Correios

DMARC A delegação de subdomínios pode ajudar os proprietários de subdomínios ou um domínio de nível superior a um terceiro de uma forma que seja compatível com DMARC. Isto pode ajudar o nome de domínio do proprietário a reflectir no correio do remetente de: endereço.

Quando se delega subdomínios a um fornecedor DNS de terceiros, a organização delegada torna-se responsável por todos os pedidos DNS relacionados com esses subdomínios. A organização delegada também tem acesso aos registos MX e TXT do subdomínio, embora não possam ver estas definições a menos que estejam especificamente configuradas para o fazer.

O que é a delegação de zona DNS?

A delegação DNS é o processo pelo qual um servidor DNS autoriza outro servidor DNS a realizar acções de autoridade em nome desse servidor. Isto permite uma utilização mais eficiente dos recursos, especialmente quando se trata de implementações em grande escala.

Por exemplo, se a sua empresa tiver centenas de servidores em muitos sítios diferentes, poderá querer delegar autoridade sobre esses servidores para que apenas um servidor seja responsável por todos os registos de uma zona. Isto significa que, se um sítio cair, outros sítios ainda poderão resolver os seus servidores de nomes e aceder aos seus dados sem problemas.

Porque é que a delegação de Zona é importante ou benéfica?

A delegação da zona DNS é uma parte importante da sua infra-estrutura DNS.

A zona DNS, ou domínio, é uma colecção de um ou mais servidores DNS que são autorizados para um determinado domínio. Quando se tem um único servidor DNS, é chamado de servidor DNS primário. Se tiver vários servidores DNS, todos eles são chamados de servidores secundários.

A delegação de zona permite-lhe designar um ou mais servidores de nomes como servidores secundários para a zona. O objectivo principal da delegação de zona, tal como a Microsoft correctamente assinalou na sua Documento da delegação de zonaé criar redundância no seu ambiente DNS e permitir-lhe adicionar novos servidores de nomes ou alterar a sua configuração sem perturbar o resto da sua rede.

O que é a Delegação Subdomínio?

A delegação sub-domínio é uma óptima forma de delegar o controlo do seu domínio a outra pessoa ou entidade. É também conhecida como transferência de subdomínios, gestão de subdomínios e proxy de subdomínios, e pode ser utilizada para muitos fins diferentes.

O que significa para si a Delegação Subdomínio?

Ao delegar o seu domínio, está essencialmente a dar permissão a outra pessoa para gerir o seu domínio em seu nome. Isto significa que a pessoa que recebe o seu domínio poderá fazer o que quiser com ele - quer isso seja adicionar domínios adicionais ou alterar as definições do DNS ou mesmo apagar completamente o domínio. É com eles que depende!

Como funciona a Delegação Subdomínio?

Os subdomínios são como os domínios normais: têm nomes e um endereço IP. A diferença entre um domínio e um subdomínio é que os subdomínios estão sob algum outro nome de domínio (como "exemplo.com"). Para os utilizar eficazmente, são necessárias três coisas: um hostname que corresponda ao nome de domínio original, um endereço IP que corresponda ao que foi atribuído quando o domínio original foi criado (que pode ou não ser o mesmo que o actual), e direitos de acesso dados por quem quer que o controle. 

A Delegação Subdomínio DMARC torna a sua vida mais fácil?

Há várias razões para que possa querer delegar os seus subdomínios a um terceiro fornecedor. Abaixo são apresentados alguns deles: 

  • Deseja que a identidade e o nome do seu domínio reflictam nos e-mails que os seus terceiros enviam através dos seus nameservers
  • Os seus e-mails serão compatíveis com DMARC, uma vez que parecerão ser originários do seu domínio, e uma vez que terá o controlo total do subdomínio, poderá fazer alterações ao DNS à sua vontade
  • Todos os e-mails provenientes de nameservers com os seus subdomínios delegados passarão SPF autorização e, portanto, DMARC
  • Isto assegurará uma entrega de correio electrónico sem problemas e sem interrupções 

Como delegar um subdomínio a um terceiro fornecedor?

Nota: Para a delegação de subdomínios, terá de ter um subdomínio registado no seu fornecedor DNS actual e as informações do servidor de nomes do terceiro.

  • Inicie a sessão no painel de controlo do seu registador DNS 
  • No seu ficheiro de zona DNS, crie um novo registo NS (nameserver) 
  • Introduza o nome do seu subdomínio no campo Nome, as informações do seu nameserver seguidas de um ponto (.) no campo Valor, e uma TTL de 1800 ou 3600 
  • Guarde as alterações no seu registo e aguarde que o seu DNS actualize as alterações

Pode seguir o mesmo procedimento para delegar o subdomínio a todos os nameservers do seu fornecedor terceirizado. 

