Uma configuração DMARC adequada protege a sua organização contra falsificação de correio eletrónico, phishing e outros ataques informáticos baseados em correio eletrónico. Ao configurar o protocolo DMARC (Domain-based Message Authentication Reporting and Conformance), cria uma camada robusta de segurança para os seus emails, garantindo que são autenticados e estão em conformidade com as normas modernas. Este processo de configuração envolve a criação de um registo DNS e o trabalho com o seu fornecedor de alojamento para o publicar, tornando a segurança do correio eletrónico mais acessível e gerível.
Takeaways de chaves
- A configuração DMARC protege contra a falsificação de correio eletrónico e o phishing, autenticando as mensagens de correio eletrónico com SPF e DKIM.
- Os registos DMARC, definidos no DNS, determinam a forma como os e-mails não autorizados são tratados através de políticas como
none
,quarantine
, oureject
. - A configuração do DMARC envolve a criação de um registo, a seleção de uma política, a ativação de relatórios e a sua publicação no DNS.
- A verificação e monitorização regulares dos registos DMARC são essenciais para garantir configurações corretas e evitar problemas de entrega.
- Utilizar
p=reject
oferece a máxima proteção, impedindo que mensagens de correio eletrónico não autorizadas cheguem aos destinatários.
Pré-requisitos para a configuração do DMARC
Antes de avançarmos para o processo de configuração do DMARC, certifique-se de que tem os seguintes elementos em vigor:
- Acesso à consola de gestão do DNS: Isto é essencial para criar e publicar registos DNS.
- Lista de remetentes de correio eletrónico autorizados: Identifique todos os serviços e servidores que enviam e-mails em seu nome para evitar o bloqueio não intencional.
- Registo SPF e/ou DKIM existente no seu DNS: Pelo menos um destes registos já deve estar configurado no seu DNS, uma vez que o DMARC depende deles para a autenticação do correio eletrónico.
Como configurar o DMARC Passo a passo
Para iniciar a configuração do DNS DMARC, siga os passos de configuração indicados abaixo:
Passo 1: Criar o registo DMARC
Começa por criar um registo DNS que define a sua política e estabelece a implementação.
Para criar um registo gratuito, utilize o nosso gerador de DMARC conforme mostrado na captura de ecrã acima. Quando abrir o ecrã da ferramenta, terá de preencher alguns critérios obrigatórios.
Passo 2: Escolha uma política DMARC adequada para os seus e-mails
A etiqueta de política p= é uma etiqueta obrigatória que tem de ser configurada na sua configuração DMARC. Se não o fizer, o seu registo será inválido.
Para evitar que os seus e-mails sejam falsificados, é necessário configurar uma política DMARC de p=quarentena ou superior. No entanto, pode escolher uma política "nenhuma" se pretender monitorizar os seus e-mails antes de se comprometer com a aplicação total.
Passo 3: Ativar os relatórios e clicar em "Gerar"
Os restantes critérios para uma configuração DMARC não são obrigatórios, no entanto, se pretender configurar flexibilidades de alinhamento para DKIM e SPF ou ativar relatórios DMARC, pode fazê-lo. Os relatórios RUA e RUF podem ajudá-lo a controlar o fluxo de correio e os resultados de autenticação para detetar inconsistências rapidamente.
Por fim, clique no botão "gerar" para finalizar as definições DMARC e concluir o processo de criação do seu registo.
Passo 4: Publicar e validar a configuração do registo
Quando terminar de criar o registo TXT, utilize o botão "copiar" para copiar diretamente a sintaxe e, em seguida, vá para a consola de gestão do DNS. Cole o registo no seu DNS para concluir a configuração do DMARC.
Leia o nosso guia detalhado sobre como publicar um registo registo DMARC no seu DNS para saber mais.
