Se DMARC é realmente importante para a segurança do correio eletrónico, então porque é que nem toda a gente o implementa? É verdade que a autenticação de correio eletrónico ajuda a melhorar a capacidade de entrega do correio eletrónico e evita ataques de phishing, mas a sua implementação é complexa, o que causa complicações. A ativação do DMARC em empresas de média e grande dimensão apresenta os seus próprios desafios, devido ao envolvimento de mais pessoas e de vários domínios.
Ao longo dos anos, o PowerDMARC deparou-se com muitos impedimentos e preocupações sobre o mesmo. Por isso, considerámos discutir aqui os principais e sugerir soluções viáveis para os mesmos.
Mas antes disso, deve saber como implementar o DMARC.
Desafios que as empresas enfrentam ao adotar o DMARC
1. Corte acidental de serviços críticos
Muitas vezes, as empresas não têm a certeza de que conhecem todos os serviços legítimos que enviam mensagens de correio eletrónico utilizando o seu domínio. A sua preocupação é genuína, uma vez que as consequências de tais erros podem ser prejudiciais para o crescimento de uma empresa, para os esforços de marketing e para a comunicação com clientes, potenciais clientes, meios de comunicação, etc.
É por isso que aconselhamos a seguir passo a passo a política DMARCComece com a política "nenhum" e monitorize as actividades do seu domínio de envio de correio eletrónico, seguindo-se a mudança para a política "quarentena" até ter a certeza de que está pronto para passar à política de rejeição. No entanto, a dura verdade é que o estado de total confiança pode nunca chegar! Embora um plano de continuidade das actividades também possa fornecer um roteiro para lidar com falhas de serviço.
2. Cumprimento de ordens governamentais
Países como os EUA, o Reino Unido, o Japão, etc. dão ênfase à configuração do DMARC e até o definiram como um requisito básico para fazer negócios, principalmente em associação com agências governamentais. O Diretiva Operacional Vinculativa 18-01 do Departamento de Segurança Interna (DHS) emitiu uma ordem para que todas as agências federais definissem a sua política DMARC para rejeitar até 16 de outubro de 2018. Normas semelhantes também foram observadas no Reino Unido.
Agora, o desafio é que nem todas as empresas têm a confiança necessária para mudar para a política de rejeição, uma vez que alguns dos seus e-mails legítimos também podem ser devolvidos. No entanto, não sabem que podem afastar-se destas conformidades fornecendo uma explicação escrita que justifique o seu caso.
3. A equipa de marketing resiste ao DMARC
As equipas de marketing estão relutantes em autenticação de correio eletrónico porque se enviar emails em massa, existe a possibilidade de muitos deles não serem entregues nas caixas de correio dos destinatários. Além disso, se utilizar @yahoo.com, @aol.com ou @gmail.com para marketing por correio eletrónico, os e-mails não passarão nas verificações de autenticação DMARC e a taxa de capacidade de entrega do seu domínio será afetada.
A sua solução consiste em utilizar o seu próprio domínio para enviar e-mails de marketing. Desta forma, o DMARC funcionará com a sua melhor eficiência. Além disso, um DMARC totalmente implementado permite-lhe configurar indicadores de marca para identificação de mensagens ou BIMIpermitindo que um logótipo de marca registada apareça junto aos seus e-mails na caixa de entrada do cliente. Isto aumenta as taxas de abertura e de cliques.
4. Os funcionários que utilizam o Shadow IT não aprovam o DMARC
Nas empresas de média e grande dimensão, os funcionários recorrem frequentemente à TI sombra, que se refere à utilização de dispositivos, ferramentas e serviços que não são oficialmente aprovados pela empresa. Utilizam-nos para aumentar a produtividade e impulsionar a inovação. Com a utilização da TI sombra, os funcionários dão involuntariamente oportunidades aos hackers para explorarem vulnerabilidades de segurança.
Ao ligar o DMARC, fica a saber da existência dessas ferramentas e pode até conhecer os funcionários que as utilizam. É por isso que os funcionários que utilizam TI sombra estão relutantes em cumprir o DMARC.
