O que é o SPF Permerror?

SPF=Permerror indica que existe um problema fundamental com o registo SPF, tornando impossível determinar se o servidor de envio está autorizado ou não.

Qual é o limite de 10 pesquisas de DNS?

Durante a verificação SPF, sempre que um e-mail é enviado do seu domínio, o servidor de e-mail do destinatário executa pedidos de consulta de DNS, também conhecidos como pesquisas de DNS, para verificar a presença de endereços IP autorizados no seu DNS e fazê-los corresponder aos do cabeçalho do caminho de retorno do e-mail recebido. No entanto, a RFC limita o número de pesquisas de DNS a 10. Isso é conhecido como o limite de 10 pesquisas de DNS.

Estou a exceder o limite do SPF Too Many DNS Lookups?

Se estiver preocupado com a possibilidade de exceder o limite de pesquisa do SPF, pode verificar o seu registo instantaneamente utilizando a nossa ferramenta de verificação de registos SPF.

Como corrigir o SPF Permerror?

Uma forma mais eficaz de evitar erros de SPF é implementar uma ferramenta de nivelamento de SPF que seja automática e sem complicações - como o PowerSPF!

O que é a vulnerabilidade DKIM? Explicação da limitação da etiqueta DKIM l=

Ahona Rudra

4 semanas atrás

Tempo de leitura: 6 min

A etiqueta DKIM l= ("L" minúsculo) no DKIM é uma etiqueta opcional que especifica o comprimento do corpo da mensagem que deve ser assinado. Isto pode ser considerado uma vulnerabilidade DKIM, uma vez que a etiqueta l= permite a assinatura parcial do corpo da mensagem. Este facto pode facilitar a exploração de mensagens assinadas pelo DKIM por parte de agentes de ameaças.

Vamos explorar como o DKIM funciona e porque é que não encorajamos a utilização da etiqueta DKIM l= na sua assinatura DKIM.

O objetivo das limitações de comprimento do corpo DKIM (etiqueta l=)

O DKIM (DomainKeys Identified Mail) é um protocolo de autenticação de correio eletrónico que garante que o conteúdo dos seus e-mails não foi alterado durante o trânsito. Permite ao recetor verificar se uma mensagem de correio eletrónico foi efetivamente enviada e autorizada pelo proprietário desse domínio.

Quando os servidores intermediários reencaminham as suas mensagens, podem alterar o corpo da mensagem. Podem acrescentar informações adicionais no rodapé ou no conteúdo da mensagem. A etiqueta DKIM l foi introduzida para evitar que as suas mensagens legítimas falhem no DKIM, caso o conteúdo seja modificado durante o reencaminhamento ou por listas de correio eletrónico.

Como funciona a etiqueta DKIM l=

Especificação do comprimento: A função l= é seguida de um número inteiro que indica o número de bytes no corpo da mensagem que são abrangidos pela assinatura DKIM.
Assinatura parcial do corpo: Ao especificar um comprimento, apenas os primeiros 'n' bytes do corpo são incluídos no hash utilizado para gerar a assinatura DKIM. Quaisquer modificações no corpo para além deste comprimento não afectarão a verificação da assinatura DKIM.

Exemplo: Assinatura DKIM com a vulnerabilidade l-Tag DKIM

Considere uma mensagem de correio eletrónico em que o corpo tem 1000 bytes de comprimento, mas apenas os primeiros 500 bytes são assinados:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=notify.domain.com; s=selector1; t=1718098168; i=@notify.domain.com; l=500; bh=SF9K/AZh8dO2XDYZlOtjrmHj5txv4H4qjhFr+q3ASuM=; h=Subject:Message-ID:To:Date:Content-Type:From:From:To:Cc:Subject; b=h0Jp5xjZSjUo06er2Gm5k0Fvt0cuC0xOnfobu1oYAFT2ugVxY0h/xly6x/E/pPT2S

Neste exemplo, o l=500 indica que apenas os primeiros 500 bytes do corpo do correio eletrónico são incluídos na assinatura DKIM.

No entanto, a equipa de analistas da Zone.eu, líder no registo de domínios com sede na Europa, a equipa de analistas da Zone.eu descobriu uma vulnerabilidade grave associada à etiqueta l na assinatura DKIM. Para além das suas vantagens em cenários de reencaminhamento de correio, a etiqueta l pode ser facilmente explorada pelos cibercriminosos para enviar e-mails de phishing que ainda passam nas verificações DKIM.

