Correios

Quebrando os Mitos DMARC

Para muitas pessoas, não é imediatamente claro o que o DMARC faz ou como evita a falsificação, personificação e fraude de domínios. Isto pode levar a sérios equívocos sobre o DMARC, como funciona a autenticação de emails, e porque é bom para si. Mas como sabe o que está certo e o que está errado? E como se pode ter a certeza de que está a implementá-lo correctamente? 

PowerDMARC está aqui para o salvamento! Para o ajudar a compreender melhor o DMARC, compilámos esta lista dos 6 conceitos errados mais comuns sobre DMARC.

Conceitos errados sobre DMARC

1. O DMARC é o mesmo que um filtro de spam

Esta é uma das coisas mais comuns que as pessoas se enganam sobre o DMARC. Os filtros de spam bloqueiam a recepção de e-mails que são entregues na sua caixa de entrada. Estes podem ser e-mails suspeitos enviados a partir do domínio de qualquer pessoa, e não apenas do seu. O DMARC, por outro lado, diz aos servidores de recepção de emails como lidar com os emails enviados a partir do seu domínio. Filtros de spam como o Microsoft Office 365 ATP não protegem contra tais ciberataques. Se o seu domínio é reforçado com DMARC e o e-mail falhar a autenticação, o servidor receptor rejeita-o.

2. Uma vez criado o DMARC, o seu e-mail está seguro para sempre

O DMARC é um dos protocolos de autenticação de correio electrónico mais avançados por aí, mas isso não significa que seja completamente auto-suficiente. É necessário monitorizar regularmente os seus relatórios DMARC para se certificar de que os emails de fontes autorizadas não estão a ser rejeitados. Ainda mais importante, precisa de verificar se os remetentes não autorizados abusam do seu domínio. Quando vê um endereço IP a fazer repetidas tentativas de falsificar o seu e-mail, precisa de tomar medidas imediatas e de os ter na lista negra ou retirados da lista.

3. DMARC irá reduzir a minha capacidade de entrega de correio electrónico

Quando se cria o DMARC, é importante definir primeiro a sua política para p=ninguém. Isto significa que todos os seus e-mails ainda são entregues, mas receberá relatórios DMARC sobre a sua aprovação ou não autenticação. Se durante este período de monitorização vir as suas próprias mensagens de correio electrónico a falhar o DMARC, pode tomar medidas para resolver os problemas. Uma vez que todas as suas mensagens de correio electrónico autorizadas estejam a ser validadas correctamente, pode aplicar o DMARC com uma política de p=quarantena ou p=rejeição.

4. Não preciso de aplicar o DMARC (p=nenhuma é suficiente)

Quando se estabelece o DMARC sem o fazer cumprir (política de p=nenhuma), todos os e-mails do seu domínio - incluindo os que falham o DMARC - são entregues. Receberá relatórios DMARC mas não protegerá o seu domínio de quaisquer tentativas de falsificação. Após o período de monitorização inicial (explicado acima), é absolutamente necessário definir a sua política para p=quarantina ou p=rejeitar e aplicar o DMARC.

5. Só as grandes marcas precisam de DMARC

Muitas organizações mais pequenas acreditam que só as maiores e mais reconhecíveis marcas necessitam de protecção DMARC. Na realidade, os cibercriminosos utilizarão qualquer domínio comercial para lançar um ataque de falsificação. Muitas empresas mais pequenas normalmente não têm equipas dedicadas à segurança cibernética, o que torna ainda mais fácil para os atacantes atacar organizações de pequena e média dimensão. Lembre-se, cada organização que tem um nome de domínio precisa de protecção DMARC!

6. Os relatórios DMARC são fáceis de ler

Vemos muitas organizações a implementar o DMARC e a ter os relatórios enviados para as suas próprias caixas de correio electrónico. O problema com isto é que os relatórios DMARC vêm num formato de ficheiro XML, o que pode ser muito difícil de ler se não se estiver familiarizado com ele. Usando uma plataforma DMARC dedicada pode não só tornar o seu processo de configuração muito mais fácil, mas o PowerDMARC pode converter os seus complexos ficheiros XML em relatórios de fácil leitura com gráficos, gráficos, e estatísticas detalhadas.

 

Este artigo irá explorar como parar a falsificação de e-mails, de 5 maneiras. Imagine que um dia chega ao trabalho, instala-se na sua secretária, e abre o seu computador para verificar as notícias. Depois vê-lo-á. O nome da sua organização está em todas as manchetes - e não é uma boa notícia. Alguém lançou um ataque de falsificação de e-mails a partir do seu domínio, enviando e-mails de phishing a pessoas de todo o mundo. E muitos deles caíram nessa armadilha. A sua empresa acabou de se tornar o rosto de um enorme ataque de phishing, e agora ninguém confia na sua segurança nem nos seus emails.

