A falha DMARC ocorre quando um e-mail enviado do seu domínio não passa nas verificações de autenticação de e-mail definidas pelo DMARC. Quando uma mensagem de correio eletrónico não passa na autenticação DMARC, pode ser bloqueada, levando a uma redução da capacidade de entrega e prejudicando a reputação do remetente.
As falhas DMARC colocam desafios significativos às empresas que dependem do correio eletrónico para a comunicação empresarial. A resolução destes problemas é crucial para manter uma comunicação sem falhas, proteger o seu domínio e garantir que os seus e-mails chegam aos destinatários de forma consistente.
Takeaways de chaves
- As falhas DMARC podem afetar negativamente a capacidade de entrega de correio eletrónico e expor os domínios a riscos de segurança.
- As causas comuns de falhas no DMARC incluem problemas de alinhamento DKIM ou SPF, assinaturas DKIM mal configuradas, entradas DNS em falta para remetentes autorizados, complicações de reencaminhamento de correio eletrónico e ataques de falsificação de domínio.
- Para corrigir as falhas DMARC, pode começar com uma política DMARC relaxada (p=nenhum), garantir o alinhamento adequado de SPF e DKIM e atualizar os registos DNS com todas as fontes autorizadas.
- A monitorização contínua através de relatórios DMARC é crucial para manter a conformidade e identificar problemas.
- Ferramentas como o PowerDMARC simplificam a implementação e melhoram a segurança do correio eletrónico, automatizando a deteção e a resolução de ameaças.
Porque é que o DMARC está a falhar? 5 causas comuns
As razões comuns para a falha do DMARC podem incluir falhas de alinhamento, desalinhamento da fonte de envio, problemas com a sua assinatura DKIM, e-mails reencaminhados, etc. Vamos explorá-las uma a uma:
1. Falhas no alinhamento do DMARC
O DMARC utiliza o alinhamento de domínios para autenticar os seus e-mails. Isto significa que o DMARC verifica se o domínio mencionado no endereço De (no cabeçalho visível) é autêntico, comparando-o com o domínio mencionado no cabeçalho oculto Return-path (para SPF) e no cabeçalho de assinatura DKIM (para DKIM). Se houver correspondência, a mensagem de correio eletrónico é aprovada pelo DMARC; caso contrário, a verificação do DMARC falha.
Por conseguinte, se os seus e-mails falharem no DMARC, pode ser um caso de desalinhamento de domínio. Ou seja, nem os identificadores SPF nem DKIM estão alinhados e o e-mail parece ter sido enviado de uma fonte não autorizada. No entanto, esta é apenas uma das razões para a falha do DMARC.
Modo de Alinhamento DMARC
O modo de alinhamento do protocolo também pode levar à falha do DMARC. Pode escolher entre os seguintes modos de alinhamento para a autenticação SPF:
- Relaxado: Isto significa que se o domínio no cabeçalho Return-path e o domínio no cabeçalho From forem simplesmente uma correspondência organizacional, mesmo assim o SPF será aprovado.
- Rigoroso: Isto significa que apenas se o domínio no cabeçalho Return-path e o domínio no cabeçalho From forem exatamente iguais, só então o SPF será aprovado.
Pode escolher entre os seguintes modos de alinhamento para autenticação DKIM:
- Relaxado: Isto significa que se o domínio na assinatura DKIM e o domínio no cabeçalho From forem simplesmente uma correspondência organizacional, mesmo assim o DKIM será aprovado.
- Rigoroso: Significa que só se o domínio na assinatura DKIM e o domínio no cabeçalho From corresponderem exatamente, é que o DKIM é aprovado.
Note-se que para que os e-mails passem a autenticação DMARC, ou SPF ou DKIM precisam de ser alinhados.
2. A assinatura DKIM não está configurada
Um caso muito comum em que o DMARC pode estar a falhar é o facto de não ter especificado uma assinatura DKIM para o seu domínio. Nesses casos, o seu fornecedor de serviços de troca de correio eletrónico atribui uma assinatura DKIM aos seus emails de saída que não estão alinhados com o domínio no seu cabeçalho De. Nesses casos, o MTA recetor não consegue alinhar os dois domínios e encontra uma incompatibilidade. Isto conduz a uma falha DKIM e DMARC da sua mensagem.
