A ativação do DMARC (Domain-based Message Authentication Reporting and Conformance) implementa uma série de marcas de verificação para determinar se uma mensagem de correio eletrónico tem origem na fonte declarada. O DMARC oferece uma flexibilidade incrível em termos de políticas e modos de alinhamento que podem ser configurados pelo proprietário do domínio, para moldar o nível de segurança que pretende alcançar.
DMARC O alinhamento do identificador afirma que o nome de domínio anexado a várias partes de uma mensagem de correio eletrónico está corretamente alinhado, indicando que o correio eletrónico é legítimo e que não é provável que faça parte de tentativas de phishing ou de falsificação.
O que é o DMARC Alignment?
O alinhamento DMARC é o processo de alinhamento (ou correspondência) de domínios em várias secções do cabeçalho do seu e-mail durante as verificações de autenticação. O DMARC alinha-se para o seu correio eletrónico se a mensagem for aprovada em ambos os alinhamentos de identificadores SPF e DKIM.
Para garantir que os seus e-mails são legítimos e protegidos contra uma série de ataques de fraude por e-mail que incluem phishing, spoofing, ransomware e muito mais.
O protocolo de autenticação DMARC verifica o alinhamento do identificador DMARC para determinar se um domínio de correio eletrónico é potencialmente falsificado. Quando o seu correio eletrónico está a ser validado, o DMARC verifica 3 identificadores:
- O cabeçalho De
- O endereço do caminho de retorno
- O nome de domínio na assinatura DKIM
Se os identificadores de autenticação SPF ou DKIM estiverem alinhados, o correio eletrónico atinge o alinhamento DMARC e passa a autenticação DMARC, sendo entregue em segurança na caixa de entrada do utilizador.
Como é que o alinhamento DMARC funciona?
Para compreender o alinhamento do DMARC, precisamos de compreender como funciona. Quando implementa o DMARC, associa os resultados do SPF e do DKIM para autenticar todos os e-mails provenientes do seu domínio. Para qualquer e-mail, o DMARC usa o que é conhecido como "identidade central", que é o domínio encontrado no cabeçalho From. Este é considerado o domínio de origem do seu correio eletrónico e terá o nome de domínio da sua organização.
Quando uma mensagem de correio eletrónico do seu domínio chega ao servidor de receção, SPF verifica o caminho de retorno e o DKIM valida a assinatura encriptada. Ambas as verificações são efectuadas separadamente em dois domínios diferentes. O DMARC pega no resultado da autenticação de cada um e verifica se o domínio utilizado no SPF ou no DKIM corresponde ao domínio De (a identidade central). Se um deles for verdadeiro, o alinhamento DMARC é conseguido.
No entanto, há apenas um pequeno problema. Qualquer pessoa, incluindo criminosos, pode comprar um domínio e implementar SPF e DKIM. Assim, teoricamente, deveria ser possível alguém enviar um e-mail com o domínio da sua organização no endereço De: (a identidade central) e ter o Caminho de Retorno do seu próprio domínio para passar a autenticação SPF. Os utilizadores normalmente só vêem o endereço De: e não o Caminho de retorno, por isso nem sequer sabem que existe uma discrepância entre os dois.
O papel do alinhamento de identificadores SPF e DKIM
O alinhamento do identificador de autenticação significa se o remetente do e-mail está ou não autorizado a enviar o e-mail em nome do seu domínio. Isto pode ser determinado através da verificação da autenticidade do correio eletrónico em relação ao SPF (Sender Policy Framework) ou ao DKIM (DomainKeys Identified Mail). Os e-mails alinhados acabam por passar nas verificações de verificação do remetente, que podem ser utilizadas como um exemplo de base pelos servidores de e-mail receptores para demarcar e-mails maliciosos ou não autorizados e filtrá-los.
No PowerDMARC, damos um passo à frente, alinhando as suas mensagens com os identificadores SPF e DKIM para o ajudar a atingir 100% de conformidade DMARC para os seus e-mails, enquanto na política p=reject. Isto ajuda-o a testemunhar melhorias visíveis na capacidade de entrega do seu e-mail e a observar diferenças marcantes nas suas taxas de spam e de rejeição em apenas algumas semanas com monitorização adequada e assistência da nossa equipa de suporte técnico dedicada.
Que factores podem afetar o alinhamento dos identificadores SPF e DKIM?
- Os clientes de correio eletrónico e os fornecedores de serviços de correio eletrónico de terceiros podem introduzir complicações e falhas de alinhamento
- As suas mensagens reencaminhadas podem falhar o alinhamento
Qual é a solução?
