3 Tipos de política DMARC: Nenhum, Quarentena e Rejeição
A autenticação de correio eletrónico tornou-se uma prática importante na cibersegurança, devido ao aumento da ameaça de personificação de organizações legítimas e bem conhecidas. Uma política DMARC definida no DNS do remetente, incorporada num simples registo TXT, pode resolver com êxito estas preocupações e melhorar as taxas de entrega de correio do remetente.
A política DMARC de um domínio contém instruções para os receptores de correio eletrónico sobre como tratar as mensagens que falham as verificações de autenticação. Esta política pode especificar três acções possíveis:
- DMARC nenhum
- Quarentena DMARC
- Rejeição DMARC
A política DMARC de "rejeição" minimiza significativamente o risco de abuso de domínio, falsificação de identidade de marca, phishing e ataques de spoofing.
DMARC para autenticação de e-mail e proteção contra spoofing
DMARC ou Domain-based Message Authentication, Reporting and Conformance, é um protocolo concebido para autenticar mensagens de correio eletrónico com a ajuda de dois outros protocolos, nomeadamente o SPF (Sender Policy Framework) e o DKIM (DomainKeys Identified Mail). Os proprietários de domínios podem configurar o DMARC utilizando um destes protocolos, ou ambos, para uma proteção mais robusta contra ataques informáticos.
Para iniciar o processo de configuração, é necessário efetuar algumas alterações ao DNS e incluir registos DNS para os protocolos. Após a ativação, o seu registo de Política DMARC valida todas as mensagens enviadas a partir do seu nome de domínio com base no SPF e no DKIM, para determinar se provêm de uma fonte genuína, e decide o que fazer em caso contrário.
O que é uma Política DMARC?
Uma política DMARC é uma instrução TXT, indicada pela etiqueta "p" no registo DMARC, que especifica aos servidores de correio receptores a ação que devem tomar se um correio eletrónico falhar a validação DMARC. Um remetente pode optar por políticas diferentes, dependendo do rigor com que pretende que os destinatários tratem as mensagens de correio eletrónico não conformes. Por exemplo, uma política DMARC aplicada, como p=reject, é uma forma eficaz de reduzir ameaças como phishing, spoofing e falsificação de identidade de nome de domínio, enquanto p=none não terá qualquer efeito.
3 tipos de política DMARC: p=rejeitar, p=nenhum, p=quarentena
Dependendo do nível de aplicação que os proprietários de domínios pretendem estabelecer, existem 3 tipos de políticas DMARC principais: nenhuma, quarentena e rejeição. A principal diferença entre estas opções de política é determinada pela ação tomada pelo agente de transferência de correio recetor ao aderir à política especificada definida pelo remetente do correio no seu registo DNS.
. Aqui, p é o parâmetro que especifica a política DMARC:
- DMARC Nenhum: Uma política de "monitorização apenas" que não serve de proteção - boa para as fases iniciais da sua jornada de implementação.
- Quarentena DMARC: Sinaliza ou coloca em quarentena e-mails não autorizados.
- Rejeição DMARC: Bloqueia o acesso à caixa de entrada de e-mails não autorizados
1. DMARC Nenhuma política
A política DMARC none (p=nenhuma) é uma política DMARC relaxada que é implementada durante as fases iniciais de implementação do DMARC para monitorizar as actividades de correio eletrónico - mais adequada para organizações que estão apenas a começar a sua jornada de autenticação. Não fornece qualquer nível de proteção contra ciberataques.
Exemplo: v=DMARC1; p=none; rua= mailto:(endereço de correio eletrónico);
Principais conclusões:
- O principal objetivo dos proprietários de domínios que seleccionam a política "nenhum" deve ser recolher informações sobre as fontes de envio e manter um controlo sobre as suas comunicações e capacidade de entrega, sem qualquer inclinação para uma autenticação rigorosa. Isto pode dever-se ao facto de ainda não estarem preparados para se comprometerem com a aplicação da lei e estarem a analisar a situação atual com calma.
- Os sistemas de receção de correio eletrónico tratam as mensagens enviadas de domínios configurados com esta política como "sem ação", o que significa que, mesmo que estas mensagens falhem no DMARC, não será tomada qualquer ação para as descartar ou colocar em quarentena. Estas mensagens chegarão com êxito aos seus clientes.
- Os relatórios DMARC continuam a ser gerados quando a opção "p=none" está configurada. Os destinatários transmitem relatórios agregados aos proprietários do domínio, fornecendo informações detalhadas sobre o estado da autenticação das mensagens que parecem ter origem no seu domínio.
