Para proteger o seu domínio e a sua identidade em linha contra fraudadores que tentam passar à sua frente, precisa de criar DMARC para os seus domínios de correio electrónico. O DMARC funciona através dos esforços cumulativos de autenticação de correio electrónico dos protocolos SPF e DKIM. Subsequentemente, os utilizadores de DMARC também beneficiam da recepção de relatórios sobre problemas de entrega, autenticação, e falhas de alinhamento dos seus emails. Saiba mais sobre o que é DMARC aqui.

Se o seu relatório agregado DMARC diz "SPF alignment failed", vamos discutir o que significa ter o seu SPF em alinhamento e como pode resolver esta questão.

O que é o alinhamento SPF?

Uma mensagem de correio electrónico é composta por vários cabeçalhos diferentes. Cada cabeçalho contém informação sobre certos atributos de uma mensagem de correio electrónico, incluindo a data de envio, de onde foi enviada, e para quem foi enviada. SPF trata de dois tipos de cabeçalhos de mensagens de correio electrónico:

  • The <From:> header
  • O cabeçalho do Caminho de Retorno

Quando o domínio no cabeçalho De: e o domínio no cabeçalho do caminho de retorno corresponde a um e-mail, o alinhamento SPF passa para esse e-mail. No entanto, quando os dois não coincidem, falha consequentemente. O alinhamento SPF é um critério importante que decide se uma mensagem de correio electrónico é legítima ou falsa.

Mostrado acima é um exemplo em que o cabeçalho De: está em alinhamento (corresponde exactamente) com o cabeçalho do caminho de retorno (Mail From), daí que o alinhamento SPF passaria para este e-mail.

Porque é que o alinhamento do SPF falha?

Caso 1: O seu modo de alinhamento SPF está definido para estrito

Enquanto o modo de alinhamento padrão do SPF é relaxado, a definição de um modo de alinhamento rigoroso do SPF pode levar a falhas de alinhamento se o domínio do caminho de retorno for um subdomínio do domínio organizacional raiz, enquanto que o cabeçalho From: incorpora o domínio organizacional. Isto porque para o SPF alinhar num modo estrito, os domínios nos dois cabeçalhos devem ser uma correspondência exacta. Contudo, para um alinhamento relaxado, se os dois domínios partilharem o mesmo domínio de nível superior, o alinhamento SPF passará.

Mostrado acima é um exemplo de um mail que partilha o mesmo domínio de topo mas o nome do domínio não é uma correspondência exacta ( o Mail From domain é um subdomínio da empresa do domínio organizacional.com). Neste caso, se o seu modo de alinhamento SPF estiver definido para "relaxado", o seu correio electrónico passará o alinhamento SPF, no entanto, para um modo estrito, falhará o mesmo. 

Caso 2: O seu domínio tem sido falsificado

Uma razão muito comum para as falhas de alinhamento SPF é a falsificação de domínio. Este é o fenómeno quando um cibercriminoso assume a sua identidade forjando o seu nome de domínio ou endereço para enviar e-mails para os seus receptores. Enquanto o De: domínio ainda ostenta a sua identidade, o cabeçalho Return-path mostra a identidade original do falsificador. Se tiver autenticação SPF para o seu domínio falsificado, o e-mail falha inevitavelmente no alinhamento do lado do receptor.

A correcção do "alinhamento SPF falhou"

Para corrigir falhas de alinhamento SPF pode: 

  • Defina o seu modo de alinhamento para "relaxado" em vez de "rigoroso 
  • Configure DMARC para o seu domínio, sobre SPF e DKIM, para que mesmo que o seu e-mail falhe o alinhamento do cabeçalho SPF e passe o alinhamento DKIM, ele passe DMARC e seja entregue ao seu destinatário

O nosso Analisador de relatórios DMARC pode ajudá-lo a ganhar 100% de conformidade DMARC nas suas mensagens de correio electrónico enviadas e evitar tentativas de falsificação ou falhas de alinhamento devido a erros de configuração do protocolo. Desfrute de uma experiência de autenticação mais segura e fiável, fazendo hoje o seu teste DMARC grátis!

