Com mais de 4,48 mil milhões de utilizadores de correio eletrónico em todo o mundo enviando inúmeras mensagens diariamente, os erros de falha do DMARC tornam-se um grande problema. O DMARC, abreviatura de Domain-based Message Authentication, Reporting, and Conformance, é um protocolo de segurança que protege os seus e-mails de ataques de personificação e phishing. No entanto, por vezes o DMARC falha e pode interromper a entrega de correio eletrónico.
As falhas de DMARC podem ser frustrantes, especialmente se depender do correio eletrónico para fins comerciais. Podem até impedir que os seus emails cheguem aos destinatários pretendidos. Note que o DMARC requer que o SPF ou o DKIM sejam aprovados quando ambos são implementados. No entanto, se o DMARC depender apenas do SPF ou do DKIM, a falha de qualquer um dos protocolos fará com que a autenticação DMARC falhe.
Os motivos mais comuns pelos quais o DMARC está a falhar são:
- Falhas de alinhamento DMARC
- Incompatibilidade de assinatura DKIM
- Representação da fonte de envio
- Falsificação de domínios
Em suma, se o DMARC falhar, o seu correio eletrónico não passa na autenticação DMARC. Um erro de falha de DMARC pode afetar os seus esforços de marketing por correio eletrónico e reduzir significativamente as suas taxas de entrega de correio eletrónico.
Neste artigo, ficará a saber:
- Porque é que é importante evitar falhas de DMARC
- Razão comum pela qual o DMARC está a falhar
- Como corrigir erros de falha de DMARC
Uma visão geral do DMARC
DMARC é o acrónimo de Domain-based Message Authentication, Reporting, and Conformance (autenticação, comunicação e conformidade de mensagens baseadas no domínio). Trata-se de um protocolo de autenticação de correio eletrónico que proporciona uma camada adicional de segurança, ajudando a evitar ataques de falsificação de correio eletrónico e de phishing. O DMARC funciona permitindo que os proprietários de domínios publiquem políticas nos seus registos DNS. Estas políticas dão instruções aos servidores de correio eletrónico receptores sobre como tratar os e-mails que afirmam ser do seu domínio.
Pode utilizar o DMARC para rejeitar ou colocar em quarentena emails não autorizados, proporcionando um melhor controlo sobre a entrega de emails. O DMARC também gera relatórios que fornecem informações valiosas sobre falhas de autenticação de email.
Aqui estão algumas estatísticas recentes sobre DMARC em todos os sectores:
- O sector DMARC registou um crescimento de 85% em 2019
- Em 2021, o número de políticas DMARC válidas aumentou 84%
- Em 2021, foram adicionados 5 milhões de novos registos DMARC em comparação com 2020
- Prevê-se que o mercado global de software DMARC atinja quase 800 milhões de dólares até 2030
De um modo geral, o DMARC ajuda a melhorar a segurança do correio electrónico, aplicando verificações de autenticação e permitindo que as organizações protejam a reputação da sua marca e os utilizadores contra ameaças baseadas no correio electrónico
Porque é que o DMARC está a falhar?
A falha DMARC pode ocorrer por várias razões, incluindo falhas de autenticação SPF e DKIM, desalinhamento entre o domínio "From", SPFe DKIMproblemas com o reencaminhamento ou serviços de terceiros que modificam as assinaturas de correio eletrónico, políticas DMARC mal configuradas e tentativas de falsificação de domínios legítimos por parte de agentes maliciosos.
A falha do DMARC pode levar a problemas de autenticação de correio electrónico, potenciais problemas de entrega e um risco acrescido de ataques de phishing. Compreender estas causas e implementar configurações e medidas de autenticação adequadas pode ajudar a melhorar a conformidade com o DMARC e a aumentar a segurança do correio electrónico.
As razões comuns para a falha do DMARC podem incluir falhas de alinhamento, desalinhamento da fonte de envio, problemas com a assinatura DKIM, e-mails reencaminhados, etc. Vamos explorar cada uma delas em pormenor:
1. Falhas no alinhamento do DMARC
O DMARC utiliza o alinhamento de domínios para autenticar os seus e-mails. Isto significa que o DMARC verifica se o domínio mencionado no endereço De (no cabeçalho visível) é autêntico, comparando-o com o domínio mencionado no cabeçalho oculto Return-path (para SPF) e no cabeçalho de assinatura DKIM (para DKIM). Se qualquer um deles corresponder, a mensagem de correio electrónico é aprovada pelo DMARC, caso contrário, o DMARC falha.
