BEC

Business Email Compromise ou BEC é uma forma de violação da segurança do correio electrónico ou ataque de personificação que afecta organizações comerciais, governamentais, sem fins lucrativos, pequenas empresas e startups, bem como MNCs e empresas para extrair dados confidenciais que podem influenciar negativamente a marca ou organização. Ataques de phishing, fraudes de facturas e ataques de falsificação são todos exemplos de BEC.

Os cibercriminosos são especialistas em esquemas que visam intencionalmente pessoas específicas dentro de uma organização, especialmente aqueles em posições autoritárias como o CEO ou alguém semelhante, ou mesmo um cliente de confiança. O impacto financeiro mundial devido ao BEC é enorme, especialmente nos EUA, que emergiu como o principal centro. Leia mais sobre o volume global do esquema BEC. A solução? Mude para o DMARC!

O que é DMARC?

A Autenticação de Mensagens baseada no domínio, Relatórios e Conformidade (DMARC) é um padrão da indústria para autenticação de correio electrónico. Este mecanismo de autenticação especifica aos servidores receptores como responder às mensagens de correio electrónico com falhas nas verificações de autenticação SPF e DKIM. O DMARC pode minimizar as hipóteses da sua marca cair em ataques BEC por uma percentagem substancial, e ajudar a proteger a reputação da sua marca, informação confidencial e activos financeiros.

Note que antes de publicar um registo DMARC, precisa de implementar SPF e DKIM para o seu domínio, uma vez que a autenticação DMARC faz uso destes dois protocolos padrão de autenticação para validar mensagens enviadas em nome do seu domínio.

Pode utilizar o nosso Gerador de Registos SPF gratuito e o Gerador de Registos DKIM para gerar registos a serem publicados no DNS do seu domínio.

Como optimizar o seu registo DMARC para se proteger contra a BEC?

A fim de proteger o seu domínio contra o Business Email Compromise, bem como permitir um extenso mecanismo de relatórios para monitorizar os resultados da autenticação e ganhar visibilidade completa no seu ecossistema de correio electrónico, recomendamos que publique a seguinte sintaxe de registo DMARC no DNS do seu domínio:

v=DMARC1; p=rejeitar; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Compreender as etiquetas utilizadas durante a geração de um registo DMARC:

v (obrigatório)Este mecanismo especifica a versão do protocolo.
p (obrigatório)Este mecanismo especifica a política de DMARC em uso. Pode definir a sua política de DMARC:

p=nenhum (DMARC no controlo apenas quando as mensagens de correio electrónico que não tenham sido autenticadas ainda aterrarem nas caixas de entrada dos receptores). p=quarantina (DMARC no controlo, em que as mensagens de correio electrónico que não tenham sido autenticadas serão colocadas em quarentena ou depositadas na pasta de spam).

p=rejeição (DMARC na aplicação máxima, em que as mensagens de correio electrónico que não tenham sido verificadas serão descartadas ou não serão entregues de todo).

Para os novatos em autenticação, recomenda-se que comece apenas com a sua política de monitorização (p=nenhuma) e depois passe lentamente à aplicação da lei. No entanto, para efeitos deste blogue, se quiser salvaguardar o seu domínio contra BEC, p=rejeitar é a política recomendada para assegurar a máxima protecção.

sp (opcional)Esta etiqueta especifica a política de subdomínios que pode ser definida para sp=none/quarantine/rejeição solicitando uma política para todos os subdomínios em que as mensagens de correio electrónico estão a falhar a autenticação DMARC.

Esta etiqueta só é útil se desejar definir uma política diferente para o seu domínio principal e subdomínios. Se não for especificada, a mesma política será cobrada a todos os seus subdomínios por defeito.

adkim (opcional)Este mecanismo especifica o modo de alinhamento do identificador DKIM que pode ser definido para s (estrito) ou r (relaxado).

O alinhamento rigoroso especifica que o campo d= na assinatura DKIM do cabeçalho do e-mail deve alinhar-se e corresponder exactamente com o domínio encontrado no cabeçalho de origem.

Contudo, para um alinhamento descontraído, os dois domínios devem partilhar apenas o mesmo domínio organizacional.

aspf (opcional) Este mecanismo especifica o modo de alinhamento do identificador SPF que pode ser definido para s (estrito) ou r (relaxado).

O alinhamento rigoroso especifica que o domínio no cabeçalho "Caminho de retorno" deve alinhar-se e corresponder exactamente com o domínio encontrado no cabeçalho de origem.

