmo um cliente de confiança. O impacto financeiro mundial devido ao BEC é enorme, especialmente nos EUA, que emergiu como o principal centro. Leia mais sobre o volume global do esquema BEC. A solução? Mude para o DMARC!

O que é DMARC?

A Autenticação de Mensagens baseada no domínio, Relatórios e Conformidade (DMARC) é um padrão da indústria para autenticação de correio electrónico. Este mecanismo de autenticação especifica aos servidores receptores como responder às mensagens de correio electrónico com falhas nas verificações de autenticação SPF e DKIM. O DMARC pode minimizar as hipóteses da sua marca cair em ataques BEC por uma percentagem substancial, e ajudar a proteger a reputação da sua marca, informação confidencial e activos financeiros.

Note que antes de publicar um registo DMARC, precisa de implementar SPF e DKIM para o seu domínio, uma vez que a autenticação DMARC faz uso destes dois protocolos padrão de autenticação para validar mensagens enviadas em nome do seu domínio.

Pode utilizar o nosso Gerador de Registos SPF gratuito e o Gerador de Registos DKIM para gerar registos a serem publicados no DNS do seu domínio.

Como optimizar o seu registo DMARC para se proteger contra a BEC?

A fim de proteger o seu domínio contra o Business Email Compromise, bem como permitir um extenso mecanismo de relatórios para monitorizar os resultados da autenticação e ganhar visibilidade completa no seu ecossistema de correio electrónico, recomendamos que publique a seguinte sintaxe de registo DMARC no DNS do seu domínio:

v=DMARC1; p=rejeitar; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Compreender as etiquetas utilizadas durante a geração de um registo DMARC:

v (obrigatório)Este mecanismo especifica a versão do protocolo.
p (obrigatório)Este mecanismo especifica a política de DMARC em uso. Pode definir a sua política de DMARC:

p=nenhum (DMARC no controlo apenas quando as mensagens de correio electrónico que não tenham sido autenticadas ainda aterrarem nas caixas de entrada dos receptores). p=quarantina (DMARC no controlo, em que as mensagens de correio electrónico que não tenham sido autenticadas serão colocadas em quarentena ou depositadas na pasta de spam).

p=rejeição (DMARC na aplicação máxima, em que as mensagens de correio electrónico que não tenham sido verificadas serão descartadas ou não serão entregues de todo).

Para os novatos em autenticação, recomenda-se que comece apenas com a sua política de monitorização (p=nenhuma) e depois passe lentamente à aplicação da lei. No entanto, para efeitos deste blogue, se quiser salvaguardar o seu domínio contra BEC, p=rejeitar é a política recomendada para assegurar a máxima protecção.

sp (opcional)Esta etiqueta especifica a política de subdomínios que pode ser definida para sp=none/quarantine/rejeição solicitando uma política para todos os subdomínios em que as mensagens de correio electrónico estão a falhar a autenticação DMARC.

Esta etiqueta só é útil se desejar definir uma política diferente para o seu domínio principal e subdomínios. Se não for especificada, a mesma política será cobrada a todos os seus subdomínios por defeito.

adkim (opcional)Este mecanismo especifica o modo de alinhamento do identificador DKIM que pode ser definido para s (estrito) ou r (relaxado).

O alinhamento rigoroso especifica que o campo d= na assinatura DKIM do cabeçalho do e-mail deve alinhar-se e corresponder exactamente com o domínio encontrado no cabeçalho de origem.

Contudo, para um alinhamento descontraído, os dois domínios devem partilhar apenas o mesmo domínio organizacional.

aspf (opcional) Este mecanismo especifica o modo de alinhamento do identificador SPF que pode ser definido para s (estrito) ou r (relaxado).

O alinhamento rigoroso especifica que o domínio no cabeçalho "Caminho de retorno" deve alinhar-se e corresponder exactamente com o domínio encontrado no cabeçalho de origem.

