porque é que o DMARC está a falhar

A autenticação de e-mail é um aspecto crucial do trabalho de um fornecedor de e-mail. A autenticação de e-mail também conhecida como SPF e DKIM verifica a identidade de um fornecedor de e-mail. DMARC acrescenta ao processo de verificação de um e-mail verificando se um e-mail foi enviado de um domínio legítimo através de alinhamento, e especificando aos servidores receptores como responder a mensagens que não tenham verificado a autenticação. Hoje vamos discutir os vários cenários que responderiam à sua pergunta sobre os motivos da falha do DMARC.

DMARC é uma actividade chave na sua política de autenticação de correio electrónico para ajudar a evitar que e-mails falsos "falsificados" passem por filtros de spam transaccionais. Mas, é apenas um pilar de um programa anti-spam global e nem todos os relatórios DMARC são criados de forma igual. Alguns dir-lhe-ão a acção exacta que os receptores de correio electrónico tomaram em cada mensagem, e outros só lhe dirão se uma mensagem foi bem sucedida ou não. Compreender porque é que uma mensagem falhou é tão importante como saber se foi ou não bem sucedida. O artigo seguinte explica as razões pelas quais as mensagens falham as verificações de autenticação DMARC. Estas são as razões mais comuns (algumas das quais podem ser facilmente corrigidas) pelas quais as mensagens podem falhar as verificações de autenticação DMARC.

Razões comuns porque as mensagens podem falhar DMARC

Identificar os motivos da falha do DMARC pode ser complicado. No entanto, passo em revista algumas razões típicas, os factores que contribuem para elas, para que o proprietário do domínio possa trabalhar no sentido de corrigir o problema mais rapidamente.

Falhas de Alinhamento DMARC

DMARC faz uso do alinhamento de domínios para autenticar as suas mensagens de correio electrónico. Isto significa que o DMARC verifica se o domínio mencionado no endereço From (no cabeçalho visível) é autêntico, fazendo corresponder o mesmo ao domínio mencionado no cabeçalho oculto Return-path (para SPF) e no cabeçalho de assinatura DKIM (para DKIM). Se ou corresponde, o e-mail passa DMARC, ou então o DMARC falha.

Assim, se as suas mensagens de correio electrónico falharem o DMARC pode tratar-se de um caso de desalinhamento de domínio. Não se trata de identificadores SPF ou DKIM alinhados e o correio electrónico parece ser enviado por uma fonte não autorizada. Esta é no entanto apenas uma das razões pelas quais o DMARC está a falhar.

Modo de Alinhamento DMARC 

O seu modo de alinhamento do protocolo também desempenha um papel enorme na passagem ou falha do DMARC nas suas mensagens. Pode escolher entre os seguintes modos de alinhamento para autenticação SPF:

  • Descontraído: Isto significa que se o domínio no cabeçalho do caminho de retorno e o domínio no cabeçalho de From for simplesmente uma correspondência organizacional, mesmo assim o SPF passará.
  • Rigoroso: Isto significa que só se o domínio no cabeçalho do caminho de retorno e o domínio no cabeçalho de From for uma correspondência exacta, só então o SPF passará.

Pode escolher entre os seguintes modos de alinhamento para autenticação DKIM:

  • Descontraído: Isto significa que se o domínio na assinatura DKIM e o domínio no cabeçalho From for simplesmente uma correspondência organizacional, mesmo assim o DKIM irá passar.
  • Rigoroso: Isto significa que só se o domínio na assinatura DKIM e o domínio no cabeçalho From corresponderem exactamente, só então o DKIM passará.

Note-se que para que os emails passem a autenticação DMARC, ou SPF ou DKIM precisam de ser alinhados.  

Não configurar a sua assinatura DKIM 

Um caso muito comum em que o seu DMARC pode estar a falhar é o de não ter especificado uma assinatura DKIM para o seu domínio. Nesses casos, o seu fornecedor de serviços de troca de correio electrónico atribui uma assinatura padrão DKIM aos seus e-mails enviados que não está alinhada com o domínio no cabeçalho do seu From. O MTA receptor não alinha os dois domínios, e por conseguinte, DKIM e DMARC falham para a sua mensagem (se as suas mensagens estiverem alinhadas com SPF e DKIM).

