1. Home
  2. Knowledge Base
  3. DMARC

DMARC

Política DMARC: Conceitos Chave e Significado para Segurança Postal

DMARC (Autenticação, Relatórios e Conformidade de Mensagens Baseadas em Domínio) é uma ferramenta poderosa projetada para combater atividades maliciosas, como spoofing ou phishing, que podem interromper a comunicação por e-mail ao explorar a representação de domínio. Ela atua como um conjunto de regras, conhecido como política DMARC, que ajuda a verificar a legitimidade das mensagens recebidas e fornece instruções sobre como lidar com e-mails não autorizados ou fraudulentos. A política é criada pela organização remetente e armazenada em um registro especial no Sistema de Nomes de Domínio (DNS). Ao configurar corretamente o registro DMARC, as organizações podem fortalecer a segurança de seu domínio, evitar a falsificação de identidade e proteger a reputação de sua marca.

Para obter segurança ideal de e-mail, é altamente recomendável integrar o DMARC ao SPF (Sender Policy Framework) e ao DKIM (DomainKeys Identified Mail). Esses dois mecanismos desempenham um papel fundamental na verificação da autenticidade e integridade dos emails. O SPF verifica a origem da mensagem, enquanto o DKIM valida sua integridade. O DMARC complementa essas verificações comparando o campo De com o domínio do remetente e determinando as ações apropriadas com base nos resultados da verificação SPF e DKIM. Ao combinar estes mecanismos de autenticação, os e-mails legítimos podem chegar com segurança aos destinatários pretendidos, enquanto as mensagens não autorizadas ou fraudulentas são efetivamente bloqueadas.

Benefícios do DMARC para segurança de e-mail

A implementação deste protocolo de autenticação oferece vários benefícios substanciais para a segurança do email:

  • Primeiro, serve como um mecanismo de defesa robusto contra atividades não autorizadas conduzidas por cibercriminosos que procuram acesso a dados sensíveis. Ao alterar até mesmo uma única letra num nome de domínio, os criminosos podem personificar o domínio e aceder a informações confidenciais sem a devida autorização, levando potencialmente a violações de dados. Quando combinado com SPF e DKIM, o DMARC realiza um exame minucioso do cabeçalho da mensagem, comparando-o com os dados fornecidos nos registros para garantir sua autenticidade e reduzir significativamente a probabilidade de tentativas de falsificação ou phishing.
  • Além disso, permite monitoramento abrangente da atividade de e-mail por meio de relatórios detalhados. As organizações podem obter informações valiosas sobre as origens e os padrões de abuso de e-mail, capacitando-as a tomar medidas proativas no enfrentamento de possíveis ameaças à segurança.
  • Além disso, o DMARC desempenha um papel vital na preservação da reputação de uma empresa, fornecendo informações precisas e confiáveis sobre o seu domínio, confirmando assim a legitimidade da fonte do email. Como resultado, as organizações podem ter a confiança de que os seus e-mails serão entregues com sucesso, estabelecendo um meio de comunicação contínuo e seguro. Isto promove a confiança entre clientes e parceiros, contribuindo para a manutenção de relacionamentos fortes e confiáveis.

No geral, esta é uma ferramenta essencial para organizações que procuram uma proteção sólida de e-mail, e a sua implementação é uma estratégia fundamental para salvaguardar a reputação.

Registro DMARC: apresentação, componentes e configuração

Exemplo de registro DMARC

O registro é representado como um registro TXT que consiste em partes significativas. 

_dmarc.yourdomain.com. IN TXT "v=DMARC1; p=none; rua=mailto:your@email.com;"

Componentes, sua interpretação e valores possíveis

DMARC record components
TagsInterpretationPossible Values
vversion of DMARCv=DMARC1
precommended actions on emails that fail authenticationp=none (take no action)
p=quarantine (mark as spam)
p=reject (do not receive messages)
aspfverification conformance mode for SPF recordsaspf=r (relaxed) — allow partial matches
aspf=s (strict) — allow only exact matches
adkimsimilar to aspfadkim=r
pctthe percentage of email messages to be filtered in a flowpst=100 is the best practice
sppolicy for handling subdomainsp=none (take no action)
p=quarantine (mark as spam)
p=reject (do not receive messages)
ruaan address for bulk reportsrua=mailto:your@email.com
ruflike ruf tag specifies the addresses for receiving failure (or forensic) reportsruf=mailto:your@email.com
foa type of report a sender receives depending on the failurefo=0: a report on both SPF and DKIM alignment failure. (Default)
fo=1: a report on either SPF or DKIM alignment failure. (Recommended)
fo=d: a report on signature validation failure.
fo=s: a report on SPF verification failure.
rfstates various formats for reports of forensic characterrf=afrf (default)
ritime interval between reports (in seconds)ri=86400 (default)

Configurando

A maneira mais comum de configurar um registro é acessar o console de gerenciamento DNS (Domain Name System).

  1. Primeiro, identifique a zona DNS do domínio para o qual deseja configurar o DMARC. Geralmente é o domínio associado aos seus endereços de e-mail.
  2. Crie um novo registro TXT para o subdomínio "_dmarc.seudominio.com" (substitua "seudominio.com" pelo seu domínio real). Se preferir configurar o protocolo para o domínio principal, omita a parte do subdomínio e crie o registro TXT para seudominio.com.
  3. Defina todas as tags e valores necessários para o registro TXT para especificar a política.
  4. Por fim, salve as alterações para declarar o registro DMARC no DNS.

Aguarde algum tempo para a propagação do DNS, que normalmente leva algumas horas ou até 48 horas, para que as alterações sejam aplicadas globalmente.

