Como os ataques de phishing e baseados em correio eletrónico estão a tornar-se populares, tem de configurar as definições DMARC para solidificar as suas defesas contra ciberataques iminentes. A configuração do protocolo DMARC (Domain-based Message Authentication Reporting and Conformance) é o primeiro passo para obter conformidade com os seus e-mails. A forma mais rápida de o conseguir é criando um registo DNS e publicando-o com a ajuda do seu fornecedor de alojamento.
Para configurar DMARCé necessário começar por criar um registo DMARC. Por mais complicado que possa parecer, o processo de configuração do DMARC é relativamente simples!
Explicação da configuração DMARC
Uma configuração DMARC é um processo de autenticação de correio eletrónico que ajuda as organizações a combater a falsificação de correio eletrónico, o phishing e a fraude por correio eletrónico. Para validar a autenticidade das comunicações por correio eletrónico, as definições DMARC funcionam em conjunto com outros sistemas de autenticação de correio eletrónico, como o SPF (Sender Policy Framework) e o DKIM (DomainKeys Identified Mail).
Por que razão deve configurar o DMARC?
90% dos ataques de phishing utilizam o correio eletrónico como vetor, o que torna a autenticação do correio eletrónico indispensável. O Centro de Reclamações sobre Crimes na Internet do FBI de 2020 (Relatório IC3 do FBI de 2020) informou que foram recebidas 28.500 queixas nos EUA sobre ataques baseados em correio eletrónico. Este facto coloca imediatamente o DMARC na linha da frente.
Sabia que...?
- 75% dos domínios organizacionais de todo o mundo foram falsificados em 2020 para enviar e-mails de phishing às vítimas
- 74% dessas campanhas de phishing foram bem sucedidas
- A frequência do BEC aumentou 15% desde o ano passado
- A IBM relatou que uma em cada 5 empresas no último ano sofreu violações de dados causadas por e-mails maliciosos
Verifique o seu domínio agora mesmo para ver como está protegido contra a fraude por correio eletrónico!
Requisitos para uma configuração DMARC
Se configurar um registo DMARC e decidir optar por ele, existem determinados pré-requisitos que precisa de ter em vigor antes de avançar para a implementação.
- Necessita de acesso à sua consola de gestão DNS
- Certifique-se de que reconhece todos os seus remetentes de correio electrónico autorizados
- Registo SPF e/ou DKIM publicado no seu DNS
Elementos fundamentais da sua configuração DMARC: Alinhamento de SPF e DKIM
Para configurar a sua política DMARC é necessário implementar o Sender Policy Framework (SPF) ou o DomainKeys Identified Mail (DKIM), ou ambos.
SPF indica aos servidores de correio eletrónico que endereços IP ou fontes de envio estão autorizados a enviar correio de saída do seu domínio. DKIM adiciona uma assinatura digital ao correio de saída para evitar alterações nas mensagens. Isto evita que mensagens de spam e e-mails fraudulentos cheguem aos seus clientes de e-mail, fazendo-se passar pela sua marca em esquemas de phishing.
Pode configurar o seu alinhamento de domínio para permitir correspondências parciais para os seus campos de cabeçalho SPF e DKIM com o domínio De: ou pode optar por uma autenticação mais rigorosa, optando por uma correspondência exacta.
Como configurar o DMARC? Um guia passo a passo
Para iniciar a configuração do DNS DMARC, siga os passos de configuração indicados abaixo:
Passo 1: Criar o registo DMARC
Começa por criar um registo DNS que define a sua política e estabelece a implementação.
Para criar um registo gratuito, utilize o nosso gerador de DMARC conforme mostrado na captura de ecrã acima. Quando abrir o ecrã da ferramenta, terá de preencher alguns critérios obrigatórios.
Passo 2: Escolha uma política DMARC adequada para os seus e-mails
A etiqueta de política p= é uma etiqueta obrigatória que tem de ser configurada na sua configuração DMARC. Se não o fizer, o seu registo será inválido.
A etiqueta de política p= é uma etiqueta obrigatória que tem de ser configurada na sua configuração DMARC. Se não o fizer, o seu registo será inválido.