DMARC é um protocolo padrão de autenticação de e-mail que, quando configurado em cima dos registos SPF e DKIM existentes, ajuda a confirmar se uma ou ambas as verificações de autenticação falharam. Porque é que o DMARC é importante? Digamos que alguém envia um e-mail em nome da sua empresa e esta falha no DMARC, o que significa que pode tomar uma acção de autoridade. O DMARC foi concebido para impedir o spam e o phishing nas suas pistas, ajudando as empresas a lidar com a segurança do correio electrónico. Um dos principais objectivos é ajudar as empresas a proteger as suas marcas e a manter a sua reputação. O DMARC protege o correio electrónico em trânsito e ajuda a prevenir ataques de spoofing e phishing, rejeitando mensagens que não cumprem certos padrões. Os servidores de correio podem também reportar mensagens que recebem de outros servidores de correio para ajudar o remetente a corrigir quaisquer problemas.

A protecção dos seus e-mails é importante para manter os seus clientes a salvo de cibercriminosos que possam roubar as suas informações pessoais. Neste post do blogue, explicaremos a importância do DMARC e o que pode fazer para o implementar correctamente para o seu domínio.

Porque é que o DMARC é importante e porque deve utilizar DMARC?

Se ainda não tem a certeza se deve utilizar DMARC, vamos contar para baixo alguns benefícios que ele proporciona:

  • O DMARC é sobre segurança e entregabilidade de correio electrónico. Fornece relatórios de autenticação robustos, minimiza o phishing, e reduz os falsos positivos.
  • Aumentar a capacidade de entrega e reduzir os saltos
  • Receber relatórios completos sobre como as mensagens são autenticadas
  • O protocolo DMARC ajuda a identificar spammers e impede que mensagens falsas cheguem às caixas de entrada
  • DMARC ajuda a reduzir as hipóteses de as suas mensagens electrónicas serem marcadas ou sinalizadas como spam
  • Dá-lhe melhor visibilidade e autoridade sobre os seus domínios e canais de correio electrónico

Quem pode usar DMARC?

DMARC é apoiado por Microsoft Office 365, Google Workspace, e outras soluções populares baseadas na nuvem. Desde 2010, o DMARC tem sido parte do processo de autenticação de correio electrónico. O seu objectivo era tornar mais difícil para os cibercriminosos o envio de emails de spam a partir de um endereço válido, ajudando a combater a epidemia de ataques de phishing. Os proprietários de domínios de pequenas empresas, bem como as empresas, são encorajados por peritos da indústria a criar um registo DMARC para fornecer instruções sobre como o seu domínio de correio electrónico deve ser protegido. Isto, por sua vez, ajuda a proteger a reputação e identidade da sua marca. 

Como estabelecer o registo DMARC do seu domínio? 

Os passos para configurar o seu domínio com protocolos de autenticação de e-mail são os seguintes: 

  • Criar um registo SPF e verificá-lo usando um verificador SPF para assegurar que o registo é funcional e desprovido de possíveis erros sintácticos
  • Habilite a autenticação DKIM para o seu domínio
  • Finalmente, crie o seu domínio com DMARC e habilite os relatórios DMARC configurando o nosso Analisador de relatórios DMARC gratuito

O DMARC não só ganhou uma importância substancial nos últimos anos como algumas empresas estão a esforçar-se por torná-lo obrigatório para os seus empregados, de modo a evitar a perda de dados e recursos sensíveis. Por conseguinte, é tempo de ter em consideração os seus vários benefícios e de se orientar para uma experiência de correio electrónico mais segura com o DMARC. 

Os registos DMARC são uma mistura de vários mecanismos ou etiquetas DMARC que comunicam instruções específicas aos servidores de recepção de correio electrónico durante a transferência de correio. Cada uma destas etiquetas de DMARC contém um valor que é definido pelo proprietário do domínio. Hoje vamos discutir o que são etiquetas de DMARC e o que cada uma delas representa. 

