Mail Transfer Agent-Strict Transport Security (MTA-STS) é um novo padrão que permite aos fornecedores de serviços de correio com a capacidade de fazer cumprir a Transport Layer Security (TLS ) para proteger ligações SMTP, e especificar se os servidores SMTP de envio devem recusar-se a entregar e-mails a hosts MX que não ofereçam TLS com um certificado de servidor fiável. Está provado que mitiga com sucesso os ataques de downgrade de TLS e de Man-In-The-Middle (MITM) .

Em termos mais simples, MTA-STS é um padrão de Internet que assegura as ligações entre servidores de correio SMTP. O problema mais proeminente com SMTP é que a encriptação é completamente opcional e não é aplicada durante a transferência de correio. É por isso que o SMTP adoptou o comando STARTTLS para actualizar de texto simples para encriptação. Este foi um passo valioso para mitigar os ataques passivos, no entanto, a abordagem de ataques através de redes activas e ataques MITM ainda não foi abordada.

Assim, a questão que a MTA-STS está a resolver é que a SMTP utiliza a encriptação oportunista, ou seja, se não for possível estabelecer um canal de comunicação encriptado, a ligação cai de novo para o texto simples, mantendo assim os ataques MITM e downgrade à distância.

O que é um TLS Downgrade Attack?

Como já sabemos, o SMTP não veio com um protocolo de encriptação e a encriptação teve de ser adaptada mais tarde para aumentar a segurança do protocolo existente, adicionando o comando STARTTLS. Se o cliente suportar a encriptação (TLS), compreenderá o verbo STARTTLS e iniciará uma troca de TLS antes de enviar o correio electrónico para garantir que este é encriptado. Se o cliente não souber TLS, simplesmente ignorará o comando STARTTLS e enviará o correio electrónico em texto simples.

Portanto, uma vez que a encriptação teve de ser adaptada ao protocolo SMTP, a actualização para entrega encriptada tem de depender de um comando STARTTLS que é enviado em texto claro. Um atacante MITM pode facilmente explorar esta funcionalidade realizando um ataque de downgrade à ligação SMTP através da alteração do comando de actualização. O atacante simplesmente substituiu o STARTTLS por uma cadeia de lixo que o cliente não consegue identificar. Por conseguinte, o cliente volta prontamente a enviar o e-mail em texto simples.

O atacante normalmente substitui o comando pelo fio de lixo que contém o mesmo número de caracteres, em vez de o deitar fora, porque isto preserva o tamanho do pacote e, portanto, torna-o mais fácil. As oito letras da cadeia de lixo no comando de opção permitem-nos detectar e identificar que um ataque de descida de TLS foi executado por um cibercriminoso, e podemos medir a sua prevalência.

Em suma, um ataque de downgrade é frequentemente lançado como parte de um ataque MITM, de modo a criar um caminho para permitir um ataque criptográfico que não seria possível no caso de uma ligação encriptada sobre a última versão do protocolo TLS, substituindo ou eliminando o comando STARTTLS e fazendo retroceder a comunicação para texto claro.

Embora seja possível impor o TLS para comunicações cliente-servidor, como para essas ligações sabemos que as aplicações e o servidor o suportam. No entanto, para comunicações servidor-a-servidor, temos de falhar a abertura para permitir que os servidores herdados enviem e-mails. O cerne do problema é que não temos ideia se o servidor do outro lado suporta ou não o TLS. O MTA-STS permite que os servidores indiquem que suportam TLS, o que lhes permitirá falhar o fecho (ou seja, não enviar o e-mail) se a negociação de actualização não se realizar, tornando assim impossível que um ataque de downgrade de TLS se realize.

relatórios tls

Como é que a MTA-STS vem ao Resgate?

O MTA-STS funciona aumentando a segurança do correio electrónico EXO ou Exchange Online e é a solução final para uma vasta gama de inconvenientes e problemas de segurança SMTP. Resolve problemas de segurança SMTP como a falta de suporte para protocolos seguros, certificados TLS expirados, e certificados que não são emitidos por terceiros de confiança .

À medida que os servidores de correio electrónico procedem ao envio de e-mails, a ligação SMTP é vulnerável a ataques criptográficos, tais como ataques de downgrade e MITM. Os ataques de downgrade podem ser lançados apagando a resposta STARTTLS, entregando assim a mensagem em texto claro. Da mesma forma, os ataques MITM também podem ser lançados redireccionando a mensagem para um intruso do servidor através de uma ligação insegura. O MTA-STS permite ao seu domínio publicar uma política que torna obrigatório o envio de um correio electrónico com TLS codificado. Se por alguma razão se verificar que o servidor receptor não suporta STARTTLS, o e-mail não será de todo enviado. Isto torna impossível instigar um ataque de downgrade de TLS.