Contudo, para um alinhamento descontraído, os dois domínios devem partilhar apenas o mesmo domínio organizacional.

rua (opcional mas recomendado)Esta etiqueta especifica os relatórios agregados de DMARC que são enviados para o endereço especificado após o campo mailto:, fornecendo informações sobre a passagem e falha do DMARC.
ruf (opcional mas recomendado)Esta etiqueta especifica os relatórios forenses DMARC que devem ser enviados para o endereço especificado após o campo mailto:. Os relatórios forenses são relatórios de nível de mensagem que fornecem informações mais detalhadas sobre falhas de autenticação. Uma vez que estes relatórios podem conter conteúdo de correio electrónico, encriptá-los é a melhor prática.
pct (opcional)Esta etiqueta especifica a percentagem de e-mails aos quais a política DMARC é aplicável. O valor por defeito é definido para 100.
fo (opcional mas recomendado)As opções forenses para o seu registo DMARC podem ser definidas:

->DKIM e SPF não passam ou alinham (0)

->DKIM ou SPF não passam ou alinham (1)

->DKIM não passa nem alinha (d)

->SPF não passa ou não alinha (s)

O modo recomendado é fo=1 especificando que os relatórios forenses devem ser gerados e enviados para o seu domínio sempre que os e-mails falharem as verificações de autenticação DKIM ou SPF.

Pode gerar o seu registo DMARC com o Gerador de Registos DMARC gratuito do PowerDMARC, onde pode seleccionar os campos de acordo com o nível de aplicação que desejar.

Note que só uma política de rejeição pode minimizar a BEC, e proteger o seu domínio de ataques de spoofing e phishing.

Embora o DMARC possa ser um padrão eficaz para proteger o seu negócio contra a BEC, a implementação correcta do DMARC requer esforço e recursos. Quer seja um principiante ou um aficionado da autenticação, como pioneiros na autenticação de correio electrónico, o PowerDMARC é uma plataforma única de autenticação de correio electrónico SaaS que combina todas as melhores práticas de autenticação de correio electrónico, tais como DMARC, SPF, DKIM, BIMI, MTA-STS e TLS-RPT, sob o mesmo tecto para si. Nós ajudamo-lo:

  • Passar da monitorização para a aplicação da lei em pouco tempo para manter a BEC à distância
  • Os nossos relatórios agregados são gerados sob a forma de gráficos e tabelas simplificadas para o ajudar a compreendê-los facilmente sem ter de ler ficheiros XML complexos
  • Encriptamos os seus relatórios forenses para salvaguardar a privacidade da sua informação
  • Veja os seus resultados de autenticação em 7 formatos diferentes (por resultado, por fonte de envio, por organização, por anfitrião, estatísticas detalhadas, relatórios de geolocalização, por país) no nosso painel de controlo de fácil utilização para uma experiência óptima do utilizador
  • Ganhe 100% de conformidade DMARC alinhando as suas mensagens de correio electrónico com SPF e DKIM de modo a que as mensagens de correio electrónico que falhem qualquer um dos pontos de verificação de autenticação não cheguem às caixas de entrada dos seus receptores

Como é que o DMARC se protege contra a BEC?

Assim que definir a sua política DMARC para uma aplicação máxima (p=rejeitar), DMARC protege a sua marca de fraude por correio electrónico, reduzindo a possibilidade de ataques de imitação e abuso de domínio. Todas as mensagens recebidas são validadas contra verificações de autenticação de correio electrónico SPF e DKIM para garantir que provêm de fontes válidas.

SPF está presente no seu DNS como um registo TXT, exibindo todas as fontes válidas que estão autorizadas a enviar e-mails do seu domínio. O servidor de correio do destinatário valida o correio electrónico contra o seu registo SPF para o autenticar. DKIM atribui uma assinatura criptográfica, criada usando uma chave privada, para validar as mensagens de correio electrónico no servidor receptor, onde o receptor pode recuperar a chave pública do DNS do remetente para autenticar as mensagens.

Com a sua política de rejeição, os e-mails não são entregues na caixa de correio do destinatário quando as verificações de autenticação falham, indicando que a sua marca está a ser imitada. Isto acaba por manter a BEC como ataques de spoofing e phishing à distância.

Plano Básico do PowerDMARC para Pequenas Empresas

O nosso plano básico começa a partir de apenas 8 USD por mês, pelo que as pequenas empresas e as empresas em fase de arranque que tentam adoptar protocolos seguros como o DMARC podem facilmente utilizá-lo. As vantagens que terá à sua disposição com este plano são as seguintes:

  • Poupe 20% no seu plano anual
  • Até 2.000.000 de e-mails em conformidade com DMARC
  • Até 5 domínios
  • Histórico de dados de 1 ano
  • 2 Utilizadores da Plataforma
  • BIMI hospedado
  • MTA-STS hospedado
  • TLS-RPT

Inscreva-se hojeno PowerDMARC e proteja o domínio da sua marca, minimizando as hipóteses de Compromisso de Email Empresarial e de fraude de email!