Contudo, para um alinhamento descontraído, os dois domínios devem partilhar apenas o mesmo domínio organizacional.

rua (opcional mas recomendado)Esta etiqueta especifica os relatórios agregados de DMARC que são enviados para o endereço especificado após o campo mailto:, fornecendo informações sobre a passagem e falha do DMARC.
ruf (opcional mas recomendado)Esta etiqueta especifica os relatórios forenses DMARC que devem ser enviados para o endereço especificado após o campo mailto:. Os relatórios forenses são relatórios de nível de mensagem que fornecem informações mais detalhadas sobre falhas de autenticação. Uma vez que estes relatórios podem conter conteúdo de correio electrónico, encriptá-los é a melhor prática.
pct (opcional)Esta etiqueta especifica a percentagem de e-mails aos quais a política DMARC é aplicável. O valor por defeito é definido para 100.
fo (opcional mas recomendado)As opções forenses para o seu registo DMARC podem ser definidas:

->DKIM e SPF não passam ou alinham (0)

->DKIM ou SPF não passam ou alinham (1)

->DKIM não passa nem alinha (d)

->SPF não passa ou não alinha (s)

O modo recomendado é fo=1 especificando que os relatórios forenses devem ser gerados e enviados para o seu domínio sempre que os e-mails falharem as verificações de autenticação DKIM ou SPF.

Pode gerar o seu registo DMARC com o Gerador de Registos DMARC gratuito do PowerDMARC, onde pode seleccionar os campos de acordo com o nível de aplicação que desejar.

Note que só uma política de rejeição pode minimizar a BEC, e proteger o seu domínio de ataques de spoofing e phishing.

Embora o DMARC possa ser um padrão eficaz para proteger o seu negócio contra a BEC, a implementação correcta do DMARC requer esforço e recursos. Quer seja um principiante ou um aficionado da autenticação, como pioneiros na autenticação de correio electrónico, o PowerDMARC é uma plataforma única de autenticação de correio electrónico SaaS que combina todas as melhores práticas de autenticação de correio electrónico, tais como DMARC, SPF, DKIM, BIMI, MTA-STS e TLS-RPT, sob o mesmo tecto para si. Nós ajudamo-lo:

  • Passar da monitorização para a aplicação da lei em pouco tempo para manter a BEC à distância
  • Os nossos relatórios agregados são gerados sob a forma de gráficos e tabelas simplificadas para o ajudar a compreendê-los facilmente sem ter de ler ficheiros XML complexos
  • Encriptamos os seus relatórios forenses para salvaguardar a privacidade da sua informação
  • Veja os seus resultados de autenticação em 7 formatos diferentes (por resultado, por fonte de envio, por organização, por anfitrião, estatísticas detalhadas, relatórios de geolocalização, por país) no nosso painel de controlo de fácil utilização para uma experiência óptima do utilizador
  • Ganhe 100% de conformidade DMARC alinhando as suas mensagens de correio electrónico com SPF e DKIM de modo a que as mensagens de correio electrónico que falhem qualquer um dos pontos de verificação de autenticação não cheguem às caixas de entrada dos seus receptores

Como é que o DMARC se protege contra a BEC?

Assim que definir a sua política DMARC para uma aplicação máxima (p=rejeitar), DMARC protege a sua marca de fraude por correio electrónico, reduzindo a possibilidade de ataques de imitação e abuso de domínio. Todas as mensagens recebidas são validadas contra verificações de autenticação de correio electrónico SPF e DKIM para garantir que provêm de fontes válidas.

SPF está presente no seu DNS como um registo TXT, exibindo todas as fontes válidas que estão autorizadas a enviar e-mails do seu domínio. O servidor de correio do destinatário valida o correio electrónico contra o seu registo SPF para o autenticar. DKIM atribui uma assinatura criptográfica, criada usando uma chave privada, para validar as mensagens de correio electrónico no servidor receptor, onde o receptor pode recuperar a chave pública do DNS do remetente para autenticar as mensagens.

Com a sua política de rejeição, os e-mails não são entregues na caixa de correio do destinatário quando as verificações de autenticação falham, indicando que a sua marca está a ser imitada. Isto acaba por manter a BEC como ataques de spoofing e phishing à distância.