Finalmente, para terminar o processo de delegação do seu subdomínio, precisa de adicionar o seu subdomínio ao ficheiro de zona DNS do seu fornecedor de terceiros, e está feito! 

Conformidade DMARC e os Seus Terceiros 

Tornar os seus terceiros compatíveis com DMARC é uma boa forma de garantir que não recebe falsos negativos. Na maioria das vezes, um e-mail legítimo falha a entrega do lado do receptor e é marcado como spam devido a um alinhamento errado da fonte de terceiros para o protocolo DMARC. 

Cobrimos um blogue inteiro sobre como tornar os seus vendedores terceiros compatíveis com o DMARC.

Para mais informações, contacte-nos hoje e marque uma consulta gratuita com um perito em DMARC!

A rotação de chaves DKIM é o processo de actualização das suas chaves DKIM. Deve rodar as suas chaves periodicamente - o período exacto não é importante, mas o processo em si é. Porque o deve fazer? A rotação de chaves refere-se à criação de novas chaves e à actualização de registos DNS com essas novas chaves. A finalidade da rotação das suas chaves DKIM é semelhante à razão pela qual pode alterar as suas senhas periodicamente: é uma medida de segurança que ajuda a evitar que os atacantes se façam passar pelo seu domínio e enviem e-mails de spam ou phishing.

Vejamos, em primeiro lugar, porque é que utiliza chaves DKIM.

Porque usa as teclas DKIM?

DKIM significa DomainKeys Identified Mail (Correio identificado com DomainKeys). É uma forma de adicionar uma camada adicional de segurança ao seu servidor de e-mail para que os seus e-mails não sejam sinalizados como spam e acabem em pastas de spam. A melhor maneira de pensar no DKIM é como um identificador encriptado anexado às suas mensagens para que os destinatários possam verificar que a mensagem foi realmente enviada por si, a pessoa de quem afirma ter vindo. Este identificador, ou chave, é o que lhes permite verificar isso.

Como funciona o DKIM?

O DKIM funciona acrescentando este identificador a cada e-mail que está a ser enviado. Quando alguém recebe um destes e-mails, pode verificar o cabeçalho ou rodapé da mensagem e encontrar uma cadeia de números e letras, que é o identificador encriptado ou a chave DKIM. Antes de um e-mail ser enviado para o seu destinatário, o servidor de e-mail do remetente assina cada e-mail com uma assinatura digital, que é depois validada pelo servidor de e-mail receptor. Este processo prova que o correio electrónico não foi adulterado ou alterado de forma alguma. 

Quando envia o seu e-mail, a assinatura é anexada como um cabeçalho no final da mensagem. Os servidores receptores utilizam chaves públicas (fornecidas pelos proprietários do domínio através dos registos DNS) para desencriptar e verificar estas assinaturas.

Porque é que a rotação de chaves DKIM é importante para a segurança do seu domínio?

A rotação da chave DKIM é quando se começa a utilizar um novo par de chaves privadas/públicas para assinar e autenticar a sua mensagem - e depois deixar de utilizar o antigo par de chaves privadas/públicas.

Porque é que isto é importante? Bem, se alguém conseguisse ter acesso à sua chave privada, poderia realmente usá-la para enviar e-mails fraudulentos que pareçam ser seus! Para evitar este tipo de actividade maliciosa, é a melhor prática rodar as suas chaves de poucos em poucos meses.

Para compreender melhor a importância da rotação da chave DKIM, vejamos este exemplo: 

Digamos que envie uma campanha por correio electrónico para uma venda de férias na sua loja. Utiliza as suas chaves DKIM para assinar os seus emails, mas se enviar emails suficientes utilizando o mesmo par de chaves ao longo do tempo, os maus actores podem eventualmente interceptar e descodificar um deles, uma vez que cada mensagem utiliza o mesmo algoritmo de hash criptográfico. Assim que tiverem a sua chave pública, podem começar a assinar os seus e-mails de phishing com ela sem você sequer saber! É por isso que a rotação periódica da chave DKIM é crucial para a segurança do seu domínio.

Como pode rodar as suas chaves DKIM?