Esta é exactamente a situação em que os funcionários da Organização Mundial de Saúde(OMS) se encontraram durante a pandemia de Covid-19, em Fevereiro de 2020. Os atacantes estavam a utilizar o nome de domínio real da OMS para enviar mensagens de correio electrónico solicitando doações a um fundo de auxílio ao coronavírus. Este incidente não é, no entanto, um incidente isolado. Inúmeras organizações têm sido vítimas de e-mails de phishing muito convincentes que pedem inofensivamente informações pessoais sensíveis, dados bancários, ou mesmo credenciais de login. Estas podem mesmo apresentar-se sob a forma de e-mails da mesma organização, pedindo casualmente o acesso a uma base de dados ou ficheiros de empresas.

Até 90% de todos os incidentes de perda de dados envolveram algum elemento de phishing. E no entanto, a falsificação de domínios nem sequer é particularmente complexa de conseguir. Então porque é que é capaz de causar tantos danos?

Como funciona o Spoofing de Domínio?

Os ataques de falsificação de domínio são bastante simples de compreender.

  • O atacante forja o cabeçalho do e-mail para incluir o nome da sua organização e envia falsos e-mails de phishing a alguém, usando o seu nome de marca para que confiem em si.
  • As pessoas clicam em ligações maliciosas ou dão informações sensíveis pensando que é a sua organização que as pede.
  • Quando percebem que é um esquema, a sua imagem de marca é afectada, e os clientes perdem a confiança em si

 

Está a expor pessoas fora (e dentro) da sua organização a e-mails de phishing. Pior ainda, e-mails maliciosos enviados a partir do seu domínio podem realmente prejudicar a reputação da sua marca aos olhos dos clientes.

Então o que pode fazer em relação a isto? Como se pode defender a si e à sua marca contra a falsificação de domínios, e evitar um desastre de relações públicas?

Como parar a falsificação de e-mails?

1. Modificar o seu registo SPF

Um dos maiores erros com o SPF é não o manter conciso. Os registos SPF têm um limite de 10 consultas DNS para manter o custo de processamento de cada e-mail o mais baixo possível. Isto significa que a simples inclusão de múltiplos endereços IP no seu registo pode fazê-lo exceder o seu limite. Se isso acontecer, a sua implementação do SPF torna-se inválida e o seu correio electrónico falha SPF e pode não ser entregue. Não deixe que isso aconteça: mantenha o seu registo SPF curto e doce com o SPF automático aplainado.

2. Mantenha a sua Lista de IPs Aprovados actualizada

Se a sua organização utiliza vários vendedores terceiros aprovados para enviar correio electrónico do seu domínio, isto é para si. Se descontinuar os seus serviços com um deles, tem de se certificar de que também actualiza o seu registo SPF. Se o sistema de correio electrónico do vendedor for comprometido, alguém poderá ser capaz de o utilizar para enviar e-mails de phishing 'aprovados' a partir do seu domínio! Certifique-se sempre de que apenas os vendedores terceiros que ainda trabalham consigo têm os seus IPs no seu registo SPF.

3. Implementar DKIM

DomainKeys Identified Mail, ou DKIM, é um protocolo que dá a cada e-mail enviado a partir do seu domínio uma assinatura digital. Isto permite que o servidor de correio electrónico receptor valide se o correio electrónico é genuíno e se foi modificado durante o trânsito. Se o correio electrónico tiver sido manipulado, a assinatura não é validada e o correio electrónico falha o DKIM. Se quiser preservar a integridade dos seus dados, faça o DKIM instalar no seu domínio!

4. Definir a política DMARC correcta

Demasiadas vezes, uma organização implementa o DMARC mas esquece o mais importante - aplicá-lo de facto. As políticas de DMARC podem ser definidas para uma de três coisas: nenhuma, quarentena, e rejeição. Quando se configura o DMARC, ter a sua política definida para nenhuma significa que mesmo um correio electrónico que falha a autenticação é entregue. A implementação do DMARC é um bom primeiro passo, mas sem a sua aplicação, o protocolo é ineficaz. Em vez disso, deve de preferência definir a sua política de rejeição, para que as mensagens de correio electrónico que não passem DMARC sejam automaticamente bloqueadas.

É importante notar que os fornecedores de correio electrónico determinam a reputação de um nome de domínio quando recebem um correio electrónico. Se o seu domínio tem um historial de ataques de falsificação associados a ele, a sua reputação diminui. Consequentemente, a sua capacidade de entrega também é afectada.

5. Carregue o logotipo da sua marca para BIMI

Indicadores de marca para identificação de mensagens, ou BIMI, é uma norma de segurança de correio electrónico que utiliza logótipos de marca para autenticar o correio electrónico. BIMI anexa o seu logótipo como um ícone junto a todos os seus emails, tornando-o imediatamente reconhecível na caixa de entrada de alguém. Se um atacante enviasse um e-mail do seu domínio, o seu e-mail não teria o seu logótipo junto a ele. Assim, mesmo que o e-mail fosse entregue, as hipóteses dos seus clientes reconhecerem um e-mail falso seriam muito maiores. Mas a vantagem da BIMI é dupla.

Sempre que alguém recebe um e-mail seu, vê o seu logótipo e associa-o imediatamente com o produto ou serviço que lhe é oferecido. Assim, não só ajuda a sua organização a parar com a falsificação de correio electrónico, como também reforça o reconhecimento da sua marca.

Inscreva-se hoje no seu analisador DMARC gratuito!