Plano Básico do PowerDMARC para Pequenas Empresas

O nosso plano básico começa a partir de apenas 8 USD por mês, pelo que as pequenas empresas e as empresas em fase de arranque que tentam adoptar protocolos seguros como o DMARC podem facilmente utilizá-lo. As vantagens que terá à sua disposição com este plano são as seguintes:

  • Poupe 20% no seu plano anual
  • Até 2.000.000 de e-mails em conformidade com DMARC
  • Até 5 domínios
  • Histórico de dados de 1 ano
  • 2 Utilizadores da Plataforma
  • BIMI hospedado
  • MTA-STS hospedado
  • TLS-RPT

Inscreva-se hojeno PowerDMARC e proteja o domínio da sua marca, minimizando as hipóteses de Compromisso de Email Empresarial e de fraude de email!

Em 1982, quando o SMTP foi especificado pela primeira vez, não continha qualquer mecanismo de segurança ao nível do transporte para assegurar as comunicações entre os agentes de transferência de correio. Contudo, em 1999, o comando STARTTLS foi adicionado ao SMTP que, por sua vez, suportava a encriptação de emails entre os servidores, proporcionando a capacidade de converter uma ligação não segura numa segura que é encriptada utilizando o protocolo TLS.

No entanto, a encriptação é opcional no SMTP, o que implica que as mensagens de correio electrónico podem ser enviadas mesmo em texto simples. Mail Transfer Agent-Strict Transport Security (MTA-STS) é um padrão relativamente novo que permite aos provedores de serviços de correio a capacidade de impor a Segurança da Camada de Transporte (TLS) para assegurar ligações SMTP, e especificar se os servidores SMTP que enviam e-mails devem recusar-se a entregar e-mails a hosts MX que não oferecem TLS com um certificado de servidor fiável. Está provado que mitiga com sucesso os ataques de downgrade de TLS e de Man-In-The-Middle (MITM). Relatório SMTP TLS (TLS-RPT) é uma norma que permite a comunicação de problemas na conectividade TLS que é experimentada por aplicações que enviam emails e detectam erros de configuração. Permite a comunicação de problemas de entrega de correio electrónico que ocorrem quando um correio electrónico não está encriptado com TLS. Em Setembro de 2018, a norma foi documentada pela primeira vez no RFC 8460.

Porque é que os seus e-mails requerem encriptação em trânsito?

O principal objectivo é melhorar a segurança ao nível dos transportes durante as comunicações SMTP e garantir a privacidade do tráfego de correio electrónico. Além disso, a encriptação de mensagens de entrada e saída aumenta a segurança da informação, utilizando a criptografia para salvaguardar a informação electrónica. Além disso, ataques criptográficos como o Man-In-The-Middle (MITM) e o TLS Downgrade têm ganho popularidade nos últimos tempos e tornaram-se uma prática comum entre os cibercriminosos, que pode ser evitada através da aplicação da encriptação TLS e da extensão do apoio a protocolos seguros.

Como é lançado um anexo MITM?

Uma vez que a encriptação teve de ser adaptada ao protocolo SMTP, a actualização para entrega encriptada tem de depender de um comando STARTTLS que é enviado em texto claro. Um atacante MITM pode facilmente explorar esta funcionalidade realizando um ataque de downgrade na ligação SMTP, adulterando o comando de upgrade, forçando o cliente a voltar a enviar o e-mail em texto claro.

Após interceptar a comunicação, um atacante do MITM pode facilmente roubar a informação decifrada e aceder ao conteúdo do e-mail. Isto porque o SMTP sendo o padrão da indústria para a transferência de correio electrónico utiliza a encriptação oportunista, o que implica que a encriptação é opcional e as mensagens de correio electrónico ainda podem ser entregues em texto claro.

Como é lançado um TLS Downgrade Attack?

