A resposta é sim, é possível configurar o DMARC sem o DKIM.
Mas será uma boa ideia fazê-lo?
Este artigo explora esta questão. E discute as consequências da configuração do DMARC sem DKIM.
Compreender as Normas de Autenticação DMARC
DMARC é um protocolo que lhe permite autenticar mensagens de correio electrónico do seu domínio. Utiliza um conjunto de regras para determinar se uma mensagem de correio electrónico é ou não legítima.
SPF e DKIM são dois outros protocolos que são utilizados para efeitos de autenticação no contexto do DMARC.
SPF é um acrónimo para Sender Policy Framework- especifica como os fornecedores de correio podem verificar as identidades dos remetentes e bloquear mensagens de spam.
DKIM é um acrónimo de DomainKeys Identified Mail - funciona encriptando a mensagem no momento em que é enviada, depois utilizando a criptografia de chave pública para a assinar novamente quando chega ao seu servidor de destino.
DMARC, SPF, e DKIM - quando combinados - formam três pilares da autenticação de correio electrónico. Eles asseguram que os seus e-mails não são forjados, adulterados, ou pirateados por terceiros.
Algoritmo de Avaliação DMARC
O algoritmo de avaliação DMARC é um valor booleano que tem em conta os resultados de autenticação do SPF e do DKIM. Depois do qual determina se aceita ou não uma mensagem de correio electrónico como legítima.
O resultado está dependente de dois resultados possíveis:
1. Passe: O e-mail ou passa tanto a autenticação SPF como DKIM OU apenas um destes. Portanto, é considerado limpo. E é portanto aceite pelo servidor receptor.
Para colocar o algoritmo de autenticação "passe" em equações simples:
| Passagem de autenticação DMARC = registo SPF com um alinhamento de identificador SPF válido +/ou registo DKIM com um alinhamento de identificador DKIM válido |
OU (quando falta o DKIM)
| passe de autenticação DMARC = registo SPF com um alinhamento de identificador SPF válido |
OU (quando falta FPS)
| passe de autenticação DMARC = registo DKIM com um alinhamento válido do identificador DKIM |
2. Falhar: A mensagem falhou as verificações de autenticação SPF e DKIM, indicando que ou está malformada ou contém conteúdo malicioso.
Posso configurar o DMARC sem DKIM?
O DMARC passa nos três cenários seguintes:
Portanto, sim, é possível configurar o DMARC sem o DKIM.
O DMARC é construído sobre SPF e DKIM para fins de autenticação, mas são tecnologias ortogonais.
Num sentido geral, SPF é um mecanismo de "autorização de caminho", o que significa que permite a um IP enviar mensagens em nome de um determinado domínio. DKIM, por outro lado, é um mecanismo de "integridade de conteúdo", o que significa que assegura que o que se envia não muda quando chega ao servidor.
Isto significa que não dependem um do outro pela sua eficácia; podem ser utilizados em paralelo ou mesmo independentemente um do outro.
No entanto, recomenda-se que se utilize tanto SPF como DKIM em conjunto com DMARC, uma vez que trabalham em conjunto para fornecer capacidades de autenticação DMARC mais robustas. O DMARC sem DKIM, embora possível, não é uma prática recomendada.
Como é que os clientes de e-mail tratam os e-mails sem DKIM?
A maioria dos clientes de e-mail tratam e-mails que não têm DKIM como spam.
Em alguns casos, isto pode resultar na mensagem ser marcada pelo servidor de correio electrónico do receptor e marcada como spam.
Alguns fornecedores de serviços de correio electrónico podem também mostrar as suas mensagens aos destinatários como sendo provenientes de um domínio diferente do que pretendia.
Por exemplo, no Outlook e no Gmail, o seu e-mail sem DKIM aparecerá na caixa de entrada do destinatário com o endereço de e-mail correcto, mas sendo "enviado por" ou "através de" outra pessoa.
Isto pode ser confuso para os destinatários e pode até levá-los a acreditar que outra pessoa lhes enviou a mensagem em vez de si.