2. Política de quarentena DMARC
p=quarentena proporciona um certo nível de proteção, uma vez que o proprietário do domínio pode pedir ao destinatário que reponha as mensagens de correio eletrónico na pasta de spam para as rever mais tarde em caso de falha DMARC.
Exemplo: v=DMARC1; p=quarentena; rua=mailto:(endereço de correio eletrónico);
Em vez de descartar completamente os e-mails não autenticados, a política de "quarentena" oferece a possibilidade de os proprietários de domínios manterem a segurança e, ao mesmo tempo, oferecerem a opção de rever os e-mails antes de os aceitarem, adoptando a abordagem "verificar e depois confiar".
Isto garante que as mensagens legítimas que falham a autenticação DMARC não se perdem antes de serem inspeccionadas de perto. Esta abordagem pode ser considerada intermédia em termos de aplicação e facilita uma transição suave para p=reject, em que os proprietários de domínios podem a) avaliar o impacto do DMARC nas suas mensagens de correio eletrónico e b) tomar decisões informadas sobre se devem ou não rejeitar os emails sinalizados.
3. Política de rejeição DMARC
Por último, a política rejeitar DMARC (p=rejeitar) é uma política de aplicação que garante que as mensagens que não são autenticadas para DMARC são rejeitadas e descartadas pelo servidor de correio eletrónico do destinatário, proporcionando assim uma aplicação máxima.
Exemplo: v=DMARC1; p=reject; rua= mailto:(endereço de correio eletrónico);
A rejeição DMARC pode evitar ataques de phishing, falsificação direta de domínio e outros e-mails fraudulentos, bloqueando mensagens que pareçam suspeitas. Se estiver suficientemente confiante para não dar margem de manobra a emails não autorizados, desviando-os para uma pasta separada para revisão, a política de "rejeição" é adequada para si.
No entanto, tenha em conta o seguinte:
- Testar e planear exaustivamente antes de optar pela rejeição de DMARC
- Certifique-se de que os relatórios estão activados para o seu domínio
- Idealmente, opte por uma solução DMARC alojada para obter assistência especializada na implementação do DMARC e ao longo do seu percurso de aplicação.
Benefícios da aplicação da política DMARC
Vamos analisar as vantagens de definir uma política DMARC rigorosa para o seu domínio:
1. Proteção direta contra phishing e BEC
Quando o DMARC é rejeitado, os e-mails provenientes de fontes não autenticadas são automaticamente rejeitados antes de chegarem à caixa de entrada do destinatário, oferecendo proteção direta contra ataques de phishing, comprometimento do e-mail comercial e fraude do CEO.
2. A primeira linha de defesa contra ransomware e malware
O ransomware e o malware são frequentemente difundidos através de mensagens de correio eletrónico falsas enviadas a partir de nomes de domínio falsos e podem infiltrar-se e apoderar-se completamente do seu sistema operativo. Uma política DMARC em caso de rejeição garante que as mensagens de correio eletrónico falsas são bloqueadas na caixa de entrada do seu cliente antes de este ter a oportunidade de clicar em anexos nocivos e descarregar inadvertidamente ransomware ou malware para o seu sistema, actuando assim como uma linha de defesa elementar contra estes ataques.
Melhor tipo de política DMARC
A rejeição DMARC é a melhor política DMARC se quiser maximizar os seus esforços de segurança de correio eletrónico . Isto porque, quando em p=rejeitar, os proprietários de domínios bloqueiam ativamente as mensagens não autorizadas das caixas de entrada dos seus clientes. Isto proporciona um elevado grau de proteção contra a falsificação direta de domínios, o phishing e outras formas de ameaças de falsificação de identidade, tornando-a uma política anti-phishing eficaz.
- Para monitorizar os seus canais de correio eletrónico: Se pretende simplesmente monitorizar as suas transacções de mensagens e fontes de envio, um DMARC com p=nenhum é suficiente. No entanto, isto não o protegerá contra ciberataques.
- Para se proteger contra ataques de Phishing e Spoofing: Se pretende proteger o seu domínio contra ataques de phishing e falsificação direta de domínio, o DMARC p=reject é imperativo. Ele fornece o nível mais alto de aplicação do DMARC e minimiza eficazmente os ataques de falsificação de identidade.
- Para analisar emails suspeitos antes de serem entregues: Se não pretender bloquear totalmente os e-mails não autorizados, pode permitir que os destinatários os revejam na sua pasta de quarentena quarentena usando uma Quarentena DMARC como sua melhor aposta.