Uma vez que a encriptação teve de ser adaptada ao protocolo SMTP, a actualização para entrega encriptada tem de depender de um comando STARTTLS que é enviado em texto claro. Um atacante MITM pode explorar esta funcionalidade executando um ataque de downgrade na ligação SMTP, alterando o comando de actualização. O atacante pode simplesmente substituir o STARTTLS por uma string que o cliente não consegue identificar. Por conseguinte, o cliente volta prontamente a enviar o e-mail em texto simples.

Em suma, um ataque de downgrade é frequentemente lançado como parte de um ataque MITM, de modo a criar um caminho para permitir um ataque que não seria possível no caso de uma ligação encriptada sobre a última versão do protocolo TLS, substituindo ou eliminando o comando STARTTLS e fazendo retroceder a comunicação para texto claro.

Para além de aumentar a segurança da informação e mitigar os ataques de monitorização generalizada, a encriptação de mensagens em trânsito também resolve múltiplos problemas de segurança SMTP.

Conseguir Criptografia de e-mails TLS Enforcedida com MTA-STS

Se não conseguir transportar os seus e-mails através de uma ligação segura, os seus dados poderão ser comprometidos ou mesmo modificados e adulterados por um ciberataque. É aqui que o MTA-STS intervém e resolve este problema, permitindo o trânsito seguro das suas mensagens de correio electrónico, bem como a atenuação bem sucedida de ataques criptográficos e o reforço da segurança da informação através da aplicação da encriptação TLS. Simplificando, o MTA-STS obriga os emails a serem transferidos por uma via encriptada de TLS, e no caso de uma ligação encriptada não poder ser estabelecida, o email não é de todo entregue, em vez de ser entregue em texto claro. Além disso, os MTAs armazenam ficheiros de política MTA-STS, tornando mais difícil para os atacantes lançar um ataque de spoofing DNS.

 

A MTA-STS oferece protecção contra :

  • Ataques de rebaixamento
  • Ataques de homem no meio (MITM)
  • Resolve múltiplos problemas de segurança SMTP, incluindo certificados TLS expirados e falta de suporte para protocolos seguros.

Os principais fornecedores de serviços de correio, tais como Microsoft, Oath, e Google apoiam a MTA-STS. Sendo o Google o maior actor da indústria, atinge a fase central ao adoptar qualquer protocolo, e a adopção do MTA-STS pelo google indica a extensão do apoio para protocolos seguros e realça a importância da encriptação de correio electrónico em trânsito.

Resolução de problemas na entrega de correio electrónico com TLS-RPT

O Relatório SMTP TLS fornece aos proprietários de domínios relatórios de diagnóstico (em formato de ficheiro JSON) com detalhes elaborados sobre e-mails que foram enviados para o seu domínio e enfrentam problemas de entrega, ou que não puderam ser entregues devido a um ataque de downgrade ou outros problemas, para que possa resolver o problema proactivamente. Assim que activar o TLS-RPT, os Agentes de Transferência de Correio irão começar a enviar relatórios de diagnóstico relativos a problemas de entrega de correio electrónico entre servidores de comunicação para o domínio de correio electrónico designado. Os relatórios são normalmente enviados uma vez por dia, cobrindo e transmitindo as políticas MTA-STS observadas pelos remetentes, estatísticas de tráfego, bem como informações sobre falhas ou problemas na entrega de correio electrónico.

A necessidade de implantar o TLS-RPT :

  • Caso um e-mail não seja enviado ao seu destinatário devido a qualquer problema na entrega, será notificado.
  • O TLS-RPT proporciona maior visibilidade em todos os seus canais de correio electrónico, de modo a obter uma melhor percepção de tudo o que se passa no seu domínio, incluindo as mensagens que não estão a ser entregues.
  • O TLS-RPT fornece relatórios de diagnóstico aprofundados que lhe permitem identificar e chegar à raiz do problema da entrega de correio electrónico e corrigi-lo sem qualquer atraso.

