Compreender a autenticação de e-mail e a mistificação da identidade do domínio: SPF, DKIM e DMARC

A sua empresa é um alvo para ataques de phishing e mistificação da identidade. Se o seu e-mail não estiver autenticado, os atacantes podem facilmente personificar o seu domínio. Sem autenticação, qualquer pessoa na internet pode enviar um e-mail fazendo-se passar por si.

Experimente o Proton Mail gratuitamente durante 14 dias Solicitar uma demonstração

O que significa a autenticação de e-mail?

A autenticação de e-mail é um conjunto de normas técnicas que verificam se o remetente de um e-mail é quem afirma ser. Foi desenvolvido porque o protocolo de e-mail original (Simple Mail Transfer Protocol, ou SMTP) não possui nenhuma funcionalidade integrada para evitar um endereço de remetente forjado.

Para compreender a autenticação, é útil saber que um e-mail tem dois endereços de remetente:

1. O remetente do envelope (RFC 5321)

Também conhecido como endereço MAIL FROM, remetente P1 ou return-path, este é o endereço técnico utilizado pelos servidores de e-mail nos bastidores para roteamento e entrega.

Objetivo: indica ao servidor recetor para onde enviar mensagens automáticas, tais como notificações de devolução ou relatórios de não entrega (NDRs).
Visibilidade: os destinatários normalmente nunca veem este endereço no seu cliente de e-mail; faz parte do "envelope" oculto da mensagem.
Função de segurança: este é o endereço verificado pelo SPF.

2. O remetente do cabeçalho (RFC 5322)

Também conhecido como endereço De: ou remetente P2, este é o endereço visível na sua caixa de entrada (ex.: De: seu-banco@example.com).

Objetivo: este é o endereço "amigável" concebido para a interação humana, que informa o destinatário sobre quem parece ter enviado a mensagem.
Visibilidade: este é o único endereço que a maioria dos utilizadores vê ao abrir a sua caixa de entrada.
Função de segurança: este endereço é o que os atacantes mais frequentemente mistificam, sendo o foco principal das verificações de alinhamento do DMARC.

Este design torna simples a mistificação da identidade do e-mail (falsificar o endereço De:). Um atacante pode utilizar um remetente do envelope válido que controle para passar em verificações básicas do servidor, ao mesmo tempo que utiliza um remetente do cabeçalho fraudulento para enganar o destinatário. Os protocolos de autenticação de e-mail, como o DMARC, resolvem este problema ao exigir o alinhamento dos domínios destes dois remetentes.

Por que razão a autenticação de e-mail é essencial para as empresas?

Para as empresas, a implementação da autenticação de e-mail é uma defesa não negociável. Esta:

Evita a mistificação da identidade e o phishing: impede que atacantes enviem e-mails fraudulentos a partir do seu domínio.

Protege a reputação da sua marca: evita que a sua marca seja associada a spam e esquemas de phishing.

Melhora a capacidade de entrega de e-mail: sinaliza a outros fornecedores de correio que é um remetente legítimo, o que mantém os seus e-mails fora da pasta de spam.

Os 3 principais métodos de autenticação de e-mail

Uma defesa robusta baseia-se em três normas que funcionam em conjunto: SPF, DKIM e DMARC. Cada uma baseia-se na anterior para criar uma defesa de várias camadas.

1. Sender Policy Framework (SPF)

O Sender Policy Framework (SPF) é uma lista pública de todos os servidores (por endereço IP) autorizados a enviar e-mails para o seu domínio.

Como funciona

Publica a lista como um registo TXT de DNS para o seu domínio. Quando um servidor de e-mail recetor recebe uma mensagem, verifica o IP do servidor de envio em relação a essa lista. Se o IP constar na lista, a mensagem passa na verificação SPF; caso contrário, falha.

A fraqueza

O SPF apenas verifica o endereço de envio técnico utilizado pelos servidores de e-mail, e não o endereço De: visível que as pessoas veem na sua caixa de entrada. Esta lacuna permite que os autores de mistificação de identidade passem nas verificações SPF. Como o SPF é um protocolo baseado em caminhos, também falha frequentemente quando um e-mail é encaminhado através de uma lista de correio ou de um servidor parceiro. Como o servidor de encaminhamento não está na sua lista autorizada, a verificação falha.

2. DomainKeys Identified Mail (DKIM)

O DomainKeys Identified Mail (DKIM) adiciona uma assinatura digital exclusiva e inviolável ao conteúdo da mensagem, incluindo o cabeçalho De:.