Recentemente, a maioria dos fornecedores de serviços de correio adoptaram o MTA-STS, tornando assim as ligações entre servidores mais seguras e encriptadas sobre o protocolo TLS de uma versão actualizada, mitigando assim com sucesso os ataques de downgrade do TLS e anulando as lacunas na comunicação entre servidores.

PowerDMARC traz até si serviços MTA-STS hospedados de forma rápida e fácil, que tornam a sua vida muito mais fácil, pois tratamos de todas as especificações exigidas pela MTA-STS durante e após a implementação, tais como um servidor web HTTPS com um certificado válido, registos DNS, e manutenção constante. PowerDMARC gere tudo isso completamente em segundo plano, de modo que depois de o ajudarmos a configurá-lo, nunca mais terá sequer de pensar nisso!

Com a ajuda do PowerDMARC, pode implementar o Hosted MTA-STS na sua organização sem a complicação e a um ritmo muito rápido, com a ajuda do qual pode impor o envio de e-mails para o seu domínio através de uma ligação encriptada TLS, tornando assim a sua ligação segura e mantendo os ataques de downgrade TLS à distância.

 

Uma norma amplamente conhecida na Internet que facilita, melhorando a segurança das ligações entre servidores SMTP (Simple Mail Transfer Protocol) é o SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS).

No ano de 1982, SMTP foi especificado pela primeira vez e não continha qualquer mecanismo para fornecer segurança ao nível do transporte para assegurar as comunicações entre os agentes de transferência de correio. Contudo, em 1999, o comando STARTTLS foi adicionado ao SMTP que, por sua vez, suportava a encriptação de emails entre os servidores, proporcionando a capacidade de converter uma ligação não segura numa segura que é encriptada utilizando o protocolo TLS.

Nesse caso, deve estar a pensar que se a SMTP adoptou STARTTLS para assegurar ligações entre servidores, porque foi necessária a mudança para MTA-STS? Vamos saltar para isso na secção seguinte deste blog!

A necessidade de mudar para MTA-STS

STARTTLS não foi perfeito, e não conseguiu resolver dois grandes problemas: o primeiro é que é uma medida opcional, daí que STARTTLS não consegue evitar ataques de homem no meio (MITM). Isto porque um atacante MITM pode facilmente modificar uma ligação e impedir que a actualização da encriptação tenha lugar. O segundo problema com ele é que mesmo que STARTTLS seja implementado, não há forma de autenticar a identidade do servidor de envio, uma vez que os servidores de correio SMTP não validam certificados.

Embora a maioria dos e-mails enviados hoje em dia estejam protegidos com a encriptação Transport Layer Security (TLS), uma norma da indústria adoptada mesmo pelo e-mail do consumidor, os atacantes podem ainda assim obstruir e adulterar o seu e-mail mesmo antes de este ser encriptado. Se enviar um e-mail para transportar os seus e-mails através de uma ligação segura, os seus dados podem ser comprometidos ou mesmo modificados e adulterados por um agressor cibernético. É aqui que o MTA-STS intervém e resolve este problema, garantindo o trânsito seguro dos seus emails, bem como mitigando com sucesso os ataques MITM. Além disso, os MTAs armazenam ficheiros de políticas MTA-STS, tornando mais difícil para os atacantes lançar um ataque de spoofing DNS.

A MTA-STS oferece protecção contra :

  • Ataques de rebaixamento
  • Ataques de homem no meio (MITM)
  • Resolve múltiplos problemas de segurança SMTP, incluindo certificados TLS expirados e falta de suporte para protocolos seguros.

Como é que a MTA-STS funciona?

O protocolo MTA-STS é implementado através de um registo DNS que especifica que um servidor de correio pode ir buscar um ficheiro de política a um subdomínio específico. Este ficheiro de apólice é obtido via HTTPS e autenticado com certificados, juntamente com a lista de nomes dos servidores de correio dos destinatários. A implementação do MTA-STS é mais fácil do lado do destinatário em comparação com o lado do envio, uma vez que requer ser suportado pelo software do servidor de correio. Enquanto alguns servidores de correio suportam o MTA-STS, como o PostFix, nem todos o fazem.

hospedou MTA STS

Os principais fornecedores de serviços de correio, tais como Microsoft, Oath, e Google apoiam a MTA-STS. O Gmail do Google já adoptou as políticas MTA-STS nos últimos tempos. A MTA-STS removeu os inconvenientes da segurança das ligações de correio electrónico, tornando o processo de segurança das ligações fácil e acessível para os servidores de correio suportados.