Adopção do MTA-STS e do TLS-RPT tornado fácil e rápido pelo PowerDMARC

MTA-STS requer um servidor web HTTPS com um certificado válido, registos DNS, e manutenção constante. PowerDMARC torna a sua vida muito mais fácil ao lidar com tudo isso para si, completamente em segundo plano - desde a geração de certificados e ficheiro de políticas MTA-STS até à aplicação de políticas, ajudamo-lo a escapar às tremendas complexidades envolvidas na adopção do protocolo. Uma vez que o ajudamos a configurá-lo com apenas alguns cliques, nunca mais terá sequer de pensar no assunto.

Com a ajuda dos Serviços de Autenticação de Email do PowerDMARC , pode implementar o Hosted MTA-STS na sua organização sem o incómodo e a um ritmo muito rápido, com a ajuda do qual pode impor o envio de emails para o seu domínio através de uma ligação encriptada TLS, tornando assim a sua ligação segura e mantendo os ataques MITM à distância.

PowerDMARC facilita a sua vida, tornando o processo de implementação do SMTP TLS Reporting (TLS-RPT) fácil e rápido, na ponta dos seus dedos! Assim que se inscrever no PowerDMARC e activar os Relatórios SMTP TLS para o seu domínio, tomamos a dor de converter os complicados ficheiros JSON contendo os seus relatórios de problemas de entrega de correio electrónico, em documentos simples e legíveis (por resultado e por fonte de envio), que pode passar e compreender com facilidade! A plataforma PowerDMARC detecta automaticamente e transmite subsequentemente os problemas que enfrenta na entrega de correio electrónico, para que os possa abordar e resolver prontamente num instante!

Inscreva-se hoje para receber o seu DMARC grátis!

Se estiver aqui a ler este blogue, é provável que se tenha deparado com um dos três avisos comuns:

  • Sem registo DMARC 
  • Não foi encontrado nenhum registo DMARC 
  • Falta o registo DMARC
  • Registo DMARC não encontrado 
  • Nenhum registo DMARC publicado 
  • Política DMARC não activada
  • Incapaz de encontrar o registo DMARC

Seja como for, isto implica apenas que o seu domínio não está configurado com o padrão de autenticação de correio electrónico mais aclamado e popularmente utilizado - Autenticação de Mensagens Baseadas no Domínio, Relatórios, e Conformidade ou DMARC. Vejamos o que é:

O que é DMARC e porque precisa de autenticação de e-mail para o seu domínio?

A fim de aprender sobre como corrigir a questão "Nenhum registo DMARC encontrado", vamos aprender sobre o que é o DMARC. O DMARC é o padrão de autenticação de correio electrónico mais utilizado no tempo actual, que foi concebido para capacitar os proprietários de domínios com a capacidade de especificar aos servidores receptores como devem tratar as mensagens que falham nas verificações de autenticação. Isto, por sua vez, ajuda a proteger o seu domínio contra acesso não autorizado e ataques de falsificação de correio electrónico. DMARC utiliza protocolos de autenticação padrão populares para validar as mensagens de entrada e saída do seu domínio.

Proteja o seu negócio contra ataques de personificação e falsificações com DMARC

Sabia que o correio electrónico é a forma mais fácil de os criminosos informáticos abusarem do seu nome de marca?

Utilizando o seu domínio e fazendo-se passar pela sua marca, os hackers podem enviar e-mails de phishing maliciosos aos seus próprios empregados e clientes. Uma vez que o SMTP não está equipado com protocolos seguros contra falsos campos "De", um atacante pode forjar cabeçalhos de e-mail para enviar e-mails fraudulentos a partir do seu domínio. Isto não só comprometerá a segurança na sua organização, como também prejudicará seriamente a reputação da sua marca.

A falsificação de emails pode levar ao BEC (Business Email Compromise), perda de informação valiosa da empresa, acesso não autorizado a dados confidenciais, perda financeira e reflectir mal sobre a imagem da sua marca. Mesmo depois de implementar SPF e DKIM para o seu domínio, não pode impedir que os cibercriminosos se façam passar pelo seu domínio. É por isso que precisa de um protocolo de autenticação de e-mail como o DMARC, que autentica e-mails usando ambos os protocolos mencionados e especifica aos servidores de recepção dos seus clientes, empregados e parceiros como responder se um e-mail é de uma fonte não autorizada e falha nas verificações de autenticação. Isto dá-lhe a máxima protecção contra ataques de domínio exacto e ajuda-o a ter o controlo total do domínio da sua empresa.