3. Envio de origens não adicionadas ao seu DNS
É importante notar que quando o utilizador configura o DMARC para o seu domínio com SPF, os MTAs receptores executam consultas de DNS para autorizar as suas fontes de envio. Isto significa que, a menos que tenha todas as suas fontes de envio autorizadas listadas no DNS do seu domínio, os seus e-mails falharão o SPF e, subsequentemente, o DMARC para as fontes que não estão listadas, uma vez que o recetor não as poderá encontrar no seu DNS.
Assim, para garantir que os seus e-mails legítimos são sempre entregues, certifique-se de que faz entradas em todos os seus fornecedores de e-mail de terceiros autorizados a enviar e-mails em nome do seu domínio, no seu registo DNS SPF.
4. Correio eletrónico reencaminhado através de servidores intermediários
Num cenário típico de reencaminhamento de correio eletrónico, existem servidores adicionais envolvidos entre dois servidores principais em comunicação. São os chamados servidores intermediários. O seu correio eletrónico pode passar por um ou mais desses servidores intermediários antes de ser entregue ao servidor de destino principal ou ao servidor do destinatário. A verificação SPF falha porque o endereço IP do servidor intermediário não corresponde ao do servidor de envio, e este novo endereço IP não é normalmente incluído no registo SPF do servidor original.
Felizmente, o reencaminhamento de correio eletrónico não tem normalmente qualquer impacto nos resultados da autenticação DKIM. Nalguns casos raros, o servidor intermediário pode efetuar algumas alterações de conteúdo, como adicionar ou alterar os rodapés das mensagens, o que pode dar origem a um erro. No entanto, estes cenários não são muito comuns.
Para resolver este problema, deve optar imediatamente pela conformidade total com DMARC na sua organização, alinhando e autenticando todas as mensagens enviadas em relação a SPF e DKIM. O DMARC será aprovado para a mensagem se o SPF ou o DKIM forem aprovados para o correio eletrónico.
Leitura relacionada: Reencaminhamento de correio eletrónico e DMARC
5. O seu domínio está a ser falsificado
Se tudo estiver bem do lado da implementação, os seus e-mails podem estar a falhar o DMARC como resultado de um ataque de falsificação. Isto acontece quando os falsificadores de identidade e os agentes de ameaças tentam enviar e-mails que parecem vir do seu domínio utilizando um endereço IP malicioso.
Estatísticas recentes de fraude por correio eletrónico concluíram que os casos de falsificação de correio eletrónico estão a aumentar, representando uma grande ameaça para a reputação da sua organização. Nesses casos, se tiver o DMARC implementado numa política de rejeição, este falhará e o e-mail falsificado não será entregue na caixa de entrada do destinatário. Assim, a falsificação de domínio pode ser a resposta para o facto de o DMARC falhar na maioria dos casos.
Corrija falhas no DMARC como um profissional com o PowerDMARC!
Como corrigir uma falha de DMARC em 5 passos ?
Para corrigir a falha DMARC, recomendamos que se registe no nosso Analisador DMARC e comece a sua jornada de relatórios e monitorização de DMARC.
Etapa 1: Comece com uma política DMARC relaxada (p=nenhum)
Com nenhuma política, pode começar por monitorizar o seu domínio com Relatórios agregados DMARC (RUA) e acompanhar de perto os seus emails de entrada e de saída, o que o ajudará a responder a quaisquer problemas de entrega indesejada. Isto permitirá que as suas mensagens cheguem aos destinatários mesmo que o DMARC falhe. No entanto, isto deixa-o vulnerável a ataques de phishing e spoofing.
Passo 2: Assegurar o alinhamento correto de SPF e DKIM
Verifique se existem erros no seu registo DNS e combine as suas implementações DMARC com DKIM e SPF para obter a máxima segurança e reduzir o risco de falsos negativos.
Pode utilizar um verificador verificador DMARC para encontrar erros na sintaxe do DMARC ou nas formações de registos DNS. Estes podem incluir espaços extra, erros ortográficos, etc.
Utilizar o alinhamento SPF e DKIM
A utilização conjunta do DKIM e do SPF proporciona uma abordagem em camadas à autenticação de correio electrónico. O DKIM verifica a integridade da mensagem, garantindo que ela não foi adulterada, enquanto o SPF verifica a identidade do servidor de envio. Juntos, ajudam a estabelecer a confiança na origem do correio electrónico, reduzindo o risco de falsificação, phishing e actividade de correio electrónico não autorizada.
