O Business Email Compromise ou BEC é uma forma de violação da segurança do correio eletrónico ou um ataque de falsificação de identidade que afecta organizações comerciais, governamentais, sem fins lucrativos, pequenas empresas e startups, bem como multinacionais e empresas, para extrair dados confidenciais que podem influenciar negativamente a marca ou a organização. Os ataques de spear phishing, as fraudes de facturas e os ataques de spoofing são exemplos de BEC.
Os cibercriminosos são especialistas em esquemas que visam intencionalmente pessoas específicas dentro de uma organização, especialmente aqueles em posições autoritárias como o CEO ou alguém semelhante, ou mesmo um cliente de confiança. O impacto financeiro mundial devido ao BEC é enorme, especialmente nos EUA, que emergiu como o principal centro. Leia mais sobre o volume global do esquema BEC. A solução? Mude para o DMARC!
O que é DMARC?
O DMARC (Domain-based Message Authentication, Reporting and Conformance) é uma norma do sector para a autenticação de correio eletrónico. Este mecanismo de autenticação especifica aos servidores receptores como responder a mensagens de correio eletrónico que não passem nas verificações de autenticação SPF e DKIM. O DMARC pode minimizar as hipóteses de a sua marca ser vítima de ataques BEC numa percentagem substancial e ajudar a proteger a reputação, as informações confidenciais e os activos financeiros da sua marca.
Note-se que antes de publicar um registo DMARC, é necessário implementar SPF e DKIM para o seu domínio, uma vez que a autenticação DMARC utiliza estes dois protocolos de autenticação padrão para validar mensagens enviadas em nome do seu domínio.
Pode utilizar o nosso Gerador de Registos SPF gratuito e o Gerador de Registos DKIM para gerar registos a serem publicados no DNS do seu domínio.
Como optimizar o seu registo DMARC para se proteger contra a BEC?
A fim de proteger o seu domínio contra o Business Email Compromise, bem como permitir um extenso mecanismo de relatórios para monitorizar os resultados da autenticação e ganhar visibilidade completa no seu ecossistema de correio electrónico, recomendamos que publique a seguinte sintaxe de registo DMARC no DNS do seu domínio:
v=DMARC1; p=rejeitar; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;
Compreender as etiquetas utilizadas durante a geração de um registo DMARC:
v (obrigatório) | Este mecanismo especifica a versão do protocolo. |
p (obrigatório) | Este mecanismo especifica a política DMARC em uso. Pode definir a sua política DMARC para:
p=nenhum (DMARC apenas na monitorização, em que os e-mails que falham nas verificações de autenticação continuam a chegar às caixas de entrada dos destinatários). p=quarentena(DMARC na aplicação, em que os e-mails que falham nas verificações de autenticação são colocados em quarentena ou na pasta de spam). p=rejeição (DMARC na aplicação máxima, em que as mensagens de correio electrónico que não tenham sido verificadas serão descartadas ou não serão entregues de todo). No entanto, para efeitos deste blogue, se pretender proteger o seu domínio contra BEC, p=rejeitar é a política recomendada para garantir a máxima proteção. |
sp (opcional) | Esta etiqueta especifica a política de subdomínios que pode ser definida para sp=none/quarantine/rejeição solicitando uma política para todos os subdomínios em que as mensagens de correio electrónico estão a falhar a autenticação DMARC.
Esta etiqueta só é útil se desejar definir uma política diferente para o seu domínio principal e subdomínios. Se não for especificada, a mesma política será cobrada a todos os seus subdomínios por defeito. |
adkim (opcional) | Este mecanismo especifica o modo de alinhamento do identificador DKIM que pode ser definido para s (estrito) ou r (relaxado).
O alinhamento rigoroso especifica que o campo d= na assinatura DKIM do cabeçalho do correio eletrónico deve estar alinhado e corresponder exatamente ao domínio encontrado no cabeçalho from. Contudo, para um alinhamento descontraído, os dois domínios devem partilhar apenas o mesmo domínio organizacional. |
aspf (opcional) | Este mecanismo especifica o modo de alinhamento do identificador SPF que pode ser definido para s (estrito) ou r (relaxado).
