O que são registros SPF, DKIM e DMARC? E por que você precisa deles?

SPF, DKIM, DMARC são mais do que apenas configurações técnicas de e-mail. Eles têm um impacto negativo na entrega de e-mail. Eles trabalham juntos para garantir uma melhor entrega de e-mail.

Em poucas palavras, todas as três abordagens são usadas pelos provedores de serviços de Internet (ISPs) para verificar a autenticidade do email. O remetente é realmente quem eles afirmam ser?

Você deve demonstrar que é um remetente válido para passar pelos filtros do ISP. Como você pode mostrar que não está enviando em nome de outra pessoa e que sua identidade não foi roubada? Fazendo uso de SPF DKIM DMARC.

Os registros de texto que comprovam e protegem expressamente a autenticidade de um remetente são conhecidos como registros SPF DKIM DMARC.

Você pode configurar todos esses registros no CyberPanel usando: Obtenha 10/10 de pontuação de e-mail com o CyberPanel!

FPS

O Sender Policy Framework, ou SPF abreviado, é um protocolo de validação de e-mail para detectar e bloquear a falsificação de e-mail. Ele permite que os intermediários de e-mail verifiquem se os e-mails recebidos de um determinado domínio se originam de um endereço IP que foi permitido pela administração do domínio. Um registro SPF é um registro TXT no DNS (Domain Name System) que indica quais endereços IP e/ou servidores têm permissão para enviar e-mails "de" esse domínio. É semelhante a ter um endereço de remetente confiável e identificável em um cartão postal: a maioria das pessoas é consideravelmente mais propensa a abrir uma carta se o endereço de remetente for confiável e reconhecível.

Os ISPs examinam o domínio Return-Path da mensagem depois que ela foi transmitida. O endereço IP que enviou o email é então comparado ao endereço IP indicado no registro SPF do domínio Return-Path para verificar se eles correspondem. Em caso afirmativo, os ISPs verificam a verificação SPF e enviam a mensagem.

Exemplo de um registro SPF:

v=spf1 ip4:168.119.13.219 include:mailgun.org include:zoho.com include:mxlogin.com ~all

Por que isso é importante?

O SPF é um "padrão proposto" que auxilia na proteção de usuários de e-mail contra spammers. Endereços e domínios "de" falsificados são frequentemente usados ​​em spam de e-mail e phishing. Como resultado, a maioria das pessoas considera a publicação e verificação de registros SPF uma das estratégias antispam mais eficazes e diretas. Se você tiver uma boa imagem de envio, um spammer pode tentar enviar e-mails do seu domínio para se beneficiar da boa reputação de remetente do seu provedor. No entanto, a autenticação SPF configurada corretamente informa ao ISP destinatário que, embora o domínio seja seu, o servidor de transmissão não tem permissão para enviar mensagens em seu nome.

Mesmo que um subdomínio não tenha seu próprio registro SPF, um registro SPF no domínio principal o autenticará automaticamente.

Vantagens

Quando os spammers ganharem o controle do seu domínio, eles tentarão enviar e-mails indesejados. Isso prejudicará sua credibilidade, bem como sua capacidade de entrega. Se você ainda não autenticou seu domínio, deve torná-lo uma prioridade. O SPF garante que sua capacidade de entrega seja alta das seguintes maneiras:

• Notifica os destinatários das ofertas de terceiros.
Se os spammers empregam uma retransmissão, um registro SPF garante que o usuário final seja notificado.

• Acesso rápido às caixas de entrada
Por causa da implementação do SPF, os destinatários de e-mail ganharão confiança em sua marca e seus futuros e-mails terão acesso seguro em suas caixas de entrada.

• Obrigatório para alguns destinatários
Alguns destinatários de email querem apenas um registro SPF e designarão emails como spam se não tiverem um. Caso contrário, é possível que seu e-mail seja devolvido.

• Melhora a pontuação do remetente
A pontuação do remetente de cada servidor de e-mail de saída é calculada usando métricas de e-mail tradicionais, como cancelamentos de assinatura e arquivos de spam. O SPF melhora sua Sender Score, o que melhora a entrega de e-mail.

