Métodos de autenticação de e-mail - o básico por trás do SPF, DKIM, DMARC, e BIMI

abr 2, 2021
7

Há muito mais em matéria de segurança de e-mail do que se vê pela primeira vez. Estamos todos bem cientes de que o e-mail é uma das áreas mais difíceis para phishing para dados pessoais e informações sensíveis.

Os hackers estão se tornando muito melhores na criação de mensagens de aparência autêntica que enganam tantos a clicar em uma chamada para agir e fornecer aos falsificadores as informações que eles estão procurando - geralmente detalhes de login e acesso financeiro.

Autenticação de e-mail - o que é isso?

Autenticação de e-mail é o sistema projetado para proteger sua reputação, verificando quando você envia uma campanha por e-mail que você é quem diz ser. Os quatro conceitos são suficientemente simples, mas a definição de cada um dos métodos pode ser complicada. No entanto, a proteção oferecida quando combinada é tão boa quanto você pode colocar em prática sob nossos sistemas atuais.

Quais são os métodos possíveis?

Os quatro métodos típicos de autenticação de e-mail hoje são os seguintes:

  1. SPF - Estrutura da Política de Remetentes
    Esta norma realiza a verificação original para garantir que cada e-mail venha de um endereço IP confiável.
  2. DKIM - DomainKeys Identified Mail (Correio identificado com DomainKeys)
    Outra verificação de identidade, mas desta vez utilizando uma chave de criptografia como assinatura digital.
  3. DMARC - Relatório e Conformidade de Autenticação de Mensagens de Domínio
    O DMARC garante que o e-mail se encontre tanto com o SPF quanto com o DKIM antes de serem entregues.
  4. BIMI - Indicadores de marca para identificação de mensagens
    A BIMI entrega uma verificação final, focando na credibilidade do remetente e exibindo a imagem da marca do remetente na caixa de entrada do destinatário (onde atualmente é suportada).

Vamos analisar cada um deles um pouco mais a fundo, mas primeiro vamos explicar por que eles são tão importantes e explicar um pouco sobre como eles funcionam.

Como funciona a autenticação por e-mail?

Cada um dos métodos de autenticação (SPF DKIM DMARC BIMI) aplica uma camada de segurança aos seus e-mails usando seu domínio de e-mail para verificar se você é quem você afirma ser.

  1. O remetente define a política/regras de como seu domínio é autenticado.
  2. Eles então configuram o DNS do domínio e os servidores de e-mail para implementar essas regras.
  3. Os servidores receptores verificam os e-mails recebidos, comparando-os com as regras fixadas no DNS do domínio.
  4. Quando autenticado, o servidor destinatário processa o e-mail com segurança; quando a autenticação falha, a mensagem é bloqueada ou colocada em quarentena ou gerenciada de acordo com a decisão de autenticação.

Quais são os benefícios?

Como você pode ver, se você não configurar sua autenticação de e-mail, está correndo o risco de e-mails rejeitados, maiores taxas de spam e menores taxas de entrega.

Suas mensagens cuidadosamente consideradas, belamente projetadas e criadas têm muito menos chances de pousar nas caixas de entrada às quais se destinam.

Pior ainda, sem seus métodos de autenticação de e-mail, sua marca é muito mais fácil de falsificar, deixando você e seus clientes abertos a ataques por e-mail, hacks e phishing.

Configurando a autenticação de e-mail

Para configurar seu domínio para gerenciar cada método de autenticação, você precisa ter acesso às configurações do DNS (Nome de domínio Sistema) através de seu serviço de registro de domínio.

Assim que você acessar as configurações do DNS, você adicionará vários registros TXT e CNAME ao seu domínio.

Para saber os valores das configurações de seu domínio, você precisará verificar com seus hosts de e-mail. Eles lhe fornecerão as configurações para seus registros SPF, gerarão seu seletor DKIM dentro de sua área de hospedagem e lhe mostrarão como implementar sua política DMARC, já que os hosts muitas vezes diferem na forma como são configurados.