Como funciona

Esta assinatura é criada utilizando uma chave privada que apenas o seu servidor conhece. A chave pública correspondente é publicada no seu DNS. Os servidores recetores utilizam esta chave pública para verificar a assinatura. Se for válida, prova que o e-mail teve origem no seu domínio e que o seu conteúdo não foi alterado em trânsito.

A fraqueza

Tal como o SPF, o DKIM não impede inerentemente a mistificação da identidade. A assinatura prova que a mensagem é autêntica para o domínio que a enviou, não necessariamente para o domínio apresentado no endereço De:.

3. Autenticação de Mensagens, Relatório e Conformidade Baseada em Domínio (DMARC)

A Autenticação de Mensagens, Relatório e Conformidade Baseada em Domínio (DMARC) é a política que une o SPF e o DKIM. O DMARC é a regra que indica aos servidores de e-mail para apenas confiarem em e-mails se o endereço De: que vê corresponder às verificações de autenticação nos bastidores. Fecha a lacuna que os atacantes exploram utilizando apenas o SPF ou o DKIM.

Como funciona

O DMARC exige que o domínio no endereço De: visível corresponda ao domínio utilizado na verificação bem-sucedida de SPF ou DKIM. Este passo vital liga o endereço do remetente visível à verificação técnica.

Também indica aos servidores o que fazer: a sua política DMARC (p) é o que instrui os servidores recetores sobre como lidar com falhas:

p=none (Monitorização): Não tomar nenhuma ação. Apenas envia relatórios para si sobre quem está a enviar e-mails a partir do seu domínio.
p=quarantine (Quarentena): Enviar os e-mails com falha para a pasta de spam.
p=reject (Rejeitar): Bloquear totalmente os e-mails com falha.

Proteja o seu negócio contra phishing e mistificação de identidade de domínio

Mais de 90% de todos os incidentes de dados começam com um ataque de phishing ou mistificação de identidade. A implementação de SPF, DKIM e DMARC é a sua primeira linha de defesa, mas deve ser combinada com um fornecedor de e-mail que seja seguro por predefinição.

O Proton Mail for Business foi concebido para bloquear estas ameaças antes que cheguem à sua equipa. A nossa deteção avançada de mistificação da identidade, a tecnologia PhishGuard e a encriptação ponto a ponto proporcionam uma defesa abrangente que é simples de gerir.

Experimente o Proton Mail gratuitamente durante 14 dias Solicitar uma demonstração

Como configurar a autenticação de e-mail (passo a passo)

Proteger o seu domínio envolve adicionar alguns registos às suas definições do Domain Name System (DNS), que são geridas pelo seu agente de registo de domínio (como a GoDaddy, Namecheap ou Cloudflare).

Passo 1

Crie o seu registo SPF

Primeiro, identifique todos os serviços que utiliza para enviar e-mails (por exemplo, o seu fornecedor de e-mail, um serviço de newsletters como o Mailchimp, ou um CRM). O seu registo SPF deve incluir todos eles. Por exemplo, o registo SPF do Proton Mail é v=spf1 include:_spf.proton.me mx ~all. Deverá adicionar este registo como um registo TXT nas suas definições de DNS.

Passo 2

Configure a sua assinatura DKIM

No painel de administrador do seu Proton Mail (ou de outro fornecedor), navegue até às definições do domínio. O sistema irá gerar uma chave DKIM única para si. O processo de configuração do DKIM no Microsoft 365, Google Workspace ou Proton é semelhante: copia a chave gerada e cria um novo registo TXT no seu DNS, conforme as instruções.

Passo 3

Implemente a sua política DMARC

Adicionar a política DMARC (p) é o passo final. Esta deve ser implementada por fases para evitar o bloqueio dos seus próprios e-mails legítimos:

Comece com p=none: Crie um registo DMARC com uma política de p=none. Este modo de monitorização permite-lhe receber relatórios sobre falhas de e-mail sem afetar a sua entrega de correio.
Analise os relatórios: Utilize os relatórios DMARC para identificar quaisquer serviços legítimos que estejam a falhar as verificações e adicione-os aos seus registos SPF e DKIM.
Passe para p=quarantine: Quando tiver a certeza, altere a sua política para p=quarantine. Isto enviará os e-mails com falha para a pasta de spam.
Passe para p=reject: Após uma monitorização adicional, mude para p=reject para bloquear a entrega de todos os e-mails fraudulentos.

Para obter instruções de configuração detalhadas, incluindo capturas de ecrã e valores de registo, consulte o guia de apoio ao cliente da Proton.