Tipos de etiquetas de DMARC

Aqui estão todas as etiquetas DMARC disponíveis que um proprietário de domínio pode especificar no seu registo DMARC:

Etiqueta DMARC Tipo Valor por defeito O que significa
v obrigatório A etiqueta v representa a versão do protocolo DMARC e tem sempre o valor v=DMARC1 
pct opcional 100 Esta etiqueta representa a percentagem de e-mails aos quais o modo de política é aplicável. Leia mais sobre a tag DMARC pct
p obrigatório Esta etiqueta aborda o modo de política DMARC. Pode seleccionar entre rejeição, quarentena, e nenhuma. Saiba mais sobre o que é a política DMARC para obter clareza sobre qual o modo a seleccionar para o seu domínio.
sp opcional O modo de política configurado para o(p) seu(s) domínio(s) principal(is) Especificando a política do subdomínio, a etiqueta sp é configurada para definir um modo de política para os seus subdomínios. Saiba mais sobre DMARC sp tag para compreender quando a deve configurar. 
rua Opcional mas recomendado A etiqueta da rua é uma etiqueta opcional DMARC que especifica o endereço de correio electrónico ou o servidor web para onde as organizações que reportam devem enviar os seus Dados agregados de rua DMARC

Exemplo: rua=mailto:[email protected];

ruf Opcional mas recomendado Da mesma forma, o mecanismo ruf especifica o endereço para o qual o DMARC relatório forense ruf é para ser enviado. Actualmente, nem todas as organizações de relatórios enviam dados forenses. 

Exemplo: ruf=mailto:[email protected]

fo opcional 0 A etiqueta fo atende às opções disponíveis de relatórios de falhas/peritos forenses. Se não tiver activado o ruf para o seu domínio, pode ignorar isto. 

As opções disponíveis para escolher são: 

0: um relatório forense/de falha DMARC é-lhe enviado se o seu e-mail falhar o alinhamento SPF e DKIM

1: um relatório forense/de falha DMARC é enviado para o seu e-mail quando o seu alinhamento SPF ou DKIM falha

d: um relatório de falha do DKIM é enviado se a assinatura do DKIM do e-mail falhar a validação, independentemente do alinhamento

s: um relatório de falha SPF é enviado se o e-mail falhar a avaliação SPF, independentemente do alinhamento.

aspf opcional Esta etiqueta DMARC representa o modo de alinhamento SPF. O valor pode ser ou estrito(s) ou relaxado(r)
adkim opcional Da mesma forma, a etiqueta adkim DMARC representa o modo de alinhamento DKIM, cujo valor pode ser estrito(s) ou relaxado(r) 
rf opcional afrf A etiqueta DMARC rf especifica os vários formatos de relatórios forenses.
ri opcional 86400 O ri tag aborda o intervalo de tempo em segundos entre dois relatórios agregados consecutivos enviados pela organização relatora ao proprietário do domínio.

Para criar um registo para DMARC instantaneamente, use o nosso Gerador DMARC ferramenta. Em alternativa, se tiver um registo existente, verifique a sua validade através da realização de um Pesquisa DMARC.

Inscreva-se hoje de graça Ensaio DMARC para obter aconselhamento especializado sobre como proteger o seu domínio contra falsificadores.

A etiqueta pct DMARC faz parte deste registo e diz a um receptor de correio electrónico qual a percentagem de mensagens ao abrigo desta política que será afectada. Se o proprietário de um domínio quiser especificar o que fazer com um e-mail que falhe a autenticação, os registos DMARC podem ajudá-lo com isso. Uma empresa pode publicar um registo de texto no DNS e especificar o que pretende que aconteça a mensagens de correio electrónico que falhem o alinhamento da fonte, determinando se deve entregá-lo, colocá-lo em quarentena, ou mesmo rejeitá-lo abertamente. 

O que é que pct significa em DMARC?

Um registo TXT para qualquer protocolo de autenticação de correio electrónico contém um monte de mecanismos ou etiquetas que significam instruções dedicadas aos servidores de recepção de correio electrónico. Num registo DMARC, pct é um acrónimo de percentagem que é incluído para endereçar a percentagem de e-mails aos quais a política DMARC definida pelo proprietário do domínio é aplicada.

Porque é que precisa da etiqueta pct DMARC?