Leia mais: DMARC e Shadow IT
5. Ultrapassar o limite de 10 pesquisas SPF
Sempre que é efectuada uma consulta DNS, esta é adicionada ao limite de pesquisa DNS de 10 SPF e as empresas atingem este limite muito rapidamente. Exceder o limite de pesquisa causa um SPF Permerrore o DMARC considera-o uma "falha". Isto exige a correção do seu registo SPF.
O sistema automático e sem complicações do PowerDMARC SPF flattening do PowerDMARC substitui instantaneamente todos os domínios no seu registo SPF pelos seus endereços IP, eliminando a necessidade de múltiplas pesquisas de DNS.
6. Registo SPF inválido
Muitas vezes, as empresas subcontratam responsabilidades como o marketing e as relações públicas a uma agência e adicionam o seu domínio ao registo SPF utilizando a etiqueta include. Tudo funciona bem até que o remetente terceiro (a agência) altera o seu domínio sem o informar. Isto invalida o seu registo SPF, afectando o processo de verificação do DMARC.
A monitorização diligente e a longo prazo das alterações no seu registo SPF evita que seja apanhado em acções fora do seu controlo. Sugere-se também o lançamento e a utilização de ferramentas de CRM no seu próprio domínio.
7. Desafios globais de conformidade
As empresas de grande dimensão também se deparam com desafios transnacionais. Se trabalha a partir de um escritório sediado na Europa, tem de cumprir o RGPD, a lei de privacidade e segurança mais rigorosa do mundo. Além disso, várias organizações públicas e privadas sediadas na UE estão relutantes em transferir dados para o estrangeiro. De acordo com os regulamentos de privacidade do GDPR, até mesmo os endereços IP são considerados PII.
Para as empresas que se preocupam com esta questão, enviamos os relatórios DMARC para domínios e subdomínios cuja utilização é restrita ao envio de correio eletrónico apenas para determinadas regiões.
8. Gestão de DMARC
Outro desafio numa empresa é quem irá gerir o projeto DMARC e ser o ponto de contacto para as pessoas responsáveis pelos diferentes serviços. Na PowerDMARC, oferecemos esses serviços de gestão de projectos e processos. Entre em contacto connosco para uma adoção a longo prazo do DMARC para lutar contra ataques de phishing e aumentar a taxa de entrega de correio eletrónico.
9. Questões de interpretação
É um desafio ler relatórios DMARC o que, consequentemente, causa problemas na conclusão da sua implementação. Muitas vezes, as empresas entregam a responsabilidade da gestão do DMARC aos seus especialistas de TI internos, sem ter em conta que estes não são realmente adeptos da segurança do correio eletrónico e dos seus protocolos. Ficam presos à política de nenhum ou de quarentena do DMARC e não conseguem oferecer a melhor proteção com a política de rejeição.
10. Inclusão de fornecedores terceiros
É importante integrar fornecedores terceiros no seu registo DMARC publicadopublicado, no entanto, o risco de falsificação do domínio de correio eletrónico é duplicado. Também pode deparar-se com falhas na lista de permissões de remetentes de terceiros com fornecedores de DNS, uma vez que estes assinam e-mails com o seu domínio por defeito, o que resulta numa incompatibilidade.
Superando os desafios empresariais com o PowerDMARC
O DMARC pode ser uma tarefa complexa para qualquer empresa. Desde navegar pelas complexidades técnicas até enfrentar os desafios organizacionais, há vários obstáculos que precisam ser superados. No entanto, os benefícios do DMARC superam em muito os desafios.
O DMARC permite que as empresas comuniquem com confiança e salvaguardem a confiança dos seus clientes. Por isso, abrace a viagem, equipe-se com conhecimentos e tome as medidas necessárias para fortalecer a sua infraestrutura de correio eletrónico com DMARC - é uma viagem que vale a pena iniciar.
Pode entrar em contacto com os nossos especialistas em DMARC para tirar partido dos seus conhecimentos para reforçar a segurança do correio eletrónico da sua empresa hoje mesmo!
- PowerDMARC é nomeado líder G2 em software DMARC pela 4ª vez em 2024 - 6 de dezembro de 2024
- Violação de dados e phishing de correio eletrónico no ensino superior - 29 de novembro de 2024
- O que é o reencaminhamento de DNS e os seus 5 principais benefícios - 24 de novembro de 2024