SPF vs DKIM vs DMARC
por
Tempo de leitura: 4 min
Existem três protocolos principais que podem ser utilizados para verificar a autenticidade de uma mensagem de correio eletrónico: SPF, DKIM e DMARC. Todos eles servem para evitar a falsificação - a prática de fingir ser o domínio de outra pessoa para enviar correio eletrónico através dos seus servidores - e cada um tem os seus pontos fortes e fracos.
Como o correio electrónico se tornou uma forma de comunicação essencial tanto para indivíduos como para empresas, tornou-se também um alvo principal para os cibercriminosos. Para proteger contra ataques baseados em correio electrónico, tais como spam, phishing, e spoofing, foram desenvolvidos protocolos de autenticação de correio electrónico como SPF, DKIM, e DMARC.
Neste blogue, vamos explorar estes três protocolos de autenticação de correio eletrónico, as suas diferenças e como funcionam em conjunto para fornecer uma estrutura de segurança de correio eletrónico robusta.
Takeaways de chaves
- A implementação de SPF, DKIM e DMARC ajuda a proteger contra a falsificação de correio eletrónico e aumenta a segurança do correio eletrónico.
- O SPF verifica quais os servidores de correio eletrónico autorizados a enviar mensagens de correio eletrónico em nome de um domínio.
- O DKIM adiciona uma assinatura digital às mensagens de correio eletrónico, garantindo que não foram alteradas durante o trânsito.
- O DMARC combina SPF e DKIM, permitindo que os proprietários de domínios definam políticas para lidar com falhas de autenticação.
- A utilização destes protocolos proporciona um maior controlo sobre a segurança do correio eletrónico e melhora a proteção contra ameaças de phishing.
1. Quadro da Política de Remetentes (SPF)
SPF significa "Sender Policy Framework". É utilizado para verificar que um domínio é autorizado a enviar e-mails em nome de outro domínio. Por exemplo, se tiver um endereço de correio electrónico em [e-mail protegido] então pode utilizar SPF para que as pessoas saibam que enviou o correio electrónico a partir desse domínio. Se o seu domínio não tiver um registo SPF, então alguns servidores rejeitarão as suas mensagens de correio electrónico como spam.
Por exemplo, se estiver a gerir o domínio Google Apps de uma empresa e quiser permitir que apenas os servidores do Google enviem e-mails em nome do seu domínio, poderá adicionar o seguinte registo SPF nas suas definições DNS:
v=spf1 include:_spf.google.com -all
Simplifique a segurança com o PowerDMARC!
2. DomainKeys Identified Mail (DKIM)
DKIM significa DomainKeys Identified Mail e é utilizado para verificar a identidade do remetente, assinando cada e-mail com uma chave hash encriptada. Isto permite aos destinatários saber se o correio electrónico foi ou não alterado de alguma forma desde que foi enviado, mostrando-lhes esta assinatura ao lado de cada mensagem nas suas caixas de entrada. Também ajuda a prevenir o spam, impedindo que os remetentes de spam enviem falsos emails fingindo ser do nome de domínio de outra pessoa.
Eis como funciona o DKIM:
- Assinar a mensagem
O servidor de correio do remetente adiciona uma assinatura digital ao cabeçalho da mensagem de correio electrónico. A assinatura é criada utilizando uma chave privada, à qual apenas o servidor de correio do remetente tem acesso. Esta assinatura é única para a mensagem de correio electrónico e verifica que o servidor de correio do remetente aprovou o conteúdo do correio electrónico.
- Publicação da chave pública
O servidor de correio do remetente publica a chave pública nos registos DNS do domínio. A chave pública é utilizada para verificar a assinatura na mensagem de correio electrónico.
- Verificação da assinatura
Quando a mensagem de correio electrónico chega ao servidor de recepção de correio, o servidor recupera a chave pública dos registos DNS do domínio e utiliza-a para verificar a assinatura no cabeçalho do correio electrónico. Se a assinatura for válida, significa que o e-mail não foi adulterado durante o trânsito, e a mensagem é considerada autêntica.
