Entendendo a autenticação de e-mail e a falsificação de e-mail (spoofing) de domínios: SPF, DKIM e DMARC

Sua empresa é um alvo para ataques de phishing e falsificação de e-mail (spoofing). Se o seu e-mail não estiver autenticado, invasores podem facilmente se passar pelo seu domínio. Sem autenticação, qualquer pessoa na internet pode enviar um e-mail fingindo ser você.

Experimente o Proton Mail grátis por 14 dias Solicitar uma demonstração

O que significa autenticação de e-mail?

A autenticação de e-mail é um conjunto de padrões técnicos que verifica se o remetente de um e-mail é quem afirma ser. Ela foi desenvolvida porque o protocolo de e-mail original (Simple Mail Transfer Protocol, ou SMTP) não possui nenhum recurso integrado para evitar um endereço de remetente falsificado.

Para entender a autenticação, é útil saber que um e-mail tem dois endereços de remetente:

1. O remetente do envelope (RFC 5321)

Também conhecido como endereço MAIL FROM, remetente P1 ou caminho de retorno (return-path), este é o endereço técnico usado pelos servidores de e-mail nos bastidores para roteamento e entrega.

Objetivo: ele informa ao servidor de recebimento para onde enviar mensagens automatizadas, como notificações de devolução (bounce) ou relatórios de não entrega (NDRs).
Visibilidade: geralmente, os destinatários nunca veem esse endereço em seu cliente de e-mail; ele faz parte do "envelope" oculto da mensagem.
Função de segurança: este é o endereço verificado pelo SPF.

2. O remetente do cabeçalho (RFC 5322)

Também conhecido como endereço De: ou remetente P2, este é o endereço visível na sua caixa de entrada (por exemplo, De: seu-banco@exemplo.com).

Objetivo: este é o endereço "amigável" projetado para interação humana, informando ao destinatário de quem a mensagem parece ser.
Visibilidade: este é o único endereço que a maioria dos usuários vê ao abrir a caixa de entrada.
Função de segurança: este endereço é o que os invasores mais costumam falsificar, sendo o foco principal das verificações de alinhamento do DMARC.

Esse design torna a falsificação de e-mail (spoofing) (falsificar o endereço De:) algo simples. Um invasor pode usar um remetente de envelope válido que ele controle para passar pelas verificações básicas do servidor, enquanto usa um remetente de cabeçalho fraudulento para enganar o destinatário. Protocolos de autenticação de e-mail como o DMARC resolvem isso ao exigir que os domínios desses dois remetentes estejam alinhados.

Por que a autenticação de e-mail é essencial para as empresas?

Para as empresas, implementar a autenticação de e-mail é uma defesa inegociável. Ela:

Impede a falsificação de e-mail (spoofing) e o phishing: evita que invasores enviem e-mails fraudulentos usando o seu domínio.

Protege a reputação da sua marca: evita que sua marca seja associada a spam e golpes de phishing.

Melhora a entregabilidade do e-mail: sinaliza para outros provedores de e-mail que você é um remetente legítimo, o que evita que seus e-mails caiam na pasta de spam.

Os 3 principais métodos de autenticação de e-mail

Uma defesa forte depende de três padrões funcionando juntos: SPF, DKIM e DMARC. Cada um se baseia no anterior para criar uma defesa em várias camadas.

1. Sender Policy Framework (SPF)

O Sender Policy Framework (SPF) é uma lista pública de todos os servidores (por endereço IP) autorizados a enviar e-mails em nome do seu domínio.

Como funciona

Você publica a lista como um registro TXT de DNS para o seu domínio. Quando um servidor de e-mail de recebimento recebe uma mensagem, ele compara o IP do servidor de envio com essa lista. Se o IP estiver na lista, a mensagem passa na verificação SPF; caso contrário, ela falha.

O ponto fraco

O SPF verifica apenas o endereço técnico de envio usado pelos servidores de e-mail, não o endereço De: visível que as pessoas veem em suas caixas de entrada. Essa brecha permite que falsificadores passem pelas verificações SPF. Como o SPF é um protocolo baseado em caminho, ele também costuma falhar quando um e-mail é encaminhado por meio de uma lista de e-mails ou servidor de parceiros. Como o servidor de encaminhamento não está na sua lista autorizada, a verificação falha.

2. DomainKeys Identified Mail (DKIM)

O DomainKeys Identified Mail (DKIM) adiciona uma assinatura digital exclusiva e inviolável ao conteúdo da mensagem, incluindo o cabeçalho De:.

