O que são SPF, DKIM, e DMARC?
SPF, DKIM e DMARC são os três principais protocolos de autenticação de correio eletrónico. Em conjunto, o SPF, o DMARC e o DKIM impedem que fontes não autorizadas utilizem o seu domínio para enviar mensagens de correio eletrónico fraudulentas para os seus potenciais clientes, clientes, funcionários, fornecedores terceiros, partes interessadas, etc. O SPF e o DKIM ajudam a demonstrar a legitimidade da mensagem de correio eletrónico, enquanto o DMARC dá instruções ao servidor de correio eletrónico do destinatário sobre o que fazer com as mensagens de correio eletrónico que não passam nas verificações de autenticação.
- Sender Policy Framework (SPF): Verifica o endereço IP do remetente para garantir que está autorizado a enviar e-mails em nome do seu domínio.
- DomainKeys Identified Mail (DKIM): Adiciona uma assinatura digital aos e-mails, verificando a identidade do remetente e evitando a adulteração de mensagens.
- Autenticação, comunicação e conformidade de mensagens baseadas em domínio (DMARC): Fornece uma estrutura de políticas para impor verificações SPF e DKIM e gerar relatórios sobre resultados de autenticação de e-mail.
Compreender a autenticação de correio eletrónico
Autenticação de correio eletrónico é o processo de verificação da legitimidade das fontes de correio eletrónico. Trata-se de uma medida de segurança essencial adoptada pelas organizações para garantir que apenas os remetentes legítimos podem enviar mensagens de correio eletrónico em nome do seu domínio. O SPF, o DKIM e o DMARC formam os pilares da autenticação de correio eletrónico, verificando as fontes de envio e o conteúdo do correio eletrónico e definindo a forma de responder a mensagens que falham a autenticação.
O relatório DBIR da Verizon sugere que 94% de todos os ciberataques começam com uma mensagem de correio eletrónico! Este facto realça ainda mais a crescente ameaça de falsificação e a sua natureza prolífica.
Porque é que a autenticação de correio eletrónico é importante
A autenticação de correio eletrónico é a primeira linha de defesa contra a falsificação de correio eletrónico. A falsificação de correio eletrónico é o processo de falsificação de nomes de domínio e endereços de correio eletrónico com intenções maliciosas. As mensagens de correio eletrónico falsificadas são enviadas por atacantes que se fazem passar por empresas legítimas para defraudar vítimas inocentes. Ao verificar a legitimidade das fontes de envio, a autenticação impede que as mensagens de correio eletrónico falsificadas sejam entregues. Os clientes relataram uma redução de mais de 90% nas tentativas de falsificação a partir do seu próprio domínio após a implementação de protocolos de autenticação de correio eletrónico.
O papel do SPF, DKIM e DMARC
A autenticação de correio eletrónico é importante para proteger a sua marca contra ciberataques baseados em correio eletrónico tentados através de técnicas de phishing e de falsificação de identidade. A autenticação de correio eletrónico baseia-se principalmente nos protocolos SPF, DKIM e DMARC, juntamente com protocolos adicionais como MTA-STS, BIMI e ARC que podem melhorar ainda mais a sua segurança! Eis a razão pela qual precisa de os implementar:
- Eles asseguram que o seu nome de domínio não pode ser forjado e utilizado indevidamente.
- Ajudam-no a evitar phishing, spamming, ataques de resgates, etc., planeados e tentados em nome do seu negócio.
- Melhoram a taxa de entrega de correio eletrónico do seu domínio. Uma fraca taxa de entrega de correio eletrónico tem impacto na comunicação interna, no marketing e nas campanhas de relações públicas, taxa de retenção de clientesetc.
Simplifique a autenticação de e-mail com o PowerDMARC!
Onde se pode efetuar uma verificação SPF, DKIM e DMARC?
As verificações SPF, DKIM e DMARC podem ser efectuadas verificando se os registos estão armazenados no seu Sistema de Nomes de Domínio ou DNS. O DNS é popularmente designado como a lista telefónica da Internet que converte os nomes de domínio nos respectivos endereços IP. O DNS é utilizado como uma base de dados para armazenar as informações do seu domínio sob a forma de registos DNS.