Exemplo #1 (Outlook)
Fig.1 Sem DKIM: O Outlook mostra o endereço "enviado por" na caixa de entrada do destinatário.
Fig.2 Com DKIM: O Outlook mostra apenas o endereço FROM.
Exemplo #2 (Gmail)
Fig.3 Sem DKIM: O Gmail mostra o endereço "via" na caixa de entrada do destinatário.
Fig.4 Com DKIM: o Gmail mostra apenas o endereço FROM.
No entanto, se o DKIM estiver presente no seu e-mail, os problemas acima mencionados não são susceptíveis de acontecer. O servidor de envio já não é mostrado no ecrã do cliente, pelo que há menos hipóteses de entrar em pastas de spam ou de lixo electrónico. E a única informação que têm é o endereço FROM - o que significa elevados factores de confiança para as empresas de envio que procuram clientes através de estratégias de marketing por correio electrónico.
Consequências da criação de DMARC com e DMARC sem DKIM
A criação de DMARC com DKIM pode ajudar a evitar que as suas mensagens de correio electrónico sejam sinalizadas por filtros de spam e bloqueadas.
Contudo, a criação de DMARC sem DKIM pode resultar num aumento de falsos positivos, bem como em atrasos quando um destinatário tenta verificar o endereço de correio electrónico do remetente.
Nesta secção, vamos analisar algumas das possíveis consequências da criação de DMARC com e DMARC sem DKIM.
1. Ao verificar a confiança no e-mail
Com a abordagem baseada apenas no SPF, a protecção DMARC seria limitada aos endereços invisíveis do "remetente do envelope" (MAIL FROM ou Return-path). Estes são utilizados para a recepção de devoluções (Relatórios de Não Entrega) por parte dos remetentes.
No entanto, quando o DKIM é combinado com SPF, a protecção DMARC é activada para o endereço "cabeçalho De:" bem como para os endereços que são visíveis para os destinatários. Deste modo, proporcionando mais sentido de confiança no correio electrónico do que a utilização de DMARC apenas com SPF.
2. No reencaminhamento de e-mails
A autenticação SPF funciona enviando um e-mail que contém o seu registo SPF (o endereço IP do servidor a partir do qual pretende enviar e-mails) para outro servidor. O outro servidor autentica então se este endereço IP está ou não registado com eles e regressa com o seu próprio registo SPF - se não o tiverem, rejeitam o pedido.
Agora no caso do reencaminhamento de correio electrónico, a autenticação SPF pode falhar porque não há garantias de que o endereço IP do servidor intermédio esteja na lista SPF para o domínio de envio. Como resultado disto, um e-mail legítimo sem um assinatura DKIM falhará a autenticação DMARC, o que resultará num falso negativo.
Se o DKIM tivesse sido configurado neste domínio, o falso-negativo não teria ocorrido.
Mas porquê?
A assinatura DKIM (d=) é anexada ao próprio corpo do e-mail, enquanto que a SPF é anexada ao cabeçalho 'Return-Path'.
No caso de reencaminhamento de correio electrónico, o corpo do correio electrónico não é tocado ou modificado, pelo que a assinatura DKIM (d=) contida no corpo do correio electrónico permanece intacta. Isto significa que a identidade do remetente pode ser verificada com o par de chaves públicas e privadas incluídas no corpo do correio electrónico e que a autenticação DMARC é passada.
O SPF, por outro lado, está anexado ao cabeçalho 'Return-Path', que muda no caso de reencaminhamento de correio electrónico. Assim, a sua validade não é verificada, o que resulta num falso negativo.
Para concluir, a autenticação SPF falha devido ao reencaminhamento de correio electrónico, mas o DKIM sobrevive ao reencaminhamento de correio electrónico porque está anexado ao corpo do correio electrónico. Por conseguinte, é importante estabelecer o DMARC também com o DKIM.
