Correios

Normas de autenticação por e-mail: SPF, DKIM, e DMARC estão a mostrar promessa em reduzir as tentativas de falsificação de correio electrónico e melhorar a entregabilidade do correio electrónico. Ao mesmo tempo que diferenciam os e-mails falsificados (falsos) dos legítimos, as normas de autenticação de e-mail vão mais longe ao distinguir se um e-mail é legítimo, verificando a identidade do remetente.

medida que mais organizações adoptam estas normas, a mensagem global de confiança e autoridade na comunicação por correio electrónico começará a reafirmar-se. Todas as empresas que dependem do marketing por correio electrónico, pedidos de projectos, transacções financeiras, e a troca geral de informação dentro ou entre empresas precisam de compreender as bases do que estas soluções são concebidas para realizar e quais os benefícios que podem obter com elas.

O que é Email Spoofing?

A falsificação de emails é uma questão comum de ciber-segurança que as empresas enfrentam actualmente. Neste artigo, iremos compreender como funciona a falsificação e os vários métodos para a combater. Aprenderemos sobre as três normas de autenticação utilizadas pelos fornecedores de correio electrónico - SPF, DKIM, e DMARC para impedir que isso aconteça.

A falsificação de emails pode ser classificada como um ataque de engenharia social avançada que utiliza uma combinação de técnicas sofisticadas para manipular o ambiente de mensagens e explorar as características legítimas do email. Estas mensagens de correio electrónico parecerão muitas vezes inteiramente legítimas, mas são concebidas com a intenção de obter acesso à sua informação e/ou recursos. A falsificação de correio electrónico é utilizada para uma variedade de fins, desde tentativas de cometer fraude, até à violação da segurança, e mesmo para tentar obter acesso a informações comerciais confidenciais. Como uma forma muito popular de falsificação de correio electrónico, os ataques de falsificação visam enganar os destinatários, levando-os a acreditar que um correio electrónico foi enviado por uma empresa que eles utilizam e em que podem confiar, em vez do remetente real. Como os emails são cada vez mais enviados e recebidos em massa, esta forma maliciosa de fraude de emails tem aumentado dramaticamente nos últimos anos.

Como pode a Autenticação por Email Prevenir a Falsificação?

A autenticação de e-mail ajuda-o a verificar fontes de envio de e-mail com protocolos como SPF, DKIM, e DMARC para evitar que atacantes forjem nomes de domínio e lancem ataques de falsificação para enganar utilizadores insuspeitos. Fornece informação verificável sobre os remetentes de correio electrónico que pode ser utilizada para provar a sua legitimidade e especificar para receber MTAs o que fazer com os emails que falham a autenticação.

Assim, para alistar os vários benefícios da autenticação de correio electrónico, podemos confirmar que a SPF, DKIM, e DMARC ajudam em:

  • Proteger o seu domínio contra ataques de phishing, spoofing de domínio e BEC
  • Fornecimento de informação granular e insights sobre fontes de envio de correio electrónico
  • Melhorar a reputação do domínio e as taxas de entregabilidade de correio electrónico
  • Impedindo que os seus e-mails legítimos sejam marcados como spam

Como é que a SPF, DKIM, e DMARC trabalham em conjunto para acabar com a falsificação?

Quadro da Política de Remetentes

SPF é uma técnica de autenticação de e-mail utilizada para impedir que os spammers enviem mensagens em nome do seu domínio. Com ele, pode publicar servidores de correio electrónico autorizados, dando-lhe a capacidade de especificar quais os servidores de correio electrónico autorizados a enviar correio electrónico em nome do seu domínio. Um registo SPF é armazenado no DNS, listando todos os endereços IP que estão autorizados a enviar correio electrónico para a sua organização.

Se quiser aproveitar o SPF de uma forma que garanta o seu bom funcionamento, precisa de garantir que o SPF não se rompa para os seus e-mails. Isto pode acontecer no caso de exceder o limite de 10 consultas DNS, causando o SPF permerror. O SPF pode ajudá-lo a manter-se abaixo do limite e autenticar as suas mensagens de correio electrónico sem problemas.