Se a assinatura for inválida, o servidor de e-mail receptor marcará o e-mail como spam ou o rejeitará completamente. Isso ajuda a evitar ataques de phishing, onde um criminoso cibernético se faz passar por uma entidade confiável para enganar o destinatário e fazê-lo revelar informações confidenciais ou baixar malware.
3. Relatório de Autenticação e Conformidade de Mensagens Baseadas no Domínio (DMARC)
O DMARC (Domain-based Message Authentication, Reporting, and Conformance) é um protocolo de autenticação de correio eletrónico que combina o SPF e o DKIM para fornecer uma solução de segurança de correio eletrónico mais abrangente. O DMARC permite que os proprietários de domínios especifiquem políticas sobre a forma como os receptores de correio eletrónico devem tratar os emails que não passam nas verificações SPF ou DKIM. O DMARC funciona através da adição de um registo DNS que indica aos destinatários de correio eletrónico como devem tratar os emails que não passam nas verificações SPF ou DKIM.
O DMARC também permite que as organizações comuniquem as mensagens que falham nas verificações de autenticação, como as falhas SPF ou DKIM, para que possam tomar medidas contra remetentes não autorizados que possam estar a falsificar os seus domínios para enviar e-mails fraudulentos sob falsos pretextos.
Como é que a utilização de SPF, DKIM, e DMARC em conjunto entre si pode melhorar a segurança do e-mail do seu domínio?
A implementação dos protocolos SPF, DKIM, e DMARC em conjunto entre si pode melhorar significativamente a segurança do correio electrónico de um domínio. SPF verifica os servidores de correio electrónico autorizados autorizados a enviar correio electrónico em nome de um domínio, enquanto o DKIM assina correio electrónico com uma chave privada e verifica a autenticidade no servidor do destinatário. DMARC fornece um quadro de política para a autenticação de correio electrónico, permitindo aos proprietários do domínio especificar como a autenticação falhada deve ser tratada, e fornece feedback para ajudar a identificar e resolver potenciais problemas.
Juntos, SPF, DKIM, e DMARC fornecem uma abordagem em camadas à autenticação de e-mail que torna mais difícil para os atacantes falsificarem domínios ou imitarem os remetentes. Também proporcionam aos proprietários dos domínios um maior controlo sobre a segurança do seu correio electrónico, ajudando-os a prevenir ataques baseados em correio electrónico e a assegurar que as mensagens legítimas sejam entregues com sucesso.
Palavras finais
Com o aumento da frequência e complexidade dos ciberataques, é essencial levar a sério a segurança do correio electrónico. Os protocolos de autenticação de correio electrónico, tais como SPF, DKIM, e DMARC desempenham um papel crucial na protecção contra ameaças baseadas em correio electrónico, como spam, phishing, e spoofing. Ao implementar estes protocolos, indivíduos e empresas podem salvaguardar a sua informação sensível e impedir o acesso não autorizado aos seus sistemas.
A segurança do correio electrónico não é apenas importante para proteger dados pessoais e empresariais, mas é também uma componente vital para construir confiança e manter relações com clientes e partes interessadas. Por conseguinte, é crucial tomar medidas proactivas para garantir a segurança e integridade das comunicações por correio electrónico.
Especialista em segurança de domínios e e-mails da PowerDMARC
Ahona é gerente de marketing da PowerDMARC, com mais de 5 anos de experiência em escrever sobre tópicos de segurança cibernética, especializada em segurança de domínio e e-mail. Ahona possui uma pós-graduação em Jornalismo e Comunicação, solidificando sua carreira no setor de segurança desde 2019.
Últimos posts de Ahona Rudra (ver todos)
- A Microsoft reforça as regras do remetente de correio eletrónico: Principais actualizações que não deve perder - 3 de abril de 2025
- Configuração do DKIM: Guia passo a passo para configurar o DKIM para segurança de e-mail (2025) - 31 de março de 2025
- PowerDMARC é reconhecido como líder de rede para DMARC no G2 Spring Reports 2025 - 26 de março de 2025
