O que são DMARC, registros, monitoramento e política

Compreender o DMARC e como ele pode ser usado para proteger remetentes e destinatários é importante quando você cria uma campanha de e-mail. As verificações DMARC podem ajudar a evitar o uso não autorizado do seu domínio, o que, por sua vez, pode ajudar a reduzir o spam nas caixas de entrada dos destinatários.

Se quiser saber mais sobre o significado do DMARC e a política do DMARC e como isso pode afetar sua campanha de marketing por e-mail, continue lendo.

O DMARC usa a Sender Policy Framework (SPF) e o DomainKeys Identified Mail (DKIM) para avaliar a autenticidade das mensagens de e-mail. Juntas, essas ferramentas evitam práticas como phishing e falsificação de domínio.

Phishing é um crime cibernético em que alguém se apresenta como uma entidade confiável — como um banco, agência governamental ou até mesmo seu próprio empregador — para tentar coletar informações confidenciais, como informações de cartão de crédito ou número de previdência social. A falsificação de domínio é uma forma de phishing que envolve o uso de um endereço de e-mail ou domínio falso para parecer legítimo.

O DMARC permite que os proprietários de domínio definam como um e-mail que parece ter sido enviado desse domínio será tratado se não incluir as informações corretas. Por exemplo, e-mails não autenticados podem ser bloqueados ou enviados diretamente para uma pasta de lixo eletrônico com base nas configurações colocadas nos registros do domínio desse endereço de e-mail.

Por que o DMARC é importante?

Remetentes de spam e phishing têm muito a ganhar com o comprometimento de contas de usuários. Ao obter acesso a senhas, informações de cartão de crédito, contas bancárias e outros instrumentos financeiros, os agentes mal-intencionados podem facilmente obter acesso ao dinheiro de suas vítimas antes que elas percebam que foram enganadas.

O e-mail é um alvo particularmente atraente e comum, especialmente para falsificação. Mesmo algo tão simples como inserir o logotipo de uma marca conhecida em um e-mail pode levar alguns destinatários a acreditarem que receberam uma comunicação legítima.

O DMARC trabalha para resolver esse problema em escala. De forma realista, serviços de e-mail gratuitos como o Google, Yahoo ou Hotmail não podem inspecionar todos os e-mails que passam por seus servidores para determinar quais permitir e quais podem ser fraudulentos.

Os registros de SPF e DKIM podem ajudar, mas esses processos têm, em si, um escopo limitado. Quando usados com o DMARC, esses protocolos ajudam os remetentes e destinatários a colaborar para protegerem melhor os e-mails.

Os registros DMARC são uma parte importante da sua proteção e das pessoas para quem você envia e-mails. Além de proteger seu domínio contra o uso não autorizado, o DMARC pode permitir que você determine quem está usando seu domínio de e-mail para enviar e-mails não autorizados.

O DMARC oferece três benefícios principais: segurança, reputação e visibilidade.

Segurança

Além de proteger os clientes, o uso do DMARC beneficia a comunidade de e-mails como um todo. Ao estabelecer uma estrutura para uma política consistente para lidar com e-mails não autenticados, o DMARC ajuda o ecossistema de e-mails a se tornar mais confiável e seguro.

Reputação

O DMARC protege as marcas atuando como um guardião — ele evita que criminosos falsifiquem seu domínio e enviem e-mails que parecem vir da sua marca. Publicar seu registro DMARC pode resultar em um aumento da sua reputação.

Visibilidade

O DMARC oferece mais informações sobre seu programa de e-mail em alto nível, permitindo que você saiba a identidade de todos os que enviam e-mails de seu domínio.

Histórico do DMARC

Para entender o DMARC, é importante entender os fundamentos de SPF e DKIM, bem como os registros do Sistema de Nome de Domínio (DNS). O DMARC se baseia em técnicas de SPF e DKIM.

SPF

A SPF ajuda a detectar falsificações, analisando o endereço de retorno listado de um e-mail. Esse endereço de e-mail também é conhecido como domínio do remetente ou endereço de devolução.

Quando um e-mail não pode ser enviado ao destinatário pretendido após várias tentativas ou um atraso, uma notificação dessa falha é geralmente enviada para o endereço de retorno.

Veja como o endereço de retorno é usado para ajudar a autenticar o e-mail.