O PowerDMARC ajuda-o a alinhar corretamente e com precisão todos os seus fornecedores terceiros e a modificar e atualizar facilmente os seus registos no portal à medida que adiciona mais serviços e fornecedores, para garantir que o seu e-mail legítimo tem a maior probabilidade de chegar aos seus clientes.
O PowerDMARC ajuda-o a configurar o SPF, o DKIM e o ARC juntamente com o DMARC para lidar com os cenários complicados de reencaminhamento de correio eletrónico, em que os servidores intermediários podem fazer modificações nos seus emails - levando a falhas de autenticação indesejadas.
A interface intuitiva do PowerDMARC ajuda-o a atualizar facilmente o seu registo de políticas para uma aplicação máxima, o que garante que o seu domínio está adequadamente protegido contra ataques de falsificação de e-mail e phishing.
Tipos de alinhamento DMARC: Alinhamentos de identificadores rigorosos e flexíveis
O alinhamento do identificador DMARC pode ser de dois tipos, com base no nível de gravidade e precisão com que pretende efetuar as suas verificações de autenticação. Eis o que eles são:
1. Alinhamento flexível DMARC
O alinhamento SPF e DKIM tem especificamente 2 tipos: relaxado e estrito. Se o alinhamento relaxado estiver configurado para ambos, isso significa essencialmente que implementou o alinhamento relaxado para a sua implementação geral do DMARC.
Tanto para o SPF como para o DKIM, num modo de alinhamento relaxado, mesmo que o domínio no comando Mail From e os domínios no cabeçalho Return-path ou no endereço de correio eletrónico de devolução (para SPF) e nos cabeçalhos de assinatura DKIM (para DKIM) sejam uma correspondência organizacional - o alinhamento DMARC é uma correspondência. Subsequentemente, neste cenário, até os subdomínios serão alinhados com o DMARC.
A mensagem de correio eletrónico deve passar a autenticação DMARC do lado do destinatário da mensagem de correio eletrónico se o domínio do cabeçalho estiver em conformidade com um dos requisitos de alinhamento.
Exemplo de alinhamento flexível DMARC
v=DMARC1; p=reject; rua=mailto: [email protected]; aspf=r; adkim=r
Definições de alinhamento descodificadas: As etiquetas DMARC "aspf" e "adkim" são as respectivas etiquetas de alinhamento para definir o modo da sua escolha, e "r" significa relaxado.
2. Alinhamento rigoroso do DMARC
Se os proprietários do domínio activarem o alinhamento estrito para SPF e DKIM, isso significa essencialmente que implementou um modo estrito para a sua implementação geral do DMARC.
Para ambos os protocolos, num modo de alinhamento rigoroso, apenas se o domínio no cabeçalho From e os domínios nos cabeçalhos Return-path (para SPF) e DKIM signature (para DKIM) forem uma correspondência exacta - a verificação de alinhamento DMARC é uma correspondência. Portanto, neste cenário, os subdomínios não serão alinhados em relação ao DMARC.
Alinhamento rigoroso do DMARC com exemplos
v=DMARC1; p=reject; rua=mailto: [email protected]; aspf=s; adkim=s
Definições de alinhamento descodificadas: As etiquetas DMARC "aspf" e "adkim" são as respectivas etiquetas de modo de alinhamento para definir o modo da sua escolha, e "s" representa o objetivo de alinhamento, que é rigoroso.
Qual é o melhor modo de alinhamento DMARC?
A escolha entre os modos de alinhamento DMARC relaxado e rigoroso depende das políticas do protocolo de autenticação de correio eletrónico da sua organização, da sua tolerância a falsos positivos e dos seus objectivos gerais de segurança.
O modo Descontraído oferece mais flexibilidade e tem menos probabilidades de produzir falsos positivos. Pode ser útil quando tem vários sistemas ou serviços de correio eletrónico a enviar mensagens em nome do seu domínio, e estes podem utilizar subdomínios diferentes. No entanto, também é menos rigoroso e pode permitir que alguns e-mails com pequenas discrepâncias sejam aprovados, deixando potencialmente espaço para tentativas de falsificação ou phishing.
O modelo Strict aplica uma política de alinhamento mais rigorosa, garantindo que o domínio exato no cabeçalho "From" corresponde aos domínios especificados no SPF e no DKIM. Embora isto forneça uma proteção mais forte contra falsificação e phishing, pode ser menos indulgente se a sua infraestrutura de correio eletrónico utilizar subdomínios diferentes para fins legítimos. A implementação de um alinhamento rigoroso pode exigir uma configuração e monitorização cuidadosas para evitar o bloqueio de e-mails legítimos.