Para evitar que os seus e-mails sejam falsificados, é necessário configurar uma política DMARC de p=quarentena ou superior. No entanto, pode escolher uma política "nenhuma" se pretender monitorizar os seus e-mails antes de se comprometer com a aplicação total.
Passo 3: Ativar os relatórios e clicar em "Gerar"
Os restantes critérios não são obrigatórios, no entanto, se pretender configurar flexibilidades de alinhamento para DKIM e SPF ou ativar relatórios DMARC, pode fazê-lo. Os relatórios RUA e RUF podem ajudá-lo a controlar o fluxo de correio e os resultados da autenticação para detetar inconsistências rapidamente.
Por fim, clique no botão "gerar" para finalizar as definições DMARC e concluir o processo de criação do seu registo.
Passo 4: Publicar e validar a configuração do registo
Quando terminar de criar o registo TXT, utilize o botão "copiar" para copiar diretamente a sintaxe e, em seguida, vá para a consola de gestão do DNS. Cole o registo no seu DNS para concluir a configuração do DMARC.
Leia o nosso guia detalhado sobre como publicar um registo registo DMARC no seu DNS para saber mais.
Exemplo de configuração de DMARC
Eis um exemplo de uma configuração DMARC típica:
v=DMARC1; p=rejeitar; adkim=s; aspf=s; rua=mailto:mymail@domain.com; ruf=mailto:mymail@domain.com; pct=100; fo=0;
Nota: Ao iniciar a sua jornada de autenticação de correio eletrónico, pode manter a sua política DMARC (p) em nenhum em vez de rejeitar, para monitorizar o seu fluxo de correio eletrónico e resolver problemas antes de mudar para uma política rigorosa.
Desmascarar a sintaxe de registo
A sintaxe da sua configuração DMARC é a parte mais importante da sua implementação, uma vez que determina a forma como os seus e-mails serão autenticados e a ação que será tomada após a verificação. Vamos explorar alguns mecanismos principais:
- O campo "v" determina a versão do protocolo do DMARC que é o DMARC1
- O campo "p" é o campo obrigatório da política DMARC que pode ser definido como política none/reject/quarantine
- Os campos "rua" aggregate feedback e "ruf" forensic reports são opções de relatório DMARC que ajudam os ESP receptores a fornecer feedback sobre os e-mails enviados aos seus destinatários, que seriam enviados para o seu endereço de e-mail definido ou caixa de correio dedicada
Estes são apenas alguns exemplos; pode explorar mais no nosso blogue detalhado sobre as etiquetas DMARC.
Verificar a configuração do registo DMARC
Depois de ter configurado o DMARC, deve verificar as suas configurações para se certificar de que o protocolo está a funcionar de acordo com as suas necessidades. Sem verificações e monitorização adequadas, a autenticação dos seus e-mails pode tornar-se muito difícil e conduzir a falsos positivos ou falhas, afectando o desempenho da entrega de correio.
Para verificar a sua configuração, pode utilizar gratuitamente a ferramenta de verificação DMARC da PowerDMARC. É uma ferramenta instantânea e eficaz para validar o seu registo DNS TXT que não só mostra o estado da validade do seu registo, como também destaca erros e sugere melhorias para atingir a conformidade mais rapidamente!
Para o utilizar:
- Introduza o seu nome de domínio na caixa de destino (ou seja, se o URL do seu sítio Web for https://company.com o seu nome de domínio será empresa.com)
- Clique no botão "Lookup
- Ver os resultados apresentados no ecrã
Recomendamos este método de verificação, como alternativa à verificação manual, para uma experiência mais rápida, mais exacta e sem complicações.
É possível configurar o DMARC sem DKIM ou SPF?
Não. É necessário configurar um dos dois para garantir que os seus e-mails são autenticados. Pode optar por configurar ambos, que é a abordagem recomendada para obter a máxima segurança, no entanto, isso é completamente opcional.
Abordámos ambas as abordagens em profundidade na nossa base de conhecimentos.