Uma verificação SPF, DKIM e DMARC é utilizada para analisar os registos DNS existentes que pode publicar e armazenar no seu DNS. Durante as verificações de autenticação de correio eletrónico, os MTAs receptores consultam o seu DNS para procurar estes registos e tomar medidas com base nas instruções ou informações neles definidas. Pode utilizar o verificador de registos SPF, o verificador de registos DKIM e o verificador de registos DMARC gratuitos do PowerDMARC para verificar instantaneamente se o seu DNS contém estes registos!
Como criar o SPF, DKIM e DMARC?
Siga estas instruções para configurar SPF, DKIM e DMARC para proteger o seu domínio e os seus e-mails.
- Criar um registo DNS SPF.
- Crie a sua chave pública DKIM.
- Crie a sua política DMARC registar e ativar os relatórios DMARC
- Configure uma caixa de correio dedicada para receber os seus relatórios DMARC ou utilize uma plataforma de análise de relatórios DMARC.
- Publique os seus registos SPF, DKIM e DMARC no DNS
SPF: Verificar os seus remetentes de correio eletrónico
Estrutura da política do remetente ou SPF, é um protocolo de autenticação de correio eletrónico em que os proprietários de domínios registam todos os servidores autorizados a enviar mensagens de correio eletrónico utilizando o seu domínio. Isto é feito através da criação de um registo TXT registo SPF que é publicado no DNS. Se um IP de envio não constar da lista, a autenticação falha e o correio eletrónico pode ser marcado como spam ou suspeito. No entanto, o SPF tem algumas limitações; falha quando uma mensagem é reencaminhada ou quando o limite de 10 pesquisas no DNS é excedido.
Se já tiver um registo SPF, pode utilizar o nosso verificador de registos SPF para garantir que não tem erros.
Configurar o SPF
- Identifique todas as suas fontes de envio de correio eletrónico (incluindo fornecedores terceiros).
- Criar um registo SPF utilizando um gerador de SPF gratuito. O registo deve autorizar todas as suas fontes de envio.
- Copiar a sintaxe do registo.
- Inicie a sessão na sua consola de gestão DNS.
- .cole o registo na sua secção de registos DNS no tipo de recurso "TXT".
Aguarde algumas horas para que as alterações sejam implementadas. Uma vez concluídas, pode utilizar a nossa pesquisa de registos SPF ferramenta para garantir um registo sem erros.
Desafios comuns com o SPF
Ao aprender os desafios com SPF, DKIM e DMARC, vale a pena notar que existem alguns desafios comuns que os proprietários de domínios enfrentam especificamente com a implementação do SPF. São os seguintes:
- Exceder o limite de pesquisa de DNS de 10 quebras SPF
- Exceder o limite de pesquisa de vazios de 2 pode quebrar o SPF
- Os registos SPF têm um limite de comprimento de 255 caracteres
- SPF falha nas mensagens reencaminhadas
Para resolver estes erros, os registos SPF devem ser optimizados com Macros para se manterem abaixo dos limites definidos. A combinação do SPF com o DKIM e o DMARC também garante uma autenticação e uma capacidade de entrega mais fáceis.
DKIM: Proteger o conteúdo do seu correio eletrónico
DomainKeys Identified Mail ou DKIM permite que os proprietários de domínios assinem automaticamente os e-mails enviados a partir do seu domínio. O DKIM funciona de forma semelhante à assinatura de cheques bancários para validar a sua autenticidade. As assinaturas DKIM garantem que o conteúdo do seu correio eletrónico permanece seguro e inalterado durante o processo de entrega.
Procede através do armazenamento de uma chave pública num registo DNS DKIM. O servidor de correio eletrónico recetor pode aceder a este registo para obter a chave pública. Por outro lado, existe uma chave privada armazenada secretamente pelo remetente, que assina o cabeçalho do correio eletrónico com ela. Os servidores de correio eletrónico receptores verificam a chave privada do remetente comparando-a com a chave pública facilmente acessível.
Configurar o DKIM
- Pode configurar facilmente o DKIM gerando um registo DKIM utilizando o gerador de registos gerador de registos DKIM gratuito.
- Introduza o seu nome de domínio na caixa de ferramentas e clique no botão Gerar registo DKIM botão.
