Como funciona a autenticação de e-mail

A autenticação de e-mail é um assunto assustador. Muitas vezes há uma sopa de letrinhas de siglas e inicialismos. Mas os conceitos básicos não são complicados, e quase todos serão capazes de entendê-los rapidamente.

A autenticação de e-mail tornou-se cada vez mais necessária à medida que os spammers e os phishers continuam a usar o e-mail para distribuir mensagens indesejadas ou prejudiciais. A maioria dos servidores de e-mail agora usa vários protocolos para verificar as mensagens de e-mail antes que elas cheguem ao destinatário pretendido. E-mails que não são autenticados corretamente provavelmente terão problemas de entrega de e-mail e acabarão não entregues ou na pasta de spam.

Então, vamos falar sobre os 3 protocolos de autenticação de e-mail mais importantes em linguagem simples, usando analogias do mundo real.

SPF - Estrutura da Política do Remetente

O primeiro e mais antigo é chamado Sender Policy Framework (SPF). O SPF permite que um remetente verifique sua autenticidade. Vamos pensar da seguinte forma: se você receber uma carta em sua caixa postal impressa em papel timbrado oficial, pode ter uma certeza razoável de que é autêntica. Portanto, outra maneira de pensar em um e-mail aprovado no SPF é uma carta certificada dos correios. Há um número de rastreamento fornecido e você pode verificar quem é o remetente ligando para os correios.

O SPF também é semelhante à confirmação de um endereço de retorno. Se você recebeu uma carta em que o nome da empresa não correspondia a nenhuma empresa listada no endereço do remetente da carta, você ficaria cético em relação a essa carta. Esse tipo de verificação geralmente é desnecessário para correspondência física, mas também é necessário para mensagens de e-mail porque é fácil enviar uma mensagem alegando ser de outra pessoa.

Durante o SPF, um servidor de e-mail de recebimento pode solicitar ao domínio do qual o e-mail alega ser uma lista de endereços IP que têm permissão para enviar e-mails em nome desse domínio. Se o domínio não listar o servidor de origem como um remetente válido, o email provavelmente não é genuíno e a verificação SPF falhará.

DKIM – DomainKeys Identified Mail

O DomainKeys Identified Mail (DKIM) é uma maneira mais nova e robusta de autenticar mensagens. DKIM é como um selo de cera em uma carta. Antes da infraestrutura postal confiável, as cartas eram autenticadas com um lacre em relevo com um anel de sinete pertencente ao remetente. A cera endurecida grudou no pergaminho e tornou quase impossível adulterar a carta sem deixar evidências.

O símbolo impresso na cera servia como uma espécie de assinatura, pois apenas uma pessoa teria acesso ao anel de sinete. Ao inspecionar o envelope, o destinatário poderia verificar tanto a autenticidade do remetente quanto se o conteúdo estava inalterado.

Vamos imaginar outra forma de garantir a autenticidade do remetente e a integridade do conteúdo da mensagem durante o trânsito. Pense em uma caixa com uma gaveta com trava e uma tampa com trava. A gaveta só pode ser trancada com a chave do remetente. Chamaremos essa chave de chave privada do remetente.

A tampa pode ser travada e destravada por uma chave disponível gratuitamente. Qualquer pessoa pode solicitar uma cópia da chave. Na verdade, o remetente forneceu a todas as estações de correios ao longo da rota de entrega uma cópia desta chave. Chamaremos isso de chave pública.

Sob a tampa há um painel de vidro. Ao destravar a tampa, qualquer pessoa pode inspecionar o pacote através do vidro, mas não pode adulterá-lo sem quebrar o vidro e deixar evidências. Após a inspeção, um interessado pode confirmar o papel timbrado oficial, verificar se o vidro está intacto e verificar se a gaveta está trancada com a chave que só o remetente possui. Cada estação de correios ao longo do caminho abre a tampa para garantir que o pacote ainda esteja intacto.