Não Acrescentar Fontes de Envio ao seu DNS 

É importante notar que ao configurar DMARC para o seu domínio, os MTAs receptores efectuam consultas DNS para autorizar as suas fontes de envio. Isto significa que, a menos que tenha todas as fontes de envio autorizadas listadas no DNS do seu domínio, os seus emails falharão o DMARC para as fontes que não estão listadas, uma vez que o receptor não seria capaz de as encontrar no seu DNS. Assim, para assegurar que os seus e-mails legítimos sejam sempre entregues, certifique-se de que faz entradas em todos os seus vendedores autorizados de e-mails de terceiros que estão autorizados a enviar e-mails em nome do seu domínio, no seu DNS.

Em caso de reencaminhamento de e-mail

Durante o reencaminhamento de correio electrónico, o correio electrónico passa por um servidor intermediário antes de ser finalmente entregue ao servidor receptor. Durante o reencaminhamento de correio electrónico, a verificação do SPF falha uma vez que o endereço IP do servidor intermediário não corresponde ao do servidor remetente, e este novo endereço IP não é normalmente incluído no registo SPF do servidor original. Pelo contrário, o reencaminhamento de emails normalmente não tem impacto na autenticação de emails DKIM, a menos que o servidor intermediário ou a entidade de reencaminhamento faça certas alterações no conteúdo da mensagem.

Como sabemos que o SPF falha inevitavelmente durante o reencaminhamento de correio electrónico, se no caso de a fonte de envio ser neutra do DKIM e depender unicamente do SPF para validação, o correio electrónico reenviado será tornado ilegítimo durante a autenticação DMARC. Para resolver esta questão, deve optar imediatamente pela conformidade total com DMARC na sua organização, alinhando e autenticando todas as mensagens enviadas contra SPF e DKIM, já que para um e-mail passar a autenticação DMARC, o e-mail seria obrigado a passar ou a autenticação SPF ou DKIM e o alinhamento.

O seu domínio está a ser falsificado

Se tiver os seus protocolos DMARC, SPF e DKIM devidamente configurados para o seu domínio, com as suas políticas de aplicação e registos válidos isentos de erros, e o problema não for nenhum dos casos acima mencionados, então a razão mais provável pela qual os seus e-mails estão a falhar DMARC é que o seu domínio está a ser falsificado ou falsificado. Isto é quando os imitadores e os actores da ameaça tentam enviar e-mails que parecem vir do seu domínio utilizando um endereço IP malicioso.

Estatísticas recentes de fraude por correio electrónico concluíram que os casos de falsificação de correio electrónico estão a aumentar nos últimos tempos e constituem uma ameaça muito grande para a reputação da sua organização. Em tais casos, se tiver implementado o DMARC numa política de rejeição, este falhará e o correio electrónico falsificado não será entregue na caixa de entrada do seu destinatário. Assim, a falsificação do domínio pode ser a resposta à razão pela qual o DMARC está a falhar na maioria dos casos.

Recomendamos que se inscreva no nosso DMARC Analyzer gratuito e inicie a sua viagem de relatório e monitorização de DMARC.

  • Com uma política sem política pode monitorizar o seu domínio com Relatórios Agregados DMARC (RUA) e manter um olho atento aos seus e-mails de entrada e de saída, isto ajudá-lo-á a responder a quaisquer problemas de entrega indesejados
  • Depois disso, ajudamo-lo a mudar para uma política aplicada que acabaria por ajudá-lo a ganhar imunidade contra ataques de falsificação de domínios e phishing
  • Pode retirar endereços IP maliciosos e denunciá-los directamente da plataforma PowerDMARC para evitar futuros ataques de personificação, com a ajuda do nosso motor de Inteligência de Ameaças
  • Os relatórios forenses do PowerDMARC (RUF) ajudam-no a obter informação detalhada sobre casos em que os seus e-mails falharam DMARC para que possa chegar à raiz do problema e resolvê-lo

Evite a falsificação de domínios e controle o seu fluxo de correio electrónico com PowerDMARC, hoje mesmo!