As ligações dos utilizadores aos servidores de correio são normalmente protegidas e encriptadas com o protocolo TLS, contudo, apesar de existir uma falta de segurança nas ligações entre servidores de correio antes da implementação do MTA-STS. Com um aumento da sensibilização para a segurança do correio electrónico nos últimos tempos e o apoio dos principais fornecedores de correio a nível mundial, espera-se que a maioria das ligações dos servidores sejam encriptadas num futuro recente. Além disso, a MTA-STS assegura efectivamente que os cibercriminosos nas redes não consigam ler o conteúdo do correio electrónico.

Implementação fácil e rápida dos serviços MTA-STS hospedados pela PowerDMARC

MTA-STS requer um servidor web HTTPS com um certificado válido, registos DNS, e manutenção constante. PowerDMARC torna a sua vida muito mais fácil ao lidar com tudo isso para si, completamente em segundo plano. Uma vez que o ajudamos a instalá-lo, nunca mais terá sequer de pensar nisso.

Com a ajuda do PowerDMARC, pode implementar o Hosted MTA-STS na sua organização, sem complicações e a um ritmo muito rápido, com a ajuda do qual pode impor o envio de e-mails para o seu domínio através de uma ligação encriptada TLS, tornando assim a sua ligação segura e mantendo os ataques MITM à distância.

 

 

Com o aumento contínuo de ataques de phishing, ataques de e-mail e falsificação de domínios, BEC, e outras actividades fraudulentas por cibercriminosos, uma camada extra de segurança e protecção de e-mail é sempre uma boa ideia! Os destinatários de emails estão cada vez mais desconfiados das mensagens que aterram nas suas caixas de entrada devido ao aumento de ataques cibernéticos. A solução? Uma suite de segurança de correio electrónico bem fundamentada que inclui a implementação de BIMI.

Um inquérito recente conduzido por profissionais de segurança nos EUA revelou que 60% dos cidadãos americanos afirmam ter sido vítimas de um esquema cibernético ou conhecem alguém que tenha sido afectado pelo mesmo, no seu círculo estreito, pós-pandemia. Por conseguinte, a fim de proporcionar aos seus e-mails uma camada adicional de protecção, as empresas precisam de implementar um novo padrão como os Indicadores de Marca para Identificação de Mensagens (BIMI), uma vez que promete levar a confiança dos consumidores para o nível seguinte.

O que é BIMI?

BIMI significa Indicadores de Marca para Identificação de Mensagens, que é um novo padrão de autenticação de e-mail que apõe o logótipo da sua marca em todos os e-mails autorizados por si. Isto pode parecer um passo muito pequeno, mas a verificação visual pode de facto aumentar a credibilidade da sua marca ao permitir que os destinatários reconheçam e confiem nos e-mails que envia a partir do seu domínio de e-mail comercial.

Poderá estar a pensar, se já tem DMARC implementado na sua organização, que faz uso das normas de autenticação SPF e DKIM, será que precisa mesmo de BIMI? Vamos discutir brevemente como funciona cada uma destas normas para autenticar e-mails recebidos:

  • SPF autentica os seus emails para identificar os servidores de email que estão autorizados a enviar emails a partir do seu domínio de email, alistados no registo SPF.
  • O DKIM autentica as mensagens de correio electrónico acrescentando-lhes uma assinatura digital, permitindo ao receptor verificar se uma mensagem de correio electrónico alegando ser proveniente de um domínio específico foi de facto autorizada pelo proprietário desse domínio.
  • DMARC especifica aos fornecedores de caixa de entrada como responder a emails que falham na autenticação de emails SPF e DKIM.
  •  BIMI apõe o logotipo da sua marca nos e-mails que envia aos seus empregados, parceiros e clientes, para que possam identificar prontamente que é de uma fonte autorizada.

Por conseguinte, é bastante evidente da discussão acima referida que entre todos os protocolos de autenticação de correio electrónico, o BIMI é o único padrão que fornece um âmbito de identificação visual, oferecendo aos receptores de correio electrónico uma pista visual para identificar a fonte de correio electrónico e reconhecer a sua autenticidade.