DomainKeys Correio Identificado

Fazer-se passar por um remetente de confiança pode ser utilizado para enganar o seu receptor, levando-o a baixar a guarda. DKIM é uma solução de segurança de e-mail que adiciona uma assinatura digital a cada mensagem que vem da caixa de entrada do seu cliente, permitindo ao receptor verificar que foi de facto autorizado pelo seu domínio e entrar na lista de remetentes de confiança do seu site.

O DKIM apõe um valor hash único, ligado a um nome de domínio, a cada mensagem de correio electrónico enviada, permitindo ao destinatário verificar se uma mensagem de correio electrónico que afirma ter vindo de um domínio específico foi de facto autorizada pelo proprietário desse domínio ou não. Isto acaba por ajudar a detectar as tentativas de falsificação.

Autenticação de mensagens com base no domínio, relatórios e conformidade

A simples implementação do SPF e do DKIM pode ajudar a verificar as fontes de envio, mas não é suficientemente eficaz para parar a falsificação por si só. A fim de impedir os cibercriminosos de entregar e-mails falsos aos seus destinatários, é necessário implementar hoje o DMARC. O DMARC ajuda-o a alinhar os cabeçalhos das mensagens de correio electrónico para verificar e-mails de endereços, expondo tentativas de falsificação e utilização fraudulenta de nomes de domínio. Além disso, dá aos proprietários de domínios o poder de especificar aos servidores de recepção de correio electrónico como responder a e-mails que falhem a autenticação SPF e DKIM. Os proprietários de domínios podem optar por entregar, colocar em quarentena, e rejeitar e-mails falsos com base no grau de aplicação de DMARC de que necessitam.

Nota: Apenas uma política de rejeição DMARC lhe permite parar a falsificação.

Além disso, o DMARC também oferece um mecanismo de relatórios para dar visibilidade aos proprietários de domínios nos seus canais de correio electrónico e resultados de autenticação. Ao configurar o seu analisador de relatórios DMARC, pode monitorizar regularmente os seus domínios de correio electrónico com informação detalhada sobre fontes de envio de correio electrónico, resultados de autenticação de correio electrónico, geolocalizações de endereços IP fraudulentos, e o desempenho geral dos seus e-mails. Ajuda-o a analisar os seus dados DMARC num formato organizado e legível, e a tomar medidas contra atacantes mais rapidamente.

Em última análise, SPF, DKIM, e DMARC podem trabalhar em conjunto para o ajudar a catapultar a segurança do correio electrónico da sua organização para novas alturas, e impedir atacantes de falsificar o seu nome de domínio para salvaguardar a reputação e credibilidade da sua organização.

Antes de entrarmos em como configurar o DKIM para o seu domínio, vamos falar um pouco sobre o que é o DKIM. DKIM, ou DomainKeys Identified Mail, é um protocolo de autenticação de correio electrónico que é utilizado para verificar a autenticidade dos e-mails enviados. O processo envolve a utilização de uma chave criptográfica privada gerada pelo seu servidor de correio que assina cada mensagem de correio electrónico enviada. Isto assegura que os seus destinatários podem verificar que os e-mails que recebem foram enviados pelo seu servidor de correio e não são forjados. Isto pode melhorar a entregabilidade e ajudar a eliminar o spam. Para o colocar simplesmente um e-mail de um servidor de correio electrónico activado por DKIM contém uma assinatura digital ou, mais correctamente, uma assinatura criptográfica, que pode ser validada pelo servidor de correio electrónico do destinatário.

O DKIM foi criado combinando tecnologias existentes como DomainKeys (de Yahoo) e Identified Internet Mail (de Cisco). Evoluiu para um método de autenticação amplamente adoptado, conhecido como DKIM e está também registado como RFC (Request for Comments) pela IETF (Internet Engineering Task Force). Todos os principais ISPs como o Google, Microsoft e Yahoo criam uma assinatura digital que é incorporada no cabeçalho do correio electrónico de saída e validam o correio de entrada com as suas próprias políticas.