Como funciona

Essa assinatura é criada usando uma chave privada que apenas o seu servidor conhece. A chave pública correspondente é publicada no seu DNS. Os servidores de recebimento usam essa chave pública para verificar a assinatura. Se ela for válida, isso prova que o e-mail veio do seu domínio e que o seu conteúdo não foi alterado em trânsito.

O ponto fraco

Assim como o SPF, o DKIM não impede, por si só, a falsificação de e-mail (spoofing). A assinatura prova que a mensagem é autêntica para o domínio que a enviou, não necessariamente para o domínio mostrado no endereço De:.

3. Autenticação, Relatórios e Conformidade de Mensagens Baseada em Domínio (DMARC)

A Autenticação, Relatórios e Conformidade de Mensagens Baseada em Domínio (DMARC) é a política que une o SPF e o DKIM. O DMARC é a regra que diz aos servidores de e-mail para confiar apenas nos e-mails se o endereço De: que você vê corresponder às verificações de autenticação nos bastidores. Ele fecha a brecha que os invasores exploram usando apenas o SPF ou o DKIM.

Como funciona

O DMARC exige que o domínio no endereço De: visível corresponda ao domínio usado na verificação aprovada do SPF ou DKIM. Essa etapa vital conecta o endereço do remetente visível à verificação técnica.

Ele também diz aos servidores o que fazer: sua política DMARC (p) é o que instrui os servidores de recebimento sobre como lidar com falhas:

p=none (Monitorar): Não realizar nenhuma ação. Apenas envia relatórios de volta para você sobre quem está enviando e-mails do seu domínio.
p=quarantine (Quarentena): Envia os e-mails com falha para a pasta de spam.
p=reject (Rejeitar): Bloqueia completamente os e-mails com falha.

Proteja sua empresa contra phishing e falsificação de domínio (spoofing)

Mais de 90% de todas as violações de dados começam com um ataque de phishing ou falsificação de e-mail (spoofing). A implementação de SPF, DKIM e DMARC é sua primeira linha de defesa, mas deve ser combinada com um provedor de e-mail que seja seguro por padrão.

O Proton Mail for Business foi projetado para bloquear essas ameaças antes mesmo que elas cheguem à sua equipe. Nossa detecção avançada antifalsificação de e-mail (spoofing), a tecnologia PhishGuard e a criptografia de ponta a ponta oferecem uma defesa abrangente que é simples de gerenciar.

Experimente o Proton Mail grátis por 14 dias Solicitar uma demonstração

Como configurar a autenticação de e-mail (passo a passo)

A proteção do seu domínio envolve a adição de alguns registros às configurações do seu Domain Name System (DNS), que é gerenciado pelo seu registrador de domínio (como GoDaddy, Namecheap ou Cloudflare).

Etapa 1

Crie seu registro SPF

Primeiro, identifique todos os serviços que você usa para enviar e-mails (por exemplo, seu provedor de e-mail, um serviço de newsletter como o Mailchimp, um CRM). Seu registro SPF deve incluir todos eles. Por exemplo, o registro SPF do Proton Mail é v=spf1 include:_spf.proton.me mx ~all. Você adicionaria isso como um registro TXT em suas configurações de DNS.

Etapa 2

Configure sua assinatura DKIM

No painel do administrador do seu Proton Mail (ou de outro provedor), navegue até as configurações de domínio. O sistema gerará uma chave DKIM exclusiva para você. O processo de configuração do DKIM no Microsoft 365, Google Workspace ou Proton é semelhante: você copia a chave gerada e cria um novo registro TXT no seu DNS, conforme as instruções.

Etapa 3

Implemente sua política DMARC

Adicionar a política DMARC (p) é a etapa final. Ela deve ser implementada em etapas para evitar o bloqueio dos seus próprios e-mails legítimos:

Comece com p=none: Crie um registro DMARC com uma política p=none. Esse modo de monitoramento permite que você receba relatórios sobre falhas de e-mail sem afetar a entrega das suas mensagens.
Analise os relatórios: Use os relatórios DMARC para encontrar quaisquer serviços legítimos que estejam falhando nas verificações e adicione-os aos seus registros SPF e DKIM.
Mude para p=quarantine: Quando tiver certeza, altere sua política para p=quarantine. Isso enviará os e-mails com falha para a pasta de spam.
Mude para p=reject: Após mais monitoramento, mude para p=reject para bloquear a entrega de todos os e-mails fraudulentos.

Para obter instruções detalhadas de configuração, incluindo capturas de tela e valores de registro, consulte o guia de suporte da Proton.