Desvantagens

O sistema SPF tem algumas limitações. Seguem os detalhes:

• Não funciona em e-mails que foram encaminhados
Como os e-mails encaminhados não contêm a identificação do remetente original e parecem ser mensagens de spam, eles frequentemente falham no teste da estrutura de política do remetente.

• Não é atualizado regularmente
Muitos gerenciadores de domínio podem não conseguir manter seus registros SPF atualizados regularmente.

• Apesar de o servidor ter mudado, você deve atualizar.
Ao usar um provedor de e-mail de terceiros, o domínio deve atualizar o registro SPF sempre que os servidores do provedor de serviços forem alterados, o que aumenta a carga de trabalho.

Como funciona?

Os servidores de recebimento verificam o SPF procurando o valor Return-Path do domínio nos cabeçalhos do email. Este Return-Path é usado pelo servidor destinatário para procurar um registro TXT no servidor DNS do remetente. Se o SPF estiver habilitado, ele exibirá uma lista de todos os servidores aprovados dos quais o correio pode ser enviado. A verificação SPF falhará se o endereço IP não estiver na lista.

Os registros SPF são divididos em duas seções: qualificadores e mecanismos.

• É possível definir quem tem permissão para entregar emails em nome de um domínio usando mecanismos. Um dos quatro qualificadores pode ser usado se essas condições forem atendidas.
• Quando um mecanismo é correspondido, os qualificadores são as ações executadas. O padrão + é usado se nenhum qualificador for especificado. Os quatro tipos de qualificadores que podem ser usados ​​para configurar políticas de email SPF estão listados abaixo.

DKIM

DKIM (DomainKeys Identified Mail) permite que uma organização (ou manipulador de mensagens) assuma a responsabilidade por uma mensagem enquanto ela estiver em trânsito. O DKIM adiciona um novo identificador de nome de domínio a uma mensagem e utiliza técnicas criptográficas para verificar sua autorização. Qualquer outro identificador na mensagem, como o campo De: do autor, não afeta a identificação. DKIM, uma assinatura de registro TXT, também ajuda a estabelecer confiança entre o remetente e o destinatário.

Por que isso é importante?

Embora o DKIM não seja essencial, ele faz com que seus e-mails pareçam mais autênticos para seus destinatários e diminui a probabilidade de eles acabarem nas pastas de lixo eletrônico ou spam. A falsificação de e-mail de domínios confiáveis ​​é uma tática comum para campanhas de spam perigosas, e o DKIM dificulta a falsificação de e-mail de domínios habilitados para DKIM.

O DKIM é compatível com a arquitetura de e-mail atual e funciona em conjunto com SPF e DMARC para fornecer camadas adicionais de segurança para remetentes de e-mail. Mesmo que seus servidores de e-mail não suportem assinaturas DKIM, eles ainda podem receber mensagens assinadas. É um mecanismo de segurança opcional e o DKIM não é um padrão amplamente utilizado.

Vantagens

Assinar e verificar são duas ações independentes fornecidas pelo DKIM. Qualquer um deles pode ser tratado por um módulo de agente de transferência de correio (MTA). As chaves DKIM privada e pública são criadas em pares.

O DKIM usa "criptografia assimétrica", também conhecida como "criptografia de chave pública". O DKIM emprega uma "chave privada" para estabelecer uma assinatura depois que uma mensagem é recebida e antes de ser transmitida ao destinatário pretendido. A mensagem tem esta assinatura anexada a ela. Quando a mensagem é enviada ao destinatário pretendido, o servidor de destino solicita a chave pública do remetente para validar a assinatura. O servidor de destino pode presumir que o remetente é quem ele afirma ser se a chave pública permitir que ele descriptografe a assinatura fornecida para o mesmo valor que ele calcula como a assinatura.