Além disso, com a ajuda de um padrão eficaz de autenticação de correio electrónico como o DMARC, pode melhorar a sua taxa de entrega de correio electrónico, alcance e confiança.

 


Acrescentar o registo DMARC em falta para o seu domínio

Pode ser aborrecido e confuso depararmo-nos com avisos dizendo "Hostname devolveu um registo DMARC em falta ou inválido" ao verificar o registo DMARC de um domínio enquanto se utiliza ferramentas online.

Para fixar a questão "Nenhum registo DMARC encontrado" para o seu domínio tudo o que precisa de fazer é adicionar um registo DMARC para o seu domínio. Adicionar um registo DMARC é essencialmente publicar um registo de texto (TXT) no DNS do seu domínio, na secção _dmarc.example.com subdomínio em conformidade com as especificações DMARC. Um registo DMARC TXT no seu DNS pode parecer algo parecido com isto:

v=DMARC1; p=nenhuma; rua=mailto:[email protected]

E Voilá! Resolveu com sucesso o prompt "Nenhum registo DMARC encontrado", uma vez que o seu domínio está agora configurado com autenticação DMARC e contém um registo DMARC.

Mas será isto suficiente? A resposta é não. A simples adição de um registo DMARC TXT ao seu DNS pode resolver o pedido de DMARC em falta, mas simplesmente não é suficiente para mitigar ataques de imitação e falsificação.

Implementar o DMARC o caminho certo com PowerDMARC

PowerDMARC ajuda a sua organização a atingir 100% de conformidade DMARC, alinhando as normas de autenticação, e ajudando-o a passar da monitorização para a aplicação da lei num instante, resolvendo o problema de "nenhum registo DMARC encontrado" num instante! Além disso, o nosso painel de controlo interactivo e de fácil utilização gera automaticamente:

  • Relatórios Agregados (RUA) para todos os seus domínios registados, que são simplificados e convertidos em tabelas e gráficos legíveis a partir de formato de ficheiro XML complexo para a sua compreensão.
  • Relatórios forenses (RUF) com encriptação

A fim de mitigar "nenhum registo DMARC encontrado", tudo o que precisa de fazer é

  • Crie o seu registo DMARC gratuito com PowerDMARC e seleccione a sua política DMARC desejada com facilidade.

A política DMARC pode ser definida para :

  • p=nenhum (o DMARC está definido apenas para monitorização, em que as mensagens de correio electrónico que não tenham sido autenticadas continuarão a ser entregues nas caixas de entrada do destinatário; no entanto, receberá relatórios agregados informando-o sobre os resultados da autenticação)
  • p=quarantina (o DMARC é definido a nível de aplicação da lei, em que as mensagens de correio electrónico que não sejam autenticadas serão entregues na caixa de spam em vez da caixa de entrada do seu destinatário)
  • p=rejeição (o DMARC é definido ao nível máximo de aplicação, em que as mensagens de correio electrónico não autenticadas seriam eliminadas ou não seriam entregues)

Porquê PowerDMARC?

PowerDMARC é uma plataforma única de autenticação de e-mail SaaS que combina todas as melhores práticas de autenticação de e-mail tais como DMARC, SPF, DKIM, BIMI, MTA-STS e TLS-RPT, sob o mesmo tecto. Proporcionamos uma óptima visibilidade no seu ecossistema de correio electrónico com a ajuda dos nossos relatórios agregados detalhados e ajudamos a actualizar automaticamente as alterações no seu painel de instrumentos sem que tenha de actualizar manualmente o seu DNS.

Adaptamos as soluções ao seu domínio e tratamos de tudo para si completamente em segundo plano, desde a configuração à instalação até à monitorização. Ajudamo-lo a implementar correctamente o DMARC para ajudar a manter os ataques de imitação à distância!