Você adicionará outro registro TXT para incluir um registro BIMI, incluindo o caminho para sua marca arquivo de imagem.

SPF - Estrutura da Política de Remetentes

SPF é a autenticação padrão criada nos primeiros dias do desenvolvimento do e-mail. Onde antes era adequado para os primeiros sistemas de e-mail, ele contém vários problemas para os modernos métodos de correio. É por isso que é necessário utilizar todos os quatro métodos para entregar uma forma de cobertura completa.

Os registros SPF são armazenados em texto simples dentro do DNS do domínio e ditam o Endereços IP com permissão para enviar a partir do domínio.

Quando o servidor de e-mail do destinatário realiza uma pesquisa DNS para recuperar o registro SPF, ele usa o valor no caminho de retorno da mensagem.

Questões com autenticação SPF

Sintaxe - Apesar de serem registros de texto, o a sintaxe pode ficar complicada ao entrar nos registros DNS. Se não forem precisos, a autenticação falhará, mesmo que a mensagem e o remetente sejam genuínos.

Identificação de endereços IP aprovados - Sistemas compartilhados, tais como plataformas em nuvem, podem hospedar múltiplos serviços com endereços IP atribuídos dinamicamente. Embora o IP possa ser determinado e autorizado, ele também pode permitir que qualquer outra pessoa utilize o mesmo IP compartilhado, usando seu registro SPF.

SPF pode ser falsificado - SPF usa o campo oculto do caminho de retorno para autenticação - não o campo "de", que os destinatários podem ver claramente. Um hacker, phishing para informação, pode apresentar um domínio e endereço de e-mail com aparência válida no campo 'de', mas tem seu próprio e-mail como caminho de retorno, usando seu próprio sistema de autenticação para passar pelas verificações do servidor.

SPF não suporta encaminhamento de e-mail - Um servidor destinatário falhará em validar uma mensagem encaminhada porque o domínio identificador parece ser o do servidor de encaminhamento e não o domínio original.

Como você vê, o que antes era um método aceitável, agora tem falhas significativas. Ele fornece o básico para uma maior segurança geral. Como um método autônomo, porém, ele simplesmente não o corta na tecnologia de hoje.

DKIM - DomainKeys Identified Mail (Correio identificado com DomainKeys)

O DKIM usa criptografia de chave pública/privada para assinar mensagens de e-mail. Ele verifica se os e-mails foram enviados do domínio e se o e-mail não foi modificado em trânsito.

É um método de autenticação mais seguro, pois garante que a mensagem não tenha sido alterada durante a entrega. Outro benefício é que a autenticação DKIM sobrevive ao encaminhamento de e-mails.

O proprietário do domínio cria chaves criptográficas em pares: públicas e privadas. A chave pública é colocada como um registro TXT no DNS do domínio. Quando um e-mail é enviado, um 'hash' é gerado com base no conteúdo da mensagem. Este hash é criptografado com a chave privada do domínio e anexado ao cabeçalho do e-mail.

O servidor de e-mail do destinatário lê as informações criptografadas usando a chave pública hospedada no DNS, e se tudo corresponder, a autenticação é concedida.

Selecionadores DKIM

Cada domínio pode utilizar vários seletores. Estes valores são usados para identificar propriedades únicas, por exemplo, subdomínios, usuários, locais e serviços. Cada seletor opera utilizando sua própria chave pública, renunciando a uma chave única e compartilhada para todas as eventualidades.

Questões com autenticação DKIM

Assinaturas não combinadas - Uma assinatura DKIM válida poderia usar um domínio completamente diferente daquele mostrado no campo "de". Isto faz do phishing de outro domínio de e-mail um simples processo.

Segurança da chave - Um hacker assinando mensagens usando o domínio de outro usuário poderia ter seus e-mails validados perfeitamente usando a chave privada desse domínio.