Desvantagens

• Tipo de registro SPF - O registro SPF só pode ser publicado no formato TXT. O registro do tipo "SPF" não é mais suportado e deve ser evitado.
• Vários registros - Adicionando vários registros SPF a um domínio. Registros extras devem ser excluídos ou mesclados com o atual.
• O uso da técnica de inclusão para fazer referência a um registro inexistente é chamado de inclusão de um registro inexistente. Os itens incluídos que não são válidos devem ser eliminados.
• Na dúvida, use -all. Ao usá-lo sem incluir completamente todas as fontes possíveis, aumenta o risco de e-mails reais serem rejeitados.
• Muitos registros - Incluir muitos registros, principalmente nas zonas _spf.google.com e spf.protection.outlook.com, pode resultar em um número excessivo de pesquisas. Esses registros precisam ser otimizados.

Como funciona?

O DKIM gera um par de chaves pública e privada por meio de criptografia assimétrica. No DNS do domínio do remetente, a chave pública é publicada como um registro TXT específico. A chave privada é usada para tornar a assinatura de cada email única.

Um algoritmo de privacidade atribuiu uma assinatura aleatória como parte dos cabeçalhos do e-mail usando sua chave privada e o conteúdo do e-mail.

Quando um servidor de correio de saída envia uma mensagem, ele gera e anexa um cabeçalho de assinatura DKIM exclusivo à mensagem. Dois hashes criptográficos, um dos cabeçalhos definidos e um de pelo menos alguma parte do conteúdo da mensagem estão incluídos neste cabeçalho. O cabeçalho DKIM também inclui detalhes sobre como a assinatura foi criada.

Quando um servidor SMTP recebe um e-mail com essa assinatura no cabeçalho, ele consulta o DNS em busca do registro TXT da chave pública para o domínio de envio. O servidor de recebimento poderá verificar se o e-mail foi enviado desse domínio e não foi adulterado em trânsito usando a chave pública.

O provedor de serviços de e-mail do destinatário pode classificar o e-mail como spam ou banir totalmente o endereço IP do remetente se a verificação falhar ou a assinatura não existir. Isso torna mais difícil para os golpistas se passarem pelo seu endereço de domínio em e-mails.

DMARC

O Relatório e Conformidade de Autenticação de Mensagens com Base em Domínio ( DMARC ) é uma especificação técnica gratuita e aberta. Em uma implementação DMARC, o núcleo é um registro DMARC que define os conjuntos de regras. Se um domínio estiver habilitado para DMARC, esse registro informará os destinatários do e-mail. Isso significa que o proprietário do domínio pode especificar qual política deseja usar no registro DMARC do domínio. Os registros DNS (Domain Name Service) são, em essência, registros DMARC. Um registro DNS DMARC pode ser implementado para usar DMARC. Os usuários de receptores de e-mail que adotaram o DMARC poderão usar esse registro. Como resultado, sua política DMARC permitirá que você acompanhe todas as mensagens enviadas ao seu domínio.

Portanto, a organização que publica o registro DMARC poderá especificar como a não conformidade será tratada. É possível monitorar (e entregar) mensagens, movê-las para pastas de lixo eletrônico ou rejeitá-las.

Por que isso é importante?

Qualquer email que não corresponda é considerado fraudulento e será ignorado. Phishing é a atividade enganosa de enviar e-mails maliciosos se passando por outra pessoa para obter o cartão de crédito de um usuário ou outras informações pessoais. Como resultado, ao usar o DMARC, você está se protegendo.

Uma instalação bem-sucedida do DMARC aumentaria gradualmente de vários níveis de quarentena para rejeição total. Uma boa prática também exige que o remetente monitore os relatórios DMARC regularmente. Esses relatórios alertam você sobre quaisquer esforços de phishing feitos contra seu domínio, bem como se seu próprio e-mail estiver sendo rejeitado devido a falhas de DKIM ou SPF.

Vantagens

Se você utiliza e-mail, o DMARC é uma boa ideia para implementar.

Quando são implementados controles de segurança eficazes contra e-mails fraudulentos, a entrega é simplificada, a confiabilidade da marca melhora e os proprietários de domínios obtêm visibilidade de como seus domínios estão sendo usados ​​na Internet.