Vulnerabilidade do DKIM l= Tag

Não recomendamos a utilização da etiqueta DKIM l=, uma vez que pode enfraquecer a sua postura de segurança, deixando o seu domínio vulnerável a ataques, mesmo com a autenticação de correio eletrónico configurada.

Um atacante pode alterar o conteúdo do corpo da mensagem e anexar ficheiros ou links maliciosos na secção não assinada do e-mail, que está para além do âmbito de bytes definido na sua etiqueta "l". Quando esta mensagem de correio eletrónico chegar ao destinatário, será aprovada na verificação DKIM. Posteriormente, se tiver o DMARC ativado para o seu domínio, também será aprovado.

O destinatário pode abrir esta mensagem de correio eletrónico, confiando no seu nome de domínio, e ser vítima de mais um ataque de phishing! Isto pode causar uma grave violação de privacidade, roubo de credenciais e perda de confiança na sua credibilidade. Se o seu cliente perder dinheiro no processo, pode até ser responsável por uma indemnização financeira.

O papel da BIMI no agravamento desta vulnerabilidade DKIM

O BIMI é um protocolo emergente que está a ganhar popularidade nos sectores da segurança e do marketing devido à sua capacidade de anexar logótipos de marcas aos e-mails. Não há muito tempo, os principais fornecedores de correio eletrónico, como o Gmail e o Apple Mail, alargaram o suporte ao BIMI, para dar um aspeto profissional às suas mensagens e aumentar a segurança através de verificações visuais.

Como as mensagens falsas enviadas de domínios que utilizam a etiqueta DKIM l na sua assinatura passam nas verificações DKIM e DMARC - o logótipo BIMI da marca também é anexado a estes e-mails maliciosos! Agora, esta mensagem falsa enviada a partir do seu nome de domínio não só passa todos os filtros de autenticação, como também tem o logótipo da sua marca anexado a ela! Isto aumenta ainda mais as hipóteses de os destinatários confiarem na sua credibilidade.

Devido a esta natureza potencialmente exploradora da etiqueta DKIM l=, o Gmail, no seu Centro de Ajuda do Google Admin Workspace, desencorajou fortemente a sua utilização. Aqui está o que o Google tem a dizer sobre o assunto:

"Se estiver a configurar o DKIM com um sistema de correio eletrónico diferente do Google Workspace, não utilize a etiqueta de comprimento DKIM (l=) nas mensagens enviadas. As mensagens que utilizam esta etiqueta são vulneráveis a abusos."

Os riscos associados à etiqueta DKIM l são destacados na RFC 6376, secção 8.2 intitulada "Utilização incorrecta dos limites de comprimento do corpo (etiqueta "l=")". O RFC adverte os utilizadores de que a especificação da etiqueta l na assinatura DKIM pode levar os utilizadores a aceder a conteúdos de correio eletrónico maliciosos sem qualquer aviso. O RFC insta os signatários do DKIM a terem um cuidado redobrado na presença desta etiqueta e também recomenda aos servidores de avaliação que ignorem completamente as assinaturas DKIM com uma etiqueta l= especificada.

Verifique se a sua assinatura DKIM tem vulnerabilidades de l-Tag DKIM

É essencial determinar primeiro se o seu domínio é vulnerável. Para o fazer, listamos abaixo alguns métodos que pode utilizar:

Método manual: Verificação de cabeçalhos de assinatura DKIM originais

1. Envie uma mensagem de correio eletrónico em branco para si próprio (neste caso, vamos utilizar o exemplo de um utilizador do Gmail)

2. Abrir esta mensagem de correio eletrónico.

3. Aceda a "mais opções", assinalado por três pontos no canto superior direito.

4. Clique em "Mostrar original".

5. Na página Mensagem original, desloque-se para baixo para ver os cabeçalhos em bruto.

6. Navegue até à secção "DKIM-Signature:" e analise a sintaxe. Se vir que a etiqueta DKIM l= está presente no cabeçalho da assinatura DKIM, o seu domínio está vulnerável. Se estiver ausente, está tudo bem e não é necessário tomar qualquer medida.

Método automatizado: Utilizar uma ferramenta de análise de cabeçalhos de correio eletrónico

1. Inscreva-se no PowerDMARC para fazer uma avaliação gratuita. Vá para Ferramentas de análise > Analisador de MailAuth.

2. Copie o endereço de e-mail gerado automaticamente e cole-o como destinatário de um novo e-mail de teste no seu Gmail. Envie o e-mail de teste.

