O que é dmarc?

DMARC

Domain-Based Message Authentication Message Conformance

O e-mail é amplamente utilizado não só para comunicações empresariais e pessoais, mas também por sistemas automáticos que lhe enviam notificações e lembretes desencadeados por sua atividade on-line. No entanto, o e-mail é surpreendentemente vulnerável a ataques de personificação e fraude online. A origem de sua vulnerabilidade é que as informações exibidas nos endereços “de” e “para” não são necessariamente da onde o e-mail realmente veio e quem o originou.

Várias tentativas foram feitas ao longo dos anos para validar que a pessoa que enviou um e-mail é quem eles dizem que são. Um protocolo chamado DMARC foi criado para dar uma resposta clara à questão de validação.

DMARC (Domain-Based Message Authentication Message Conformance) usa dois protocolos previamente definidos SPF e DKIM e permite que os proprietários de domínio digam explicitamente ao servidor de e-mail de recebimento o que fazer com um e-mail que falha em uma tentativa de autenticação.

SPF (Sender Policy Framework)

O SPF é uma das primeiras tentativas de validação de comunicações por e-mail. Baseia-se em um registro publicado no DNS do remetente e contém os domínios e os IPs dos serviços autorizados a enviar e-mails em nome de um determinado domínio. O servidor de e-mail de recebimento examina o domínio no endereço indicado no campo do caminho de retorno do e-mail e, em seguida, passa para o DNS desse domínio e examina o registro SPF, se o endereço IP de origem corresponder a um dos endereços IP dentro do DNS Grave então o SPF passa.

O principal problema com o SPF é que ele valida o domínio no caminho de retorno que não é visível para o usuário através dos clientes de email mais comuns. Um usuário poderia estar vendo um e-mail válido SPF com um endereço “De” de uma fonte confiável, que não era originário dessa fonte.

Se o SPF for implementado por conta própria, sem DMARC, ele só fornece um sinal para o servidor receptor e não bloqueia os e-mails de serem entregues ao usuário final. No máximo, aumenta o escore de spam de um e-mail. Isso não é suficiente se o email for um ataque de fraude.

DKIM (DomainKeys Identified Mail)

O DKIM é um padrão mais recente e mais complexo que o SPF. A funcionalidade é baseada em uma assinatura criptográfica de partes do e-mail com uma chave de duas partes, uma parte é armazenada nos metadados do e-mail e a outra parte é publicada no registro DNS do domínio do remetente.

O principal problema com o DKIM é que o domínio de assinatura indicado na chave dentro do e-mail pode ser diferente da do cabeçalho from. Um usuário pode ver um email com assinatura válida com um endereço “De” de uma fonte confiável, que não foi assinada por essa fonte.

Da mesma forma que no SPF, a validação da DKIM pode passar ou falhar e o servidor de e-mail de recebimento decide o que fazer, uma vez que o DKIM é bem usado, mas não é obrigatório em todos os emails, os servidores receptores não bloqueiam os e-mails não assinados ou DKIM não validados. Isso não é suficiente se o email for um ataque de fraude.

DMARC (Domain-Based Message Authentication Message Conformance)

O DMARC usa os resultados de validação de SPF e DKIM e verifica os nomes de domínio em relação ao endereço FROM no e-mail. Se a validação for bem-sucedida e o nome do domínio alinhar, o resultado da validação do DMARC será aprovado.

Além disso, o DMARC pode dizer explicitamente ao servidor receptor o que fazer com um e-mail se falhar o SPF e o DKIM. Esta política está indicada no registro DMARC DNS:

  1. None. Isso é indicado no parâmetro p = none. Isso significa que o servidor de e-mail de recebimento não é instruído a agir em relação a um e-mail que falha no DMARC. Esta política é regularmente o estado inicial de qualquer domínio que deseja implementar sua política de DMARC e, mesmo que não bloqueie emails fraudulentos, permite que os proprietários de domínio permitam o relatório, o que é útil para entender o tráfego de e-mail de um domínio e verificar se a sua configuração inclui todos os serviços de e-mail válidos.
  2. Quarentena. Avisa o servidor de e-mail de recebimento para enviar qualquer e-mail que falhe na validação do DMARC para a pasta SPAM do usuário.
  3. Rejeitar. Indica ao servidor de e-mail de recebimento que rejeite ativamente os e-mails que falham na validação do DMARC. Tais e-mails são rejeitados e nunca chegam à conta de e-mail do destinatário pretendido. Esta política é recomendada para efetivamente bloquear ataques cibernéticos que começam com a personificação de e-mail.

Finalmente, o DMARC também fornece uma provisão para relatar todas as tentativas de validação. Um endereço de e-mail pode ser especificado no registro DMARC e o servidor receptor pode enviar relatórios que incluem informações como o endereço IP da origem de um e-mail. Isso é particularmente útil para entender a frequência e quantidade de e-mail não autorizados.

Ligações externas

Fonte original: dmarc. Compartilhado com Creative Commons Attribution-ShareAlike 3.0 License

Categorias