Imagine receber e-mails de qualquer pessoa sem saber se o remetente é legítimo. Como você saberia em quais confiar? A quais e-mails você responderia e por quê?
Distinguir entre e-mails fraudulentos e legítimos confundiria qualquer pessoa. Felizmente, a autenticação de e-mails lida com a maior parte do trabalho pesado.
Ela ajuda os provedores de e-mail a determinar se um e-mail é de quem afirma tê-lo enviado. Se o provedor se sentir confiante de que o remetente é quem diz ser, as chances aumentam de que o provedor entregará o e-mail ao destinatário pretendido.
Os provedores consideram o Domain-based Message Authentication, Reporting, and Conformance (DMARC) como um dos melhores protocolos de autenticação de e-mail. As organizações usam software DMARC para verificar se os e-mails de seu domínio corporativo são autenticados de acordo com os padrões DomainKeys Identified Mail (DKIM) e Sender-Policy Framework (SPF).
Como autenticar meu e-mail?
Para autenticar seu e-mail, siga os passos abaixo:
- Escolha um endereço de e-mail profissional para aumentar sua credibilidade e estabelecer confiança.
- Configure o Sender Policy Framework (SPF) para especificar quais endereços IP podem enviar e-mails em seu nome.
- Implemente o DomainKeys Identified Mail (DKIM) para assinar digitalmente seus e-mails enviados e garantir a integridade da mensagem.
- Configure o Domain-based Message Authentication, Reporting & Conformance (DMARC) para combinar SPF e DKIM e criar uma estrutura abrangente de autenticação de e-mail.
- Considere métodos de autenticação opcionais como BIMI para confiança visual através de logotipos ou ARC para manter a autenticação com intermediários.
- Monitore e ajuste as configurações regularmente para manter a segurança e a confiabilidade do e-mail de forma consistente.
Por que a autenticação de e-mail é necessária?
A autenticação de e-mail visa prevenir atividades fraudulentas óbvias, como tentativas de golpe, mas há algumas razões mais sutis pelas quais as organizações devem priorizar técnicas eficazes de autenticação de e-mail.
Reduz o risco de tentativas de phishing e spoofing
Implementar a autenticação de e-mail ajuda a reduzir o risco de phishing e spoofing. Sem práticas de autenticação de e-mail, qualquer pessoa poderia enviar e-mails para quem quisesse a qualquer momento. Embora isso ainda aconteça ocasionalmente, seria quase impossível determinar se uma pessoa que está enviando um e-mail é quem afirma ser sem prova de identificação.
Melhora a entregabilidade de e-mails
Autenticar e-mails tenta capturar spam e outras mensagens suspeitas. Um e-mail não autenticado tem mais chances de ser marcado como spam ou rejeitado completamente. Aumentar as chances de entregabilidade do seu e-mail é fundamental para garantir que nossos e-mails cheguem às pessoas certas.
Protege a imagem de uma marca
Muitas vezes, alguém com intenções não tão boas cria um endereço de e-mail semelhante ao de uma organização para se apresentar como um funcionário e cometer comportamentos fraudulentos, como solicitar cartões-presente ou dinheiro para assuntos “urgentes”. O e-mail pode variar apenas por um ou dois caracteres.
Situações como essas podem prejudicar a reputação e a imagem de uma marca. As empresas podem perder a confiança de seus clientes atuais e potenciais. Embora essas situações não sejam totalmente evitáveis, a autenticação de e-mail pode ajudar a diminuir sua probabilidade.
Quer aprender mais sobre Software DMARC? Explore os produtos de DMARC.
Protocolos de autenticação de e-mail
A autenticação de e-mail funciona verificando a legitimidade de um remetente de e-mail usando registros do Sistema de Nomes de Domínio (DNS). Os três principais métodos de autenticação de e-mail que são mais utilizados, cada um com diferentes níveis de segurança e configuração de DNS, são mencionados abaixo.