O DKIM funciona de maneira semelhante a esta caixa. O remetente tem uma chave privada criptográfica que é usada para codificar os cabeçalhos das mensagens. A chave pública é disponibilizada em um registro público descentralizado na Internet chamado DNS ou Domain Name System. Qualquer um dos servidores envolvidos na transmissão da mensagem ao destino final pode recuperar a chave pública e descriptografar os cabeçalhos para verificar se a mensagem é válida. E assim como a caixa trancada, a chave pública não pode ser usada para criptografar os cabeçalhos (e bloquear o conteúdo da gaveta); somente a chave privada pode fazer isso.

Também podemos pensar nisso como outra classe de correio postal disponível nos correios. Se o e-mail autenticado por SPF for um correio certificado, as mensagens autenticadas por DKIM serão um correio registrado, mantido sob cadeado o tempo todo ao longo da rota de entrega para evitar adulterações.

DMARC – Relatório e Conformidade de Autenticação de Mensagens de Domínio

Imagine que alguém lhe envie um desses sofisticados cofres duplos. O correio que traz o pacote realiza uma verificação final antes de entregá-lo. Ela procura a política de conformidade de entrega para o remetente do pacote. Sua política diz que o pacote deve ter se originado de um endereço confiável (SPF).

O pacote também deve estar em uma caixa trancada de uma fonte confiável com uma chave privada e deve ser verificado inalterado em trânsito (DKIM). A política estipula ainda que, se as condições SPF e DKIM não forem atendidas, o correio deve colocar o pacote em quarentena e informar o remetente da violação.

Essa política é análoga a uma política de Relatório e Conformidade de Autenticação de Mensagens de Domínio (DMARC). DMARC é a ferramenta de autenticação mais recente, construída em SPF e DKIM. É uma maneira de os remetentes informarem aos destinatários quais métodos de autenticação devem ser verificados e o que fazer se uma mensagem alegando ser deles não passar nas verificações necessárias. As instruções podem incluir marcar a mensagem como em quarentena e, portanto, provavelmente suspeita ou rejeitar a mensagem completamente.

Você pode se perguntar por que os remetentes iriam querer permitir que as mensagens que não passam pelo DMARC sejam entregues. O DMARC também fornece um ciclo de feedback para que os remetentes possam monitorar se os e-mails que parecem ser originários de seus domínios estão ou não em conformidade com a política.

Análise

Para revisar, existem três protocolos de autenticação amplamente utilizados:

1. Sender Policy Framework (SPF) executa uma verificação semelhante à verificação de um endereço de retorno para autenticar a identidade de um remetente.
2. O DomainKeys Identified Mail (DKIM) também autentica a identidade de um remetente, mas vai além, garantindo que o conteúdo da mensagem seja inalterado usando uma caixa trancada ou um selo de cera.
3. O Domain Message Authentication Reporting & Conformance (DMARC) é o mensageiro que garante que as mensagens atendam aos requisitos SPF e DKIM antes de serem entregues.

O que a autenticação de e-mail significa para os remetentes

Com o DMARC, os proprietários de domínio finalmente têm controle total sobre o endereço "de" que aparece no cliente de e-mail do destinatário. Grandes provedores de caixa de correio como o Yahoo! e AOL já implementaram políticas rígidas. Os e-mails que parecem originar-se desses domínios, mas que falham nas verificações de autenticação, serão descartados. Você pode ver atualizações no Gmail aqui e na Microsoft aqui.

O que isso significa é que você nunca deve enviar de domínios que não estejam configurados para permitir seu servidor via DKIM e SPF. Se você enviar e-mails em nome de clientes, certifique-se de que seus clientes tenham as entradas DNS corretas para habilitar isso.

Para os destinatários, a crescente popularidade dessas tecnologias significa uma redução nos e-mails de phishing e spam que são entregues. E isso é sempre bom.

E se você quiser ajuda com sua autenticação de e-mail ou estiver tendo dificuldades com a entrega de e-mail, o SendGrid tem planos de e-mail e serviços especializados para ajudar com tudo isso.

Recursos adicionais

• https://sendgrid.com/blog/a-dkim-faq/
• https://sendgrid.com/blog/sender-policy-framework-spf-a-layer-of-protection-in-email-infrastructure/
• https://sendgrid.com/blog/what-is-dmarc/