Além do básico: ARC e BIMI

Depois que o SPF, o DKIM e o DMARC estiverem configurados, existem dois padrões opcionais que podem agregar valor extra:

Cadeia de recebimento autenticada (ARC)

Mantém os resultados da sua autenticação intactos quando os e-mails são encaminhados (como em listas de e-mails), o que geralmente quebra o SPF ou o DKIM.

Indicadores de marca para identificação de mensagens (BIMI)

Permite que o logotipo oficial da sua empresa seja mostrado ao lado dos seus e-mails nas caixas de entrada compatíveis. Pense nisso como um “selo de verificado” para e-mails. Para se qualificar, você precisa de uma política DMARC forte (quarentena ou rejeição).

Como o Proton Mail protege o e-mail da sua empresa

Configurar a autenticação de e-mail é essencial, mas é apenas uma parte de uma estratégia de segurança completa. O Proton Mail adiciona mais camadas de proteção para manter sua empresa protegida contra ameaças avançadas.

Detecção avançada de falsificação de e-mail (spoofing)

O Proton Mail verifica automaticamente o SPF, DKIM e DMARC em todas as mensagens recebidas. Os e-mails que falham nessas verificações são claramente marcados, reduzindo o risco de falsificação de identidade.

PhishGuard

O PhishGuard identifica links suspeitos, padrões e outros sinais de aviso que os filtros básicos costumam deixar passar, ajudando a bloquear tentativas de phishing antes que cheguem aos funcionários.

Criptografia de ponta a ponta e de acesso zero

Os e-mails entre usuários do Proton são criptografados de ponta a ponta automaticamente. Todos os seus dados são armazenados com criptografia de acesso zero, o que significa que nem mesmo nós podemos ler seus e-mails.

Confirmação de link

Quando os usuários clicam em um link em um e-mail, o Proton Mail exibe uma pré-visualização completa da URL de destino, ajudando a evitar cliques acidentais em sites maliciosos.

Experimente o Proton Mail grátis por 14 dias Solicitar uma demonstração

Proteja as comunicações da sua empresa

Proteja sua empresa contra phishing, falsificação de e-mail (spoofing) e violações de dados com o serviço de e-mail que coloca a segurança e a privacidade em primeiro lugar. Implemente uma autenticação de e-mail forte e beneficie-se da criptografia de ponta a ponta e da proteção avançada contra phishing, tudo em uma solução simples e segura.

Experimente o Proton Mail for Business Solicitar uma demonstração

Perguntas frequentes

Qual é a diferença entre SPF e DKIM?: O SPF verifica quem tem permissão para enviar e-mails em nome do seu domínio, verificando o servidor de envio.
O DKIM verifica se a mensagem em si não foi adulterada usando uma assinatura digital.
Eles resolvem problemas diferentes, por isso você precisa de ambos (e também do DMARC) para uma defesa completa.
Como os servidores de e-mail verificam a autenticação?: Quando um servidor de e-mail recebe uma mensagem, ele consulta os registros de SPF, DKIM e DMARC do remetente. Ele registra os resultados (como spf=pass ou dkim=fail) em um cabeçalho oculto chamado Authentication-Results. Seu provedor de e-mail usa essas informações, junto com muitos outros sinais, para decidir se entrega a mensagem na sua caixa de entrada, se a marca como spam ou se a bloqueia.
Quanto tempo leva para o DMARC funcionar?: O registro DNS geralmente fica ativo em poucas horas. Mas implementar o DMARC com segurança leva tempo: você começa com uma política apenas de monitoramento (p=none), analisa os relatórios, corrige eventuais remetentes legítimos que falharem e depois passa gradualmente para políticas mais rigorosas (p=quarantine ou p=reject). Esse processo geralmente leva várias semanas ou meses.
E se golpistas falsificarem meu e-mail (spoofing)?: O DMARC inclui um recurso de relatório que informa se alguém está tentando se passar pelo seu domínio. Se você descobrir isso, deve alertar sua equipe, informar seus clientes e denunciar o golpe às autoridades policiais e a organizações anti-phishing, como a FTC ou o Anti-Phishing Working Group.
Isso pode impedir todos os ataques de phishing?: Nenhuma ferramenta sozinha impede tudo. O SPF, DKIM e DMARC são excelentes para bloquear a falsificação de e-mail (spoofing) direta de domínios. Mas os invasores também usam truques como domínios semelhantes ou contas comprometidas. É por isso que a autenticação deve fazer parte de uma defesa em camadas, junto com o treinamento de usuários e recursos de proteção avançada, como o PhishGuard da Proton.