No blog vamos mergulhar no mecanismo utilizado no DKIM para validar os seus e-mails e as suas várias vantagens, bem como aprender a configurar o DKIM para o seu próprio domínio.

Como configurar o DKIM para proteger o seu domínio contra a falsificação?

A assinatura DKIM é gerada pela MTA e é armazenada no domínio da lista. Depois de receber o e-mail, pode verificar o DKIM utilizando a chave pública. DKIM como um mecanismo de autenticação que pode provar a identidade de uma mensagem. Esta assinatura prova que a mensagem é gerada por um servidor legítimo.

Isto é especialmente necessário, uma vez que os ataques de falsificação de domínios estão a aumentar nos últimos tempos.

O que é uma Assinatura DKIM?

A fim de utilizar o DKIM, é necessário decidir o que deve ser incluído na assinatura. Normalmente, este é o corpo do e-mail e alguns cabeçalhos predefinidos. Não é possível alterar estes elementos uma vez definidos, por isso escolha-os cuidadosamente. Depois de decidir que partes do e-mail serão incluídas na assinatura DKIM, estes elementos devem permanecer inalterados para manter uma assinatura DKIM válida.

Não confundir com o selector DKIM, a assinatura DKIM não é mais do que um consórcio de valores de cordas arbitrárias também conhecido como "valores de hash". Quando o seu domínio é configurado com DKIM, o seu servidor de e-mail de envio encripta este valor com uma chave privada a que só você tem acesso. Esta assinatura assegura que o e-mail que envia não foi alterado ou adulterado depois de ter sido enviado. Para validar a assinatura DKIM, o receptor do correio electrónico efectuará uma consulta DNS para pesquisar a chave pública. A chave pública terá sido fornecida pela organização que detém o domínio. Se coincidirem, o seu correio electrónico é classificado como autêntico.

Como configurar o DKIM em 3 Passos Fáceis?

A fim de implementar facilmente o DKIM com PowerDMARC tudo o que precisa de fazer é gerar o seu registo DKIM usando o nosso gerador de registo DKIM gratuito. O seu registo DKIM é um registo DNS TXT que é publicado no DNS do seu domínio. Em seguida, pode realizar uma pesquisa DKIM gratuita, utilizando a nossa ferramenta de pesquisa de registos DKIM. Esta ferramenta gratuita fornece uma verificação DKIM com um clique, assegurando que o seu registo DKIM está livre de erros e é válido. No entanto, a fim de gerar o registo, precisa primeiro de identificar o seu selector DKIM.

Como identificar o meu selector DKIM?

Uma questão frequente levantada pelos proprietários de domínios é como encontrar o meu DKIM? Para encontrar o seu selector de DKIM, tudo o que precisa de fazer é

1) Envie um email de teste para a sua conta de gmail 

2) Clique nos 3 pontos ao lado do e-mail na sua caixa de entrada do gmail

3) Seleccione "mostrar original". 

4) Na página "Mensagem original" navegue até ao fundo da página para a secção de assinatura DKIM e tente localizar a etiqueta "s=", o valor desta etiqueta é o seu selector DKIM. 

DMARC e DKIM

Uma pergunta comum que se pode colocar frequentemente é se a implementação do DKIM é suficiente? A resposta é não. Embora o DKIM o ajude a encriptar as suas mensagens de correio electrónico com uma assinatura criptográfica a fim de validar a legitimidade dos seus remetentes, não fornece uma forma de os destinatários de correio electrónico responderem às mensagens que falham o DKIM. É aqui que o DMARC intervém!