- Obterá um par de chaves DKIM privadas e públicas.
- Publique a chave pública no DNS do seu domínio.
- Configure o seu servidor de correio eletrónico para utilizar a chave privada DKIM para assinar os cabeçalhos de todos os e-mails enviados. Este processo de assinatura adiciona uma assinatura DKIM a cada correio eletrónico, que os servidores de correio dos destinatários verificarão utilizando a chave pública DKIM correspondente publicada no seu DNS. Certifique-se de que mantém a sua chave privada em segurança e que não a publica nem divulga publicamente.
Por fim, verifique a sua chave pública DKIM utilizando uma DKIM lookup para garantir que está correta.
Vantagens do DKIM
Ao considerar a adição de autenticação SPF, DKIM e DMARC, o DKIM tem especificamente várias vantagens na autenticação de correio eletrónico, incluindo
- O DKIM autentica corretamente as mensagens reencaminhadas na maioria dos casos.
- O DKIM impede que os ciber-atacantes alterem o conteúdo das mensagens de correio eletrónico.
- O DKIM permite que cada domínio gira os seus próprios pares de chaves público-privadas de forma independente, dando às organizações um controlo mais granular sobre a segurança do seu correio eletrónico.
DMARC: Prevenir o phishing e a falsificação de correio eletrónico
Autenticação, comunicação e conformidade de mensagens baseadas no domínio ou DMARC dá instruções ao servidor do destinatário sobre o que fazer com as mensagens de correio eletrónico que falham no SPF, DKIM ou em ambos. A ação tomada pelo recetor depende da política DMARC configurada pelo remetente - nenhuma, quarentena ou rejeição.
As políticas DMARC são definidas num registo DMARC que também armazena instruções para enviar relatórios aos administradores do domínio sobre todos os emails que passam ou não nas verificações de validação. Se já tiver implementado uma política DMARCutilize a nossa ferramenta de pesquisa de registos DMARC para verificar se está correta.
Configurar o DMARC
- Pode criar o seu registo DMARC utilizando um gerador de DMARC.
- Escolha a sua política DMARC (por exemplo, p=quarentena) e active a comunicação DMARC definindo um endereço de correio eletrónico na etiqueta "rua" (por exemplo, rua=mailto:[email protected]).
- Clique em Gerar.
- Copie o registo TXT para a área de transferência e cole-o no seu DNS para ativar o protocolo.
Verifique a sua implementação DMARC utilizando um verificador DMARC para validar as suas configurações.
Políticas e acções de aplicação do DMARC
Existem 3 tipos de políticas DMARC que os proprietários de domínios podem configurar para tomar medidas contra e-mails não autenticados. São os seguintes:
- Nenhuma: Denotada por p=none, a política none é uma política de não ação que entrega mensagens não autenticadas sem tomar qualquer ação contra elas. É melhor para iniciantes.
- Quarentena: Designada por p=quarentena, a política de quarentena é uma política DMARC aplicada que coloca em quarentena os emails não autenticados.
- Rejeitar: Designada por p=rejeitar, a política de rejeição é uma política de aplicação máxima do DMARC que rejeita mensagens não autenticadas.
A vossa política DMARC desempenham um papel importante na prevenção de ameaças baseadas em correio eletrónico. Com políticas aplicadas, os proprietários de domínios estão mais bem protegidos contra ataques de falsificação e phishing.
Técnicas avançadas de autenticação de e-mail
A autenticação de correio eletrónico não termina com SPF, DKIM e DMARC. Para melhorar ainda mais a segurança do seu domínio e do seu correio eletrónico, pode implementar técnicas de autenticação avançadas. Vamos discutir algumas delas:
MTA-STS, BIMI e ARC
O protocolo MTA-STS para autenticação assegura a entrega encriptada por TLS de mensagens de correio eletrónico na sua caixa de entrada. Impede ataques de man-the-middle e de DNS spoofing, negociando uma ligação SMTP encriptada entre servidores de correio eletrónico em comunicação.
O BIMI, ou Brand Indicators for Message Identification, ajuda as empresas a anexar os logótipos das suas marcas às mensagens de correio eletrónico. Funciona como uma verificação e autenticação visual, melhorando a recordação e a credibilidade da marca.