Passo 3: Reforçar a sua defesa com a aplicação da lei
Depois disso, ajudamo-lo a mudar para uma política aplicada que, em última análise, o ajudará a ganhar imunidade contra ataques de falsificação de domínios e de phishing.
Passo 4: Proteger com a deteção de ameaças baseada em IA
Elimine endereços IP maliciosos e denuncie-os diretamente da plataforma PowerDMARC para evitar futuros ataques de falsificação de identidade, com a ajuda do nosso mecanismo de Threat Intelligence.
Passo 5: Otimizar continuamente com relatórios forenses
Activar os relatórios forenses DMARC (RUF) obtendo informações detalhadas sobre os casos em que os seus e-mails falharam no DMARC, para que possa chegar à raiz do problema e corrigi-lo mais rapidamente.
Porque é que o DMARC falha nos fornecedores de caixas de correio de terceiros?
Se estiver a utilizar fornecedores externos de caixas de correio para enviar e-mails em seu nome, precisa de activar DMARC, SPF, e/ou DKIM para eles. Pode fazê-lo contactando-os e pedindo-lhes que tratem da implementação por si, ou pode tomar as questões nas suas próprias mãos e activar manualmente os protocolos. Para o fazer, precisa de ter acesso ao portal da sua conta alojado em cada uma destas plataformas (como administrador).
A não activação destes protocolos para o seu fornecedor de caixa de correio externa pode levar à falha do DMARC.
Em caso de falha do DMARC para as suas mensagens do Gmail, vá ao registo SPF do seu domínio e verifique se incluiu _spf.google.com no registo. Caso contrário, esta pode ser a razão pela qual os servidores de receção não estão a conseguir identificar o Gmail como a sua fonte de envio autorizada. O mesmo se aplica aos seus e-mails enviados pelo MailChimp, SendGrid e outros.
Como é a falha de DMARC para provedores de e-mail populares
Quando um correio eletrónico não passa nas verificações DMARC, os principais fornecedores de correio eletrónico devolvem mensagens de rejeição específicas que indicam essa falha. Estas rejeições apontam normalmente para um problema com a autenticação do correio eletrónico e esclarecem que a política DMARC do remetente foi violada. Eis como isto se manifesta em diferentes plataformas de correio eletrónico:
- Gmail: Uma verificação DMARC falhada para um e-mail enviado para uma caixa de entrada do Gmail pode resultar numa mensagem de rejeição com a indicação "550-5.7.26 Este e-mail foi bloqueado porque o remetente não está autenticado." A mensagem pode incluir uma referência para visitar a página de suporte da Google para obter mais informações sobre problemas de DMARC.
- Perspectivas: Se uma mensagem de correio eletrónico não passar na verificação DMARC no Outlook, poderá ver uma resposta indicando a recusa de entrega porque o domínio de envio não passa na verificação DMARC, com uma política definida para rejeitar. Um identificador único pode ser incluído nestas respostas para ajudar na resolução de problemas.
- Yahoo: Em caso de não conformidade com o DMARC, a mensagem do Yahoo pode indicar que o e-mail não foi aceite por motivos de política. Normalmente, fornece uma hiperligação para recursos adicionais ou códigos de erro para obter mais detalhes.
Estas mensagens, embora variem em termos de redação, destacam universalmente um desalinhamento entre a configuração de correio eletrónico do domínio e a sua política DMARC. São necessários ajustes nas definições do serviço de correio eletrónico para resolver estes problemas.
Como detetar se as mensagens estão a falhar o DMARC?
A falha de mensagens DMARC pode ser detectada facilmente se tiver os relatórios activados para as suas relatórios DMARC. Em alternativa, pode efetuar uma análise do cabeçalho do correio eletrónico ou utilizar o correio eletrónico do Gmail; pesquisa de registos. Vamos explorar como:
1. Ativar o relatório DMARC para os seus domínios
Para detectar falhas no DMARC, utilize esta funcionalidade conveniente oferecida pelo seu protocolo DMARC. Pode receber relatórios com os seus dados DMARC dos ESPs definindo simplesmente uma etiqueta "rua" no seu registo DNS DMARC. A sua sintaxe pode ser a seguinte:
v=DMARC1; ptc=100; p=rejeitar; rua=mailto:[email protected];
A etiqueta rua deve conter o endereço de correio electrónico no qual pretende receber os seus relatórios.
