A Microsoft lançou recentemente selos ARC de confiança para autorizar fluxos de correio electrónico indirectos legítimos e que a verdade seja dita, é um passo excelente. Porquê? 

• Os seus protocolos de autenticação de correio electrónico de base (DMARC, SPFe DKIM) ficam aquém das expectativas quando se trata de autenticar e-mails enviados indirectamente
• Isto pode fazer com que os seus e-mails legítimos falhem a autenticação 
• Posteriormente, isto leva a problemas de entrega de correio electrónico 

É nesta altura que o selo de confiança da Microsoft ARC se estende para salvar o dia. Ao adicionar assinaturas ARC às mensagens enviadas, a fonte de correio electrónico pode ser facilmente identificada e autorizada durante a verificação do remetente, mesmo que o seu cabeçalho e conteúdo tenham sido alterados por um parte intermediária de confiança.

Ver o documento da Microsoft aqui.

A que categoria de utilizadores é aplicável o Selo ARC de Confiança Microsoft?

Este selo ARC de confiança pode ser implantado pelos utilizadores assinantes para os seguintes serviços Microsoft: 

• Troca Protecção Online
• Microsoft Defender for Office 365 plano 1 e plano 2
• Microsoft 365 Defender

O que é um fluxo directo de correio electrónico? 

É quando uma mensagem de correio eletrónico enviada de um domínio de origem chega diretamente ao servidor de correio eletrónico do destinatário. A menos que a comunicação seja interceptada por um terceiro mal-intencionado, o correio eletrónico permanece intacto e os cabeçalhos das mensagens são preservados, passando assim as verificações de autenticação DMARC. 

O que são fluxos de correio indirectos?

Isto é quando um e-mail enviado do domínio de origem é encaminhado através de um ou mais servidores intermediários (como no caso do reencaminhamento de e-mail). Estes intermediários podem alterar a mensagem através de modificações na informação de cabeçalho e no corpo, fazendo com que o correio electrónico falhe DMARC.  

Porque é necessário o Selo de Confiança ARC?

Falhas de autenticação em fluxos de correio electrónico indirectos

As empresas podem frequentemente externalizar as suas campanhas de marketing por correio electrónico através de um terceiro que encaminha mensagens do domínio do proprietário para os destinatários através de um(s) servidor(es) intermediário(s). Isto é principalmente perceptível durante o reencaminhamento de correio electrónico ou utilização de listas de correio. 

A informação do cabeçalho destas mensagens electrónicas é alterada no processo, à medida que ocupa a informação do cabeçalho do respectivo intermediário. Isto causa uma inconsistência nos cabeçalhos dos Correios Electrónicos de: e dos cabeçalhos dos percursos de retorno, falhando assim o SPF. Os intermediários também podem alterar o conteúdo dentro do corpo do correio acrescentando rodapés, o que irá quebrar ainda mais o DKIM. 

Embora esta última seja uma ocorrência rara, ela acontece. Quando tanto o SPF como o DKIM falham para as mensagens, o DMARC falha inevitavelmente e a mensagem (embora legítima) é vista como fraudulenta. Se o remetente estiver em p=rejeição, estas mensagens legítimas nunca seriam entregues! 

Especificação de intermediários de confiança através do selo de confiança da Microsoft ARC

Os administradores que estão ligados ao portal de defesa Microsoft 365 podem adicionar intermediários de confiança no portal de administração. Durante a verificação do remetente, a Microsoft verificará o DMARC ARC assinaturas de e-mails enviados por estes seladores ARC de confiança e que os ajudam a passar as verificações de autenticação e a serem entregues em segurança.

Isto é feito em relação à forma como o ARC preserva a informação original de autenticação das mensagens antes de serem feitas alterações por um intermediário, o que pode ser verificado através de servidores receptores.  

Pontos importantes a lembrar durante a utilização do Selo ARC de Confiança

O selo ARC precisa de ser configurado pelos intermediários de confiança administrativa

Se, como administrador do domínio, tem uma lista de intermediários de confiança pelos quais quer encaminhar os seus e-mails, precisa de entrar em contacto com eles hoje! Tenha uma discussão aberta com eles, pedindo-lhes que configurem o ARC para os respectivos domínios intermediários. 

Carregue esta lista de seladores ARC de confiança para o seu portal de defesa

O seu próximo passo deve ser iniciar sessão no seu portal de defesa Microsoft e carregar a lista de seladores ARC de confiança. Aqui pode adicionar a lista de nomes de domínio destes intermediários de confiança que permitiram à ARC, a seu pedido. Pode fazê-lo, dirigindo-se ao seu página de definições de autenticação de e-mail no tablier do seu portal e clicando no botão "Adicionar".

Em alternativa, 

Também pode adicionar a sua lista de seladores ARC de confiança através do Exchange Online Powershell executando o seguinte script Powershell mencionado pela Microsoft: 

Set-ArcConfig -Identity default -ArcTrustedSealers {seguido pelos nomes de domínio dos seus intermediários separados por vírgulas}

Como encontrar o nome de domínio dos seus Seladores de ARC de Confiança

Para encontrar o nome de domínio dos seus remetentes de ARC de confiança na sua caixa de correio do Outlook, siga os passos abaixo: 

• Abra o e-mail fazendo duplo clique sobre ele 
• Ir para ficheiro > Propriedades
• A janela de propriedades aparecerá. Pode ver a informação do cabeçalho da sua mensagem na caixa Cabeçalhos da Internet
• Aqui encontrará o nome de domínio mencionado na etiqueta "d=" na assinatura do ARC do e-mail. Este é o domínio do seu selador de ARC de confiança.

Também pode utilizar as informações do cabeçalho do seu e-mail para validar o seu selo ARC de confiança pescando por "passe" nos seus resultados de autenticação ARC.

O ARC é um substituto do DMARC? 

Resumindo: Não, não é. Para melhores resultados, o ARC deve ser usado em conjunto com DMARC, SPF, e DKIM. O ARC é uma medida de segurança adicional que ajuda a evitar que os seus e-mails legítimos falhem a autenticação quando o e-mail passa por um servidor intermediário que faz modificações no cabeçalho e no conteúdo. 

Para começar a tirar partido do selo ARC de confiança da Microsoft, configure hoje o DMARC na sua organização. Leve um Ensaio DMARC com PowerDMARC.

Artigos relacionados

• DMARC office365 guia de configuração
• Configuração do Microsoft Office 365 DKIM
• Configuração do Microsoft Office 365 SPF

• Sobre
• Últimos Posts

Yunes Tarada

Yunes é um Operations Team Lead na PowerDMARC com conhecimentos especializados em autenticação e segurança de correio eletrónico. Yunes é um Microsoft-certified Azure Administrator Associate com certificações em CompTIA A+ e muito mais.

Últimas mensagens de Yunes Tarada (ver todas)

• SPF Softfail Vs Hardfail: Qual é a diferença? - 26 de abril de 2024
• A FTC informa que o correio eletrónico é um meio popular para as burlas de falsificação de identidade - 16 de abril de 2024
• SubdoMailing e a ascensão do phishing de subdomínio - 18 de março de 2024