3. Ao actualizar o endereço IP
Quando envia um e-mail, o servidor receptor verifica o cabeçalho do e-mail para ver se este foi adulterado. Se foi, então o servidor receptor rejeita a sua mensagem e envia-lhe uma notificação.
É aqui que entra a SPF. SPF verifica se o seu endereço IP está listado como um endereço válido no registo SPF do servidor de envio (por outras palavras, que não existem endereços IP falsificados).
Se o seu endereço IP mudar, então o seu registo SPF precisa de ser actualizado com o novo endereço. O tempo que isto leva depende da frequência com que muda o seu endereço IP - na maioria dos casos, demora até 48 horas para que o novo registo SPF entre em vigor.
Então o que acontecerá se o seu fornecedor de correio electrónico acrescentar um novo IP à sua gama? Neste caso, a sua entrega de correio electrónico pode ser atrasada devido ao tempo de propagação da actualização do registo SPF.
No entanto, uma vez configurado tanto o DKIM como o SPF, pode contornar este problema usando a assinatura criptográfica do DKIM para provar que o servidor de correio em sender@yourdomain.com estava autorizado a enviá-lo.
Isto significa que mesmo que o seu intervalo de IP mude, o DKIM ainda poderá verificar se os e-mails provenientes de certos domínios são autênticos e legítimos.
Usando DMARC sem DKIM: Os Possíveis Cenários OK/FAIL
Quando utiliza os mecanismos DKIM e SPF, está efectivamente a utilizar duas ferramentas diferentes para atingir o mesmo objectivo: evitar a falsificação.
Ambos trabalham independentemente, mas também podem falhar independentemente. Por exemplo, o SPF pode falhar independentemente do DKIM, e o DKIM pode falhar independentemente do SPF.
Aqui estão os quatro cenários OK/FAIL possíveis de criação de DMARC sem ou sem DKIM:
| Cenário | Significado | Estado da entrega por correio electrónico |
| SPF ok, DKIM ok | Assegura que os e-mails são enviados a partir de uma fonte legítima. O servidor está autorizado a enviar correio porque tem um registo SPF válido e uma assinatura DKIM válida. | Entregue na caixa de entrada |
| SPF ok, DKIM falha | Isto significa que o correio é entregue por um servidor autorizado, mas a validação da sua assinatura DKIM falha. | Entregue em pasta de spam ou junk |
| SPF falha, DKIM ok | Isto significa que a assinatura do DKIM do correio é válida, mas o servidor remetente não tem autorização para entregar o correio. | Entregue em pasta de spam ou junk |
| SPF falha, DKIM falha | Se tanto o SPF como o DKIM falharem, então um e-mail é considerado como falsificado e será rejeitado por qualquer servidor de correio habilitado para DMARC do destinatário. | Não Entregue / Rejeitado |
Uma implementação completa do DMARC é a necessidade da hora!
SPF e DKIM são os mecanismos de proteção de correio eletrónico mais comuns utilizados para implementar um registo DMARC adequado para evitar a falsificação de correio eletrónico. Quando uma implementação DMARC adequada é aplicada à sua infraestrutura de correio eletrónico existente, as suas mensagens de correio eletrónico são entregues como pretendido. Isto significa menos queixas de spam, menos falsos positivos nas listas negras e melhores estatísticas de capacidade de entrega para todos os seus subscritores.
PowerDMARC oferece completo DMARC serviços de implementação com políticas DKIM, SPF, e DMARC criados para o seu domínio. Desta forma, ajudando-o a obter resultados mais fiáveis a partir dos seus e-mails.
Gerar registo DKIM online ou obtenha o seu teste gratuito do DMARC para obter uma solução completa para o mundo complexo e em constante mudança da segurança do correio eletrónico.
- Aumento de fraudes fiscais e ataques de imitação de e-mail do IRS durante a época fiscal - 2 de maio de 2024
- Segurança de e-mail 101 para combater fraudes de criptografia - 30 de abril de 2024
- Como encontrar o melhor fornecedor de soluções DMARC para a sua empresa? - 25 de abril de 2024