PowerDMARC Logotipo Móvel

BIMI Implementation- Um Breve Guia

Embora o BIMI seja um padrão de autenticação emergente e ainda em evolução, é ainda relativamente novo. Até à data, apenas o Yahoo! Mail adoptou oficialmente a tecnologia. Devido a esta razão, BIMI não garante a exibição do logotipo da sua marca, uma vez que funciona apenas com clientes de correio electrónico suportados. Há alguns passos essenciais a seguir, antes da implementação do BIMI, que são:

  • A fim de implementar o BIMI na sua organização, o seu domínio necessita de ser autenticado por DMARC - a nível de política de aplicação, isto é, ou rejeitar ou colocar em quarentena.
  • Deve criar e carregar um SVG ficheiro do logótipo da sua marca, de acordo com os requisitos do BIMI, a um servidor, para que seja acessível a partir de qualquer lugar.
  • É necessário criar um registo BIMI, que, semelhante a um registo DMARC, é essencialmente uma cadeia que consiste em múltiplas etiquetas, separadas por ponto-e-vírgula.
  • Tem de ter acesso ao DNS do seu domínio para publicar este novo registo BIMI.
  • É uma prática bastante útil verificar a validade do seu registo BIMI após a sua publicação no seu DNS.

Como pode a implementação do BIMI revelar-se vantajosa para o seu negócio?

BIMI é um protocolo de autenticação de e-mail que exerce identificação visual para ajudar os receptores de e-mail a reconhecer e confiar na sua marca na caixa de entrada. Esta confiança impede os clientes e parceiros de cancelar a subscrição dos seus serviços e mantém também as queixas de spam à distância, o que pode subsequentemente levar a um aumento na entregabilidade do correio electrónico.

Sem BIMI, um logótipo genérico com iniciais de marca é exibido pelos clientes de e-mail. Devido a esta razão, o destinatário poderá ter dificuldade em reconhecer a sua marca sem recorrer ao nome da marca. Contudo, com BIMI implementado, o logótipo da marca é exibido ao lado da sua mensagem de correio electrónico, aumentando a notoriedade da marca.

Além disso, é uma camada extra de segurança de e-mail contra ataques de falsificação de domínio, ataques de phishing, e outras tentativas de imitação como receptores seriam mais cautelosos com os cibercriminosos que se fazem passar por si.

Além disso, BIMI permite-lhe comercializar a sua marca. Sim, ouviu-me bem! Por vezes os destinatários não têm muito tempo em mãos, e a sua linha de assunto pode não ser suficientemente convincente para clicar no momento. Independentemente disso, os seus destinatários irão ligar o seu endereço de remetente, linha de assunto, e texto de pré-cabeçalho com o seu logótipo, ajudando a construir ainda mais a sua marca.

Por último, a implementação do BIMI também tem um impacto muito positivo na sua taxa de entregabilidade de correio electrónico! Para os fornecedores de caixas de correio que suportam BIMI, adicionará mais uma camada de autenticação de correio electrónico às suas mensagens, aumentando assim a possibilidade de eles entregarem o seu correio electrónico mais rapidamente. Além disso, os seus receptores de correio electrónico podem identificar e reconhecer visualmente a sua marca, através do logótipo exposto, diminuindo as hipóteses de eles a marcarem como spam.

Simplifique o seu Processo de Implementação BIMI com PowerBIMI

Com o PowerBIMI tornamos a publicação de discos BIMI muito rápida e simples para si! Tudo o que tem de fazer é simplesmente carregar a sua imagem SVG, iremos alojá-la de forma segura e fornecer-lhe um registo DNS instantaneamente, para que possa publicá-la no seu DNS. Tiramos do seu ombro a dor de alojar a imagem e protegê-la.

Com PowerBIMI pode actualizar, apagar ou fazer quaisquer alterações à sua imagem, em qualquer altura, sem necessidade de actualizar novamente os seus registos DNS. PowerBIMI oferece-lhe um procedimento de implementação muito rápido e fácil com um clique para carregar o seu logótipo e mudar para autenticação BIMI com sucesso, adicionando-o como parte da sua suite de segurança de correio electrónico após a inscrição para registo BIMI gratuito.

Compradores de todo o mundo esperam atentamente pelos dias que se seguem ao Dia de Acção de Graças, especialmente nos EUA, para conseguirem os melhores negócios na Sexta-feira Negra. As principais lojas de retalho e plataformas de comércio electrónico de todo o mundo, negociando numa vasta gama de produtos, lançam as suas cobiçadas vendas na Sexta-feira Negra, distribuindo produtos a taxas de desconto impressionantes à sua base de clientes escalável.

