Este artigo explica em pormenor o que são as substituições da política DMARC, como funcionam, qual a diferença entre uma substituição da política DMARC e uma falha da política DMARC e se a substituição dos registos DMARC é legítima ou não.
A política DMARC anula: Explicado
A anulação da política DMARC acontece quando o servidor de correio electrónico receptor anula o DMARC registo que é estabelecido pelo remetente. Isto ocorre quando o remetente especifica que quer que o seu correio electrónico seja rejeitado se não corresponder à política de um servidor de correio de entrada, mas o servidor de correio electrónico receptor decide que não é apropriado para o seu próprio conjunto de políticas.
Por exemplo, se o remetente tiver especificado uma política rigorosa (como "p=rejeitar todo o correio sem SPF ou DKIM") e o servidor de correio electrónico receptor tiver uma política relaxada ou solta (como "aceitar todo o correio sem SPF ou DKIM"). Nesta situação, o servidor receptor pode anular a configuração da política DMARC do remetente com a sua própria política local e entregar a mensagem na caixa de entrada do receptor, mesmo que falhe as verificações DMARC.
Compreender o mecanismo de anulação da política DMARC
DMARC é utilizado para comunicar configurações de políticas que os receptores de correio electrónico podem utilizar para fazer cumprir contra e-mails enviados a partir do seu domínio.
Por exemplo, pode utilizar uma política para DMARC para dizer ao servidor de correio electrónico do destinatário o que deve fazer (p=rejeitar ou p=nenhuma ou p=quarantina) se uma verificação SPF ou DKIM falhar nas mensagens de correio electrónico enviadas a partir do seu domínio.
Isto resume bem o poder do DMARC, certo?
Mas e se o servidor de recepção de correio electrónico tiver o seu próprio conjunto de políticas locais para tratar a recepção de correio electrónico? Irá respeitar as políticas DMARC definidas pelo remetente OU irá sobrepor-se às políticas do remetente com as suas próprias políticas locais?
Bem...
A especificação DMARC exige que os receptores de correio façam um esforço de boa fé para respeitar as políticas DMARC publicadas pelos Proprietários do Domínio. Assim, se um teste do SPF, DKIM, e From do cabeçalho do remetente falhar numa mensagem que deve desencadear o que está especificado na política DMARC do remetente (p) como quarentena, rejeição, ou NENHUMA.
Agora vamos assumir que a situação é esta:
➜ O seu domínio (mypersonaldomain.org) tem a política DMARC (p=nenhuma).
O servidor de correio eletrónico gerido pelo destinatário (theirdomain.org) rejeita todo o correio que falhe uma verificação SPF. Isto significa que se uma mensagem de correio eletrónico enviada para (theirdomain.org) falhar a verificação SPF, será rejeitada. Certo?
Mas...
O que acontecerá se um e-mail do seu domínio (mypersonaldomain.org) com a política DMARC p=none for recebido em somedomain.org e falhar a verificação do SPF?
Neste caso, dependerá do servidor de correio receptor (como é configurado) para concordar com a política DMARC definida pelo remetente OU rejeitar o correio electrónico, anulando a política do remetente com regras definidas na sua política local de p=rejeitar a falha de verificação SPF.
O Microsoft 365 é um exemplo disso em tempo real, pois envia todos os e-mails p=rejeitar para a pasta de lixo electrónico/spam do utilizador em vez de o rejeitar. Isto deve-se ao facto de O365 considerar que é óptimo que o destinatário tome a decisão final sobre a disposição final.
Os Cinco Valores da Política DMARC Substituem
encaminhado - O e-mail foi provavelmente encaminhado, com base em algoritmos locais que identificaram padrões de encaminhamento. Pode esperar-se que a autenticação falhe.
política_local - a política local do Receptor de Correio isentou o correio electrónico de ser sujeito à acção solicitada pelo seu Proprietário de Domínio. Por exemplo, quando a política solicitada é definida para "rejeitar" mas a verificação do ARC passou, um receptor de correio pode anular essa decisão e optar por não rejeitar um correio electrónico.
| O que é ARC?
ARC significa Cadeia de Recebimento Autenticada (ARC). Com o ARC, os protocolos DKIM e SPF de um e-mail já não serão quebrados por reencaminhamento ou listas de correio. Isto porque o ARC preserva os resultados da autenticação de correio electrónico através de routers, intermediários e outros sistemas ("hops") que podem modificar uma mensagem à medida que esta passa de um nó na Internet para outro. Assim, se uma cadeia de ARC estivesse presente, o servidor de recepção de correio que de outra forma descartaria as mensagens poderia optar por avaliar os resultados do teste - e fazer uma excepção, permitindo que as mensagens legítimas destes fluxos de correio indirectos chegassem aos seus destinos. |
mailing_list - O e-mail foi enviado a partir de uma lista de correio, pelo que o programa de filtragem decidiu que provavelmente não era legítimo.
sampled_out - A mensagem não se aplicava à política porque a sua definição "pct" estava definida no registo DMARC.
trust_forwarder - A falha foi antecipada por provas que ligavam o correio electrónico a uma lista de reencaminhadores de confiança mantida localmente.
outros - Algumas políticas continham excepções que não foram abordadas pelas outras entradas da lista.
Política de Substituição de DMARC: É permissível?