A Autenticação de Mensagens Baseadas no Domínio, Relatórios e Conformidade (DMARC) é um protocolo de autenticação de e-mail que ajuda os proprietários de domínios a tomar medidas contra mensagens que falhem a autenticação SPF/DKIM. Isto, por sua vez, minimiza as hipóteses de ataques de spoofing de domínio e BEC. O DMARC juntamente com o SPF e o DKIM pode melhorar a entregabilidade do correio electrónico em 10% ao longo do tempo e aumentar a reputação do seu domínio.

Inscreva-se hoje no PowerDMARC para beneficiar do seu teste DMARC grátis hoje!

Porque é que preciso de DKIM? O SPF não é suficiente?

O trabalho à distância introduziu especificamente as pessoas num número crescente de phishing e ciberataques. Na sua maioria, a pior quantidade de ataques de phishing são aqueles que não se pode ignorar. Não importa a quantidade de e-mails de trabalho recebidos e enviados, e apesar do aumento do chat no local de trabalho e das aplicações de mensagens instantâneas, para a maioria das pessoas que trabalham em escritórios, o e-mail continua a dominar a comunicação empresarial, tanto interna como externamente.

No entanto, não é segredo que os e-mails são geralmente o ponto de entrada mais comum para ciberataques, o que envolve a infiltração de malware e explorações na rede e nas credenciais, e a revelação dos dados sensíveis. De acordo com dados da SophosLabs em Setembro de 2020, cerca de 97% do spam malicioso capturado pelas armadilhas de spam eram e-mails de phishing, à procura de credenciais, ou qualquer outra informação .

Destes, os restantes 3% levavam um saco misto de mensagens que tinham sido carregadas com links para websites maliciosos ou com aqueles que eram anexos armadilhados. Estes esperavam instalar backdoors, trojans de acesso remoto (RATs), ladrões de informação, explorações, ou talvez descarregar outros ficheiros maliciosos.

Independentemente da fonte, o phishing continua a ser uma táctica bastante assustadoramente eficaz para os atacantes, qualquer que seja o seu objectivo final. Existem algumas medidas robustas que todas as organizações poderiam utilizar para verificar se um e-mail veio ou não da pessoa e da fonte de onde afirma ter vindo.

Como é que o DKIM vem salvar?

Deve ser assegurado que a segurança do correio electrónico de uma organização deve ser capaz de manter uma verificação em cada correio electrónico que chega, o que seria contra as regras de autenticação que estão a ser definidas pelo domínio de onde o correio electrónico parece ter vindo. DomainKeys Identified Mail (DKIM ) é aquele que ajuda a analisar um correio electrónico recebido, a fim de verificar se nada foi alterado. No caso das mensagens de correio electrónico legítimas, o DKIM estaria definitivamente a encontrar uma assinatura digital que estaria ligada a um nome de domínio específico.

Este nome de domínio seria anexado ao cabeçalho do e-mail, e haveria uma chave de encriptação correspondente no domínio de origem. A maior vantagem do DKIM é que fornece uma assinatura digital nos cabeçalhos do seu correio electrónico, para que os servidores que o recebem possam autenticar criptograficamente esses cabeçalhos, considerando-o válido e original.

Estes cabeçalhos são normalmente assinados como 'De', 'Para', 'Assunto' e 'Data'.

Porque precisa de DKIM?

Especialistas no domínio da segurança informática afirmam que o DKIM é praticamente necessário no cenário do dia-a-dia para garantir a segurança dos e-mails oficiais. No DKIM, a assinatura está a ser gerada pelo MTA (Mail Transfer Agent), que cria uma sequência única de caracteres chamada Hash Value.

Além disso, o valor hash está a ser armazenado no domínio listado, que após receber o e-mail, o receptor poderia verificar a assinatura DKIM utilizando a chave pública que está a ser registada no Sistema de Nomes de Domínio (DNS). Depois disto, esta chave está a ser utilizada para decifrar o valor de hash no cabeçalho, e também recalcular o valor de hash a partir do email que recebeu.

