Correios

A autenticação de e-mail é um aspecto crucial do trabalho de um fornecedor de e-mail. A autenticação de e-mail também conhecida como SPF e DKIM verifica a identidade de um fornecedor de e-mail. DMARC acrescenta ao processo de verificação de um e-mail verificando se um e-mail foi enviado de um domínio legítimo através de alinhamento, e especificando aos servidores receptores como responder a mensagens que não tenham verificado a autenticação. Hoje vamos discutir os vários cenários que responderiam à sua pergunta sobre os motivos da falha do DMARC.

DMARC é uma actividade chave na sua política de autenticação de correio electrónico para ajudar a evitar que e-mails falsos "falsificados" passem por filtros de spam transaccionais. Mas, é apenas um pilar de um programa anti-spam global e nem todos os relatórios DMARC são criados de forma igual. Alguns dir-lhe-ão a acção exacta que os receptores de correio electrónico tomaram em cada mensagem, e outros só lhe dirão se uma mensagem foi bem sucedida ou não. Compreender porque é que uma mensagem falhou é tão importante como saber se foi ou não bem sucedida. O artigo seguinte explica as razões pelas quais as mensagens falham as verificações de autenticação DMARC. Estas são as razões mais comuns (algumas das quais podem ser facilmente corrigidas) pelas quais as mensagens podem falhar as verificações de autenticação DMARC.

Razões comuns porque as mensagens podem falhar DMARC

Identificar os motivos da falha do DMARC pode ser complicado. No entanto, passo em revista algumas razões típicas, os factores que contribuem para elas, para que o proprietário do domínio possa trabalhar no sentido de corrigir o problema mais rapidamente.

Falhas de Alinhamento DMARC

DMARC faz uso do alinhamento de domínios para autenticar as suas mensagens de correio electrónico. Isto significa que o DMARC verifica se o domínio mencionado no endereço From (no cabeçalho visível) é autêntico, fazendo corresponder o mesmo ao domínio mencionado no cabeçalho oculto Return-path (para SPF) e no cabeçalho de assinatura DKIM (para DKIM). Se ou corresponde, o e-mail passa DMARC, ou então o DMARC falha.

Assim, se as suas mensagens de correio electrónico falharem o DMARC pode tratar-se de um caso de desalinhamento de domínio. Não se trata de identificadores SPF ou DKIM alinhados e o correio electrónico parece ser enviado por uma fonte não autorizada. Esta é no entanto apenas uma das razões pelas quais o DMARC está a falhar.

Modo de Alinhamento DMARC 

O seu modo de alinhamento do protocolo também desempenha um papel enorme na passagem ou falha do DMARC nas suas mensagens. Pode escolher entre os seguintes modos de alinhamento para autenticação SPF:

  • Descontraído: Isto significa que se o domínio no cabeçalho do caminho de retorno e o domínio no cabeçalho de From for simplesmente uma correspondência organizacional, mesmo assim o SPF passará.
  • Rigoroso: Isto significa que só se o domínio no cabeçalho do caminho de retorno e o domínio no cabeçalho de From for uma correspondência exacta, só então o SPF passará.

Pode escolher entre os seguintes modos de alinhamento para autenticação DKIM:

  • Descontraído: Isto significa que se o domínio na assinatura DKIM e o domínio no cabeçalho From for simplesmente uma correspondência organizacional, mesmo assim o DKIM irá passar.
  • Rigoroso: Isto significa que só se o domínio na assinatura DKIM e o domínio no cabeçalho From corresponderem exactamente, só então o DKIM passará.

Note-se que para que os emails passem a autenticação DMARC, ou SPF ou DKIM precisam de ser alinhados.  

Não configurar a sua assinatura DKIM 

Um caso muito comum em que o seu DMARC pode estar a falhar é o de não ter especificado uma assinatura DKIM para o seu domínio. Nesses casos, o seu fornecedor de serviços de troca de correio electrónico atribui uma assinatura padrão DKIM aos seus e-mails enviados que não está alinhada com o domínio no cabeçalho do seu From. O MTA receptor não alinha os dois domínios, e por conseguinte, DKIM e DMARC falham para a sua mensagem (se as suas mensagens estiverem alinhadas com SPF e DKIM).

Não Acrescentar Fontes de Envio ao seu DNS 

É importante notar que ao configurar DMARC para o seu domínio, os MTAs receptores efectuam consultas DNS para autorizar as suas fontes de envio. Isto significa que, a menos que tenha todas as fontes de envio autorizadas listadas no DNS do seu domínio, os seus emails falharão o DMARC para as fontes que não estão listadas, uma vez que o receptor não seria capaz de as encontrar no seu DNS. Assim, para assegurar que os seus e-mails legítimos sejam sempre entregues, certifique-se de que faz entradas em todos os seus vendedores autorizados de e-mails de terceiros que estão autorizados a enviar e-mails em nome do seu domínio, no seu DNS.