Sender Policy Framework
O SPF informa aos servidores de e-mail quem pode enviar e-mails em nome de um domínio. Este método permite que os proprietários de domínios especifiquem quais endereços IP eles confiam.
Os registros SPF funcionam assim:
- Você ativa o SPF para seu domínio e adiciona seu registro às configurações de DNS do seu domínio.
- Em seguida, um usuário do seu domínio envia um e-mail para um destinatário pretendido.
- O provedor do destinatário pretendido verifica o registro SPF para verificar a origem e a legitimidade desse e-mail, determinando se ele veio de um endereço IP aprovado.
- O provedor de e-mail estabelece se o e-mail deve passar para o destinatário e chegar à sua caixa de entrada ou ir para a pasta de spam.
Fonte: Mailtrap
Embora os registros SPF suportem a autenticação, eles não são infalíveis ou precisos o tempo todo, o que significa que e-mails de spam podem acabar na caixa de entrada do destinatário e mensagens legítimas podem ir para o spam. E-mails encaminhados também podem causar falhas de autenticação porque um usuário encaminha a mensagem de um novo endereço IP pela primeira vez. É provável que não esteja incluído no registro SPF do remetente original.
DomainKeys Identified Mail
DKIM usa criptografia de chave pública e privada para verificar a legitimidade de um remetente de e-mail para seu domínio. Para verificação, ele corresponde a uma chave pública armazenada nos registros DNS com uma chave privada no e-mail, semelhante a uma assinatura digital única.
Veja como o DKIM funciona:
- A chave pública é armazenada nos registros DNS do domínio para que os servidores receptores possam acessá-la.
- Um usuário envia um e-mail para um destinatário pretendido. O DKIM automaticamente “assina” o e-mail com uma chave privada.
- O provedor receptor acessa a chave pública nas configurações de DNS e tenta combiná-la com a chave privada no e-mail.
- Se as chaves corresponderem, o provedor autentica o e-mail e o entrega com confiança ao destinatário pretendido.
Fonte: Mailtrap
Ao contrário dos registros SPF, as assinaturas DKIM geralmente não são afetadas pelo encaminhamento de e-mails, desde que o encaminhador não altere drasticamente o conteúdo do e-mail.
Domain-based Message Authentication, Reporting, and Conformance
O DMARC se baseia nos métodos de validação SPF e DKIM para permitir que os proprietários de domínios especifiquem políticas para e-mails que falham nos pontos de verificação. Em outras palavras, o DMARC tenta verificar um e-mail e, se não conseguir, determina como lidar com o e-mail com base no que o proprietário do domínio especificou nas políticas.
Veja como o DMARC funciona:
- Um usuário envia um e-mail de um domínio corporativo com uma política DMARC.
- O servidor de e-mail do destinatário realiza verificações SPF e DKIM para validar se o remetente está autorizado a enviar um e-mail em nome desse domínio.
- Durante esse processo, o DMARC está procurando por:
- Passagem do DKIM
- Passagem do SPF
- Alinhamento do DKIM, significando que o domínio da assinatura DKIM corresponde ao domínio no cabeçalho "De:"
- Alinhamento do SPF, significando que o domínio no cabeçalho "De:" corresponde ao domínio no registro SPF
- Se o e-mail passar no DMARC, o destinatário receberá o e-mail.
- Se o e-mail falhar no DMARC, o servidor de e-mail do destinatário pode determinar como lidar com os testes falhados com base no que a política do proprietário do domínio especifica, o que inclui o seguinte.
- Rejeitar o e-mail e descartá-lo completamente
- Quarentenar o e-mail enviando-o para o spam
- Nenhuma ação; e-mails entregues
Fonte: Mailtrap
Para que o DMARC passe, o SPF ou o DKIM devem passar na verificação e o domínio usado pelo SPF ou DKIM deve estar alinhado com o domínio do endereço do remetente do e-mail na linha "De:". Os resultados possíveis incluem:
- Se as verificações SPF e DKIM passarem e estiverem alinhadas, o DMARC passa.