No entanto, embora seja um tempo para estas organizações ganharem muito dinheiro, é também um tempo em que os cibercriminosos são os mais activos! Investigadores de todo o mundo concluíram que há um aumento acentuado do número de ataques de falsificação e phishing, levando até à Sexta-feira Negra. Para proteger os seus compradores online contra estas tentativas de falsificação, é imperativo implementar o DMARC como parte integrante da sua política de segurança no local de trabalho.

Ataques de Falsificação - Explorando a Paisagem de Ameaça na Sexta-feira Negra

A falsificação é essencialmente um ataque de imitação que é uma tentativa mais sofisticada de implicação de uma marca ou organização de renome. Os ataques de spoofing podem ser lançados através da utilização de vários métodos. Os cibercriminosos podem visar elementos mais técnicos da rede de uma organização, tais como um endereço IP, servidor de sistema de nomes de domínio (DNS), ou serviço de protocolo de resolução de endereços (ARP), como parte de um ataque de spoofing.

A investigação revela que há um aumento acentuado de tentativas de personificação e falsificação nos dias que antecedem a Sexta-Feira Negra todos os anos e, no entanto, 65% das principais lojas de retalho online e plataformas de comércio electrónico a partir de 2020 não têm qualquer registo publicado de DMARC!

A pensar qual poderá ser a consequência?

A principal agenda dos cibercriminosos enquanto falsificam o seu nome de domínio é o envio de e-mails fraudulentos integrados com ligações de phishing. O atacante tenta atrair na estimada base de clientes da sua marca com promessas ocas de fornecer ofertas e cupões de desconto inacreditáveis na Sexta-feira Negra enquanto se faz passar pelo seu apoio ao cliente. Os clientes vulneráveis que fazem compras na sua plataforma há anos e confiam na sua empresa, não pensariam duas vezes antes de abrir o e-mail e tentar aproveitar as ofertas.

Usando esta táctica, os atacantes espalham o resgate e o malware, instigam transferências de dinheiro, ou tentam roubar informação confidencial dos consumidores.

Em última análise, a sua empresa pode acabar por enfrentar repercussões legais, sofrer um golpe na sua reputação, e perder a confiança dos seus clientes. Por estas razões, é sensato saber como pode proteger a sua marca do aumento dos ataques de falsificação desta sexta-feira negra.

Proteja o seu negócio contra ataques de falsificação com DMARC

Não é natural esperar que os seus consumidores estejam conscientes da mudança de tendências e tácticas dos cibercriminosos, razão pela qual deve ser proactivo e tomar as medidas necessárias para impedir que os atacantes utilizem o seu nome de domínio para realizar actividades maliciosas nesta Sexta-feira Negra.

A melhor e mais fácil maneira de garantir isso? Implementar de imediato uma ferramenta de autenticação de correio electrónico baseada em DMARC de ponta na sua organização! Vamos fazer uma contagem decrescente dos seus benefícios:

Autenticação de e-mail orientada por IA

Pode impedir os atacantes de forjar o cabeçalho do seu e-mail e enviar e-mails de phishing aos seus clientes com a ferramenta analisadora DMARC que faz uso de tecnologias de autenticação de e-mail SPF e DKIM para bloquear e-mails falsos antes que consigam aterrar na caixa de entrada do receptor.

A publicação de um registo DMARC permite-lhe estar no controlo total dos seus canais de correio electrónico, verificando cada uma das fontes de envio e desfrutando da liberdade de optimizar a sua política DMARC (nenhuma, quarentena ou rejeição) de acordo com as suas exigências.

Relatórios e monitorização DMARC

Uma ferramenta de autenticação e relatórios baseada em DMARC como o PowerDMARC alarga as instalações fornecidas por DMARC, incluindo disposições para reportar e monitorizar actividades de spoofing e phishing em tempo real, sem afectar a sua taxa de entregabilidade de correio electrónico. Através do mapeamento de ameaças, pode descobrir os geo-localizações dos abusadores do seu endereço IP, incluindo relatórios sobre o seu histórico de abuso de domínio, e colocá-los numa lista negra com um clique de um botão!

Isto não só lhe proporciona uma visibilidade adequada do domínio de e-mail da sua marca, mas também lhe permite monitorizar quaisquer tentativas de personificação e manter-se actualizado sobre as tácticas de mudança dos cibercriminosos. Ao monitorizar os seus relatórios de e-mail, pode ver quais passaram, falharam, ou não alinharam com o DMARC e em que fase, para chegar à raiz do problema, de modo a poder tomar medidas contra ele. Relatórios abrangentes e legíveis sobre o mesmo levam-no através de todos os detalhes, desde a verificação SPF até aos registos DKIM, destacando todos os IPs que falharam a autenticação DMARC.

