Os proprietários de domínios cometem frequentemente o erro de assumir que o seu percurso de autenticação de correio eletrónico termina na aplicação (no DMARC p=reject). Mal sabem eles que a vida após p=rejeitar é uma fase importante que determina a força geral da segurança de email do domínio. Para uma proteção contínua contra ataques de falsificação e phishing, é imperativo formular uma estratégia de segurança de correio eletrónico que só começa depois de conseguir a aplicação. Isto inclui monitorização contínua, relatórios e gestão para garantir a saúde geral da sua configuração de autenticação de correio eletrónico.
Vamos descobrir porque é que a sua jornada DMARC está longe de estar terminada, assim que atingir o seu objetivo de ativar a política p=reject.
O que é p=rejectar?
O Política DMARC tem 3 modos definitivos de aplicação que se podem utilizar, eles são:
- p=nenhuma (nenhuma acção tomada)
- p=quarentena (coloca em quarentena as mensagens de correio eletrónico que não cumprem o DMARC)
- p=rejeitar (rejeita e-mails em caso de O DMARC falha)
Rejeitar é a política máxima de aplicação do DMARC e ajuda os proprietários de domínios a bloquear mensagens falsas ou e-mails de phishing antes de chegarem às caixas de entrada dos clientes. Aqueles que pretendem utilizar o DMARC para proteger os seus domínios contra vectores de ataque baseados em correio eletrónico podem considerar que p=reject é um modo de política adequado.
Como ativar o modo p=rejectar?
Para ativar a política p=reject para DMARC, basta editar o seu registo DNS DMARC nas definições de DNS do seu domínio, conforme mostrado no exemplo abaixo:
Registo anterior: v=DMARC1; p=quarentena;
Registo editado: v=DMARC1; p=rejeitar;
Guarde as alterações no registo editado e dê algum tempo ao DNS para processar as alterações.
Se for cliente da PowerDMARC e utilizar a nossa funcionalidade DMARC alojada, pode alterar o modo da política DMARC do modo anterior para p=reject clicando simplesmente na opção "Reject" nas definições da política diretamente na nossa plataforma - sem necessidade de aceder ao seu DNS.
Riscos potenciais associados ao DMARC na rejeição
Na maioria das vezes, os proprietários de domínios tentam apressar o seu processo de implementação de protocolos e esperam conseguir a sua aplicação o mais rapidamente possível. No entanto, isto não é recomendado. Vamos explicar porquê:
- A passagem à aplicação da lei a um ritmo muito rápido pode levar a problemas de entregabilidade de correio electrónico
- Pode levar à perda de mensagens de correio electrónico legítimas
- Pode resultar em falhas de DMARC para e-mails enviados fora do seu próprio domínio
Como chegar a p=reject com segurança?
Embora a política de rejeição venha com o seu próprio conjunto de avisos e isenções de responsabilidade, a sua eficácia na prevenção de uma variedade de ataques de fraude por correio electrónico é inegável. Por isso, exploremos agora formas de mudar para uma rejeição segura:
Comece com p=nenhuma
Em vez de começar com uma política aplicada, é fortemente encorajado a começar com algo que ofereça mais flexibilidade e liberdade: e é exactamente isso que p=ninguém faz. Esta política, embora não faça muito em termos de protecção, pode servir como uma excelente ferramenta de monitorização para ajudar na sua jornada de implementação.
Activar o relatório DMARC
A monitorização dos seus canais de correio electrónico pode ajudá-lo a evitar falhas de entrega indesejadas devido a protocolos mal configurados. Pode permitir-lhe visualizar e detectar erros, e resolvê-los mais rapidamente.
Relatórios DMARC podem ajudá-lo a identificar a eficácia da sua política de autenticação de correio eletrónico.
Embora a autenticação por e-mail não seja uma bala de prata, pode ser uma ferramenta eficaz no seu arsenal de segurança. Com os relatórios DMARC, pode ver se os seus esforços estão a funcionar e onde poderá ter de ajustar a sua estratégia.
Existem 2 Tipos de Relatórios:
- O Aggregate (RUA) foi concebido para o ajudar a localizar as suas fontes de envio de correio electrónico, endereços IP dos remetentes, domínios organizacionais e geolocalizações
- Forense (RUF) é concebida para funcionar como relatórios de alerta de incidentes quando um evento forense como a falsificação ocorre
- Configurar ambos SPF e DKIM juntamente com DMARC
Demasiados cozinheiros não estragam o caldo quando se trata da implementação do DMARC. Pelo contrário, os peritos em segurança recomendam o emparelhamento do DMARC com o SPF e o DKIM para uma maior protecção, bem como a possibilidade negativa de falsos positivos. Também pode evitar falhas indesejadas de DMARC.
O DMARC precisa de SPF ou DKIM para passar a autenticação.
Isto desempenha um papel fundamental para o ajudar a implementar com segurança uma política de rejeição, assegurando que mesmo que SPF falhe e DKIM passe ou vice-versa, MARC passará para a mensagem pretendida.
Incluir todas as suas fontes de envio
A omissão de fontes de envio no seu registo SPF pode ser especialmente prejudicial quando se tenta evitar falhas DMARC indesejadas. É importante fazer uma lista de todas as suas fontes de envio de correio eletrónico (o que inclui fornecedores de correio eletrónico de terceiros e fornecedores de serviços como o GmailMicrosoft O365, Yahoo Mail, Zoho, etc.)