Por isso inscreva-se hoje com o PowerDMARC para configurar correctamente o DMARC para o seu domínio!

A Autenticação de Mensagens baseada em domínio, Relatórios e Conformidade é o protocolo de autenticação de correio electrónico mais aclamado nos últimos tempos, que pode ajudar as pequenas empresas, bem como as empresas multinacionais, a mitigar a imitação, ataques de falsificação de correio electrónico e BEC. O DMARC faz uso de dois dos protocolos padrão existentes na arena da autenticação de correio electrónico, nomeadamente SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail). As soluções DMARC podem ajudar a validar cada correio electrónico de entrada e saída para autenticidade e mitigar ataques baseados em correio electrónico e violações de segurança.

Ao seleccionar a melhor solução de software DMARC para o seu negócio, precisa de procurar algumas características básicas que a solução deve incluir! Vamos discutir quais são elas:

Um painel de controlo de fácil utilização

É imperativo um painel de controlo de fácil utilização que lhe ofereça visibilidade completa no seu ecossistema de correio electrónico e que apresente eficazmente relatórios sobre a passagem e autenticação DMARC falhada a partir do seu domínio, num formato legível e compreensível. Este é um dos pontos-chave que deve ter em atenção ao escolher a melhor solução de software DMARC para a sua empresa.

Relatórios Forenses e Agregados Detalhados

É indispensável que a sua solução DMARC tenha um mecanismo de informação extensivo. Relatórios Agregados e Forenses são ambos imperativos para monitorizar ameaças e configurar protocolos de autenticação.

Relatórios DMARC agregados detalhados são gerados num formato de ficheiro XML. Para uma pessoa não técnica, estes registos podem parecer indecifráveis. A melhor solução de software DMARC para a sua organização irá cobrir estes incompreensíveis relatórios agregados de ficheiros XML complexos em informação que pode facilmente compreender e que lhe permite analisar os seus resultados e fazer as alterações necessárias

Tanto para as PMEs como para as MNCs, os relatórios forenses fornecem uma visão valiosa do seu ecossistema de correio electrónico, que são gerados sempre que um correio electrónico enviado a partir do seu domínio falha DMARC. Fornecem informação detalhada sobre e-mails individuais que falharam na autenticação para detectar tentativas de falsificação e corrigir problemas na entrega de e-mails a um ritmo acelerado.

Criptografia de Relatórios Forenses DMARC

Os relatórios forenses DMARC contêm dados sobre cada e-mail individual que falhou o DMARC. Isto implica que eles podem potencialmente incluir informação confidencial que estava presente nessas mensagens de correio electrónico. É por isso que ao seleccionar a melhor solução de software DMARC para o seu negócio, deve escolher um fornecedor de serviços que valorize a sua privacidade, e lhe permita encriptar os seus relatórios forenses para que apenas utilizadores autorizados tenham acesso aos mesmos.

SPF e DKIM Alinhamento

Embora a conformidade com DMARC possa ser alcançada por alinhamento SPF ou DKIM, é preferível alinhar as suas mensagens de correio electrónico com ambos os padrões de autenticação. A menos que os seus emails sejam alinhados e autenticados contra ambos os protocolos de autenticação SPF e DKIM e confiem apenas no SPF para validação, há uma hipótese de emails legítimos poderem ainda falhar a autenticação DMARC (como no caso de mensagens reencaminhadas). Isto porque o endereço IP do servidor intermediário pode não ser incluído no registo SPF do seu domínio, falhando assim o SPF.

No entanto, a menos que o corpo do correio seja alterado durante o reencaminhamento, a assinatura DKIM é retida pelo e-mail, que pode ser utilizado para validar a sua autenticidade. A melhor solução de software DMARC para o seu negócio assegurará que todas as suas mensagens de entrada e saída sejam alinhadas tanto contra SPF como contra DKIM.