Os proprietários de domínio podem decidir de quais servidores de correio seu domínio tem permissão para enviar quando se conectam a um domínio e configuram seus protocolos de SPF.

1. As informações de SPF são inseridas em um registro TXT para definir os servidores de e-mail autorizados a enviar e-mail para um domínio.
2. Um servidor de e-mail de entrada recebe um novo e-mail e verifica as regras escritas para o domínio do endereço de e-mail do caminho de retorno. O servidor de entrada compara o endereço IP do remetente de e-mail com os domínios e/ou endereços IP definidos no registro da SPF.
3. O servidor receptor usa as regras especificadas no registro da SPF do remetente e determina se ele deve aceitar, rejeitar ou sinalizar a mensagem.

DKIM

O DKIM é uma técnica de autenticação de e-mail que garante que o conteúdo do e-mail seja mantido protegido contra adulteração, usando uma assinatura digital criptografada. As assinaturas DKIM são adicionadas como cabeçalhos a mensagens de e-mail e protegidas com criptografia de chave pública.

Quando um servidor receptor determina que um e-mail tem uma assinatura DKIM válida, ele pode confirmar que o e-mail e os anexos não foram modificados. Esse processo geralmente não é visível para os usuários finais, como o destinatário pretendido da mensagem de e-mail.

Como o DKIM funciona

Veja como as assinaturas DKIM são validadas:

1. O proprietário do domínio publica uma chave criptográfica única formatada como um registro TXT dentro do registro DNS do domínio.
2. Quando uma mensagem é enviada por um servidor de saída, ela gera e anexa uma assinatura DKIM única ao cabeçalho.
3. Os servidores de entrada recebem um hash criptografado do corpo da mensagem.
4. O servidor receptor primeiro localiza a chave pública do DKIM referenciada na assinatura DKIM e armazenada nos registros DNS.
5. A chave é usada para decifrar o hash e, em seguida, gerar um novo hash do corpo da mensagem e compará-lo ao original incluído pelo remetente.
6. Se os dois hashes corresponderem, eles poderão validar que a mensagem não foi alterada em trânsito.

Um registro

O tipo de registro DNS que aponta domínios para um endereço IP é chamado de registro de endereço. Ao usar endereços IPv4, esse registro é chamado de registro A.

Se você fosse acessar o mailchimp.com, seu navegador perguntaria a um servidor DNS próximo se ele tem o endereço IP do mailchimp.com. Se tiver o IP registrado, ele o enviará para o navegador. Caso contrário, ele informa ao navegador onde ele pode encontrar outro servidor DNS que o tenha, e assim por diante, até que o IP seja retransmitido para você junto com o site.

Registro CNAME

Um registro CNAME (nome canônico) é um tipo de registro DNS que mapeia um nome alternativo para um nome de domínio verdadeiro (canônico). Os registros CNAME geralmente mapeiam um subdomínio como "www" ou "mailto:" para o domínio que hospeda o conteúdo desse subdomínio. Por exemplo, um registro CNAME pode mapear o endereço da web www.mailchimp.com para o site do domínio mailchimp.com.

Você pode adicionar um registro CNAME às suas configurações de DNS se quiser personalizar um endereço da web, verificar a propriedade do domínio, redefinir sua senha de administrador e muito mais.

Histórico do DMARC

A SPF e o DKIM foram desenvolvidos há vários anos para ajudar a proteger o ecossistema de e-mails. Embora o uso dessas ferramentas tenha aumentado ao longo do tempo, e-mails fraudulentos e enganosos ainda são um problema generalizado. O DMARC foi criado para resolver vários problemas frequentes:

• Remetentes com vários sistemas de envio de e-mails enfrentaram uma grande complexidade ao tentar trabalhar com a SPF e o DKIM.
• Quando uma combinação de e-mails autenticados, não autenticados e não alinhados é enviada do mesmo domínio, os servidores receptores têm de discernir quais são legítimos e quais podem ser fraudulentos. Isso tende a desarmar algoritmos de spam, levando a mensagens fraudulentas se acumulando em caixas de entrada.
• Com a SPF e o DKIM, os remetentes recebem pouco feedback sobre as implantações de autenticação de e-mail. A menos que o e-mail seja devolvido, os remetentes não têm como saber quantas mensagens legítimas foram enviadas sem autenticação ou o escopo dos e-mails fraudulentos enviados de seu domínio.
• Mesmo quando os remetentes protegem sua infraestrutura de autenticação de e-mail, os destinatários de e-mail são programados para aceitar algumas mensagens não autenticadas porque é possível que mensagens legítimas sem assinaturas estejam passando.