Permanecer abaixo do limite de look-up DNS

A sua empresa pode ter vários vendedores terceiros, o que dificulta a sua permanência abaixo do limite de 10 DNS fornecido pelo SPF. Se exceder o limite, o seu SPF falhará, tornando a implementação inútil. No entanto, a actualização para PowerSPF mantém o seu limite de pesquisa sob controlo, dando-lhe a capacidade de adicionar/remover remetentes do seu registo SPF sem nunca exceder o limite de 10 DNS de pesquisa.

Melhore a Recordação da sua Marca com BIMI

Para fornecer ao seu domínio e-mail um segundo nível de autenticação e credibilidade, deve confiar num registo BIMI alojado. Indicadores de Marca para Identificação de Mensagens (BIMI) é exactamente o que se precisa em tempos como estes, para aplanar o surto de ataques de falsificação antes da Sexta-feira Negra. Este padrão apõe o seu logotipo exclusivo de marca em cada e-mail que envia à sua base de clientes, deixando-os saber que é você e não um imitador.

  • BIMI melhora a recordação da marca e reforça a imagem de marca entre os seus clientes, permitindo-lhes confirmar visualmente que o e-mail é genuíno.
  • Aumenta a credibilidade e a fiabilidade da marca
  • Melhora a entregabilidade do correio electrónico

Actualize o fato de segurança da sua organização e proteja a sua marca contra o abuso de domínio nesta Sexta-feira Negra com o PowerDMARC. Marque uma demonstração ou inscreva-se hoje para um teste DMARC grátis!

Muito bem, acabou de passar por todo o processo de criação de DMARC para o seu domínio. Publicou os seus registos SPF, DKIM e DMARC, analisou todos os seus relatórios, resolveu problemas de entrega, subiu o seu nível de aplicação de p=nenhuma para a quarentena e finalmente para a rejeição. Está oficialmente 100% sujeito a DMARC. Parabéns! Agora só os seus emails chegam às caixas de entrada das pessoas. Ninguém vai fazer-se passar pela sua marca se o puder ajudar.

Então é isso, certo? O seu domínio está seguro e podemos ir todos felizes para casa, sabendo que os seus e-mails vão ser seguros. Certo...?

Bem, não exactamente. O DMARC é uma espécie de exercício e dieta: faz-se durante algum tempo e perde-se um monte de peso e apanha-se alguns abdominais doentes, e tudo corre bem. Mas se pararmos, todos os ganhos que acabamos de obter vão lentamente diminuir, e o risco de falsificação começa a rastejar de novo. Mas não se assuste! Tal como na dieta e no exercício, ficar em forma (ou seja, chegar a 100% de aplicação) é a parte mais difícil. Uma vez feito isso, basta mantê-lo nesse mesmo nível, o que é muito mais fácil.

Pronto, já chega de analogias, vamos ao que interessa. Se acabou de implementar e aplicar o DMARC no seu domínio, qual é o próximo passo? Como continuar a manter o seu domínio e os seus canais de correio electrónico seguros?

O que fazer depois de atingir o DMARC Enforcement

A razão #1 pela qual a segurança do correio electrónico não termina simplesmente depois de se atingir 100% de aplicação é que os padrões de ataque, esquemas de phishing, e fontes de envio estão sempre a mudar. Uma tendência popular em esquemas de correio electrónico muitas vezes nem sequer dura mais de um par de meses. Pense nos ataques de resgate do WannaCry em 2018, ou mesmo em algo tão recente como os golpes de phishing do Coronavirus da OMS no início de 2020. Não vê muitos dos que estão na natureza neste momento, pois não?

Os cibercriminosos estão constantemente a mudar as suas tácticas, e as fontes de envio maliciosas estão sempre a mudar e a multiplicar-se, e não há muito que se possa fazer quanto a isso. O que pode fazer é preparar a sua marca para qualquer possível ataque cibernético que lhe possa vir à cabeça. E a forma de o fazer é através da monitorização e visibilidade DMARC .

Mesmo depois de ser aplicado, ainda precisa de estar em total controlo dos seus canais de correio electrónico. Isso significa que tem de saber que endereços IP estão a enviar e-mails através do seu domínio, onde tem problemas com a entrega ou autenticação de e-mails, e identificar e responder a qualquer potencial tentativa de falsificação ou servidor malicioso que carregue uma campanha de phishing em seu nome. Quanto mais controlar o seu domínio, melhor o compreenderá. E consequentemente, quanto melhor for a segurança dos seus e-mails, dos seus dados e da sua marca.