- Se o SPF passar e estiver alinhado, e o DKIM não passar ou não estiver alinhado, o DMARC passa.
- Se o DKIM passar e estiver alinhado, e o SPF não passar ou não estiver alinhado, o DMARC passa.
- Se o SPF passar, mas não estiver alinhado, e o DKIM não passar ou não estiver alinhado, o DMARC falha.
- Se o DKIM passar, mas não estiver alinhado, e o SPF não passar ou não estiver alinhado, o DMARC falha.
- Se o SPF e o DKIM falharem, o DMARC falha.
Se você quiser explorar mais sobre o DMARC e testá-lo com seu domínio, confira o console “Learn and Test DMARC” como um excelente ponto de partida. Você pode enviar um e-mail e passar por uma demonstração visual de como os servidores de e-mail se comunicam e executam verificações SPF, DKIM e DMARC.
Outros métodos de autenticação de e-mail
Abaixo estão alguns outros métodos para verificar a identidade do remetente e melhorar a segurança do e-mail.
- Brand Indicators for Message Identification (BIMI) permite que os remetentes exibam seu logotipo ao lado de e-mails autenticados. No entanto, ele só funciona com conformidade DMARC e um logotipo validado.
- Authenticated Received Chain (ARC) adiciona autenticação para todos os intermediários para manter a confiança na origem do e-mail.
- Sender ID funciona como o SPF e identifica sinais incompatíveis. No entanto, requer um registro SPF publicado para operar.
- Author Domain Signing Practices (ADSP) que pode ser usado como uma extensão do DKIM.
- Vouch by Reference (VBR) verifica a legitimidade dos remetentes de e-mail referenciando endossos de terceiros confiáveis.
- IP reverse lookup (iprev) garante se o DNS do IP está configurado corretamente. No entanto, não determina a confiabilidade.
- DNS Whitelist (DNSWL) é uma lista de remetentes confiáveis que sinaliza e-mails seguros. É outro método de autenticação complementar que não deve ser totalmente confiado.
Como fazer uma verificação de autenticação de e-mail
Realizar verificações regulares de autenticação de e-mail garante que sua configuração esteja funcionando corretamente e que seus e-mails estejam seguros e validados. Existem várias etapas que você pode seguir para verificar a autenticação de e-mail. Aqui estão algumas:
- Use ferramentas dedicadas para teste de autenticação de e-mail. Você pode escolher ferramentas como MxToolbox para ver como está o desempenho da sua configuração de SPF, DKIM e DMARC. Se você usar o Gmail, o painel de ferramentas do Google Postmaster pode ajudar a monitorar a autenticação e informações sobre e-mails enviados.
- Envie um e-mail de teste do domínio que você deseja testar. No Gmail, abra a mensagem, clique em ‘mais’ ao lado do ícone de resposta e selecione ‘mostrar original’. Isso exibirá os cabeçalhos completos da mensagem, incluindo os resultados de autenticação SPF, DKIM e DMARC. Se todos os protocolos mostrarem ‘PASS’, sua configuração está correta.
- Revise seus logs para quaisquer erros relacionados ao DKIM para identificar e corrigir quaisquer problemas com sua configuração.
Top 5 softwares DMARC
Marcado como spam
Os provedores de e-mail usam a autenticação de e-mail para validar o remetente de um e-mail. Quando você não autentica os endereços de e-mail do seu domínio, seus e-mails podem não chegar ao destinatário pretendido. Proteja-se e proteja sua organização contra tentativas de phishing e uma reputação danificada com SPF, DKIM e DMARC.
Saiba como reconhecer ataques de phishing para que você possa preveni-los.
Alyssa Towns
Alyssa Towns works in communications and change management and is a freelance writer for G2. She mainly writes SaaS, productivity, and career-adjacent content. In her spare time, Alyssa is either enjoying a new restaurant with her husband, playing with her Bengal cats Yeti and Yowie, adventuring outdoors, or reading a book from her TBR list.