Depois disto, os peritos estariam a descobrir que, se estas duas assinaturas DKIM forem compatíveis, então a MTA estaria a saber que o e-mail não foi alterado. Além disso, o utilizador está a receber mais uma confirmação de que o e-mail estava efectivamente a ser enviado a partir do domínio listado.

DKIM, que estava a ser formado originalmente pela fusão de duas chaves de estação, chaves de domínio (a criada por Yahoo) e Correio Internet Identificado (por Cisco) em 2004, e tem vindo a evoluir para uma nova técnica de autenticação amplamente adoptada que torna o procedimento de correio electrónico de uma organização bastante fiável, e que é especificamente a razão pela qual as principais empresas tecnológicas como Google, Microsoft e Yahoo verificam sempre a entrada de correio à procura de assinaturas DKIM.

DKIM Vs. SPF

O Sender Policy Framework (SPF) é uma forma de autenticação de correio electrónico que define um processo para validar uma mensagem de correio electrónico, uma que foi enviada de um servidor de correio autorizado para detectar falsificações e para prevenir fraudes.

Embora a maioria das pessoas tenha a opinião de que tanto o SPF como o DKIM devem ser utilizados em organizações, o DKIM tem certamente uma vantagem adicional sobre os outros. As razões são as seguintes:

  • No DKIM, o proprietário do domínio publica uma chave criptográfica, que está a ser especificamente formatada como um registo TXT no registo DNS global
  • A assinatura única DKIM que está a ser anexada ao cabeçalho da mensagem torna-a mais autêntica
  • A utilização do DKIM revela-se mais frutuosa porque a chave DKIM utilizada pelos servidores de correio de entrada para detectar e desencriptar a assinatura da mensagem prova que a mensagem é mais autêntica, e inalterada.

Em Conclusão

Para a maioria das organizações empresariais, o DKIM não só protegeria as suas empresas contra ataques de phishing e de falsificação, como também estaria a ajudar a proteger as relações com os clientes e a reputação da marca.

Isto é especificamente importante, pois o DKIM fornece uma chave de encriptação e uma assinatura digital que prova duplamente que um e-mail não foi forjado ou alterado. Estas práticas ajudariam as organizações e as empresas a aproximarem-se um pouco mais, melhorando a sua entregabilidade de correio electrónico e enviando um correio electrónico seguro, o que estaria a ajudar a gerar receitas. Na sua maioria, depende das organizações quanto à forma como o utilizariam e implementariam o mesmo. Isto é mais importante e relatável, uma vez que a maioria das organizações estaria a querer libertar-se de ataques e ameaças cibernéticas.

Como prestador de serviços DMARC, é-nos feita esta pergunta muitas vezes: "Se o DMARC apenas usa autenticação SPF e DKIM, porque nos devemos preocupar com o DMARC? Não será isso simplesmente desnecessário?"

Na superfície pode parecer que faz pouca diferença, mas a realidade é muito diferente. O DMARC não é apenas uma combinação de tecnologias SPF e DKIM, é um protocolo inteiramente novo por si só. Tem várias características que o tornam um dos mais avançados padrões de autenticação de correio electrónico do mundo, e uma necessidade absoluta para as empresas.

Mas espere um minuto. Ainda não respondemos exactamente porque precisa de DMARC. O que é que oferece que o SPF e o DKIM não oferecem? Bem, essa é uma resposta bastante longa; demasiado longa para apenas um post no blogue. Portanto, vamos dividi-lo e falar primeiro sobre SPF. Caso não esteja familiarizado com ele, aqui vai uma introdução rápida.

O que é SPF?

SPF, ou Sender Policy Framework, é um protocolo de autenticação de correio electrónico que protege o receptor de correio electrónico de e-mails falsificados. É essencialmente uma lista de todos os endereços IP autorizados a enviar correio electrónico através dos seus canais (o proprietário do domínio). Quando o servidor receptor vê uma mensagem do seu domínio, verifica o seu registo SPF que é publicado no seu DNS. Se o IP do remetente constar desta 'lista', o correio electrónico é entregue. Caso contrário, o servidor rejeita a mensagem de correio electrónico.