Implementação e gerenciamento de chaves - Chaves longas e mais seguras podem ser problemáticas ao se aplicar ao DNS do domínio. Estas longas cadeias de dados são facilmente mal aplicadas, mesmo quando são copiadas e coladas.

Para obter o melhor do DKIM, ele precisa ser associado à DMARC, colocando em jogo o domínio utilizado no campo 'de'. Você pode ver agora como cada sistema depende de seu método anterior para criar um sistema de autenticação completo e eficaz.

DMARC - Relatório e Conformidade de Autenticação de Mensagens de Domínio

Como já mencionado, o DMARC impõe o uso do domínio definido no campo para prevenir hackers e atacantes de usar domínios alternativos para contornar as verificações de segurança.

Também inclui um mecanismo de relatório que permite ao remetente decidir o que fazer com os resultados da autenticação. O registro DMARC controla para onde e como os servidores receptores enviam os relatórios.

Com efeito, o DMARC preenche as lacunas entre SPF e DKIM e aumenta a capacidade de entrega de e-mails. Os spammers não podem mais usar indevidamente esses domínios protegidos; portanto, a reputação do domínio se constrói, o tempo todo melhorando as taxas de entregabilidade.

Aplicação da DMARC

O registro DMARC dita o que fazer com e-mails não autorizados. A política tem três resultados: não fazer nada, colocar em quarentena, ou rejeitar. Um relatório DMARC alerta o detentor do domínio sobre a origem de tais mensagens falhadas, fornecendo informações críticas sobre a violação e o que eles podem fazer para tomar outras medidas de proteção.

BIMI - Indicadores de marca para identificação de mensagens

Espera-se que a inclusão da autenticação por e-mail BIMI proporcione cerca de um aumento de 10% no engajamento através da entrega - esse não é um número a ser considerado de ânimo leve.

Dado que este método de autenticação está em sua infância e ainda aguardando introdução por muitos provedores de e-mail, há vários passos que os usuários podem tomar para ter certeza de que estão prontos para uma grande implementação quando ela finalmente atingir nossos servidores.

Uma coisa é certa, visto que o Google está incluindo a integração do BIMI com o G Suite, deve ser apenas uma questão de tempo até que o resto do mundo se recupere.

Como se preparar para a BIMI?

Para ativar a autenticação de e-mail BIMI, você deve primeiro autenticar seus e-mails com SPF, DKIM e DMARC, assegurando o alinhamento (o domínio é o mesmo em todo o processo). A política DMARC deve ser aplicada na quarentena ou rejeição, e o DNS do domínio deve ter o registro BIMI correto.

Você também precisará hospedar um arquivo de logotipo apropriado como um link para a autenticação resultante a ser mostrada nas caixas de entrada de seu destinatário. Seu logotipo precisará estar no formato SVG correto e possivelmente um VMC (Verified Mark Certificate) para autenticar o arquivo.

Autenticação completa para suas campanhas de e-mail

Aprendemos que cada um destes métodos, por si só, não fornecerá nenhum tipo de solução única para tornar a vida simples. Entretanto, com um pouco de trabalho para reunir cada um dos sistemas como um só, você estará muito mais seguro na entrega de seu campanhas e mensagens de e-mail do que você poderia nunca fique sem eles.

Vale a pena o tempo e o esforço necessários se isso garantir a proteção de seu serviço, seu assinantes e aumenta a conectividade e o retorno em seu marketing.

Linha e pontos

Mais popular em nosso Blog

Blog Post Bouncer

Como verificar se um endereço de e-mail é verdadeiro ou falso: Um guia

Izabela Harbarczyk
Leia mais
Blog Post Bouncer

Como verificar se um endereço de e-mail é válido: O guia definitivo

Izabela Harbarczyk
Leia mais
Blog Post Bouncer

Uma conta de e-mail: O único guia para iniciantes que você precisa

Izabela Harbarczyk
Leia mais
Blog Post Bouncer

O que são os limites de envio do Gmail? Todas as perguntas respondidas

Izabela Harbarczyk
Leia mais