Por conseguinte, se os seus e-mails falharem no DMARC, pode ser um caso de desalinhamento de domínio. Ou seja, nem os identificadores SPF nem DKIM estão alinhados e o e-mail parece ter sido enviado de uma fonte não autorizada. No entanto, esta é apenas uma das razões para a falha do DMARC.
Modo de Alinhamento DMARC
O modo de alinhamento do protocolo também pode levar à falha do DMARC. Pode escolher entre os seguintes modos de alinhamento para a autenticação SPF:
- Descontraído: Isto significa que se o domínio no cabeçalho Return-path e o domínio no cabeçalho From forem simplesmente uma correspondência organizacional, mesmo assim o SPF será aprovado.
- Rigoroso: Isto significa que apenas se o domínio no cabeçalho Return-path e o domínio no cabeçalho From forem exatamente iguais, só então o SPF será aprovado.
Pode escolher entre os seguintes modos de alinhamento para autenticação DKIM:
- Descontraído: Isto significa que se o domínio na assinatura DKIM e o domínio no cabeçalho From forem simplesmente uma correspondência organizacional, mesmo assim o DKIM será aprovado.
- Rigoroso: Isto significa que só se o domínio na assinatura DKIM e o domínio no cabeçalho From corresponderem exatamente, é que o DKIM é aprovado.
Note-se que para que os e-mails passem a autenticação DMARC, ou SPF ou DKIM precisam de ser alinhados.
2. A assinatura DKIM não está configurada
Um caso muito comum em que o DMARC pode estar a falhar é o facto de não ter especificado uma assinatura DKIM para o seu domínio. Nesses casos, o seu fornecedor de serviços de troca de correio eletrónico atribui uma assinatura DKIM aos seus emails de saída que não se alinham com o domínio no seu cabeçalho De. O MTA recetor não consegue alinhar os dois domínios e, por conseguinte, o DKIM e o DMARC falham na sua mensagem.
3. Envio de origens não adicionadas ao seu DNS
É importante notar que, quando configura o DMARC para o seu domínio com SPF, os MTAs receptores efectuam consultas DNS para autorizar as suas fontes de envio. Isto significa que, a menos que tenha todas as suas fontes de envio autorizadas listadas no DNS do seu domínio, os seus e-mails falharão o SPF e, subsequentemente, o DMARC para as fontes que não estão listadas, uma vez que o recetor não as poderá encontrar no seu DNS.
Assim, para garantir que os seus e-mails legítimos são sempre entregues, certifique-se de que faz entradas em todos os seus fornecedores de e-mail de terceiros autorizados a enviar e-mails em nome do seu domínio, no seu registo DNS SPF.
4. Correio eletrónico reencaminhado através de servidores intermediários
Durante o reencaminhamento de correio eletrónico, o correio eletrónico passa por um servidor intermediário antes de ser entregue ao servidor recetor. A verificação SPF falha porque o endereço IP do servidor intermediário não corresponde ao do servidor de envio, e este novo endereço IP não é normalmente incluído no registo SPF do servidor original.
Pelo contrário, o reencaminhamento de mensagens de correio electrónico não tem normalmente impacto na autenticação de correio electrónico DKIM, a menos que o servidor intermediário ou a entidade de reencaminhamento faça determinadas alterações no conteúdo da mensagem.
Para resolver este problema, deve optar imediatamente pela conformidade total com DMARC na sua organização, alinhando e autenticando todas as mensagens enviadas em relação a SPF e DKIM. Para que um correio electrónico passe a autenticação DMARC, é necessário que o correio electrónico passe a autenticação e o alinhamento SPF ou DKIM.
Leitura relacionada: Reencaminhamento de correio eletrónico e DMARC
5. O seu domínio está a ser falsificado
Se tudo estiver bem do lado da implementação, os seus e-mails podem estar a falhar o DMARC como resultado de um ataque de falsificação. Isto acontece quando os falsificadores de identidade e os agentes de ameaças tentam enviar e-mails que parecem vir do seu domínio utilizando um endereço IP malicioso.
Estatísticas recentes de fraude por correio electrónico concluíram que os casos de falsificação de correio electrónico estão a aumentar, representando uma grande ameaça para a reputação da sua organização. Nesses casos, se tiver o DMARC implementado numa política de rejeição, este falhará e o e-mail falsificado não será entregue na caixa de entrada do destinatário. Assim, a falsificação de domínios pode ser a resposta para o facto de o DMARC falhar na maioria dos casos.