Acabar com os mitos comuns da política DMARC
Existem alguns equívocos comuns sobre as políticas DMARC, alguns dos quais podem ter consequências terríveis na entrega do seu correio eletrónico. Vamos saber o que são e qual é a verdade por detrás deles:
1. O DMARC none pode impedir a falsificação: O DMARC none é uma política "sem ação" e não pode proteger o seu domínio contra ciberataques.
Que política DMARC impede a falsificação?
Um DMARC p=reject é a única política DMARC que é eficaz na prevenção de ataques de falsificação. Isto porque a rejeição DMARC impede que emails não autorizados cheguem à caixa de entrada do destinatário, impedindo-o assim de aceitar, abrir e ler maus emails.
2. Não receberá relatórios DMARC em p=nenhum: Mesmo com p=nenhum, pode continuar a receber relatórios DMARC diários, bastando especificar um endereço de correio eletrónico válido para o remetente.
3. A "quarentena" DMARC não é importante: Muitas vezes ignorada, a política de quarentena do DMARC é extremamente útil para os proprietários de domínios que pretendem fazer uma transição suave da ausência de ação para a aplicação máxima.
4. A rejeição do DMARC afeta a capacidade de entrega: Mesmo em caso de rejeição de DMARC, pode garantir que as suas mensagens são entregues sem problemas, monitorizando e analisando as actividades dos seus remetentes e revendo os resultados da autenticação.
Passos para configurar a sua política DMARC
Passo 1: Active SPF ou DKIM para o seu domínio gerando o seu registo gratuito.
Passo 2: Crie um registo DMARC utilizando o nosso gerador de DMARC ferramenta. Certifique-se de que preenche o parâmetro DMARC p= para definir a sua política DMARC, como no exemplo abaixo:
v=DMARC1; pct=100; p=rejeitar; rua=mailto:[email protected];
Passo 3: Publicar este registo no seu DNS
Resolução de problemas de erros de política DMARC
Erros de sintaxe
Deve estar atento a quaisquer erros de sintaxe ao estabelecer o seu registo para se certificar de que o seu protocolo funciona correctamente.
Erros de configuração
Os erros durante a configuração da política DMARC são comuns e podem ser evitados utilizando um verificador DMARC DMARC.
Política DMARC sp
Se configurar uma política de rejeição DMARC, mas configurar as suas políticas de subdomínio para nenhuma, não conseguirá obter conformidade devido a uma substituição de política nos seus emails de saída.
"Erro "Política DMARC não activada
Se encontrar esta mensagem de erro nos seus relatórios, isso aponta para uma política de domínio DMARC em falta no seu DNS ou uma que esteja definida como "nenhuma". Edite o seu registo para incorporar p=reject/quarantine e isto deverá resolver o problema.
Uma forma mais segura de atualizar, aplicar e otimizar a sua política DMARC
O analisador analisador DMARC do PowerDMARC foi projetada para ajudá-lo a configurar sem esforço o protocolo DMARC, fornecendo uma interface nativa da nuvem para monitorar e otimizar seu registro com apenas alguns cliques de um botão. Vamos explorar seus principais benefícios:
Uma mudança suave de p=nenhum para p=rejeitar
O mecanismo extensivo de relatórios do PowerDMARC oferece 7 visualizações e mecanismos de filtragem para o seu DMARC Agregue relatórios no painel do analisador DMARC para monitorizar eficazmente os seus fluxos de correio eletrónico enquanto não estiver a utilizar o DMARC.
Actualizar e alterar os modos da política DMARC
A nossa funcionalidade DMARC alojada permite-lhe atualizar os seus modos de política DMARC, mudar para p=reject e monitorizar o seu protocolo de forma eficaz e em tempo real sem entrar na sua consola de gestão do DNS.
Apoio de luvas brancas
A nossa equipa de suporte ativo 24 horas por dia ajuda a orquestrar uma transição suave de uma política DMARC relaxada para uma política DMARC aplicada, de modo a maximizar a sua segurança e a garantir a capacidade de entrega.
Alertas personalizados
Configure alertas de correio eletrónico personalizados para detetar qualquer atividade maliciosa e tomar medidas contra ameaças mais rapidamente
Contacte-nos hoje mesmo para implementar uma política DMARC e monitorizar facilmente os seus resultados!
- Google inclui ARC nas directrizes para remetentes de correio eletrónico de 2024 - 8 de dezembro de 2023
- Segurança Web 101 - Melhores práticas e soluções - 29 de novembro de 2023
- O que é criptografia de e-mail e quais são seus vários tipos? - 29 de novembro de 2023