• Segurança: para proteger os consumidores contra spam, fraude e phishing, não permita o uso ilegal de seu domínio de e-mail.
• Visibilidade: obtenha visibilidade sobre quem e o que está enviando e-mails do seu domínio pela Internet.
• Entrega: Use a mesma tecnologia de ponta que as megacorporações usam para distribuir e-mail.
• Identidade: Torne seu e-mail facilmente identificável em todo o vasto e crescente ecossistema de receptores com capacidade DMARC.

Desvantagens

O DMARC é capaz na maioria dos casos. O phishing tornou-se significativamente mais difícil como resultado dos avanços tecnológicos. No entanto, embora essa abordagem resolva um problema, ela cria outro: falsos positivos. Em dois tipos de situações, mensagens legítimas podem ser bloqueadas ou marcadas como spam:

• Mensagens que foram encaminhadas Quer as mensagens sejam transferidas de várias caixas de correio ou desviadas por meio de nós de correio intermediários, alguns sistemas de correio falham nas assinaturas SPF e DKIM em mensagens encaminhadas (retransmissões).
• A configuração está incorreta. Ao configurar o DKIM e o SPF, não é incomum que os administradores do servidor de correio cometam erros.

Como funciona?

Como o DMARC depende dos resultados SPF e/ou DKIM, pelo menos um deles deve existir para o domínio de email. Você deve publicar uma entrada DMARC no DNS para usar o DMARC.

Depois de validar o status SPF e DKIM, um registro DMARC é um item de texto dentro do registro DNS que informa ao mundo a política do seu domínio de email. Se SPF, DKIM ou ambos passarem, o DMARC será autenticado. Isso é conhecido como alinhamento de identificador ou alinhamento DMARC. É possível que o SPF e o DKIM sejam aprovados, mas o DMARC falhe, com base no alinhamento do identificador.

Um registro DMARC também instrui os servidores de email a enviar relatórios XML para o endereço de email de relatório do registro DMARC. Esses relatórios mostram como seu e-mail está viajando pelo ecossistema e permitem que você veja quem mais está usando seu domínio de e-mail.

Entender relatórios escritos em XML pode ser difícil, especialmente quando há muitos deles. A plataforma DMARCIAN pode receber esses dados e visualizar como seus domínios de e-mail são utilizados, permitindo que você tome medidas e altere sua política DMARC para p=reject.

Diferença entre FPS e DKIM

DKIM é uma coleção de chaves que informa aos IPs que você é o remetente original e que seu e-mail não foi adulterado. O SPF é uma lista de permissões que inclui todos os que receberam permissão para enviar mensagens em seu nome. Se você está ansioso para ver como tudo funciona, observe os cabeçalhos de e-mail para ver se um e-mail está assinado corretamente com DKIM ou passa no SPF.

Por que você precisa SPF DKIM DMARC?

Ativar a verificação de e-mail não é apenas uma boa ideia para que seus e-mails sejam entregues; também é uma ferramenta crucial para proteger a reputação de sua empresa, reduzindo as chances de que um remetente não autorizado possa usar seu domínio sem sua permissão ou conhecimento.

Uso de SPF DKIM DMARC juntos?

Devido à evolução dos protocolos de e-mail da Internet, precisaremos de três.

Os cabeçalhos das mensagens (como os endereços Para:, De: e Cco:) foram propositadamente isolados do conteúdo real da mensagem. Isso foi um benefício, mas resultou em novos mundos de sofrimento para os gerentes de TI modernos.

Se você implementar adequadamente todos os três protocolos em sua infraestrutura de e-mail, poderá garantir que as mensagens não sejam facilmente falsificadas e que nunca cheguem às caixas de entrada de seus usuários.

Conclusão

No mundo de hoje, fazer a validação de e-mail em seus e-mails é fundamental para a entrega de e-mail. Devido a várias tentativas de falsificação de identidade e violação de e-mail, os regulamentos só se tornarão mais rígidos no futuro. Apenas certifique-se de que, se estiver enviando e-mails por meio de um determinado domínio ISP, verifique suas políticas de validação para ver como pode aproveitar ao máximo suas entregas de e-mail.