Porque é que o DMARC falha nos fornecedores de caixas de correio de terceiros?
Se estiver a utilizar fornecedores externos de caixas de correio para enviar e-mails em seu nome, precisa de activar DMARC, SPF, e/ou DKIM para eles. Pode fazê-lo contactando-os e pedindo-lhes que tratem da implementação por si, ou pode tomar as questões nas suas próprias mãos e activar manualmente os protocolos. Para o fazer, precisa de ter acesso ao portal da sua conta alojado em cada uma destas plataformas (como administrador).
A não activação destes protocolos para o seu fornecedor de caixa de correio externa pode levar à falha do DMARC.
Em caso de falha do DMARC para as suas mensagens do Gmail, vá ao registo SPF do seu domínio e verifique se incluiu _spf.google.com no registo. Caso contrário, esta pode ser a razão pela qual os servidores de receção não estão a conseguir identificar o Gmail como a sua fonte de envio autorizada. O mesmo se aplica aos seus e-mails enviados pelo MailChimp, SendGrid e outros.
Como detectar mensagens que não passam no DMARC?
A falha DMARC das mensagens pode ser detectada facilmente se tiver os relatórios DMARC activados. Em alternativa, pode efetuar uma análise do cabeçalho do correio eletrónico ou utilizar o correio eletrónico do Gmail; pesquisa de registos. Vamos explorar como:
1. Activar o relatório DMARC para os seus domínios
Para detectar falhas no DMARC, utilize esta funcionalidade conveniente oferecida pelo seu protocolo DMARC. Pode receber relatórios com os seus dados DMARC dos ESPs definindo simplesmente uma etiqueta "rua" no seu registo DNS DMARC. A sua sintaxe pode ser a seguinte:
v=DMARC1; ptc=100; p=rejeitar; rua=mailto:email1@powerdmarc.com;
A etiqueta rua deve conter o endereço de correio electrónico no qual pretende receber os seus relatórios.
No PowerDMARC, fornecemos relatórios simplificados e legíveis por humanos que o ajudam a detectar facilmente falhas no DMARC e a solucioná-las mais rapidamente:
2. Analisar manualmente os cabeçalhos de correio electrónico ou utilizar ferramentas de análise
A falha DMARC também pode ser detectada através da análise dos cabeçalhos de correio electrónico.
a. Método manual
É possível analisar os cabeçalhos manualmente, como mostrado abaixo
Se utiliza o Gmail para enviar mensagens de correio electrónico, pode clicar numa mensagem, clicar em "mais" (os 3 pontos no canto superior direito) e, em seguida, clicar em "mostrar original":
Pode inspeccionar os resultados da autenticação DMARC agora:
b. Ferramentas de análise automatizadas
O analisador de cabeçalhos de correio electrónico do PowerDMARC analisador de cabeçalho de e-mail é uma excelente ferramenta para a detecção instantânea de erros de falha DMARC e para atenuar o problema de falha DMARC.
Connosco, obtém uma análise exaustiva do estado do DMARC para os seus e-mails, alinhamentos e outras conformidades, como se mostra abaixo:
3. Utilizar a pesquisa de registos de e-mail do Google
Pode encontrar informações adicionais sobre uma mensagem específica que não tenha sido aprovada pelo DMARC utilizando a pesquisa de registos de correio electrónico do Google. Isto revelará os detalhes da mensagem, os detalhes da mensagem pós-entrega e os detalhes do destinatário. Os resultados são apresentados num formato tabular, conforme mostrado abaixo:
4 passos para corrigir uma falha de DMARC
Para corrigir a falha DMARC, recomendamos que se registe no nosso Analisador DMARC e comece a sua jornada de relatórios e monitorização de DMARC.
Passo 1: Começar em Nenhum
Com nenhuma política, pode começar por monitorizar o seu domínio com Relatórios agregados DMARC (RUA) e acompanhar de perto os seus emails de entrada e de saída, o que o ajudará a responder a quaisquer problemas de entrega indesejados.
Etapa 2: Passar para a aplicação
Depois disso, ajudamo-lo a mudar para uma política aplicada que, em última análise, o ajudará a ganhar imunidade contra ataques de falsificação de domínios e de phishing.
Passo 3: Utilizar a nossa Detecção de Ameaças com base em IA
Elimine endereços IP maliciosos e denuncie-os diretamente da plataforma PowerDMARC para evitar futuros ataques de falsificação de identidade, com a ajuda do nosso mecanismo de Threat Intelligence.
