Quando uma mensagem de correio eletrónico é enviada do servidor de envio, diretamente para o servidor de receção, o SPF e o DKIM (se configurados corretamente) autenticam a mensagem de correio eletrónico normalmente e, normalmente, validam-na como legítima ou não autorizada. No entanto, isso não acontece se o correio eletrónico passar por um servidor de correio intermediário antes de ser entregue ao destinatário, como no caso de mensagens reencaminhadas. Este blogue destina-se a explicar o impacto do reencaminhamento de correio eletrónico nos resultados da autenticação DMARC.
Como já sabemos, DMARC faz uso de dois protocolos padrão de autenticação de correio electrónico, nomeadamente SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), para validar as mensagens recebidas. Vamos discuti-los brevemente para compreender melhor o seu funcionamento antes de saltarmos para a forma como o reencaminhamento pode afectá-los.
Quadro da Política de Remetentes
SPF está presente no seu DNS como um registo TXT, exibindo todas as fontes válidas que estão autorizadas a enviar e-mails do seu domínio. Cada correio electrónico que sai do seu domínio tem um endereço IP que identifica o seu servidor e o fornecedor de serviços de correio electrónico utilizado pelo seu domínio que é alistado no seu DNS como registo SPF. O servidor de correio do destinatário valida o correio electrónico contra o seu registo SPF para o autenticar e, consequentemente, marca o correio electrónico como SPF pass ou fail.
DomainKeys Correio Identificado
DKIM é um protocolo padrão de autenticação de correio electrónico que atribui uma assinatura criptográfica, criada usando uma chave privada, para validar as mensagens de correio electrónico no servidor receptor, onde o receptor pode recuperar a chave pública do DNS do remetente para autenticar as mensagens. Tal como o SPF, a chave pública DKIM também existe como um registo TXT no DNS do proprietário do domínio.
O impacto do reencaminhamento de correio electrónico nos resultados da sua autenticação DMARC
Durante o reencaminhamento de correio electrónico, o correio electrónico passa por um servidor intermediário antes de ser finalmente entregue ao servidor receptor. Em primeiro lugar, é importante perceber que o reencaminhamento de correio electrónico pode ser feito de duas maneiras - ou os emails podem ser reencaminhados manualmente, o que não afecta os resultados da autenticação, ou podem ser reencaminhados automaticamente, caso em que o procedimento de autenticação é efectuado se o domínio não tiver o registo da fonte de envio do intermediário no seu SPF.
Naturalmente, normalmente durante o reencaminhamento de correio eletrónico, a verificação SPF falha, uma vez que o endereço IP do servidor intermediário não corresponde ao do servidor de envio e este novo endereço IP não é normalmente incluído no registo SPF do servidor original. Pelo contrário, o reencaminhamento de correio eletrónico não tem normalmente impacto na autenticação de correio eletrónico DKIM, a menos que o servidor intermediário ou a entidade de reencaminhamento faça determinadas alterações no conteúdo da mensagem.
Note-se que para um e-mail passar a autenticação DMARC, o e-mail seria obrigado a passar ou a autenticação SPF ou DKIM e alinhamento. Como sabemos que o SPF falha inevitavelmente durante o reencaminhamento de correio electrónico, se no caso de a fonte de envio ser DKIM neutra e depender unicamente do SPF para validação, o correio electrónico reenviado será tornado ilegítimo durante a autenticação DMARC.
A solução? Simples. Deve optar imediatamente pela conformidade total com DMARC na sua organização, alinhando e autenticando todas as mensagens recebidas contra SPF e DKIM!
Atingir a conformidade DMARC com PowerDMARC
É importante notar que, para atingir a conformidade com o DMARC, os e-mails precisam de ser autenticados em relação ao SPF, ao DKIM ou a ambos. No entanto, a menos que as mensagens encaminhadas sejam validadas em relação ao DKIM e dependam apenas do SPF para autenticação, o DMARC falhará inevitavelmente, conforme discutido na secção anterior. É por isso que o PowerDMARC ajuda a obter a conformidade completa com o DMARC, alinhando e autenticando efetivamente os emails em relação aos protocolos de autenticação SPF e DKIM. Dessa forma, mesmo que as mensagens encaminhadas autênticas falhem no SPF, a assinatura DKIM pode ser usada para validá-las como legítimas e o email passa pela autenticação DMARC, chegando posteriormente à caixa de entrada do destinatário.
Casos excepcionais: DKIM falhar e como resolvê-lo?
Em certos casos, a entidade que encaminha pode alterar o corpo do correio fazendo ajustes nos limites do MIME, implementação de programas antivírus, ou recodificando a mensagem. Nesses casos, tanto a autenticação SPF como DKIM falha e os e-mails legítimos não são entregues.
No caso de o SPF e o DKIM falharem, o PowerDMARC consegue identificar e mostrar isso nas nossas vistas agregadas detalhadas e protocolos como o Authenticated Received Chain podem ser aproveitados pelos servidores de correio eletrónico para autenticar esses e-mails. No ARC, o cabeçalho Authentication-Results (Resultados da autenticação) pode ser passado para o próximo "salto" na linha de entrega da mensagem, para atenuar eficazmente os problemas de autenticação durante o reencaminhamento de correio eletrónico.
No caso de uma mensagem encaminhada, quando o servidor de correio electrónico do receptor recebe uma mensagem que falhou a autenticação DMARC, tenta validar o correio electrónico pela segunda vez, contra a Cadeia de Recepção Autenticada fornecida para o correio electrónico, extraindo os resultados da autenticação ARC do salto inicial, para verificar se foi validado para ser legítimo antes de o servidor intermediário o encaminhar para o servidor receptor.
Portanto, inscreva-se hoje no PowerDMARC, e atinja a conformidade DMARC na sua organização!
- Quanto tempo demoram os registos SPF e DMARC a propagar-se? - fevereiro 12, 2025
- Como as ferramentas de pentest automatizadas revolucionam o e-mail e a segurança cibernética - 3 de fevereiro de 2025
- Estudo de caso de MSP: Hubelia simplificou o gerenciamento de segurança do domínio do cliente com o PowerDMARC - 31 de janeiro de 2025