Segurança de e-mail: como estruturas básicas ajudam os proprietários de sites WordPress
Publicados: 2018-12-20Entre nações e indústrias, uma tecnologia tem compartilhado inúmeros segredos por mais de duas décadas. Sim, apesar da ascensão das mídias sociais, aplicativos de mensagens e ferramentas de gerenciamento de projetos, o e-mail continua sendo o canal de comunicação online número um de fato , mas também é uma fonte de muita preocupação quando se trata de segurança.
Quando você leva em consideração a idade da tecnologia e o incentivo para os hackers tentarem a fraude, é fácil ver por que ela continua incomodando empresas e indivíduos. Na verdade, é mais uma preocupação agora do que nunca, porque o advento da autenticação multifator, armazenamento em nuvem, ecossistemas digitais e logins sociais deixou muitos de nós confiando na segurança de nossos endereços de e-mail simplesmente para passar o dia.
Infelizmente, não basta ter uma senha complexa e mantê-la protegida, porque o e-mail pode ser atacado de outras maneiras: falsificado, falsificado e usado para manipular pessoas de todos os tipos. É aqui que as estruturas de segurança de e-mail se tornam de vital importância - elas tornam muito mais fácil ter confiança na legitimidade de seus e-mails.
Mas por que a fraude é uma ameaça? Quais são essas estruturas e como elas ajudam os proprietários de sites a proceder com segurança? Você pode realmente confiar neles para protegê-lo? Vamos dar uma olhada.
Por que a fraude de e-mail é um problema tão preocupante
Estamos cada vez mais avançando para pagamentos sem dinheiro, serviços bancários online e trabalho remoto que exigem comunicações digitais extensas e aprofundadas (geralmente sobre tópicos sensíveis). Quanto mais confiamos nos e-mails, mais atraentes eles se tornam para os hackers – ainda mais quando os e-mails envolvem pessoas que não sabem o suficiente sobre tecnologia para saber quando estão sendo enganadas.
Se alguém que apenas sabe usar e-mail, mas não tem ideia de que a falsificação de e-mail é possível, receber um e-mail fraudulento, não saberá que é duvidoso. E o rendimento para os fraudadores é ainda mais rico em perspectiva do que eles jamais poderiam ter alcançado por meio de golpes telefônicos, porque eles podem automatizar seus e-mails fraudulentos e evitar longas conversas telefônicas que podem expor falhas em suas histórias de capa.
Para domínios legítimos, a fraude de e-mail é uma grande preocupação porque faz com que pareçam ruins. Mesmo que as pessoas eventualmente descubram que você não foi responsável, elas ainda associarão sua marca à fraude até certo ponto. Portanto, se você deseja que seu domínio seja confiável (e que as pessoas estejam protegidas contra tentativas de explorá-las em seu nome), você precisará proteger seus e-mails. Veja como:
Apresentando as estruturas de segurança de e-mail mais comuns
As duas estruturas de e-mail mais usadas são SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), e funcionam de forma semelhante, mas de maneiras ligeiramente diferentes: SPF requer um nome de host ou endereço IP compatível, enquanto o DKIM requer um mensagem de cabeçalho. Vejamos uma explicação mais detalhada:
Como funciona o FPS
Ao habilitar o SPF no domínio do seu site, você estabelece uma lista de nomes de host e endereços IP que são considerados fontes legítimas de e-mail desse domínio, uma lista que é adicionada ao registro DNS do site (o registro que vincula sua URL a seu endereço IP).
Todo sistema de e-mail que parece receber um e-mail de um endereço nesse domínio pegará o endereço IP usado para enviá-lo e o comparará com a lista no registro DNS. Se for uma correspondência, o e-mail será considerado legítimo — se não for uma correspondência, o sistema saberá que o e-mail é fraudulento (ou deu terrivelmente errado de alguma forma).
Como funciona o DKIM
Quando você habilita o DKIM, ele adota a abordagem distinta de usar criptografia para verificação. O domínio terá uma chave privada que é mantida em segredo e usada para criptografar uma mensagem oculta no cabeçalho de cada e-mail, bem como uma chave de descriptografia pública que é adicionada ao registro DNS.
Todo sistema de e-mail que pegar um e-mail supostamente desse domínio pegará a chave pública do registro DNS e tentará descriptografar a mensagem oculta. Se for bem-sucedido, saberá que o e-mail é do lugar certo. Se falhar, saberá que o remetente foi falsificado.
O que o DMARC envolve
DMARC, que significa “Autenticação, Relatório e Conformidade de Mensagem Baseada em Domínio”, é um sistema que engloba SPF e DKIM enquanto detalha algumas opções, definindo políticas e relatórios conforme necessário.
Ao configurar o DMARC, você basicamente especificará qual dos métodos mencionados acima é usado para e-mails do seu domínio (possivelmente ambos), bem como o que deve ser feito quando e-mails que não atendem ao padrão escolhido são detectados. Você também pode configurar uma notificação para ser acionada para saber sobre tentativas de personificar seu endereço de e-mail (da mesma forma que você pode receber notificações de alterações em um site WordPress).
Como agir para manter seu e-mail seguro
Se você deseja que seus e-mails sejam confiáveis e que os destinatários se sintam seguros ao acessá-los, certifique-se de fazer tudo o que puder para se proteger contra fraudes. No mínimo, siga os três passos a seguir:
- Proteja cuidadosamente sua lista de e-mail. Mesmo que você garanta que todos os e-mails que dizem ser do seu domínio serão verificados, ainda é perigoso para os fraudadores se apossarem de sua lista de endereços, porque muitas pessoas (geralmente de gerações mais antigas) não verificarão o remetente de perto se o conteúdo se assemelha claramente a algo que eles reconhecem. Proteja sua lista de e-mail para que as pessoas tenham menos motivos para segmentar seu público (você deve fazer isso após o GDPR de qualquer maneira).
- Configure uma estrutura de segurança. Você pode usar SPF, DKIM ou DMARC — mas faça o que fizer, certifique-se de seguir as práticas recomendadas para qualquer sistema que esteja usando e confirme se está funcionando. Se você usa um software de automação de e-mail para seu marketing, certifique-se de configurá-lo como uma fonte confiável para que os e-mails distribuídos não sejam rejeitados como ilegítimos na entrega.
- Avise seus assinantes para serem cuidadosos. Tendo feito tudo o que você pode do seu lado da equação, ainda vale a pena entrar em contato com seu público (especialmente se não for muito experiente em tecnologia) para avisá-lo sobre a possibilidade de fraude. Deixe-os saber quais tipos de mensagem você enviará a eles - e quais você nunca enviará - e convide-os a entrar em contato diretamente com você se eles não tiverem certeza sobre uma mensagem que você supostamente enviou.
Faça tudo isso e você poderá prosseguir com um grau muito maior de certeza de que seus e-mails estarão seguros e seu público será protegido da enorme ameaça de fraude por e-mail.