Permanecer sob o Limite de Pesquisa DNS 10

Os registos SPF têm um limite de 10 consultas DNS. Se a sua organização tiver uma ampla base de operações ou se confiar em vendedores terceiros para enviar e-mails em seu nome, o seu registo SPF pode facilmente exceder o limite e atingir o permerror. Isto invalida a sua implementação do SPF, e faz com que as suas mensagens de correio electrónico falhem inevitavelmente o SPF. É por isso que deve procurar uma solução que o ajude a optimizar instantaneamente o seu registo SPF para se manter sempre abaixo do limite de 10 DNS de pesquisa para mitigar o SPF permerror!

Um Assistente de Configuração Interactivo e Eficiente

ao escolher a melhor solução de software DMARC para a sua organização, não se deve esquecer o processo de configuração. Um assistente de configuração interactivo e eficiente, concebido com simplicidade e facilidade de utilização em mente, levando-o através do processo de introdução do seu nome de domínio a definir a sua política DMARC para gerar o seu próprio registo DMARC de uma forma sincronizada e metódica, é a necessidade da hora! Ajudá-lo-á a estabelecer-se sem problemas, e a compreender todas as definições e funcionalidades no seu painel de instrumentos dentro do menor tempo possível.

Agendamento de Relatórios Executivos em PDF

Com uma solução DMARC eficaz para a sua organização, pode converter os seus relatórios DMARC em convenientes documentos PDF facilmente legíveis que podem ser partilhados com toda a sua equipa. Dependendo das suas necessidades, pode tê-los agendados para serem enviados regularmente para o seu correio electrónico ou simplesmente gerá-los a pedido.

 

Registo BIMI hospedado

Indicadores de Marca para Identificação de Mensagem ou BIMI, permite aos seus destinatários de correio electrónico identificar visualmente o seu logotipo de marca único nas suas caixas de entrada, e ter a certeza de que o correio electrónico é de uma fonte autêntica. Um fornecedor de serviços eficiente pode ligá-lo à implementação de BIMI juntamente com protocolos de autenticação padrão como DMARC, SPF e DKIM, melhorando assim a recordação da sua marca e sustentando a reputação e integridade da sua marca.

Segurança e Configuração da Plataforma

Uma solução DMARC eficaz tornará o seu trabalho fácil ao detectar automaticamente todos os seus subdomínios, bem como ao fornecer autenticação de dois factores para permitir a segurança absoluta da sua plataforma de autenticação.

Inteligência de Ameaças

Para uma melhor visibilidade e percepção, o que precisa é de um motor de Inteligência de Ameaças (TI) orientado para a IA que erradique activamente os endereços IP suspeitos, comparando-os com uma lista negra viva e actualizada de abusadores conhecidos para que os possa mandar retirar. Isto irá blindá-lo contra actividades maliciosas e repetidas ocorrências de abuso de domínio no futuro.

Uma equipa de apoio pró-activa

Ao implementar o DMARC na sua organização e gerar relatórios agregados, o que precisa é de uma equipa de apoio proactiva, disponível 24 horas por dia para o ajudar a mitigar problemas na configuração, mesmo após o embarque, ao longo do tempo em que estiver a utilizar os seus serviços.

Ferramenta Analisadora PowerDMARC

A nossa Ferramenta Analisadora de DMARC é suficientemente eficaz para o levar através de todo o processo de implementação e ajudá-lo a passar da monitorização para a aplicação de DMARC e 100% de conformidade com DMARC no menor espaço de tempo. A nossa solução avançada de software DMARC irá ajudá-lo na configuração do seu domínio, política DMARC, e relatórios agregados e ajudá-lo-á a ganhar visibilidade completa no seu ecossistema de correio electrónico o mais cedo possível. Desde a geração de registos BIMI hospedados, até aos relatórios forenses com encriptação, o PowerDMARC é o seu destino único para o conjunto final de segurança de correio electrónico.

Ao escolher uma solução DMARC para a sua organização, é importante confiar num fornecedor de serviços que ofereça tecnologia de ponta a preços razoáveis. Inscreva-se hoje para obter o seu teste DMARC grátis com o PowerDMARC !