O ARC (Authenticated Received Chain) cria um mecanismo de recurso durante o reencaminhamento de correio eletrónico, ajudando a preservar os cabeçalhos de autenticação SPF e DKIM originais. Isto evita falhas de autenticação desnecessárias nas mensagens reencaminhadas.
Quando implementar estas técnicas?
Quando estiver confiante com a sua configuração configuração DMARCpode implementar estas técnicas na fase 2 do seu percurso de autenticação de correio eletrónico.
Estas configurações avançadas são ideais para todas as organizações que pretendem estabelecer a credibilidade da sua marca e melhorar ainda mais a sua reputação de correio eletrónico. Ajudam a fornecer segurança adicional para além de uma configuração de autenticação básica - o que o torna mais bem equipado para lutar contra ataques informáticos sofisticados.
Implementação e manutenção da configuração de autenticação de e-mail
Depois de ter implementado os protocolos SPF, DKIM e DMARC, é altura de os monitorizar e manter para garantir que tudo funciona corretamente. Eis algumas formas de manter a sua configuração de autenticação:
Utilização de ferramentas de monitorização
Monitorização DMARC são plataformas baseadas em IA na nuvem que permitem a monitorização instantânea e fácil das suas implementações de autenticação de correio eletrónico a partir de uma única interface.
Analisar relatórios DMARC
A análise dos relatórios DMARC pode fornecer uma grande quantidade de informações sobre os resultados da autenticação de correio eletrónico e as fontes de envio do seu domínio. Isto pode ajudar a detetar inconsistências e evitar tentativas de falsificação.
Actualizações e manutenção regulares
É importante verificar regularmente o seu SPF, DKIM e DMARC e as técnicas de autenticação avançadas para garantir que estão a funcionar corretamente. O SPF pode necessitar de actualizações periódicas para incluir novas fontes de envio, as chaves DKIM têm de ser rodadas frequentemente para melhorar a segurança e as políticas DMARC têm de ser aplicadas para evitar ataques informáticos. Sem actualizações ou manutenção adequada, as suas implementações podem tornar-se ineficazes.
Envolvimento
Depois de ter configurado estes protocolos de segurança para o seu domínio, é necessário começar a monitorizar os seus relatórios para detetar actividades suspeitas. Ao configurar e gerir corretamente estes protocolos, pode melhorar significativamente a segurança e a capacidade de entrega do seu domínio.
Lembre-se que, em conjunto, estes protocolos de autenticação podem reduzir o risco de phishing, mas não protegem contra todo o cibercrime baseado em correio eletrónico. Por isso, é importante acompanhá-los com a educação e consciencialização dos funcionários.
Perguntas comuns sobre SPF, DKIM e DMARC
Posso criar DMARC sem SPF e DKIM?
A resposta é não. Para configurar o DMARC, é necessário implementar primeiro o SPF ou o DKIM. Sem o SPF ou o DKIM, a sua configuração DMARC não funcionará.
O DMARC exige tanto o SPF como o DKIM?
O DMARC não requer o SPF e o DKIM. Qualquer um dos protocolos pode ser configurado antes de configurar o DMARC. No entanto, recomendamos a implementação de ambos para uma maior segurança.
O Gmail utiliza SPF ou DKIM?
Sim. As diretrizes de remetente actualizadas do Gmail exigem que todos os remetentes implementem o SPF ou o DKIM para enviarem e-mails com êxito para as caixas de entrada do Gmail.
Um domínio pode ter 2 registos DKIM?
Um domínio pode ter 2 ou mais registos DKIM com selectores diferentes para que os servidores receptores possam localizar facilmente o registo DKIM correto durante a autenticação.
Como é que sei se os protocolos estão activados?
Para saber se os protocolos de autenticação estão activados para o seu domínio, pode utilizar as nossas ferramentas de verificação de registos DNS na Powertoolbox ou analisar os cabeçalhos de correio eletrónico.
- DMARC torna-se obrigatório para a indústria de cartões de pagamento a partir de 2025 - 12 de janeiro de 2025
- Alterações do NCSC Mail Check e o seu impacto na segurança do correio eletrónico do sector público do Reino Unido - 11 de janeiro de 2025
- Guia de explicação da etiqueta DMARC aspf - 7 de janeiro de 2025