O alinhamento rigoroso especifica que o domínio no cabeçalho "Caminho de retorno" deve alinhar-se e corresponder exactamente com o domínio encontrado no cabeçalho de origem. Contudo, para um alinhamento descontraído, os dois domínios devem partilhar apenas o mesmo domínio organizacional. |
rua (opcional mas recomendado) | Esta etiqueta especifica os relatórios agregados de DMARC que são enviados para o endereço especificado após o campo mailto:, fornecendo informações sobre a passagem e falha do DMARC. |
ruf (opcional mas recomendado) | Esta etiqueta especifica os relatórios forenses DMARC que devem ser enviados para o endereço especificado após o campo mailto:. Os relatórios forenses são relatórios de nível de mensagem que fornecem informações mais detalhadas sobre falhas de autenticação. Uma vez que estes relatórios podem conter conteúdo de correio electrónico, encriptá-los é a melhor prática. |
pct (opcional) | Esta etiqueta especifica a percentagem de e-mails aos quais a política DMARC é aplicável. O valor por defeito é definido para 100. |
fo (opcional mas recomendado) | As opções forenses para o seu registo DMARC podem ser definidas:
->DKIM e SPF não passam ou alinham (0) ->DKIM ou SPF não passam ou alinham (1) ->DKIM não passa nem alinha (d) ->SPF não passa ou não alinha (s) O modo recomendado é fo=1 especificando que os relatórios forenses devem ser gerados e enviados para o seu domínio sempre que os e-mails falharem as verificações de autenticação DKIM ou SPF. |
Pode gerar o seu registo DMARC com o Gerador de Registos DMARC gratuito do PowerDMARC, onde pode seleccionar os campos de acordo com o nível de aplicação que desejar.
Note-se que apenas uma política de aplicação de rejeição pode minimizar o BEC e proteger o seu domínio contra ataques de falsificação e phishing.
Embora o DMARC possa ser uma norma eficaz para proteger a sua empresa contra o BEC, a implementação correta do DMARC exige esforço e recursos. Quer seja um novato ou um aficionado da autenticação, como pioneiros na autenticação de e-mail, o PowerDMARC é uma plataforma SaaS de autenticação de e-mail única que combina todas as melhores práticas de autenticação de e-mail, como DMARC, SPF, DKIM, BIMI, MTA-STS e TLS-RPT, sob o mesmo teto para si. Nós ajudamo-lo:
- Passar da monitorização para a aplicação da lei em pouco tempo para manter a BEC à distância
- Os nossos relatórios agregados são gerados sob a forma de gráficos e quadros simplificados para o ajudar a compreendê-los facilmente sem ter de ler ficheiros XML complexos
- Encriptamos os seus relatórios forenses para salvaguardar a privacidade da sua informação
- Veja os seus resultados de autenticação em 7 formatos diferentes (por resultado, por fonte de envio, por organização, por anfitrião, estatísticas detalhadas, relatórios de geolocalização, por país) no nosso painel de controlo de fácil utilização para uma experiência óptima do utilizador
- Ganhe 100% de conformidade DMARC alinhando as suas mensagens de correio electrónico com SPF e DKIM de modo a que as mensagens de correio electrónico que falhem qualquer um dos pontos de verificação de autenticação não cheguem às caixas de entrada dos seus receptores
Como é que o DMARC se protege contra a BEC?
Assim que definir a sua política DMARC para aplicação máxima (p=rejeitar), o DMARC protege a sua marca da fraude por correio eletrónico, reduzindo a possibilidade de ataques de falsificação de identidade e de abuso de domínio. Todas as mensagens de entrada são validadas com verificações de autenticação de correio eletrónico SPF e DKIM para garantir que provêm de fontes válidas.
SPF está presente no seu DNS como um registo TXT, exibindo todas as fontes válidas que estão autorizadas a enviar e-mails do seu domínio. O servidor de correio do destinatário valida o correio electrónico contra o seu registo SPF para o autenticar. DKIM atribui uma assinatura criptográfica, criada usando uma chave privada, para validar as mensagens de correio electrónico no servidor receptor, onde o receptor pode recuperar a chave pública do DNS do remetente para autenticar as mensagens.
Com a sua política de rejeição, os e-mails não são entregues na caixa de correio do destinatário quando as verificações de autenticação falham, indicando que a sua marca está a ser imitada. Isto acaba por manter a BEC como ataques de spoofing e phishing à distância.
Plano Básico do PowerDMARC para Pequenas Empresas
O nosso plano básico começa a partir de apenas 8 USD por mês, pelo que as pequenas empresas e as empresas em fase de arranque que tentam adoptar protocolos seguros como o DMARC podem facilmente utilizá-lo. As vantagens que terá à sua disposição com este plano são as seguintes:
- Poupe 20% no seu plano anual
- Até 2.000.000 de e-mails em conformidade com DMARC
- Até 5 domínios
- Histórico de dados de 1 ano
- 2 Utilizadores da Plataforma
- BIMI hospedado
- MTA-STS hospedado
- TLS-RPT
Inscreva-se hojeno PowerDMARC e proteja o domínio da sua marca, minimizando as hipóteses de Compromisso de Email Empresarial e de fraude de email!
- PowerDMARC faz parceria com o Loons Group para reforçar a segurança de e-mail no Qatar - 13 de março de 2025
- Phishing de correio eletrónico e anonimato online: É possível esconder-se completamente dos atacantes na Darknet? - 10 de março de 2025
- O que é o Sequestro de DNS: Deteção, Prevenção e Mitigação - 7 de março de 2025