Para resolver esses problemas, os remetentes e destinatários devem compartilhar informações uns com os outros. Em condições ideais, os destinatários fornecem aos remetentes informações de relatórios, enquanto os remetentes informam aos destinatários o que fazer quando recebem mensagens não autenticadas.

O DMARC é baseado na ideia de colaboração entre remetente e destinatário para melhorar as práticas de autenticação de e-mail dos remetentes e permitir que os destinatários rejeitem mensagens não autenticadas.

Como funciona a autenticação de e-mail DMARC

O DMARC se encaixa nos processos de autenticação de e-mails de entrada existentes. Ele ajuda os destinatários a determinarem se uma mensagem está de acordo com o que ele sabe sobre o remetente.

Se a mensagem não estiver alinhada, o servidor receptor pode verificar o registro DMARC para obter orientação sobre como lidar com a mensagem não alinhada. Veja um exemplo desse fluxo para um receptor que usa a SPF e o DKIM e seus próprios filtros de spam (uma configuração comum):

1. Um usuário redige e envia um e-mail.
2. O servidor de envio insere um cabeçalho DKIM.
3. O servidor de envio envia o e-mail ao destinatário.
4. O e-mail passa por testes de validação padrão (listas de bloqueio de IP, limites de taxa, testes de reputação e assim por diante).
5. O servidor receptor recupera os domínios DKIM verificados com base no cabeçalho, um "envelope de" via SPF, e aplica as políticas DMARC, passando o e-mail, colocando em quarentena ou rejeitando o e-mail e enviando um relatório ao servidor do remetente. Dito de outra forma, podemos dizer que, neste ponto, o servidor receptor está buscando uma resposta "sim" para três perguntas importantes:
   • A assinatura DKIM valida?
   • A mensagem veio de um endereço IP aceito de acordo com o registro da SPF?
   • Os cabeçalhos de mensagem mostram o alinhamento de domínio correto?
6. O e-mail passa por filtros anti-spam e passa por outros processos padrão.

Dessa forma, o DMARC satisfaz vários requisitos em um alto nível:

• Menos falsos positivos
• Relatórios de autenticação robustos
• Phishing reduzido
• Trabalhar em escala de alta capacidade

Embora nem todos os servidores receptores executem uma verificação DMARC antes de permitir a passagem de uma mensagem, os principais ISPs costumam fazer. A adoção do DMARC está crescendo.

Seu registro DMARC

Junto com seus registros DNS, seu registro DMARC é publicado e está disponível para qualquer pessoa on-line visualizar. Nesta seção, veremos como você pode analisar o registro DMARC de um domínio e o que as partes do registro significam.

Como verificar e decodificar um registro DMARC

A verificação de um domínio para um registro DMARC pode ser feita na linha de comando de uma janela de terminal. Por exemplo:

dig txt dmarc.mailchimp.com

Como alternativa, a DMARC.org fornece uma lista de outras empresas comerciais que oferecem pesquisa e análise de registro DNS, incluindo ferramentas para analisar o DMARC.

Aqui está o registro DMARC do Mailchimp:

v=DMARC1; p=reject; rua=mailto:19ezfriw@ag.dmarcian.com; ruf=mailto:19ezfriw@fr.dmarcian.com

O registro DMARC é armazenado no subdomínio dmarc do mailchimp.com como um registro TXT. Ele exibe várias informações sobre o domínio que influenciarão como um e-mail enviado desse domínio será tratado pelo recebimento de servidores de e-mail.

v=DMARC1

O servidor de recebimento procura o identificador v=DMARC1 ao verificar um registro DNS do domínio que está enviando a mensagem. Se o servidor de recebimento não encontrar essa etiqueta, ele não executará uma verificação do DMARC.

p=reject, p=none, p=quarantine

O "p" aqui significa "política". Os detentores de domínio podem selecionar entre três políticas para aconselhar o servidor de recebimento sobre o que fazer com os e-mails que não passam pelo SPF e DKIM, mas afirmam ser originários do seu domínio.