Além do básico: ARC e BIMI

Assim que o seu SPF, DKIM e DMARC estiverem devidamente configurados, existem dois padrões opcionais que podem acrescentar valor extra:

Cadeia de receção autenticada (ARC)

Mantém os seus resultados de autenticação intactos quando os e-mails são encaminhados (como através de listas de correio), o que muitas vezes quebra o SPF ou o DKIM.

Indicadores de marca para identificação de mensagens (BIMI)

Permite que o logótipo oficial da sua empresa seja apresentado ao lado dos seus e-mails em caixas de entrada compatíveis. Pense nisto como uma "marca de verificação" para o e-mail. Para se qualificar, necessita de uma política DMARC forte (quarantine ou reject).

Como o Proton Mail protege o e-mail da sua empresa

Configurar a autenticação de e-mail é essencial, mas é apenas parte de uma estratégia de segurança completa. O Proton Mail adiciona camadas adicionais de proteção para manter o seu negócio seguro contra ameaças avançadas.

Deteção avançada de mistificação da identidade

O Proton Mail verifica automaticamente o SPF, o DKIM e o DMARC em todas as mensagens recebidas. Os e-mails que falham estas verificações são marcados de forma clara, reduzindo o risco de usurpação de identidade.

PhishGuard

O PhishGuard identifica ligações suspeitas, padrões e outros sinais de aviso que os filtros básicos frequentemente não detetam, ajudando a bloquear tentativas de phishing antes que cheguem aos colaboradores.

Encriptação ponto a ponto e de acesso zero

Os e-mails entre utilizadores Proton são automaticamente encriptados ponto a ponto. Todos os seus dados são armazenados com encriptação de acesso zero, o que significa que nem nós podemos ler os seus e-mails.

Confirmação de ligações

Quando os utilizadores clicam numa ligação num e-mail, o Proton Mail apresenta uma pré-visualização completa do URL de destino, ajudando a evitar cliques acidentais em sites maliciosos.

Experimente o Proton Mail gratuitamente durante 14 dias Solicitar uma demonstração

Proteja as suas comunicações empresariais

Proteja a sua empresa contra phishing, mistificação da identidade e incidentes de dados com o serviço de e-mail que coloca a segurança e a privacidade em primeiro lugar. Implemente uma autenticação de e-mail forte e beneficie de encriptação ponto a ponto e proteção avançada contra phishing, tudo numa solução simples e segura.

Experimente o Proton Mail for Business Solicitar uma demonstração

Perguntas mais frequentes

Qual é a diferença entre o SPF e o DKIM?: O SPF verifica quem tem autorização para enviar e-mails em nome do seu domínio, validando o servidor de envio.
O DKIM verifica se a mensagem em si não foi adulterada através de uma assinatura digital.
Resolvem problemas diferentes, pelo que necessita de ambos (e também do DMARC) para uma defesa completa.
Como é que os servidores de e-mail verificam a autenticação?: Quando um servidor de e-mail recebe uma mensagem, este consulta os registos SPF, DKIM e DMARC do remetente. Regista os resultados (como spf=pass ou dkim=fail) num cabeçalho oculto denominado Authentication-Results. O seu fornecedor de e-mail utiliza depois essa informação, juntamente com muitos outros sinais, para decidir se entrega a mensagem na sua caixa de entrada, se a marca como spam ou se a bloqueia.
Quanto tempo demora o DMARC a funcionar?: O registo DNS fica normalmente ativo em poucas horas. Mas a implementação do DMARC de forma segura leva tempo: começa-se com uma política apenas de monitorização (p=none), analisam-se os relatórios, corrigem-se os remetentes legítimos que falhem e, depois, avança-se gradualmente para políticas mais rigorosas (p=quarantine ou p=reject). Este processo demora frequentemente várias semanas ou meses.
E se os burlões mistificarem a identidade do meu e-mail?: O DMARC inclui uma funcionalidade de relatório que lhe diz se alguém está a tentar usurpar a identidade do seu domínio. Se descobrir isto, deve alertar os seus colaboradores, informar os seus clientes e denunciar a burla às autoridades policiais e a organizações de combate ao phishing, como a FTC ou o Anti-Phishing Working Group.
Isto pode impedir todos os ataques de phishing?: Nenhuma ferramenta isolada impede tudo. O SPF, o DKIM e o DMARC são excelentes a bloquear a mistificação direta da identidade do domínio. Mas os atacantes também utilizam truques como domínios semelhantes ou contas comprometidas. É por isso que a autenticação deve fazer parte de uma defesa em camadas, a par da formação de utilizadores e de funcionalidades de proteção avançadas como o PhishGuard da Proton.