Passo 4: Monitorizar continuamente
Activar os relatórios forenses DMARC (RUF) obtendo informações detalhadas sobre os casos em que os seus e-mails falharam no DMARC, para que possa chegar à raiz do problema e corrigi-lo mais rapidamente.
Como lidar com mensagens que falham o DMARC?
Para lidar com mensagens que falham no DMARC, pode optar por uma política DMARCverificar se existem erros no seu registo DNS e combinar as suas implementações DMARC com DKIM e SPF para obter a máxima segurança e reduzir o risco de falsos negativos.
1. Verifique o seu registo DMARC
Utilizar um verificador DMARC para encontrar erros sintácticos ou outros erros formativos no seu registo, como espaços extra, erros ortográficos, etc.
2. Opte por uma política mais suave
Pode sempre optar por uma política mais flexível para o DMARC, como "nenhum". Isto permitirá que as suas mensagens cheguem aos destinatários mesmo que o DMARC falhe para eles. No entanto, isto deixa-o vulnerável a ataques de phishing e spoofing.
3. Utilizar o alinhamento SPF e DKIM
A utilização conjunta do DKIM e do SPF proporciona uma abordagem em camadas à autenticação de correio electrónico. O DKIM verifica a integridade da mensagem, garantindo que ela não foi adulterada, enquanto o SPF verifica a identidade do servidor de envio. Juntos, ajudam a estabelecer a confiança na origem do correio electrónico, reduzindo o risco de falsificação, phishing e actividade de correio electrónico não autorizada.
Corrigir falha de DMARC com PowerDMARC
O PowerDMARC atenua as falhas do DMARC oferecendo uma gama de recursos e funcionalidades abrangentes. Primeiro, ele auxilia as organizações na implantação correta do DMARC, fornecendo orientação passo a passo e ferramentas de automação. Isso garante que os registros DMARC, a autenticação SPF e DKIM sejam configurados corretamente, aumentando as chances de uma implementação bem-sucedida do DMARC.
Depois que o DMARC é implementado, o PowerDMARC monitora continuamente o tráfego de email e gera relatórios e alertas em tempo real para falhas do DMARC. Essa visibilidade permite que as organizações identifiquem rapidamente problemas de autenticação, como falhas de SPF ou DKIM, e tomem medidas corretivas.
Para além da monitorização, o PowerDMARC integra capacidades de inteligência de ameaças de IA. Ele aproveita feeds de ameaças globais para identificar e analisar fontes de ataques de phishing e tentativas de falsificação. Ao fornecer informações sobre atividades suspeitas de e-mail, as organizações podem identificar proativamente possíveis ameaças e tomar as medidas necessárias para reduzir os riscos.
Contacte-nos para começar!
Conclusão: Promover a segurança do correio electrónico da forma correcta
Ao adoptar uma abordagem multi-camadas à segurança do correio electrónico, as organizações e os indivíduos podem melhorar significativamente as suas defesas contra a evolução das ciberameaças. Isto inclui a implementação de mecanismos de autenticação robustos, a utilização de tecnologias de encriptação, a formação dos utilizadores sobre ataques de phishing e a actualização regular dos protocolos de segurança.
Além disso, a integração de ferramentas de IA para melhorar as práticas de segurança do seu correio eletrónico é a melhor forma de se manter a par de ataques sofisticados organizados por cibercriminosos.
Para evitar falhas de DMARC e resolver outros erros de DMARC, inscreva-se para entrar em contacto com os nossos especialistas em DMARC hoje mesmo!
Revisão de conteúdos e processo de verificação de factos
Este artigo foi selecionado por um especialista em cibersegurança. Os métodos e práticas apresentados neste artigo são estratégias reais que implementámos nos nossos clientes e que os ajudaram a ultrapassar a falha do DMARC. Se estes métodos não funcionarem para si, contacte-nos para obter orientação gratuita de um especialista em DMARC.
Desde a implementação do PowerDMARC em todos os nossos clientes, foi criado um processo muito mais fácil para integrar, monitorizar e efetuar alterações, mesmo que não tenhamos o controlo dos serviços DNS.
Joe Burns, cofundador e diretor executivo da Reformed IT
- Corrigir o erro de SPF: Ultrapassar o limite de demasiadas pesquisas de DNS do SPF - 26 de abril de 2024
- Como publicar um registo DMARC em 3 passos? - 2 de abril de 2024
- Porque é que o DMARC está a falhar? Corrigir a falha do DMARC em 2024 - 2 de abril de 2024