Quando uma mensagem de correio eletrónico é enviada do servidor de envio diretamente para o servidor de receção, o SPF e o DKIM (se configurados corretamente) autenticam a mensagem de correio eletrónico normalmente e validam-na eficazmente como legítima ou não autorizada. No entanto, este não é o caso se o correio eletrónico passar por um servidor de correio intermediário antes de ser entregue ao destinatário, como no caso de mensagens reencaminhadas. Este blogue destina-se a explicar o impacto do reencaminhamento de correio eletrónico nos resultados da autenticação DMARC.
Como já sabemos, DMARC faz uso de dois protocolos padrão de autenticação de correio electrónico, nomeadamente SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), para validar as mensagens recebidas. Vamos discuti-los brevemente para compreender melhor o seu funcionamento antes de saltarmos para a forma como o reencaminhamento pode afectá-los.
Quadro da Política de Remetentes
SPF está presente no seu DNS como um registo TXT, exibindo todas as fontes válidas que estão autorizadas a enviar e-mails do seu domínio. Cada correio electrónico que sai do seu domínio tem um endereço IP que identifica o seu servidor e o fornecedor de serviços de correio electrónico utilizado pelo seu domínio que é alistado no seu DNS como registo SPF. O servidor de correio do destinatário valida o correio electrónico contra o seu registo SPF para o autenticar e, consequentemente, marca o correio electrónico como SPF pass ou fail.
DomainKeys Correio Identificado
DKIM é um protocolo padrão de autenticação de correio electrónico que atribui uma assinatura criptográfica, criada usando uma chave privada, para validar as mensagens de correio electrónico no servidor receptor, onde o receptor pode recuperar a chave pública do DNS do remetente para autenticar as mensagens. Tal como o SPF, a chave pública DKIM também existe como um registo TXT no DNS do proprietário do domínio.
O impacto do reencaminhamento de correio electrónico nos resultados da sua autenticação DMARC
Durante o reencaminhamento de correio electrónico, o correio electrónico passa por um servidor intermediário antes de ser finalmente entregue ao servidor receptor. Em primeiro lugar, é importante perceber que o reencaminhamento de correio electrónico pode ser feito de duas maneiras - ou os emails podem ser reencaminhados manualmente, o que não afecta os resultados da autenticação, ou podem ser reencaminhados automaticamente, caso em que o procedimento de autenticação é efectuado se o domínio não tiver o registo da fonte de envio do intermediário no seu SPF.
Naturalmente, normalmente durante o reencaminhamento de correio eletrónico, a verificação SPF falha, uma vez que o endereço IP do servidor intermediário não corresponde ao do servidor de envio e este novo endereço IP não é normalmente incluído no registo SPF do servidor original. Pelo contrário, o reencaminhamento de correio eletrónico não tem normalmente impacto na autenticação de correio eletrónico DKIM, a menos que o servidor intermediário ou a entidade de reencaminhamento faça determinadas alterações no conteúdo da mensagem.
Note-se que para um e-mail passar a autenticação DMARC, o e-mail seria obrigado a passar ou a autenticação SPF ou DKIM e alinhamento. Como sabemos que o SPF falha inevitavelmente durante o reencaminhamento de correio electrónico, se no caso de a fonte de envio ser DKIM neutra e depender unicamente do SPF para validação, o correio electrónico reenviado será tornado ilegítimo durante a autenticação DMARC.
A solução? Simples. Deve optar imediatamente pela conformidade total com DMARC na sua organização, alinhando e autenticando todas as mensagens recebidas contra SPF e DKIM!
Atingir a conformidade DMARC com PowerDMARC
É importante notar que, para alcançar a conformidade com DMARC, os e-mails precisam de ser autenticados contra SPF ou DKIM ou ambos. Contudo, a menos que as mensagens encaminhadas sejam validadas contra o DKIM, e dependam apenas do SPF para autenticação, o DMARC falhará inevitavelmente, tal como discutido na nossa secção anterior. É por isso que o PowerDMARC ajuda a alcançar a completa conformidade DMARC, alinhando e autenticando eficazmente as mensagens de correio electrónico contra ambos os protocolos de autenticação SPF e DKIM. Desta forma, mesmo que as mensagens autênticas enviadas falhem SPF, a assinatura DKIM pode ser utilizada para validar a sua legitimidade e o email passa a autenticação DMARC, aterrando subsequentemente na caixa de entrada do receptor.
Casos excepcionais: DKIM falhar e como resolvê-lo?
Em certos casos, a entidade que encaminha pode alterar o corpo do correio fazendo ajustes nos limites do MIME, implementação de programas antivírus, ou recodificando a mensagem. Nesses casos, tanto a autenticação SPF como DKIM falha e os e-mails legítimos não são entregues.
Em caso de falha tanto do SPF como do DKIM, o PowerDMARC é capaz de identificar e mostrar que nas nossas vistas e protocolos agregados detalhados como a Cadeia de Recebimento Autenticada pode ser alavancada por servidores de correio electrónico para autenticar tais e-mails. No ARC, o cabeçalho Autenticação-Resultados pode ser passado para o próximo "salto" na linha de entrega da mensagem, para mitigar eficazmente os problemas de autenticação durante o reencaminhamento de correio electrónico.
No caso de uma mensagem encaminhada, quando o servidor de correio electrónico do receptor recebe uma mensagem que falhou a autenticação DMARC, tenta validar o correio electrónico pela segunda vez, contra a Cadeia de Recepção Autenticada fornecida para o correio electrónico, extraindo os resultados da autenticação ARC do salto inicial, para verificar se foi validado para ser legítimo antes de o servidor intermediário o encaminhar para o servidor receptor.
Portanto, inscreva-se hoje no PowerDMARC, e atinja a conformidade DMARC na sua organização!
- Como encontrar o melhor fornecedor de soluções DMARC para a sua empresa? - 25 de abril de 2024
- PowerDMARC e Zendata formam parceria para aprimorar a segurança de domínios - 25 de abril de 2024
- PowerDMARC faz parceria com a CNS para avançar as práticas de segurança de e-mail no Oriente Médio - 24 de abril de 2024