1. Manual DKIM rotação da chave

Pode rodar manualmente as suas chaves DKIM de vez em quando, criando novas chaves para o seu domínio. Para o fazer, siga estes passos: 

  • Dirija-se ao nosso free Gerador de registos DKIM ferramenta
  • Introduza as informações do seu domínio e introduza o selector DKIM desejado à sua escolha 
  • Carregue no botão "Gerar". 
  • Copie o seu novíssimo par de chaves DKIM 
  • A chave pública deve ser publicada no seu DNS, substituindo o seu registo anterior
  • A chave privada deve ser partilhada com o seu ESP (se estiver a externalizar os seus e-mails) ou carregada no seu servidor de e-mail (se tratar da transferência de e-mails no local) 

2. Subdomínio DKIM delegação chave

Os proprietários de domínios podem externalizar a rotação da chave DKIM, permitindo que um terceiro a trate por eles. Isto é quando o proprietário do domínio delega um subdomínio dedicado a um fornecedor de e-mail e lhes pede para gerarem um par de chaves DKIM em seu nome. Isto permite aos proprietários fugir ao incómodo da rotação de chaves DKIM subcontratando a responsabilidade a um terceiro. 

Isto pode, no entanto, causar problemas de sobreposição de políticas com entradas de DMARC. Recomenda-se que as chaves rodadas sejam monitorizadas e revistas por controladores de domínio para assegurar uma implementação suave e sem erros. 

3. DKIM CNAME delegação chave

CNAME significa nome canónico, e são registos DNS que são utilizados para apontar para dados de um domínio externo. A delegação CNAME permite que os proprietários do domínio apontem para DKIM informações de registo que são mantidas por qualquer terceiro externo. Isto é semelhante à delegação de subdomínios, uma vez que o proprietário do domínio só é obrigado a publicar alguns registos CNAME no seu DNS, enquanto que a infra-estrutura DKIM e a rotação da chave DKIM são depois tratadas pelo terceiro para o qual o registo aponta. 

Por exemplo, 

"domain.com" é o domínio a partir do qual os e-mails originários devem ser assinados, e "third-party.com" é o fornecedor que irá tratar do processo de assinatura. 

s1._domainkey.domínio.com CNAME s1.domínio.com.terceiros.com

O registo CNAME acima mencionado precisa de ser publicado no DNS do proprietário do domínio. 

Agora, s1.domain.com.third-party.com já tem um registo DKIM publicado no seu DNS que pode ser: s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."

Esta informação será utilizada para assinar e-mails provenientes de domain.com. 

Nota: Precisa de publicar múltiplos registos DKIM (recomendado: pelo menos 3 registos CNAME) com diferentes selectores no seu DNS para permitir a rotação da chave DKIM. Isto permitirá ao seu fornecedor alternar entre chaves enquanto assina e fornecer-lhes opções alternativas.

4. Rotação automática da chave DKIM

A maioria dos vendedores de correio electrónico e fornecedores de serviços de correio electrónico de terceiros permitem a rotação automática de chaves DKIM para os clientes. Por exemplo, se estiver a utilizar o Office 365 para encaminhar os seus e-mails, ficará satisfeito por saber que a Microsoft suporta a rotação automática de chaves DKIM para os seus utilizadores do Office 365. 

Cobrimos um documento completo sobre como permitir a rotação da chave DKIM para o seu Office 365 e-mails na nossa base de conhecimentos. 

Benefícios de rodar automaticamente as suas chaves DKIM

  • Não tem de fazer nada da sua parte se o seu fornecedor permitir a rotação automática das chaves DKIM. Tudo é gerido por eles. 
  • As configurações manuais são propensas a erros humanos.
  • A rotação automática da chave é rápida e eficaz, não requerendo qualquer interferência da sua parte. 
  • O sistema de gestão do DKIM é completamente subcontratado e tratado por terceiros.

Implementação de uma estratégia de rotação da chave DKIM

Chamamos-lhe o "3 Ds de rotação da chave DKIM”:

  • Discutir 
  • Decida
  • Implementar 

Isto resume uma estratégia eficaz de rotação da chave DKIM para os seus domínios. Quando estiver a utilizar qualquer serviço de terceiros para os seus e-mails e o seu fornecedor estiver a tratar da rotação por si, certifique-se de que tem uma discussão aberta e transparente sobre quando e com que frequência pretende fazer a rotação das suas chaves. Deve ter uma palavra a dizer sobre as linhas de tempo, bem como sobre o tamanho que pretende utilizar para a sua chave selectora (quer pretenda utilizar 1024 bits ou 2048 bits para maior segurança). 

Uma vez passada a fase de discussão, você e o seu fornecedor devem decidir mutuamente qual é a sua estratégia e, finalmente, proceder à implementação da mesma.