Porque é que a monitorização DMARC é tão importante

Identificação de novas fontes de correio
Ao monitorizar os seus canais de correio electrónico, não está apenas a verificar se está tudo a correr bem. Também vai estar à procura de novos IPs que enviem e-mails do seu domínio. A sua organização pode mudar os seus parceiros ou vendedores terceiros de vez em quando, o que significa que os seus IPs podem tornar-se autorizados a enviar e-mails em seu nome. Será essa nova fonte de envio apenas um dos seus novos vendedores, ou será alguém a tentar imitar a sua marca? Se analisar os seus relatórios regularmente, terá uma resposta definitiva a isso.

PowerDMARC permite-lhe ver os seus relatórios DMARC de acordo com cada fonte de envio para o seu domínio.

Compreender as novas tendências de abuso de domínio
Como mencionei anteriormente, os atacantes estão sempre a encontrar novas formas de personificar as marcas e a enganar as pessoas para lhes darem dados e dinheiro. Mas se olharem para os vossos relatórios DMARC apenas uma vez de dois em dois meses, não vão notar quaisquer sinais indicadores de falsificação. A menos que controle regularmente o tráfego de correio electrónico no seu domínio, não notará tendências ou padrões de actividade suspeita, e quando for atingido por um ataque de falsificação, será tão ignorante como as pessoas visadas pelo correio electrónico. E confie em mim, isso nunca é um bom visual para a sua marca.

Encontrar e colocar na lista negra os IPs maliciosos
Não basta encontrar quem exactamente está a tentar abusar do seu domínio, é preciso fechá-los o mais rápido possível. Quando tiver conhecimento das suas fontes de envio, é muito mais fácil identificar um IP ofensivo, e uma vez que o tenha encontrado, pode reportar esse IP ao seu fornecedor de alojamento e colocá-lo na lista negra. Desta forma, elimina permanentemente essa ameaça específica e evita um ataque de falsificação.

Com a Power Take Down, encontra a localização de um IP malicioso, o seu historial de abusos, e manda-os abater.

Controlo sobre a entregabilidade
Mesmo que tenha tido o cuidado de levar o DMARC até 100% de aplicação sem afectar as suas taxas de entrega de correio electrónico, é importante assegurar continuamente uma entrega consistentemente elevada. Afinal de contas, para que serve toda essa segurança de correio electrónico se nenhuma das mensagens electrónicas está a chegar ao seu destino? Ao monitorizar os seus relatórios de correio electrónico, pode ver quais passaram, falharam ou não alinharam com o DMARC, e descobrir a origem do problema. Sem monitorização, seria impossível saber se as suas mensagens electrónicas estão a ser entregues, quanto mais corrigir o problema.

PowerDMARC dá-lhe a opção de visualizar relatórios baseados no seu estado DMARC para que possa identificar instantaneamente quais os que não passaram.

 

A nossa plataforma de vanguarda oferece monitorização de domínios 24×7 e até lhe dá uma equipa de resposta de segurança dedicada que pode gerir uma falha de segurança para si. Saiba mais sobre o suporte alargado PowerDMARC.

Porque é que preciso de DKIM? O SPF não é suficiente?

O trabalho à distância introduziu especificamente as pessoas num número crescente de phishing e ciberataques. Na sua maioria, a pior quantidade de ataques de phishing são aqueles que não se pode ignorar. Não importa a quantidade de e-mails de trabalho recebidos e enviados, e apesar do aumento do chat no local de trabalho e das aplicações de mensagens instantâneas, para a maioria das pessoas que trabalham em escritórios, o e-mail continua a dominar a comunicação empresarial, tanto interna como externamente.

No entanto, não é segredo que os e-mails são geralmente o ponto de entrada mais comum para ciberataques, o que envolve a infiltração de malware e explorações na rede e nas credenciais, e a revelação dos dados sensíveis. De acordo com dados da SophosLabs em Setembro de 2020, cerca de 97% do spam malicioso capturado pelas armadilhas de spam eram e-mails de phishing, à procura de credenciais, ou qualquer outra informação .

Destes, os restantes 3% levavam um saco misto de mensagens que tinham sido carregadas com links para websites maliciosos ou com aqueles que eram anexos armadilhados. Estes esperavam instalar backdoors, trojans de acesso remoto (RATs), ladrões de informação, explorações, ou talvez descarregar outros ficheiros maliciosos.