Isto é especialmente importante se estiver a usar SPF apenas em combinação com DMARC. Sempre que adicionar ou remover uma fonte de envio, o seu registo SPF deve reflectir as mesmas alterações.
O que acontece depois de p=reject?
Se conseguir chegar a p=reject, pode esperar o seguinte:
- Aplicação da segurança do correio eletrónico: Apenas os e-mails que passam nas verificações de autenticação SPF e DKIM (ou pelo menos uma, dependendo das suas definições DMARC) são entregues aos destinatários. Os e-mails que falham nestas verificações são rejeitados e não chegam às caixas de entrada pretendidas.
- Redução dos ataques de spoofing e phishing: Ao atingir p=reject, pode contar com um risco minimizado de ataques de falsificação de domínio direto e de phishing de correio eletrónico no seu próprio domínio.
- Risco reduzido de falsificação de identidade do domínio: A aplicação do DMARC também minimiza o risco de falsificação de identidade do domínio, impedindo que os atacantes utilizem indevidamente ou falsifiquem o seu nome de domínio para enviar mensagens de correio eletrónico maliciosas em seu nome.
Porquê continuar a sua viagem DMARC para além de p=reject?
Depois de ativar p=reject, o seu domínio não se livra magicamente de todas as ameaças potenciais e emergentes! Ele apenas se tornou melhor na defesa contra elas. Estas são as razões pelas quais não deve parar a sua viagem DMARC imediatamente após p=reject:
- Problemas de entrega de correio eletrónico: A falta de controlo rigoroso do seu tráfego de correio eletrónico depois de atingir p=rejectar pode levar a problemas de entrega de correio eletrónico.
- Vectores de ataque emergentes: Os agentes das ameaças inventam periodicamente formas novas e sofisticadas de lançar ciberataques que, muitas vezes, contornam as verificações de autenticação do correio eletrónico, mesmo com p=reject.
- Afinação: Poderá ser necessário ajustar as configurações de SPF, DKIM ou de serviços de terceiros se os emails legítimos forem rejeitados. Por exemplo, se um novo serviço enviar emails em seu nome, poderá ser necessário atualizar o registo SPF ou configurar o DKIM para esse serviço.
Principais prioridades após a obtenção de p=rejectar
Depois de obter p=reject, deve tomar as seguintes medidas necessárias para reforçar ainda mais a segurança do seu correio eletrónico e manter a reputação do seu domínio:
Monitorização e análise contínuas
Pode continuar a rever os seus relatórios DMARC e a monitorizar as informações para identificar quaisquer novas fontes de e-mails não autorizados ou configurações incorrectas.
Proteger os seus domínios e subdomínios inactivos
Certifique-se de que a mesma política p=reject se aplica também aos seus subdomínios e domínios inactivos. Os subdomínios inseguros e os domínios estacionados são frequentemente explorados por hackers.
Implementação do BIMI (Brand Indicators for Message Identification)
A política DMARC aplicada é um requisito obrigatório para BIMI. Assim, depois de o ter conseguido, o próximo passo natural deve ser ativar o BIMI para o seu domínio! Isso irá ajudá-lo a anexar o logótipo da sua marca aos e-mails enviados, bem como a obter a marca de verificação azul em várias caixas de correio de suporte, como Google, Yahoo e Zoho Mail.
Ativação do MTA-STS para mensagens recebidas
Ao proteger as mensagens de correio eletrónico enviadas com DMARC, o que acontece às mensagens de correio eletrónico recebidas? Ativar o MTA-STS impõe a encriptação TLS, garantindo que apenas as mensagens transmitidas através de uma ligação segura podem chegar à sua caixa de correio, impedindo ataques man-in-the-middle.
Gestão de fornecedores terceiros
Reveja e certifique-se de que todos os fornecedores terceiros que enviam mensagens de correio eletrónico em seu nome cumprem normas rigorosas de autenticação e segurança de correio eletrónico. Certifique-se de que os contratos com os fornecedores incluem cláusulas sobre a conformidade da autenticação de correio eletrónico.
Explore as tecnologias de inteligência contra ameaças
Inteligência Preditiva contra Ameaças podem ajudá-lo a detetar, prever e mitigar ameaças emergentes baseadas em correio eletrónico e ciberataques através de tecnologias avançadas alimentadas por IA. Adicioná-los à sua pilha de segurança pode dar um impulso significativo à proteção do seu domínio.
Para resumir a sua vida depois de p=reject
A monitorização dos seus protocolos de autenticação de correio eletrónico é uma parte essencial da vida após o p=reject. Não só garante que a eficácia das suas medidas de segurança é mantida, como também lhe dá uma visão mais profunda das suas funcionalidades para determinar o que funciona melhor para si.
O PowerDMARC ajuda-o a desfrutar de uma transição mais suave de p=nenhum para rejeitar, enquanto o prepara para os próximos passos. Para evitar problemas de capacidade de entrega e gerir facilmente os seus protocolos de autenticação de correio eletrónico, entre em contacto hoje mesmo!
- A ascensão de esquemas de pretexto em ataques de phishing reforçados - 15 de janeiro de 2025
- DMARC torna-se obrigatório para a indústria de cartões de pagamento a partir de 2025 - 12 de janeiro de 2025
- Alterações do NCSC Mail Check e o seu impacto na segurança do correio eletrónico do sector público do Reino Unido - 11 de janeiro de 2025