Em caso de reencaminhamento de e-mail

Durante o reencaminhamento de correio electrónico, o correio electrónico passa por um servidor intermediário antes de ser finalmente entregue ao servidor receptor. Durante o reencaminhamento de correio electrónico, a verificação do SPF falha uma vez que o endereço IP do servidor intermediário não corresponde ao do servidor remetente, e este novo endereço IP não é normalmente incluído no registo SPF do servidor original. Pelo contrário, o reencaminhamento de emails normalmente não tem impacto na autenticação de emails DKIM, a menos que o servidor intermediário ou a entidade de reencaminhamento faça certas alterações no conteúdo da mensagem.

Como sabemos que o SPF falha inevitavelmente durante o reencaminhamento de correio electrónico, se no caso de a fonte de envio ser neutra do DKIM e depender unicamente do SPF para validação, o correio electrónico reenviado será tornado ilegítimo durante a autenticação DMARC. Para resolver esta questão, deve optar imediatamente pela conformidade total com DMARC na sua organização, alinhando e autenticando todas as mensagens enviadas contra SPF e DKIM, já que para um e-mail passar a autenticação DMARC, o e-mail seria obrigado a passar ou a autenticação SPF ou DKIM e o alinhamento.

O seu domínio está a ser falsificado

Se tiver os seus protocolos DMARC, SPF e DKIM devidamente configurados para o seu domínio, com as suas políticas de aplicação e registos válidos isentos de erros, e o problema não for nenhum dos casos acima mencionados, então a razão mais provável pela qual os seus e-mails estão a falhar DMARC é que o seu domínio está a ser falsificado ou falsificado. Isto é quando os imitadores e os actores da ameaça tentam enviar e-mails que parecem vir do seu domínio utilizando um endereço IP malicioso.

Estatísticas recentes de fraude por correio electrónico concluíram que os casos de falsificação de correio electrónico estão a aumentar nos últimos tempos e constituem uma ameaça muito grande para a reputação da sua organização. Em tais casos, se tiver implementado o DMARC numa política de rejeição, este falhará e o correio electrónico falsificado não será entregue na caixa de entrada do seu destinatário. Assim, a falsificação do domínio pode ser a resposta à razão pela qual o DMARC está a falhar na maioria dos casos.

Recomendamos que se inscreva no nosso DMARC Analyzer gratuito e inicie a sua viagem de relatório e monitorização de DMARC.

  • Com uma política sem política pode monitorizar o seu domínio com Relatórios Agregados DMARC (RUA) e manter um olho atento aos seus e-mails de entrada e de saída, isto ajudá-lo-á a responder a quaisquer problemas de entrega indesejados
  • Depois disso, ajudamo-lo a mudar para uma política aplicada que acabaria por ajudá-lo a ganhar imunidade contra ataques de falsificação de domínios e phishing
  • Pode retirar endereços IP maliciosos e denunciá-los directamente da plataforma PowerDMARC para evitar futuros ataques de personificação, com a ajuda do nosso motor de Inteligência de Ameaças
  • Os relatórios forenses do PowerDMARC (RUF) ajudam-no a obter informação detalhada sobre casos em que os seus e-mails falharam DMARC para que possa chegar à raiz do problema e resolvê-lo

Evite a falsificação de domínios e controle o seu fluxo de correio electrónico com PowerDMARC, hoje mesmo!

Quando um e-mail é enviado do servidor remetente, directamente para o servidor receptor, SPF e DKIM (se configurado correctamente) autenticam o e-mail normalmente e normalmente validam-no efectivamente como legítimo ou não autorizado. Contudo, não é esse o caso se o correio electrónico passar por um servidor intermediário de correio antes de ser entregue ao destinatário, tal como no caso de mensagens reencaminhadas. Este blog destina-se a levá-lo através do impacto do reencaminhamento de correio electrónico nos resultados de autenticação DMARC.

Como já sabemos, DMARC faz uso de dois protocolos padrão de autenticação de correio electrónico, nomeadamente SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), para validar as mensagens recebidas. Vamos discuti-los brevemente para compreender melhor o seu funcionamento antes de saltarmos para a forma como o reencaminhamento pode afectá-los.