No PowerDMARC, fornecemos relatórios simplificados e legíveis por humanos que o ajudam a detectar facilmente falhas no DMARC e a solucioná-las mais rapidamente:
2. Analisar manualmente os cabeçalhos de correio electrónico ou utilizar ferramentas de análise
A falha DMARC também pode ser detectada através da análise dos cabeçalhos de correio electrónico.
a. Método manual
É possível analisar os cabeçalhos manualmente, como mostrado abaixo
Se utiliza o Gmail para enviar mensagens de correio electrónico, pode clicar numa mensagem, clicar em "mais" (os 3 pontos no canto superior direito) e, em seguida, clicar em "mostrar original":
Pode inspeccionar os resultados da autenticação DMARC agora:
b. Ferramentas de análise automatizadas
O analisador de cabeçalhos de correio electrónico do PowerDMARC analisador de cabeçalho de e-mail é uma excelente ferramenta para a detecção instantânea de erros de falha DMARC e para atenuar o problema de falha DMARC.
Connosco, obtém uma análise exaustiva do estado do DMARC para os seus e-mails, alinhamentos e outras conformidades, como se mostra abaixo:
3. Utilizar a pesquisa de registos de e-mail do Google
Pode encontrar informações adicionais sobre uma mensagem específica que não tenha sido aprovada pelo DMARC utilizando a pesquisa de registos de correio electrónico do Google. Isto revelará os detalhes da mensagem, os detalhes da mensagem pós-entrega e os detalhes do destinatário. Os resultados são apresentados num formato tabular, conforme mostrado abaixo:
Corrigir falha de DMARC com PowerDMARC
O PowerDMARC atenua as falhas do DMARC oferecendo uma gama de recursos e funcionalidades abrangentes. Primeiro, ele auxilia as organizações na implantação correta do DMARC, fornecendo orientação passo a passo e ferramentas de automação. Isso garante que os registros DMARC, a autenticação SPF e DKIM sejam configurados corretamente, aumentando as chances de uma implementação bem-sucedida do DMARC.
Depois que o DMARC é implementado, o PowerDMARC monitora continuamente o tráfego de email e gera relatórios e alertas em tempo real para falhas do DMARC. Essa visibilidade permite que as organizações identifiquem rapidamente problemas de autenticação, como falhas de SPF ou DKIM, e tomem medidas corretivas.
Para além da monitorização, o PowerDMARC integra capacidades de inteligência de ameaças de IA. Ele aproveita feeds de ameaças globais para identificar e analisar fontes de ataques de phishing e tentativas de falsificação. Ao fornecer informações sobre atividades suspeitas de e-mail, as organizações podem identificar proativamente possíveis ameaças e tomar as medidas necessárias para reduzir os riscos.
Contacte-nos para começar!
Conclusão: Promover a segurança do correio electrónico da forma correcta
Ao adoptar uma abordagem multi-camadas à segurança do correio electrónico, as organizações e os indivíduos podem melhorar significativamente as suas defesas contra a evolução das ciberameaças. Isto inclui a implementação de mecanismos de autenticação robustos, a utilização de tecnologias de encriptação, a formação dos utilizadores sobre ataques de phishing e a actualização regular dos protocolos de segurança.
Além disso, a integração de ferramentas de IA para promover as práticas de segurança do seu correio eletrónico é a melhor forma de se manter a par dos ataques sofisticados organizados pelos cibercriminosos.
Para evitar falhas DMARC e resolver erros DMARC facilmente, inscreva-se para entrar em contacto com a equipa dedicada de especialistas em DMARC do PowerDMARC hoje mesmo!
Revisão de conteúdos e processo de verificação de factos
Este artigo foi selecionado por um especialista em cibersegurança. Os métodos e práticas apresentados neste artigo são estratégias reais que implementámos nos nossos clientes e que os ajudaram a ultrapassar a falha do DMARC. Se estes métodos não funcionarem para si, contacte-nos para obter orientação gratuita de um especialista em DMARC.
- Como corrigir "Nenhum registo SPF encontrado" em 2025 - 21 de janeiro de 2025
- O que é o MTA-STS? Configurar a política correta do MTA-STS - 15 de janeiro de 2025
- Como corrigir uma falha DKIM - 9 de janeiro de 2025