A etiqueta pct é uma forma frequentemente ignorada, mas ainda assim eficaz de estabelecer e testar as políticas DMARC do seu domínio. Um registo DMARC com uma etiqueta percentual parece algo como o seguinte: 

v=DMARC1; p=rejeitar; pct=100; rua=mailto:[email protected];

No registo DMARC DNS mostrado acima, a percentagem de e-mails para os quais a política de rejeição DMARC é aplicável é de 100%. 

O tempo que leva para um domínio passar de não utilizar DMARC, para utilizar as configurações mais restritivas, é um período de subida de gama. Isto destina-se a dar aos domínios tempo para se tornarem confortáveis com as suas novas configurações. Para algumas empresas, isto pode demorar alguns meses. É possível que os domínios façam uma actualização instantânea, mas isto é invulgar devido ao risco de erros ou reclamações mais elevados. A etiqueta pct foi concebida como uma forma de aplicar gradualmente as políticas DMARC para reduzir o período de implementação para as empresas em linha. A intenção é poder implementá-la primeiro para um lote mais pequeno de e-mails antes de a implementar totalmente em todo o fluxo de correio, como no caso mostrado abaixo: 

v=DMARC1; p=rejeitar; pct=50; rua=mailto:[email protected];

Neste registo DNS DMARC, a política de rejeição de DMARC aplica-se apenas a 50% dos e-mails, enquanto a outra metade do volume é sujeita a uma política de quarentena para DMARC, que é a segunda política mais rigorosa em linha. 

O que acontecerá se não incluir uma etiqueta pct no seu registo DMARC?

Ao criar um registo DMARC utilizando um Gerador de registos DMARCpode optar por não definir uma etiqueta pct e deixar esse critério vazio. Neste caso, a definição padrão para pct é definida para 100, o que significa que a sua política definida se aplicará a todas as suas mensagens de correio electrónico. Assim, se quiser definir uma política para todas as suas mensagens de correio electrónico, uma forma mais simples de o fazer seria deixar o critério pct em branco, como neste exemplo:

v=DMARC1; p=quarantina; rua=mailto:[email protected];

Advertência: Se pretende uma política aplicada para o DMARC, não publique um registo com pct=0

A lógica por detrás disto é simples: se pretende definir uma política de rejeição ou quarentena no seu registo, pretende essencialmente que a política seja cobrada sobre as suas mensagens de correio electrónico de saída. Definir o seu pct a 0 anula o seu esforço, uma vez que a sua política é agora aplicável a zero e-mails. Isto é o mesmo que ter o seu modo de política definido em p=nenhuma. 

Nota: A fim de proteger o seu domínio de ataques de falsificação e impedir quaisquer hipóteses de o seu domínio ser imitado por atacantes, a política ideal deve ser DMARC em p=rejeição; pct=100;

Mude para a aplicação da lei DMARC com segurança iniciando a sua viagem DMARC com PowerDMARC. Faça uma viagem grátis Ensaio DMARC hoje!

O atributo "sp" é abreviatura de política de subdomínios e não é actualmente um atributo amplamente utilizado. Permite que um domínio especifique que deve ser utilizado um registo DMARC diferente para subdomínios do domínio DNS especificado. Para manter as coisas simples, recomendamos que o atributo "sp" seja omitido do próprio domínio organizacional. Isto conduzirá a uma política de falha por defeito que impede a falsificação em subdomínios. É importante lembrar que o comportamento dos subdomínios é sempre determinado pela política organizacional dominante. 

Os subdomínios herdam a política do domínio pai, a menos que explicitamente anulado por um registo de política de subdomínios. O atributo 'sp' pode sobrepor-se a esta herança. Se um subdomínio tiver um registo DMARC explícito, este registo terá precedência sobre a política DMARC para o domínio principal, mesmo que o subdomínio utilize a definição padrão de p=nenhuma. Por exemplo, se uma política DMARC for definida para prioridade 'todos', o elemento 'sp' influenciará o processamento de DMARC em subdomínios não abrangidos por nenhuma política específica.

Porque é que precisa do DMARC sp tag?