Como monitorizar e-mails com alinhamento DMARC rigoroso?
O PowerDMARC ajuda-o a monitorizar os seus e-mails enquanto segue uma política de alinhamento DMARC rigorosa com a ajuda do nosso analisador DMARC ferramenta. Ajudamo-lo a seguir as suas fontes de envio de correio eletrónico, a verificar falhas de alinhamento e a otimizar a sua configuração de autenticação diretamente a partir do nosso painel de controlo.
Contacte-nos hoje para começar!
Como verificar o alinhamento DMARC para e-mails?
Para verificar o alinhamento DMARC das suas mensagens de correio eletrónico, pode inscrever-se no portal PowerDMARC e seguir os passos abaixo:
- Ir para Relatórios no menu principal
- Clique em DMARC Aggregate Reports (Relatórios agregados DMARC) e expanda a lista pendente
- Selecionar Por resultado na lista
- Monitorize as suas fontes de envio por resultado para ver detalhes de conformidade e alinhamento DMARC para cada resultado individual
Quando o alinhamento DMARC é aprovado
O alinhamento DMARC será aprovado para o correio eletrónico se o alinhamento do identificador DKIM e/ou SPF for aprovado,
Porque é que o alinhamento DMARC falha
A falha de alinhamento DMARC ocorre quando nem os identificadores DKIM nem SPF se alinham para o correio eletrónico. Isto acontece normalmente quando o domínio no cabeçalho Mail From não corresponde nem ao domínio no cabeçalho return-path nem ao domínio no cabeçalho de assinatura DKIM.
Algumas informações importantes relacionadas com o alinhamento DMARC
O que é um domínio de caminho de retorno?
Um domínio de caminho de retorno, também conhecido como endereço de devolução ou domínio de Envelope de, é o domínio que receberá as mensagens não entregues ou devolvidas. Nas situações em que uma mensagem de correio eletrónico é devolvida ou não é entregue, o campo de cabeçalho oculto contém o domínio Envelope From para o qual a mensagem de correio eletrónico é devolvida. Mesmo que o proprietário de um domínio utilize serviços de terceiros para encaminhar as suas mensagens de correio eletrónico, o correio eletrónico pode ser rastreado até ao domínio principal utilizando o endereço de devolução. Esta é uma demarcação clara entre mensagens enviadas por maus actores e um remetente real com boas intenções.
Domínio SPF O alinhamento SPF durante uma verificação DMARC é determinado pelo domínio no endereço do caminho de retorno.
O que é um domínio de assinatura DKIM?
Um domínio de assinatura DKIM é o nome de domínio utilizado durante a criação de assinaturas DKIM para as suas mensagens, ou seja, o domínio de assinatura. Quando a validação do alinhamento do domínio DKIM está em curso durante uma verificação DMARC, o remetente verifica se o domínio de assinatura DKIM está alinhado com o domínio De. O alinhamento DMARC será aprovado num modo DKIM relaxado se o domínio organizacional for compatível. Num modo DKIM estrito, o alinhamento DMARC só é aprovado se houver uma correspondência exacta do domínio estabelecido.
Como o reencaminhamento de correio eletrónico afecta o alinhamento DMARC
O reencaminhamento de servidores de correio eletrónico e listas de discussão de correio eletrónico introduz complicações no caminho do alinhamento DMARC, reescrevendo o endereço "header from" para o endereço do servidor de reencaminhamento, bem como incluindo novos elementos no corpo e conteúdo da mensagem. Isto causa falhas de alinhamento SPF e DKIM devido ao facto de a identidade do domínio Mail From não corresponder ao endereço de rejeição reescrito e ao conteúdo alterado da mensagem.
Como monitorizar as falhas de alinhamento?
Para monitorizar o alinhamento, pode ativar relatórios agregados e relatórios forenses (relatórios de falhas), que o ajudarão a monitorizar e a atingir os seus objectivos de alinhamento e a corrigir mais rapidamente os problemas de capacidade de entrega.
- Corrigir o erro de SPF: Ultrapassar o limite de demasiadas pesquisas de DNS do SPF - 26 de abril de 2024
- Como publicar um registo DMARC em 3 passos? - 2 de abril de 2024
- Porque é que o DMARC está a falhar? Corrigir a falha do DMARC em 2024 - 2 de abril de 2024