• p=none diz ao destinatário para não executar nenhuma ação contra e-mail não autenticado, mas sim para enviar relatórios de e-mail para o endereço mailto: listado no registro DMARC.
• p=quarantine diz ao destinatário para colocar mensagens não qualificadas em quarentena (por exemplo, enviando-as diretamente para um filtro de lixo eletrônico ou spam em vez de uma caixa de entrada).
• p=reject diz ao destinatário para rejeitar correio não qualificado. Apenas o e-mail verificado será enviado para uma caixa de entrada. O e-mail rejeitado é simplesmente uma entrada negada.

rua=mailto:

Esta seção informa ao servidor de recebimento para onde ele pode enviar relatórios DMARC agregados. Os relatórios incluem informações de alto nível sobre problemas do DMARC, mas não são muito detalhados.

ruf=mailto:

Semelhante a rua=mailto:, ruf=mailto: informa ao servidor de recebimento onde ele pode enviar relatórios forenses (detalhados) sobre falhas DMARC. Esses relatórios são enviados em tempo real ao administrador do domínio e incluem detalhes sobre cada incidente.

fo=

Esta seção exibe um dos vários valores relacionados às opções de relatórios forenses:

• 0 gera relatórios quando todos os mecanismos de autenticação não conseguem produzir um resultado de aprovação DMARC
• 1 gera relatórios quando qualquer mecanismo falha
• d gera relatórios se as assinaturas DKIM não conseguirem verificar
• s gera relatórios se o SPF falhar

sp=

Quando um valor opcional sp= é listado no registro DMARC, ele informa ao servidor receptor se deve aplicar políticas DMARC aos subdomínios.

adkim=

Também um valor opcional, adkim= define o alinhamento DKIM como s (estrito) ou r (relaxado). Estrito significa que a parte DKIM passará apenas quando o campo d= na assinatura DKIM corresponder exatamente ao endereço de origem. A configuração relaxada permite que as mensagens aprovem a parte DKIM se o campo DKIM d= corresponder ao domínio raiz do endereço do remetente e estiver implícito se adkim= não estiver especificado no registro.

Por exemplo, no modo relaxado, mail.mailchimp.com, mx1.mail.mailchimp.com e mailchimp.com se alinhariam uns com os outros, pois compartilham o mesmo domínio organizacional (mailchimp.com). No modo estrito, cada um só pode se alinhar consigo mesmo (mailchimp.com se alinharia apenas com mailchimp.com).

ri=

Você também pode ver o valor ri= ao examinar um registro DMARC. Esse valor define o intervalo para a frequência preferencial de relatórios agregados, conforme listado em rua = mailto:.

aspf=

Outro valor opcional, aspf = define a rigidez obrigatória para o alinhamento SPF para s (estrito) ou r (relaxado). Estrito significa que o SPF será alinhado apenas quando o domínio do remetente (também chamado de SPF de, envelope de ou endereço de devolução) corresponder exatamente ao cabeçalho de (também conhecido como "amigável de"). A configuração tolerante permite que a SPF alinhe se o domínio e o cabeçalho do remetente do domínio compartilharem o mesmo domínio organizacional.

Por exemplo, quando aspf é definido como relaxado, mail.mailchimp.com, mx1.mail.mailchimp.com e mailchimp.com se alinham entre si, pois compartilham o mesmo domínio organizacional (mailchimp.com). Como adkim, aspf padrão é relaxado.

pct=

Usar este valor opcional permite que um proprietário de domínio teste o impacto de seu DMARC no envio, definindo uma porcentagem de quantos e-mails são enviados com uma política específica. Isso pode ser útil ao implementar o DMARC pela primeira vez para medir a diferença no sucesso da entrega de e-mail para e-mail enviado de seu domínio. Como exemplo, p=reject; pct=50 significa que 50% dos e-mails estão sujeitos à política mais rigorosa, enquanto os 50% restantes estão sujeitos à política mais rigorosa seguinte (quarentena, neste caso).