Vantagens e utilizações de uma configuração DMARC
Uma configuração DMARC pode ser útil nas seguintes situações:
- Para garantir que apenas os remetentes autorizados têm permissão para enviar mensagens de correio eletrónico em nome do seu domínio de correio eletrónico
- Para prevenir ataques de phishing por correio electrónico e de falsificação directa de domínios
- Para ver os endereços IP ou as fontes que enviam mensagens de correio eletrónico em seu nome
- Para evitar que as mensagens spammy cheguem aos seus destinatários
- Para melhorar a capacidade de entrega de correio eletrónico do tráfego de correio eletrónico legítimo
Quais são as melhores definições de DMARC?
A melhor definição de DMARC, se pretender a máxima proteção contra ataques baseados em correio eletrónico, é p=rejeitar (em que p é o mecanismo utilizado para especificar a sua política de registos). Uma definição DMARC adequada depende da quantidade de aplicação que pretende (o grau de rigor com que pretende que os destinatários tratem os emails que falham no DMARC).
Apenas para monitorização, pode configurar o DMARC com uma política "nenhum", enquanto que pode configurar "quarentena" se pretender rever os e-mails não autorizados na sua pasta de quarentena ou de spam antes de os rejeitar ou aceitar.
Alavancar o DMARC para Prevenir a Falsificação de Domínios
Tenha em atenção que, se pretender configurar o DMARC para impedir que o seu domínio seja falsificado e manter afastados os ataques de phishing e BEC, recomendamos que seleccione o seguinte critério ao gerar o seu registo DMARC:
Defina a sua política DMARC para p=rejeitar
O que é que isto significa?
Quando configura a aplicação do DMARC na sua organização escolhendo as definições DMARC "rejeitar", isso significa que sempre que uma mensagem de correio eletrónico enviada do seu domínio falhar a autenticação DMARC, o correio eletrónico malicioso é instantaneamente rejeitado pelo servidor de correio eletrónico recetor, em vez de ser entregue na caixa de entrada do destinatário do correio eletrónico.
Como desativar o DMARC?
É importante ter em conta que a desativação da autenticação de correio eletrónico para os seus domínios não é recomendada nem encorajada, uma vez que deixa os seus domínios vulneráveis a uma vasta gama de ciberataques e fornece acesso aberto aos cibercriminosos para se fazerem passar pelo seu domínio. Tendo isso em conta, se ainda quiser desativar o protocolo, pode seguir os passos indicados abaixo:
- Aceder à consola de gestão do seu fornecedor de serviços de registo de DNS
- Navegue até ao editor de DNS avançado para editar as suas definições de DNS
- Localize o domínio para o qual pretende desativar o DMARC
- Eliminar o registo DMARC TXT
- Guardar as alterações e aguardar algum tempo para que as alterações se reflictam
Em alternativa, pode contactar o seu fornecedor de serviços de registo de domínios para o ajudar a eliminar o registo, caso não tenha acesso à consola.
A eliminação da entrada de DNS para DMARC irá desativar automaticamente o protocolo para o domínio específico. No entanto, se tiver vários domínios com DMARC ativado, terá de eliminar manualmente as entradas de DNS dos referidos domínios para os desativar para a sua organização.
Configure o DMARC facilmente com o PowerDMARC
Quando cria uma conta no PowerDMARC, nós tratamos da implementação e configuração do protocolo para si. Também gerimos e monitorizamos a saúde do seu domínio e e-mails, analisamos os seus relatórios agregados e organizamos os seus resultados de autenticação num painel de controlo dedicado.
Se não quiser passar pelo incómodo de uma configuração manual, pode automatizar o processo através de uma avaliação gratuita de 15 dias connosco. Para usufruir das vantagens da autenticação de correio eletrónico e configurar o DMARC de forma a proteger eficazmente o seu domínio, inscreva-se no analisador DMARC hoje mesmo!
- Corrigir o erro de SPF: Ultrapassar o limite de demasiadas pesquisas de DNS do SPF - 26 de abril de 2024
- Como publicar um registo DMARC em 3 passos? - 2 de abril de 2024
- Porque é que o DMARC está a falhar? Corrigir a falha do DMARC em 2024 - 2 de abril de 2024