Verificar a configuração do DMARC
Depois de ter configurado o DMARC, deve verificar as suas configurações para se certificar de que o protocolo está a funcionar de acordo com as suas necessidades e para que não se depare com o erro muito comum "Nenhum registo DMARC encontrado". Sem verificações e monitorização adequadas, a autenticação dos seus e-mails pode tornar-se muito difícil e conduzir a falsos positivos ou falhas, afectando o desempenho da entrega de correio.
Para verificar a sua configuração, pode utilizar gratuitamente a ferramenta de verificação DMARC da PowerDMARC. É uma ferramenta instantânea e eficaz para validar o seu registo DNS TXT que não só mostra o estado da validade do seu registo, como também destaca erros e sugere melhorias para atingir a conformidade mais rapidamente!
Para o utilizar:
- Introduza o seu nome de domínio na caixa de destino (ou seja, se o URL do seu sítio Web for https://company.com o seu nome de domínio será empresa.com)
- Clique no botão "Lookup
- Ver os resultados apresentados no ecrã
Recomendamos este método de verificação, como alternativa à verificação manual, para uma experiência mais rápida, mais exacta e sem complicações.
Exemplo de configuração de DMARC
Eis um exemplo de uma configuração DMARC típica:
v=DMARC1; p=rejeitar; adkim=s; aspf=s; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; fo=0;
Nota: Ao iniciar a sua jornada de autenticação de correio eletrónico, pode manter a sua política DMARC (p) em nenhum em vez de rejeitar, para monitorizar o seu fluxo de correio eletrónico e resolver problemas antes de mudar para uma política rigorosa.
Sintaxe do registo DMARC
A sintaxe da sua configuração DMARC é a parte mais importante da sua implementação, uma vez que determina a forma como os seus e-mails serão autenticados e a ação que será tomada após a verificação. Vamos explorar alguns mecanismos principais:
- O campo "v" determina a versão do protocolo do DMARC que é o DMARC1
- O campo "p" é o campo obrigatório da política DMARC que pode ser definido como política none/reject/quarantine
- Os campos "rua" aggregate feedback e "ruf" forensic reports são opções de relatório DMARC que ajudam os ESP receptores a fornecer feedback sobre os e-mails enviados aos seus destinatários, que seriam enviados para o seu endereço de e-mail definido ou caixa de correio dedicada
Estes são apenas alguns exemplos; pode explorar mais no nosso blogue detalhado sobre as etiquetas DMARC.
Porque deve configurar o DMARC
90% dos ataques de phishing utilizam o correio eletrónico como vetor, o que torna a autenticação do correio eletrónico indispensável. O Centro de Reclamações sobre Crimes na Internet do FBI de 2020 (Relatório IC3 do FBI de 2020) informou que foram recebidas 28.500 queixas nos EUA sobre ataques baseados em correio eletrónico. Estatísticas de phishing por correio eletrónico como estas colocam imediatamente o DMARC em primeiro plano.
Sabia que...?
- 75% dos domínios organizacionais de todo o mundo foram falsificados em 2020 para enviar e-mails de phishing às vítimas
- 74% dessas campanhas de phishing foram bem sucedidas
- A frequência do BEC aumentou 15% desde o ano passado
- A IBM relatou que uma em cada 5 empresas no último ano sofreu violações de dados causadas por e-mails maliciosos
Verifique o seu domínio agora mesmo para ver como está protegido contra a fraude por correio eletrónico!
Vantagens e utilizações de uma configuração DMARC
Uma configuração DMARC pode ser útil nas seguintes situações:
- Para garantir que apenas os remetentes autorizados têm permissão para enviar mensagens de correio eletrónico em nome do seu domínio de correio eletrónico
- Para prevenir ataques de phishing por correio electrónico e de falsificação directa de domínios
- Para ver os endereços IP ou as fontes que enviam mensagens de correio eletrónico em seu nome
- Para evitar que as mensagens spammy cheguem aos seus destinatários
- Para melhorar a capacidade de entrega de correio eletrónico do tráfego de correio eletrónico legítimo
FAQ de configuração do DMARC
1. É possível configurar o DMARC sem DKIM ou SPF?