Independentemente da fonte, o phishing continua a ser uma táctica bastante assustadoramente eficaz para os atacantes, qualquer que seja o seu objectivo final. Existem algumas medidas robustas que todas as organizações poderiam utilizar para verificar se um e-mail veio ou não da pessoa e da fonte de onde afirma ter vindo.

Como é que o DKIM vem salvar?

Deve ser assegurado que a segurança do correio electrónico de uma organização deve ser capaz de manter uma verificação em cada correio electrónico que chega, o que seria contra as regras de autenticação que estão a ser definidas pelo domínio de onde o correio electrónico parece ter vindo. DomainKeys Identified Mail (DKIM ) é aquele que ajuda a analisar um correio electrónico recebido, a fim de verificar se nada foi alterado. No caso das mensagens de correio electrónico legítimas, o DKIM estaria definitivamente a encontrar uma assinatura digital que estaria ligada a um nome de domínio específico.

Este nome de domínio seria anexado ao cabeçalho do e-mail, e haveria uma chave de encriptação correspondente no domínio de origem. A maior vantagem do DKIM é que fornece uma assinatura digital nos cabeçalhos do seu correio electrónico, para que os servidores que o recebem possam autenticar criptograficamente esses cabeçalhos, considerando-o válido e original.

Estes cabeçalhos são normalmente assinados como 'De', 'Para', 'Assunto' e 'Data'.

Porque precisa de DKIM?

Especialistas no domínio da segurança informática afirmam que o DKIM é praticamente necessário no cenário do dia-a-dia para garantir a segurança dos e-mails oficiais. No DKIM, a assinatura está a ser gerada pelo MTA (Mail Transfer Agent), que cria uma sequência única de caracteres chamada Hash Value.

Além disso, o valor hash está a ser armazenado no domínio listado, que após receber o e-mail, o receptor poderia verificar a assinatura DKIM utilizando a chave pública que está a ser registada no Sistema de Nomes de Domínio (DNS). Depois disto, esta chave está a ser utilizada para decifrar o valor de hash no cabeçalho, e também recalcular o valor de hash a partir do email que recebeu.

Depois disto, os peritos estariam a descobrir que, se estas duas assinaturas DKIM forem compatíveis, então a MTA estaria a saber que o e-mail não foi alterado. Além disso, o utilizador está a receber mais uma confirmação de que o e-mail estava efectivamente a ser enviado a partir do domínio listado.

DKIM, que estava a ser formado originalmente pela fusão de duas chaves de estação, chaves de domínio (a criada por Yahoo) e Correio Internet Identificado (por Cisco) em 2004, e tem vindo a evoluir para uma nova técnica de autenticação amplamente adoptada que torna o procedimento de correio electrónico de uma organização bastante fiável, e que é especificamente a razão pela qual as principais empresas tecnológicas como Google, Microsoft e Yahoo verificam sempre a entrada de correio à procura de assinaturas DKIM.

DKIM Vs. SPF

O Sender Policy Framework (SPF) é uma forma de autenticação de correio electrónico que define um processo para validar uma mensagem de correio electrónico, uma que foi enviada de um servidor de correio autorizado para detectar falsificações e para prevenir fraudes.

Embora a maioria das pessoas tenha a opinião de que tanto o SPF como o DKIM devem ser utilizados em organizações, o DKIM tem certamente uma vantagem adicional sobre os outros. As razões são as seguintes:

  • No DKIM, o proprietário do domínio publica uma chave criptográfica, que está a ser especificamente formatada como um registo TXT no registo DNS global
  • A assinatura única DKIM que está a ser anexada ao cabeçalho da mensagem torna-a mais autêntica
  • A utilização do DKIM revela-se mais frutuosa porque a chave DKIM utilizada pelos servidores de correio de entrada para detectar e desencriptar a assinatura da mensagem prova que a mensagem é mais autêntica, e inalterada.

Em Conclusão

Para a maioria das organizações empresariais, o DKIM não só protegeria as suas empresas contra ataques de phishing e de falsificação, como também estaria a ajudar a proteger as relações com os clientes e a reputação da marca.

Isto é especificamente importante, pois o DKIM fornece uma chave de encriptação e uma assinatura digital que prova duplamente que um e-mail não foi forjado ou alterado. Estas práticas ajudariam as organizações e as empresas a aproximarem-se um pouco mais, melhorando a sua entregabilidade de correio electrónico e enviando um correio electrónico seguro, o que estaria a ajudar a gerar receitas. Na sua maioria, depende das organizações quanto à forma como o utilizariam e implementariam o mesmo. Isto é mais importante e relatável, uma vez que a maioria das organizações estaria a querer libertar-se de ataques e ameaças cibernéticas.