COMO FUNCIONA

Processo de autenticação

Quando um e-mail está a caminho da caixa de entrada do destinatário, ele passa por um sofisticado processo de autenticação conduzido pelo servidor receptor. Este processo depende de duas ferramentas essenciais: um registro SPF (Sender Policy Framework) e um registro DKIM (DomainKeys Identified Mail). O registro SPF valida se o endereço IP do remetente está autorizado a enviar e-mails em nome de um domínio específico, enquanto o registro DKIM verifica a legitimidade da fonte examinando uma assinatura no cabeçalho da mensagem. Se uma mensagem passar com êxito na autenticação usando esses dois métodos, o DMARC intervém para verificar o alinhamento do domínio, garantindo que o endereço De corresponda ao remetente autenticado. Esse processo de autenticação em várias camadas ajuda a garantir a integridade e a segurança das comunicações por email.

DMARC record authentication processLayer 1 mail service mail service ------- ------- ------- ------- rejected spam DMARK check and policy application sender's email service DNS server recipient mail server recipient's email service

O DMARC também fornece diretrizes sobre como os servidores receptores devem lidar com e-mails como resultado de verificações de autenticação. Por exemplo:

  • autenticação passada p=none - a mensagem é entregue
  • falha na autenticação p=rejeitar - a mensagem não é entregue
  • falha na autenticação p=quarentena - a mensagem está marcada como spam

Adoção da Indústria

O DMARC ganhou atenção e adoção significativas em vários setores. As tendências e estatísticas atuais em torno da sua adoção destacam a importância de proteger a comunicação entre organizações e protegê-las contra ataques de phishing. No setor financeiro e bancário, tem estado em ascensão, com muitas instituições a implementar políticas rigorosas para garantir a autenticidade das suas comunicações por correio eletrónico. Da mesma forma, as organizações de saúde estão a reconhecer o seu valor na salvaguarda de informações sensíveis dos pacientes. A indústria de tecnologia também adotou o DMARC, com as empresas priorizando a autenticação de e-mail para preservar a reputação de sua marca e proteger os usuários contra golpes baseados em e-mail. Além disso, as agências governamentais estão cada vez mais a adoptar o DMARC para se defenderem contra ameaças cibernéticas e garantirem uma comunicação segura com os cidadãos. Estas tendências indicam o reconhecimento crescente da sua eficácia na prevenção da fraude por e-mail e no estabelecimento de confiança nas comunicações digitais em diversos setores.

Dicas úteis

  1. É crucial não subestimar o valor dos relatórios, especialmente para organizações que utilizam BIMI (Brand Indicators for Message Identification). Se você pretende incluir seu logotipo em suas mensagens, é essencial garantir que ele esteja configurado corretamente no DNS para passar com êxito na verificação DMARC. É aqui que o monitoramento se mostra excepcionalmente útil. No geral, os relatórios fornecem às organizações informações valiosas sobre o status de autenticação dos e-mails enviados em seu nome, permitindo-lhes resolver quaisquer possíveis problemas que exijam atenção.
  2. Para minimizar falsos positivos e evitar que e-mails autenticados sejam sinalizados por engano como suspeitos ou rejeitados, considere usar listas de permissões para remetentes confiáveis ou fazer as alterações necessárias nas configurações de e-mail.
  3. É importante monitorar continuamente os relatórios DMARC, investigar prontamente quaisquer anomalias ou atividades não autorizadas e fazer ajustes na política conforme necessário. Também é recomendável revisar e atualizar regularmente as configurações de SPF e DKIM para alinhá-las com as mudanças organizacionais.

Frequently asked questions

Respostas às principais perguntas

O DMARC pode impedir fraudes por e-mail?

Diminuindo efetivamente o risco de atividades maliciosas relacionadas a e-mail, não é possível erradicá-las totalmente. O DMARC depende da autenticação SPF e DKIM, que pode ser ignorada em determinadas circunstâncias. No entanto, as organizações, ao incorporarem este mecanismo de autenticação nos seus sistemas de e-mail, podem aumentar significativamente a segurança da sua comunicação por e-mail.

O DMARC pode interromper a entrega de e-mails legítimos?

Políticas configuradas incorretamente podem afetar a entrega de e-mails legítimos. Portanto, é crucial monitorar cuidadosamente os relatórios e fazer os ajustes necessários nas políticas para evitar falsos positivos e manter a capacidade ideal de entrega de e-mails.

Quanto tempo leva para ver os benefícios do DMARC?

O tempo que leva depende de vários fatores, incluindo o tamanho da organização e o volume de e-mails enviados. Geralmente, as organizações devem começar a ver melhorias na capacidade de entrega e segurança de e-mail algumas semanas após a implementação.

É possível usar DMARC com provedores de serviços de e-mail?

Sim, desde que eles suportem autenticação SPF e DKIM. Hoje em dia, o suporte DMARC está disponível para os provedores de serviços de e-mail mais populares.

Veja também:

Com o mecanismo de e-mail introduzido acima, todos os detalhes do processo de transmissão de e-mail permanecem nos bastidores, a menos que sejam explicitamente relatados conforme especificado em um registro DMARC. No entanto, há outra maneira de analisar as informações contidas no cabeçalho de uma mensagem, como remetente, tipo de conteúdo, roteamento e muito mais, usando nosso Analisador de cabeçalhos de e-mail . Ao extrair informações relevantes do cabeçalho da mensagem, nosso aplicativo fornece informações valiosas sobre o processo de transmissão de e-mail.