A secção 6 do RFC 7489 declara que os servidores de correio devem honrar e tratar as mensagens em conformidade com a política do remetente. Embora as revogações sejam contra o espírito do DMARC, os fornecedores de caixas de correio reservam-se o direito de revogar a política de qualquer remetente. Portanto, sim, é admissível que o servidor receptor sobreponha a política do DMARC com a sua política local.
Isto significa que um servidor de correio electrónico ainda poderia entregar uma mensagem falsa, mesmo que a política que deveria seguir dissesse o contrário.
Deve enviar relatórios de anulação da política DMARC?
As revogações da política DMARC ocorrem sobretudo quando:
- a heurística do receptor identifica uma mensagem que falhou a autenticação mas que pode ter sido enviada por uma fonte autorizada.
- um fornecedor de caixas de correio tem uma mensagem que falhou o DMARC devido a reencaminhamento de correio electrónico mas estão suficientemente confiantes na sua legitimidade, podem sobrepor-se à política e entregá-la de qualquer forma.
Embora as revogações da política DMARC sejam permitidas, as secções 6 e 7.2 do RFC 7489 declaram que quando um receptor opta por se desviar da política publicada pelo proprietário do domínio, deve comunicar esse facto bem como as suas razões para o fazer (utilizando o formato de relatório de feedback agregado) de volta ao proprietário do domínio.
Como é permitida a anulação da política DMARC?
O DMARC é composto por duas partes:
Política DMARC - Isto é estabelecido pela organização de envio (no DNS de face pública da organização de envio juntamente com SPF e DKIM) e define como o lado receptor deve tratar as mensagens que não cumpram as suas políticas.
Verificação DMARC - É utilizada pela organização recetora (no gateway de segurança de correio eletrónico da organização recetora) e verifica todas as mensagens recebidas de uma determinada organização relativamente às políticas listadas nos registos DMARC dessa empresa. No entanto, a capacidade de substituir a aplicação da política DMARC de uma organização remetente também se aplica às organizações destinatárias.
Criação de um Política DMARC é um "PEDIDO, NÃO UMA OBRIGAÇÃO".: significa essencialmente que você está "pedindo servidores de correio electrónico para indicar como devem tratar as mensagens de correio electrónico enviadas a partir do seu domínio ou fazendo-se passar por ele.
Contudo, os receptores de correio electrónico não são obrigados a seguir um conjunto rigoroso de directrizes ao processar as mensagens de correio electrónico recebidas. Podem desenvolver as suas políticas relativamente às mensagens que aceitam ou rejeitam e aplicar essas normas em conformidade.
Por exemplo, se o destinatário do correio electrónico considerar a mensagem válida. Assim, se um e-mail falhar uma verificação DMARC, o receptor ainda pode aplicar a sua política local e entregá-la nas caixas de entrada. Além disso, as políticas do receptor de correio electrónico podem anular a política do proprietário de um domínio.
Como pode uma organização receptora anular a minha política DMARC?
Outras organizações podem substituir a sua configuração de políticas DMARC pelas suas próprias ferramentas de verificação DMARC e decidir o seu próprio conjunto de políticas sobre como agir em relação às mensagens recebidas. Dependendo do sistema, um utilizador com privilégios de administrador pode ser capaz de anular todos os domínios ou apenas determinados domínios.
É de notar que as políticas DMARC são estabelecidas pelo proprietário do domínio, e cada política aplica-se apenas aos domínios dessa organização. Assim, uma política DMARC não pode afectar os endereços de outras organizações ou as suas mensagens.
Falha da Política DMARC vs. Política DMARC Substituição da Política DMARC: Qual é a diferença?
Falha do DMARC é quando um servidor de correio não implementa correctamente o DMARC, o que leva a uma falha de verificação SPF e DKIM no final do receptor. A incapacidade de verificar a sua legitimidade pode levar as caixas de entrada a marcá-lo como spam ou a rejeitar as suas mensagens. Aqui o servidor de recepção de correio electrónico honra a política do remetente e não anula a referida política com a sua política local.
As anulações da política DMARC ocorrem quando o servidor de recepção de correio não honra a política do remetente. Em vez disso, anula a política DMARC do remetente com a sua política local. Isto significa que se a mensagem do remetente tiver uma política rigorosa de p=rejeição sem verificação SPF ou DKIM, o correio de recepção anulará a política e ainda assim entregará a mensagem à caixa de entrada.
Manter um registo adequado da política DMARC Substituir com PowerDMARC
Manter-se actualizado sobre as anulações da política DMARC é uma parte essencial para evitar a falsificação e a personificação do correio electrónico. No entanto, a maioria das organizações não tem tempo ou recursos para acompanhar as suas revogações de política de DMARC.
Não pode impedir as substituições de políticas DMARC, mas pode controlá-las com o nosso serviço DMARC. Fornecer-lhe-emos relatórios completos sobre quais as organizações que anulam o seu modo de política e que tipo de mensagens de quais e que e-mails foram permitidos no destinatário. Isto ajudará o remetente a manter o controlo e a tomar as medidas necessárias se for detectada falsificação ou imitação.
Inscreva-se no nosso Teste gratuito de DMARC hoje e teste-o você mesmo!
- Como configurar o DMARC no Office 365? Guia passo a passo - 6 de maio de 2024
- Códigos de erro SMTP Yahoo explicados - 1 de maio de 2024
- SPF Softfail Vs Hardfail: Qual é a diferença? - 26 de abril de 2024