Se tiver o seu registo DMARC como: 

v=DMARC1; p=rejeição; sp=nenhuma; rua=mailto:[email protected];

Neste caso, embora o seu domínio raiz esteja protegido contra ataques de falsificação, os seus subdomínios, mesmo que não os utilize para trocar informações, continuariam a ser vulneráveis a ataques de falsificação.

Se tiver o seu registo DMARC como: 

v=DMARC1; p=nenhuma; sp=rejeitar; rua=mailto:[email protected];

Neste caso, embora não se comprometa com uma política de rejeição no domínio de raiz que utiliza para enviar os seus e-mails, os seus subdomínios inactivos continuam a estar protegidos contra a personificação. 

Se quiser que as políticas do seu domínio e subdomínio sejam as mesmas, pode deixar o critério sp tag em branco ou desactivado ao criar um registo, e os seus subdomínios herdariam automaticamente a política cobrada sobre o domínio principal. 

No caso de estar a utilizar o nosso Gerador de registos DMARC ferramenta para criar um registo DMARC para o seu domínio, precisa de activar manualmente o botão de política do subdomínio e definir a sua política desejada, como mostra abaixo:

 

Depois de criar o seu registo DMARC é importante verificar a validade do seu registo usando o nosso Ferramenta de pesquisa de registos DMARC para se certificar de que o seu registo está livre de erros e é válido.

Comece a sua viagem DMARC com o PowerDMARC para maximizar a segurança de correio electrónico do seu domínio. Leve o seu Ensaio DMARC hoje!

Devido às ameaças que espreitam em linha, as empresas têm de provar que são legítimas, empregando métodos de autenticação fortes. Um método comum é através do DomainKeys Identified Mail (DKIM), uma tecnologia de autenticação de correio electrónico que utiliza chaves de encriptação para verificar o domínio do remetente. DKIM juntamente com SPF e DMARC melhorou drasticamente a postura de segurança do correio electrónico das organizações a nível mundial.

Leia mais sobre o que é DKIM.

Ao configurar o DKIM para os seus e-mails, uma das principais decisões que tem de tomar é determinar o comprimento da chave DKIM. Neste artigo, vamos levá-lo através do comprimento de chave recomendado para melhor protecção e como actualizar as suas chaves em Exchange Online Powershell.

Importância de Actualizar o seu DKIM Key Length

Escolher o bit 1024 ou 2048 é uma decisão importante que deve ser tomada ao escolher a sua chave DKIM. Durante anos, PKI (infra-estrutura de chave pública) tem utilizado chaves DKIM de 1024 bits para a sua segurança. No entanto, como a tecnologia está a tornar-se mais complexa, os hackers estão a trabalhar arduamente para encontrar novos métodos de segurança aleijada. Devido a isto, o comprimento das chaves tem vindo a tornar-se cada vez mais importante.

À medida que os hackers continuam a inventar melhores formas de quebrar as chaves DKIM. O comprimento da chave está directamente correlacionado com o quão difícil é quebrar a autenticação. A utilização de uma chave de bit 2048 proporciona uma protecção reforçada e uma segurança melhorada contra ataques actuais e futuros, realçando a importância de actualizar a sua bitness.

Actualização manual das suas chaves DKIM em Exchange Online Powershell

  • Comece por se ligar ao Microsoft Office 365 PowerShell como administrador (Certifique-se de que a sua conta Powershell está configurada para executar scripts Powershell assinados)
  • No caso do DKIM estar pré-configurado, para actualizar as suas chaves para 2048 bits execute o seguinte comando no Powershell: 

Rotate-DkimSigningConfig -KeySize 2048 -Identity {Guia da Configuração de Assinatura existente}

  • Caso não tenha implementado previamente o DKIM, execute o seguinte comando no Powershell: 

New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true

  • Finalmente, para verificar se configurou com sucesso o DKIM com uma bitness melhorada de 2048 bits, execute o seguinte comando:

Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List

Nota: Certifique-se de que está ligado ao Powershell durante a conclusão do procedimento. Pode levar até 72 horas para que as alterações sejam implementadas.

DKIM não é suficiente para proteger o seu domínio contra falsificações e BEC. Actualize a segurança do e-mail do seu domínio configurando DMARC para escritório 365.