Alerta importante: O Google e o Yahoo vão exigir DMARC a partir de abril de 2024.

Como funciona o DMARC?

DMARC, ou Domain-based Message Authentication Reporting and Conformance, é um protocolo de autenticação de e-mail criado com o objectivo de proteger domínios e marcas comerciais de ataques de falsificação. 

Os atacantes podem fazer-se passar pela sua organização para enviar e-mails de phishing aos seus clientes, parceiros comerciais e até aos seus próprios funcionários. A fraude por correio eletrónico é uma das formas mais comuns de as organizações perderem dados sensíveis e dinheiro para os cibercriminosos. 

O DMARC foi concebido para combater a falsificação de domínios agindo como uma forma de receber servidores de correio electrónico para verificar se uma mensagem recebida é genuína ou não. Vamos compreender como funciona exactamente.

powerdmarc seguro de correio electrónico

Como funciona o DMARC?

DMARC combina duas tecnologias existentes para autenticar o correio electrónico proveniente do seu domínio. SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail) são os dois blocos de construção do DMARC. Vamos dar uma vista de olhos a ambos.

SPF

Quando você implementar SPF para o seu domínio, publica um registo SPF no seu DNS. Quando um receptor recebe um e-mail do seu domínio, irá comparar o endereço IP do remetente com a lista de IPs autorizados armazenados no seu registo SPF. Se o servidor receptor encontrar um email de um IP não incluído nesta lista, a mensagem falhará SPF.

Embora o SPF possa ser bastante eficaz, tem certas limitações que o tornam uma solução de autenticação incompleta.

PowerDMARC MSSP é diferente
  • SPF é uma lista branca baseada em IP, o que significa que se alguém encaminhar o e-mail, este não conterá o endereço IP autorizado do remetente original.
  • A SPF não fornece feedback. Ao contrário do DMARC, não há forma de saber se um e-mail falhou a autenticação do SPF.
  • SPF autentica o domínio oculto "mailfrom", não os receptores de domínio "de" verão quando lerem o e-mail. Assim, os atacantes ainda podem falsificar um e-mail. 
  • As mensagens de correio electrónico falhadas SPF ainda podem chegar à caixa de entrada do receptor, a forma como as mensagens de correio electrónico falhadas SPF são processadas varia consoante o MTA receptor 

DKIM

Entretanto, DKIM anexa uma assinatura digital a e-mails autorizados. Quando um remetente não autorizado tenta enviar um e-mail a partir do seu domínio, ou adulteradores com os seus e-mails, o servidor receptor pode detectar isto e impedir que o e-mail seja entregue.

Para que uma mensagem seja aprovada por DMARC, tem de passar na autenticação SPF ou DKIM. Se uma mensagem de correio eletrónico não passar em ambos, o servidor verifica a sua política DMARC para ver o que fazer a seguir. A sua política pode ser definida no seu registo DMARC para uma de 3 opções:

  • p=nenhuma - Mesmo os e-mails que falham a autenticação são entregues na caixa de entrada do receptor.

  • p=quarantina - As mensagens não autenticadas vão para a pasta de spam.

  • p=rejeição - Os emails que falham o DMARC não são entregues ao destinatário.

PowerDMARC MSSP é diferente

É necessário estabelecer uma política de Quarentena ou de Rejeição a fim de aplicar devidamente o DMARC.

Processo de Autenticação DMARC

Para descrever o correio electrónico sem autenticação DMARC, vamos primeiro examinar o correio electrónico sem DMARC:

PowerDMARC MSSP é diferente
  • Um e-mail é enviado de business.com para receiver.com

  • O agente de transferência de correio (MTA) do receiver.com não tem nenhum mecanismo para autenticar o remetente de correio electrónico (business.com)

  • Todos os e-mails enviados a partir do business.com são entregues nas caixas de entrada dos destinatários sem serem validados.

  • Se algum dos e-mails do business.com foi enviado por um atacante que se fazia passar por eles, estes e-mails fraudulentos também foram entregues ao receiver.com.

Agora vamos ver como funciona o correio electrónico com DMARC:

PowerDMARC MSSP é diferente
  • Um e-mail é enviado de business.com para receiver.com

  • receiver.com's Mail Transfer Agent (MTA) procura os registos SPF, DKIM e DMARC do business.com (no seu DNS) para autenticar o remetente

  • Se o remetente for autenticado, o e-mail é entregue ao destinatário. Caso contrário, o e-mail ou é colocado em quarentena (enviado para spam) ou rejeitado (não entregue).

  • Os relatórios DMARC são gerados pela MTA receptora e são enviados para PowerDMARC

O que torna o DMARC melhor?

Poderá estar a perguntar-se porque é que alguém quereria implementar o DMARC em vez de usar apenas o SPF e o DKIM. Afinal, é necessário ter ambos configurados para utilizar DMARC. Mas faltam-lhes duas características chave que tornam o DMARC incrivelmente poderoso.

Alinhamento 

  • Só a SPF e o DKIM oferecem apenas uma protecção limitada porque funcionam independentemente. O DMARC, no entanto, aproveita ambas as tecnologias para a máxima segurança.

  • Quando o seu e-mail é enviado, o 'De domínio' contém o seu nome de domínio. Além disso, o seu domínio aparece também na sua assinatura DKIM. 

  • Se ambos corresponderem, então são considerados alinhados. Com DMARC, a menos que ambos os nomes de domínio estejam alinhados, o e-mail não será autenticado.

Relatórios e Visibilidade

  • Quando implementa DMARC, recebe diariamente relatórios agregados que lhe dizem quais os e-mails que passam pelo seu domínio ou que falham no DMARC. 

  • O DMARC não se limita a defender passivamente o seu domínio, pode ser utilizado para eliminar activamente problemas de entrega e ameaças à segurança.

A pensar se o seu domínio está protegido contra a falsificação? Faça este teste para ver a saúde do seu domínio.

Vantagens do DMARC

Eliminar Ameaças

Detectar e endereçar ataques de falsificação precocemente, encontrar e colocar na lista negra os IPs abusivos 

Maximizar a entrega

Compreender imediatamente onde tem problemas de entregabilidade e resolvê-los rapidamente

Impulsione a sua marca

Quando os protege do phishing, os seus clientes depositarão mais confiança na sua marca

Porque é que o DMARC é bom para a sua marca?

  • Até agora, é bastante claro como o DMARC o ajuda a proteger os seus canais de e-mail contra a falsificação de domínios e phishing. Mas será que proporciona realmente grandes benefícios suficientes para a sua organização para justificar a sua implementação?

  • Imagine um cenário em que um hacker imita a sua marca para enviar e-mails de phishing a todos os seus clientes. Quando centenas de clientes acabam por revelar dados pessoais sensíveis a um cibercriminoso, começam a associar a sua marca a esse esquema de phishing. Agora é o seu nome em todas as notícias por um crime com o qual não teve nada a ver, e problemas legais podem seguir-se.

  • Nunca poderia impedir cada empregado ou cliente de abrir um e-mail falso. Mas é exactamente isso que o DMARC faz.

  • Ao eliminar e-mails fraudulentos antes mesmo de entrar nas caixas de entrada das pessoas, impede a ocorrência de um esquema de phishing. E consequentemente, tem sempre o controlo do que as pessoas vêem nas mensagens de correio electrónico. Está sempre a controlar a sua marca.