Como pode ver, o SPF faz um bom trabalho mantendo de fora muitos e-mails não solicitados que podem danificar o seu dispositivo ou comprometer os sistemas de segurança da sua organização. Mas SPF não é quase tão bom como algumas pessoas possam pensar. Isso é porque tem alguns inconvenientes muito importantes. Vamos falar de alguns destes problemas.

Limitações do FPS

Os registos SPF não se aplicam ao endereço From

Os e-mails têm múltiplos endereços para identificar o seu remetente: o endereço From que normalmente vê, e o endereço Return Path que está oculto e requer um ou dois cliques para ser visualizado. Com o SPF activado, o servidor de correio electrónico receptor analisa o Caminho de Retorno e verifica os registos SPF do domínio a partir desse endereço.

O problema aqui é que os atacantes podem explorar isto utilizando um domínio falso no seu endereço do Caminho de Retorno e um endereço de correio electrónico legítimo (ou com aspecto legítimo) na secção De. Mesmo que o receptor verificasse o endereço de correio electrónico do remetente, veria primeiro o endereço De, e normalmente não se preocupa em verificar o Caminho de Regresso. De facto, a maioria das pessoas nem sequer tem conhecimento de que existe uma coisa como o endereço do Caminho de Regresso.

SPF pode ser facilmente contornado usando este truque simples, e deixa até domínios seguros com SPF em grande parte vulneráveis.

Os registos SPF têm um limite de pesquisa DNS

Os registos SPF contêm uma lista de todos os endereços IP autorizados pelo proprietário do domínio para o envio de e-mails. No entanto, têm uma desvantagem crucial. O servidor receptor precisa de verificar o registo para ver se o remetente está autorizado, e para reduzir a carga no servidor, os registos SPF têm um limite de 10 consultas DNS.

Isto significa que se a sua organização utiliza múltiplos vendedores terceiros que enviam e-mails através do seu domínio, o registo SPF pode acabar por ultrapassar esse limite. A menos que seja devidamente optimizado (o que não é fácil de fazer por si próprio), os registos SPF terão um limite muito restritivo. Quando ultrapassa este limite, a implementação do SPF é considerada inválida e o seu correio electrónico falha o SPF. Isto pode potencialmente prejudicar as taxas de entrega do seu correio electrónico.

 

SPF nem sempre funciona quando o e-mail é reencaminhado

O SPF tem outro ponto crítico de falha que pode prejudicar a sua entregabilidade de correio electrónico. Quando tiver implementado o SPF no seu domínio e alguém encaminhar o seu correio electrónico, o correio electrónico encaminhado pode ser rejeitado devido à sua política SPF.

Isto porque a mensagem reencaminhada mudou o destinatário do e-mail, mas o endereço do remetente do e-mail permanece o mesmo. Isto torna-se um problema porque a mensagem contém o endereço original do remetente De mas o servidor receptor está a ver um IP diferente. O endereço IP do servidor de reencaminhamento de correio electrónico não está incluído no registo SPF do domínio do remetente original. Isto poderia resultar na rejeição da mensagem de correio electrónico pelo servidor receptor.

Como é que o DMARC resolve estas questões?

DMARC utiliza uma combinação de SPF e DKIM para autenticar o correio electrónico. Um e-mail precisa de passar por SPF ou DKIM para passar por DMARC e ser entregue com sucesso. E também acrescenta uma característica chave que o torna muito mais eficaz do que apenas o SPF ou o DKIM: Relatórios.

Com os relatórios DMARC, recebe diariamente feedback sobre o estado dos seus canais de correio electrónico. Isto inclui informação sobre o seu alinhamento DMARC, dados sobre emails que falharam a autenticação, e detalhes sobre potenciais tentativas de falsificação.

Se estiver a pensar no que pode fazer para não ser falsificado, consulte o nosso guia prático sobre as 5 principais formas de evitar a falsificação de e-mails.