Entenda como SPF, DKIM e DMARC protegem o envio de e-mails
Veja como SPF, DKIM e DMARC atuam na segurança da entrega e da autenticade de mensagens
19/03/2024
Entenda como SPF, DKIM e DMARC protegem o envio de e-mails
Introdução
Em um mundo digital inundado por ameaças de segurança, a proteção da integridade e autenticidade das comunicações por e-mail é excencial. Essa importância é refletida nas práticas de segurança adotadas por todo o ecossistema de e-mail.
Este guia prático foca nos padrões de segurança SPF, DKIM e DMARC. Ele oferece uma visão clara de como esses padrões funcionam tanto individualmente quanto em conjunto. A abordagem é reforçada por exemplos práticos, visando facilitar o entendimento e a implementação dessas tecnologias.
SPF (Sender Policy Framework)
O SPF é uma medida de segurança que verifica se os e-mails enviados em nome do seu domínio estão vindo de servidores autorizados. Esse protocolo é essencial para evitar que outras pessoas enviem e-mails como se fossem você, utilizando servidores não autorizados.
Para adicionar o SPF ao seu domínio, o administrador insere um registro TXT no DNS. Este registro deve listar todos os servidores autorizados a enviar e-mails pelo domínio, ajudando assim a garantir que apenas mensagens legítimas sejam enviadas.
exemplo.com.br. IN TXT "v=spf1 include:spf.provedor.com ip4:192.168.0.1 -all"No registro SPF acima, include:spf.provedor.com autoriza os e-mails enviados pelos servidores do spf.provedor.com. O ip4:192.168.0.1 permite o envio a partir desse endereço IP específico. A diretiva -all serve para rejeitar qualquer e-mail enviado de IPs que não estão listados no registro, aumentando a segurança do seu domínio.
Quando recebido, o servidor de e-mail verifica o registro SPF do remetente consultando o DNS. Se o IP do remetente constar na lista do registro SPF do domínio, o e-mail é aceito. Caso contrário, ele pode ser rejeitado ou encaminhado para a pasta de Spam, dependendo das políticas do servidor receptor.
DKIM (DomainKeys Identified Mail)
O DKIM garante a integridade dos e-mails adicionando uma assinatura digital, permitindo a verificação de que o conteúdo não foi alterado em trânsito.
A implementação envolve a criação de um par de chaves pelo administrador do domínio: uma privada, usada para assinar os e-mails enviados, e uma pública, publicada no DNS do domínio para verificação.
dkim._domainkey.exemplo.com.br. IN TXT "v=DKIM1; k=rsa; p=CHAVE_PÚBLICA..."No registro DKIM acima, p=CHAVE_PÚBLICA... representa a chave pública utilizada para verificar as assinaturas.
Os e-mails são assinados com a chave privada. Servidores de recebimento usam a chave pública do DNS do remetente para confirmar a autenticidade e integridade da mensagem.
DMARC (Domain-based Message Authentication, Reporting, and Conformance)
O DMARC aprimora a segurança do e-mail, utilizando SPF e DKIM para validar a autenticidade das mensagens e orientar o tratamento de e-mails que não passam nessas verificações. Ele também permite o envio de relatórios para monitoramento e ajuste das políticas de segurança.
Para configurar o DMARC, o administrador do domínio publica um registro TXT no DNS, definindo como os e-mails falhos devem ser tratados e onde os relatórios devem ser enviados.
_dmarc.exemplo.com.br. IN TXT "v=DMARC1; p=none; sp=none;"No registro DMARC acima, p=none significa que nenhuma ação específica será tomada contra e-mails que falhem na verificação, mas as tentativas de entrega serão relatadas. Isso permite um monitoramento inicial sem interferir no fluxo de mensagens. A diretiva sp=none aplica a mesma política aos subdomínios.
Quando um e-mail é recebido, o servidor verifica as políticas SPF e DKIM do domínio remetente. Com base no registro DMARC, ele decide como proceder com e-mails que falharam nessas verificações. Mesmo sem ações imediatas (p=none), o envio de relatórios permite ao administrador ajustar suas configurações de segurança, melhorando a proteção contra abusos.
Requisitos técnicos para envio de e-mails para Google e Yahoo
Em fevereiro de 2024, Google e Yahoo, com o objetivo de reduzir a quantidade de mensagens de Spam, passaram a exigir a configuração desses padrões de segurança para aceitar mensagens de outros provedores.
Se você está tem seus e-mails hospedados na MCO2, não se preocupe, nós cuidamos disso para você. Todas as configurações de SPF, DKIM e DMARC são implementadas automaticamente para todos os domínios com e-mails hospedados em nossa infraestrutura.