Sabia que pode receber relatórios DMARC fora do seu próprio domínio? Sim, é possível enviar os seus relatórios DMARC para um endereço de correio eletrónico que não se enquadre no âmbito do seu próprio domínio através da Verificação de Destino Externo DMARC. Se for proprietário do domínio empresa.compode enviar os seus relatórios para um endereço (exemplo) [email protected]onde company.com não tem autoridade sobre mailreports.net e são dois domínios completamente separados.
No entanto, para o conseguir, o domínio receptor do relatório (mailreports.net) precisa de aprovar que concorda em receber relatórios contendo os dados DMARC do seu domínio (company.com).
O método que torna isto possível é denominado "Verificação de Domínio Externo" e hoje iremos discutir o que é e como o ajuda na sua viagem de autenticação.
DMARC Verificação de Domínio Externo - Explicado
Digamos que o domínio é seu company.com e tem o DMARC activado para o seu domínio. Agora pretende receber informação sobre as suas fontes de envio de correio electrónico através de relatórios agregados DMARC, mas para evitar o spam na caixa de entrada dos seus domínios e subdomínios internos, pretende redireccionar esses relatórios para um destino externo, digamos por exemplo mailreports.net.
Esta é uma táctica comum exercida por empresas que têm múltiplos domínios registados, terceiros, e um fluxo maciço de informação de e para os seus domínios.
Para tal, o registo DMARC subsequente teria o seguinte aspeto:
v=DMARC1; p=quarentena; rua=mailto:[email protected]
[Para criar o seu registo personalizado de forma gratuita, utilize o nosso Gerador de registos DMARC ferramenta]
A etiqueta da rua especifica o endereço de correio electrónico no qual receberá os seus relatórios DMARC. Agora note que só porque tem um registo publicado no seu DNS solicitando que os seus dados sejam enviados para mailreports.net, não significa que assim seja. Não é assim tão simples.
O relatório que recebe o domínio deve fornecer o consentimento digital para receber os relatórios de company.comou então não podem ser enviados. Isto é conhecido como Verificação de Domínio Externo ou Verificação de Destino Externo (como mencionado em RFC 7489 7.1).
Porque é necessária a Verificação de Destino Externo? Potenciais ameaças e vulnerabilidades
As seguintes razões podem obrigá-lo a optar pela Verificação de Domínio Externo:
- É proprietário de um domínio que não opera quaisquer servidores de correio
- Sem verificação de domínio externo, os ciberataqueiros podem facilmente criar um registo DMARC mencionando um domínio externo (de uma vítima) para receberem relatórios. Os relatórios de todos os maus e-mails enviados pelo agressor irão agora inundar a caixa de entrada da vítima
Através da Verificação de Destino Externo, os agentes de ameaça podem ser impedidos de realizar os seus actos maliciosos, e os proprietários de domínios podem encaminhar relatórios para um domínio externo que opera servidores de correio.
Como funciona a Verificação de Domínios Externos?
Verificação de destinos de relatórios externos
Quando um domínio com um registo DMARC publicado envia um e-mail, o servidor receptor do e-mail verifica se o domínio organizacional no qual o registo foi publicado corresponde exactamente ao domínio organizacional mencionado na etiqueta da rua (ou ruf) do registo DMARC.
Se não for uma correspondência, e tiver sido especificado um domínio externo para receber relatórios, o processo de verificação é iniciado.
Para o fazer, o DNS do anfitrião receptor do relatório é consultado para verificar se o mesmo consentiu em receber os relatórios. Se um registo DMARC que ateste o mesmo for encontrado no seu DNS, a verificação passa, e os relatórios são enviados para o domínio externo. Se falhar, os relatórios não são entregues.
Por vezes, devido a um timeout DNS e outros problemas menores, pode ocorrer um erro temporário que impeça os servidores receptores de concluírem temporariamente o processo de verificação do destino externo. É, no entanto, reatentado mais tarde.
Configurações de verificação de destino externo para domínios específicos (e subdomínios)
Tomemos o nosso exemplo anterior para determinar como assegurar que o seu processo de verificação do destino externo não devolva um resultado de erro para os seus domínios e subdomínios específicos.
Exemplo de nome de domínio: empresa.com
Exemplo de domínio de recepção de relatórios externos: mailreports.net
Um registo DNS DMARC com as seguintes informações precisa de ser publicado no domínio mailreports.net:
Campo | Descrição | Valor |
Anfitrião | É aqui que se publica o registo em | empresa.com._report._dmarc.mailreports.net |
Valor | O seu valor recorde TXT | v=DMARC1; |
Nota: Substitua os nomes de domínio pelo seu próprio domínio e por qualquer domínio externo sobre o qual deseje receber os seus relatórios. Este registo NÃO deve ser publicado no seu domínio, mas sim no domínio externo para o qual pretende enviar os seus relatórios.
E está feito! Durante a verificação do destino externo, isto irá agora informar os servidores de recepção de correio electrónico que o seu domínio externo preferido mencionado na rua ou ruf tag consente de facto em receber relatórios DMARC em nome do seu domínio.
Configurações Opcionais para Verificação de Destino Externo
Em vez de publicar o registo acima mencionado para dar permissão a domínios específicos para o envio de relatórios para o seu endereço, os domínios externos utilizam frequentemente um registo wildcard (que começa com um asterisco "*").
Isto é simplesmente um atalho para evitar esforço extra, uma vez que um registo wildcard denota essencialmente que o o domínio externo consente receber relatórios DMARC de QUALQUER domínio (e não apenas o seu domínio específico).
Abaixo é apresentada a sintaxe (exemplo) para um registo wildcard utilizado para verificação de domínio externo:
Campo | Descrição | Valor recorde de Wildcard |
Anfitrião | É aqui que se publica o registo em | *._report._dmarc.domain.com |
Valor | O seu valor recorde TXT | v=DMARC1; |
Potenciais riscos associados à utilização de entradas wildcard
A utilização de entradas wildcard para verificação de domínios externos não é uma prática recomendada e vem com riscos potenciais. Isto porque quando um domínio consente em receber relatórios de qualquer domínio, os maus agentes podem utilizá-lo para contas de correio electrónico não solicitado com relatórios em massa de domínios maliciosos, sem qualquer mecanismo para regular ou filtrar os relatórios. Isto pode ser potencialmente prejudicial para o domínio que recebe os relatórios, e também causar problemas a quem está a utilizar esse domínio para receber os seus próprios relatórios.
Como lidamos com a Verificação de Domínios Externos no PowerDMARC?
Para clientes que tenham criado uma conta PowerDMARC e recebam relatórios sobre o Analisador de relatórios DMARC não precisa de se preocupar com a verificação do domínio externo, pois tratamos disso por si. Todos os relatórios enviados pelos receptores são automaticamente encaminhados e enviados para a nossa plataforma, analisados e organizados para que possa visualizar sem ter de publicar registos a fim de agilizar o processo de verificação do destino externo. Tudo o que precisa de fazer é especificar o nosso endereço personalizado de rua (ou ruf) no seu registo DMARC.
Inscreva-se agora para tornar o seu processo de validação de destino externo e implementação de DMARC sem esforço com um Ensaio DMARC.
- PowerDMARC é nomeado líder G2 em software DMARC pela 4ª vez em 2024 - 6 de dezembro de 2024
- Violação de dados e phishing de correio eletrónico no ensino superior - 29 de novembro de 2024
- O que é o reencaminhamento de DNS e os seus 5 principais benefícios - 24 de novembro de 2024