3. Agora, volte ao portal e actualize a página. Clique no ícone "ver" na secção Acções para examinar os seus resultados.

4. Produzimos instantaneamente um relatório agregado com informações sobre as suas configurações DKIM, SPF e DMARC e muito mais!

5. Pode deslocar-se para baixo para ver o cabeçalho da assinatura DKIM nos formatos bruto e analisado. Aqui poderá determinar se a sua assinatura tem a etiqueta l= presente. Se estiver presente, devem ser tomadas medidas para eliminar esta vulnerabilidade.

Exemplo: Uma assinatura DKIM sem a vulnerabilidade l-Tag DKIM

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=notify.domain.com; s=selector1; t=1718098168; i=@notify.domain.com; bh=SF9K/AZh8dO2XDYZlOtjrmHj5txv4H4qjhFr+q3ASuM=; h=Subject:Message-ID:To:Date:Content-Type:From:From:To:Cc:Subject; b=h0Jp5xjZSjUo06er2Gm5k0Fvt0cuC0xOnfobu1oYAFT2ugVxY0h/xly6x/E/pPT2S

Prevenir vulnerabilidades de DKIM: Quais são as melhores práticas de DKIM?

Se quiser tirar o máximo partido do seu protocolo DKIM, eis algumas dicas que os nossos especialistas recomendam:

Evite utilizar a etiqueta DKIM l= no cabeçalho da assinatura DKIM.
Entre em contacto com o seu fornecedor de serviços de correio eletrónico para que este lhe forneça novas chaves públicas DKIM (sem a etiqueta l=) para adicionar ao seu DNS.
Rode as suas chaves DKIM periodicamente para garantir que as chaves antigas com a vulnerabilidade l-tag podem ser substituídas por novas chaves sem esta vulnerabilidade.
Pode utilizar chaves DKIM fortes, como chaves de 2048 bits, em vez de 1024 bits, para reforçar a segurança do seu correio eletrónico DKIM.
Utilizar um DKIM hospedado para gerir os seus selectores e chaves DKIM e monitorizar os resultados da autenticação DKIM a partir de um único painel centralizado.
Crie as suas chaves DKIM utilizando um gerador automático de gerador de DKIM automático. Isto ajudá-lo-á a evitar erros de sintaxe que são fáceis de ignorar.

Protocolos complementares a utilizar com o DKIM

Para aumentar a eficácia do DKIM, pode implementar os seguintes protocolos (juntamente com uma recomendação de bónus no final!):

Utilização ARC (Cadeia Autenticada Recebida) para garantir que as mensagens de correio eletrónico legítimas passam nas verificações de autenticação, mesmo quando reencaminhadas ou quando se utilizam listas de correio. Isto elimina automaticamente a necessidade da etiqueta DKIM l=. O ARC preserva automaticamente os cabeçalhos originais da sua mensagem para evitar falsos negativos.
Configure mecanismos de recurso como SPF e DMARC para aumentar a precisão da autenticação e a segurança geral.
Ativar Relatórios DMARC para controlar os seus canais de correio eletrónico e as fontes de envio. Os relatórios DMARC podem ajudá-lo a detetar endereços IP e remetentes maliciosos para que possa tomar medidas contra eles rapidamente.

Ao aderir a estas práticas recomendadas, as organizações podem melhorar significativamente a sua postura de segurança de correio eletrónico e proteger a reputação do seu domínio. Embora a etiqueta l= possa proporcionar flexibilidade no tratamento de e-mails que possam ser alterados em trânsito, pode enfraquecer a segurança do seu domínio. Por isso, juntamente com vários fornecedores de correio eletrónico, especialistas do sector e organizações, não a recomendamos. Para explorar mais serviços de segurança de domínios e de autenticação de correio eletrónico, contacte-nos hoje mesmo!

Sobre
Últimos Posts

Ahona Rudra

Ahona é gerente de marketing da PowerDMARC, com mais de 5 anos de experiência em escrever sobre tópicos de segurança cibernética, especializada em segurança de domínio e e-mail. Ahona possui uma pós-graduação em Jornalismo e Comunicação, solidificando sua carreira no setor de segurança desde 2019.

Últimos posts de Ahona Rudra (ver todos)

Como adicionar o seu logótipo aos e-mails do Gmail: Gmail e e-mails com marca - 2 de julho de 2024
Quais são as ameaças à cibersegurança ao permitir cookies de terceiros no Mac? - 29 de junho de 2024
DMARC: o elo que faltava na estratégia de defesa do seu MSP - 27 de junho de 2024