Não. É necessário configurar um dos dois para garantir que os seus e-mails são autenticados. Pode optar por configurar ambos, que é a abordagem recomendada para obter a máxima segurança, no entanto, isso é completamente opcional.
Abordámos ambas as abordagens em profundidade na nossa base de conhecimentos.
2. Quais são as melhores definições de DMARC?
A melhor definição de DMARC, se pretender a máxima proteção contra ataques baseados em correio eletrónico, é p=rejeitar (em que p é o mecanismo utilizado para especificar a sua política de registos). Uma definição DMARC adequada depende da quantidade de aplicação que pretende (o grau de rigor com que pretende que os destinatários tratem os emails que falham no DMARC).
Apenas para monitorização, pode configurar o DMARC com uma política "nenhum", enquanto que pode configurar "quarentena" se pretender rever os e-mails não autorizados na sua pasta de quarentena ou de spam antes de os rejeitar ou aceitar.
Tenha em atenção que, se pretender configurar o DMARC para impedir que o seu domínio seja falsificado e manter afastados os ataques de phishing e BEC, recomendamos que seleccione o seguinte critério ao gerar o seu registo DMARC:
Defina a sua política DMARC para p=rejeitar
O que é que isto significa?
Quando configura a aplicação do DMARC na sua organização escolhendo as definições DMARC "rejeitar", isso significa que sempre que uma mensagem de correio eletrónico enviada do seu domínio falhar a autenticação DMARC, o correio eletrónico malicioso é instantaneamente rejeitado pelo servidor de correio eletrónico recetor, em vez de ser entregue na caixa de entrada do destinatário do correio eletrónico.
3. Como desativar o DMARC?
É importante ter em conta que a desativação da autenticação de correio eletrónico para os seus domínios não é recomendada nem encorajada, uma vez que deixa os seus domínios vulneráveis a uma vasta gama de ciberataques e fornece acesso aberto aos cibercriminosos para se fazerem passar pelo seu domínio. Tendo isso em conta, se ainda quiser desativar o protocolo, pode seguir os passos indicados abaixo:
- Aceder à consola de gestão do seu fornecedor de serviços de registo de DNS
- Navegue até ao editor de DNS avançado para editar as suas definições de DNS
- Localize o domínio para o qual pretende desativar o DMARC
- Eliminar o registo DMARC TXT
- Guardar as alterações e aguardar algum tempo para que as alterações se reflictam
Em alternativa, pode contactar o seu fornecedor de serviços de registo de domínios para o ajudar a eliminar o registo, caso não tenha acesso à consola.
A eliminação da entrada de DNS para DMARC irá desativar automaticamente o protocolo para o domínio específico. No entanto, se tiver vários domínios com DMARC ativado, terá de eliminar manualmente as entradas de DNS dos referidos domínios para os desativar para a sua organização.
Configure o DMARC facilmente com o PowerDMARC
Quando cria uma conta no PowerDMARC, nós tratamos da implementação e configuração do protocolo para si. Também gerimos e monitorizamos a saúde do seu domínio e e-mails, analisamos os seus relatórios agregados e organizamos os seus resultados de autenticação num painel de controlo dedicado.
Se não quiser passar pelo incómodo de uma configuração manual, pode automatizar o processo através de uma avaliação gratuita de 15 dias connosco. Para usufruir das vantagens da autenticação de correio eletrónico e configurar o DMARC de forma a proteger eficazmente o seu domínio, inscreva-se na hoje mesmo!
- O que é o MTA-STS? Configurar a política correta do MTA-STS - 15 de janeiro de 2025
- Como corrigir uma falha DKIM - 9 de janeiro de 2025
- O que é a política DMARC? Nenhum, Quarentena e Rejeição - 9 de janeiro de 2025