Implantação do DMARC

O DMARC.org, uma iniciativa sem fins lucrativos destinada a promover o uso do DMARC, recomenda a implantação do DMARC seguindo estas 5 etapas:

1. Implantar SPF e DKIM.
2. Verifica se suas malas diretas estão alinhadas com os identificadores apropriados.
3. Publicar um registro DMARC com o sinalizador "nenhum" para acionar relatórios de dados.
4. Analisar os dados e fazer modificações conforme o apropriado.
5. Modificar os sinalizadores da política DMARC para "quarentena" ou "rejeitar", conforme você ganha experiência. Use pct = para definir uma porcentagem nos sinalizadores de política para testar seu impacto na entrega.

O DMARC.org enfatiza que implantar o DMARC não é tão fácil quanto simplesmente apertar um botão, mas usar esse método pode ajudar todos os envolvidos a facilitarem uma implantação completa ao longo do tempo.

Depois de implantar o DMARC, você pode testá-lo na página Testador de autenticação de e-mail do Instituto Nacional de Padrões e Tecnologia. Esse recurso também permitirá que você teste o SPF e o DKIM, que podem ser úteis para solucionar problemas.

Limitações do DMARC

O DMARC é uma técnica robusta para reduzir a probabilidade de falsificação de e-mail e phishing, mas tem algumas limitações. Um dos mais significativos é que ele não pode combater ataques de spear phishing usando Display Name Imposters (DNI), que representam uma grande porcentagem das tentativas de fraude por e-mail.

Além disso, o DMARC é incapaz de proteger contra falsificações de domínio semelhantes. O DMARC deve ser usado em conjunto com outros protocolos para proteção contra fraudes de e-mail.

O DMARC também é complexo. As empresas com grandes grupos de talentos de TI têm uma vantagem aqui. Mas há muitos recursos disponíveis para ensinar qualquer pessoa a implantar o DMARC. Pode ser um grande compromisso de tempo, mas os proprietários de domínio que desejam mitigar vulnerabilidades em seus sistemas de e-mail acharão que vale a pena investir tempo.

É difícil dizer quantas organizações acabarão usando o DMARC, embora os números estejam crescendo constantemente. Considerando que a grande maioria das violações de dados bem-sucedidas se originam com o e-mail, no entanto, está claro que todos nós estaremos melhor quando o uso do DMARC for generalizado.

DMARC: Perguntas frequentes

Para que o DMARC é usado?

DMARC é um método de autenticação de e-mail usado para impedir que usuários não autorizados enviem e-mails usando seu domínio de e-mail. Esses usuários não autorizados normalmente enviam um e-mail com domínios não autorizados por meio de uma técnica chamada "spoofing". Spoofing é essencialmente fabricar a seção "De" de um e-mail, o que pode enganar os usuários a pensar que o e-mail é de uma fonte legítima. O DMARC pode ajudar a proteger as pessoas contra ataques de phishing e outros golpes maliciosos.

Como saber se um domínio está usando DMARC?

Se quiser verificar se um domínio está usando DMARC, você pode usar um verificador de registro DMARC on-line. Essas ferramentas são gratuitas e fáceis de usar, para que você possa determinar se um domínio está usando o DMARC em apenas alguns segundos. Tudo o que você precisa fazer é digitar a URL do domínio que deseja verificar e a ferramenta de verificação DMARC cuidará do resto.

O Gmail usa DMARC?

Sim, o Gmail usa o DMARC para proteger contra spam e spoofing. Na verdade, muitos dos provedores de e-mail mais populares usam DMARC, incluindo AOL, Comcast e Outlook. Escolher um provedor de e-mail que use o DMARC é importante se você quiser se proteger contra spoofing e ataques semelhantes. Antes de escolher um provedor de e-mail, verifique se ele usa o DMARC primeiro.

Encerramento — DMARC

A segurança é fundamental quando se trata de e-mails e marketing por e-mail, e o DMARC ajuda a evitar ataques de falsificação que podem comprometer a segurança do usuário. Com o DMARC, você pode proteger seu domínio contra o uso não autorizado de spammers e golpistas, o que ajuda a proteger sua reputação e manter seus clientes seguros.

O marketing por e-mail pode ser muito para os proprietários de pequenas empresas acompanharem. Felizmente, o Mailchimp pode ajudá-lo a eliminar o incômodo dos e-mails, com ferramentas de automação e análise de marketing que economizam tempo e aumentam sua campanha de marketing por e-mail. Se precisar de ajuda com marketing por e-mail, experimente o Mailchimp hoje mesmo.