Quadro da Política de Remetentes

SPF está presente no seu DNS como um registo TXT, exibindo todas as fontes válidas que estão autorizadas a enviar e-mails do seu domínio. Cada correio electrónico que sai do seu domínio tem um endereço IP que identifica o seu servidor e o fornecedor de serviços de correio electrónico utilizado pelo seu domínio que é alistado no seu DNS como registo SPF. O servidor de correio do destinatário valida o correio electrónico contra o seu registo SPF para o autenticar e, consequentemente, marca o correio electrónico como SPF pass ou fail.

DomainKeys Correio Identificado

DKIM é um protocolo padrão de autenticação de correio electrónico que atribui uma assinatura criptográfica, criada usando uma chave privada, para validar as mensagens de correio electrónico no servidor receptor, onde o receptor pode recuperar a chave pública do DNS do remetente para autenticar as mensagens. Tal como o SPF, a chave pública DKIM também existe como um registo TXT no DNS do proprietário do domínio.

O impacto do reencaminhamento de correio electrónico nos resultados da sua autenticação DMARC

Durante o reencaminhamento de correio electrónico, o correio electrónico passa por um servidor intermediário antes de ser finalmente entregue ao servidor receptor. Em primeiro lugar, é importante perceber que o reencaminhamento de correio electrónico pode ser feito de duas maneiras - ou os emails podem ser reencaminhados manualmente, o que não afecta os resultados da autenticação, ou podem ser reencaminhados automaticamente, caso em que o procedimento de autenticação é efectuado se o domínio não tiver o registo da fonte de envio do intermediário no seu SPF.

Naturalmente, normalmente durante o reencaminhamento de correio electrónico a verificação do SPF falha uma vez que o endereço IP do servidor intermediário não corresponde ao do servidor de envio, e este novo endereço IP não é normalmente incluído no registo SPF do servidor original. Pelo contrário, o reencaminhamento de emails normalmente não tem impacto na autenticação de emails DKIM, a menos que o servidor intermediário ou a entidade de reencaminhamento faça certas alterações no conteúdo da mensagem.

Note-se que para um e-mail passar a autenticação DMARC, o e-mail seria obrigado a passar ou a autenticação SPF ou DKIM e alinhamento. Como sabemos que o SPF falha inevitavelmente durante o reencaminhamento de correio electrónico, se no caso de a fonte de envio ser DKIM neutra e depender unicamente do SPF para validação, o correio electrónico reenviado será tornado ilegítimo durante a autenticação DMARC.

A solução? Simples. Deve optar imediatamente pela conformidade total com DMARC na sua organização, alinhando e autenticando todas as mensagens recebidas contra SPF e DKIM!

Atingir a conformidade DMARC com PowerDMARC

É importante notar que, para alcançar a conformidade com DMARC, os e-mails precisam de ser autenticados contra SPF ou DKIM ou ambos. Contudo, a menos que as mensagens encaminhadas sejam validadas contra o DKIM, e dependam apenas do SPF para autenticação, o DMARC falhará inevitavelmente, tal como discutido na nossa secção anterior. É por isso que o PowerDMARC ajuda a alcançar a completa conformidade DMARC, alinhando e autenticando eficazmente as mensagens de correio electrónico contra ambos os protocolos de autenticação SPF e DKIM. Desta forma, mesmo que as mensagens autênticas enviadas falhem SPF, a assinatura DKIM pode ser utilizada para validar a sua legitimidade e o email passa a autenticação DMARC, aterrando subsequentemente na caixa de entrada do receptor.

Casos excepcionais: DKIM falhar e como resolvê-lo?

Em certos casos, a entidade que encaminha pode alterar o corpo do correio fazendo ajustes nos limites do MIME, implementação de programas antivírus, ou recodificando a mensagem. Nesses casos, tanto a autenticação SPF como DKIM falha e os e-mails legítimos não são entregues.

Em caso de falha tanto do SPF como do DKIM, o PowerDMARC é capaz de identificar e mostrar que nas nossas vistas e protocolos agregados detalhados como a Cadeia de Recebimento Autenticada pode ser alavancada por servidores de correio electrónico para autenticar tais e-mails. No ARC, o cabeçalho Autenticação-Resultados pode ser passado para o próximo "salto" na linha de entrega da mensagem, para mitigar eficazmente os problemas de autenticação durante o reencaminhamento de correio electrónico.

No caso de uma mensagem encaminhada, quando o servidor de correio electrónico do receptor recebe uma mensagem que falhou a autenticação DMARC, tenta validar o correio electrónico pela segunda vez, contra a Cadeia de Recepção Autenticada fornecida para o correio electrónico, extraindo os resultados da autenticação ARC do salto inicial, para verificar se foi validado para ser legítimo antes de o servidor intermediário o encaminhar para o servidor receptor.

Portanto, inscreva-se hoje no PowerDMARC, e atinja a conformidade DMARC na sua organização!