Como SPF, DKIM e DMARC impulsionam a entrega de e-mail e a segurança

Publicados: 2022-11-28

Um trio de padrões de autenticação de e-mail trabalha em conjunto para melhorar a capacidade de entrega de e-mail para o remetente e a segurança de e-mail para o destinatário.

Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) e Domain-based Message Authentication, Reporting, and Conformance (DMARC) ajudam a garantir que os e-mails enviados pela sua empresa sejam reais e que agentes mal-intencionados não falsifiquem ou adulterem eles.

FPS, DKIM, DMARC

SPF, DKIM e DMARC mostram ao servidor de e-mail de recebimento que uma determinada mensagem foi enviada de um endereço IP autorizado, que o remetente é autêntico e que o remetente é transparente sobre sua identidade.

Vamos pegar cada um por vez.

A configuração de registros SPF para seu domínio envolve a adição de um tipo de registro TXT contendo uma lista autorizada de servidores de e-mail de saída ao Domain Name System (DNS). O SPF verifica se os e-mails do domínio da sua empresa vêm de uma fonte autenticada, não de um impostor.

As chaves DKIM consistem em duas partes: uma chave pública armazenada no DNS e uma chave privada armazenada no servidor de envio de e-mail. A assinatura DKIM anexada a cada e-mail enviado é usada pelos servidores de e-mail dos destinatários para verificar sua autenticidade. O DKIM também pode indicar se uma determinada mensagem de e-mail foi alterada.

O DMARC é um mecanismo de política que permite a uma empresa controlar como os e-mails recebidos de seu domínio devem ser tratados se falharem na autenticação SPF ou DKIM. As opções são "rejeitar", "quarentena" ou "nenhum". Isso pode ser como um sinal de alarme se um malfeitor estiver tentando usar seu domínio.

Registros SPF

A configuração de um registro SPF requer acesso aos registros DNS do seu domínio no registrador, como GoDaddy ou similar. Se você já teve que verificar seu domínio ou movê-lo para um novo servidor, provavelmente atualizou seu registro DNS.

Screenshot of an SPF record in a DNS settings interface

Um registro SPF é simplesmente um registro TXT no DNS do seu domínio.

O registro SPF será do tipo “TXT”. E começará com a versão do SPF que você está usando.

 v=spf1

A versão é seguida por uma lista de endereços IP4 ou IP6 autorizados, como em:

 v=spf1 ip4:192.168.0.1

Este registro SPF autorizaria e-mails do endereço IP 192.168.0.1. Para permitir um intervalo de endereços IP, você pode usar a notação Classless Inter-Domain Routing (CIDR) (às vezes chamada de notação de “barra”).

 v=spf1 ip4:192.168.0.0 /16

O registro SPF acima autorizaria um intervalo de endereços IP de 192.168.0.0 a 192.168.255.255 — isso é o que “/16” indica.

Usando o prefixo “a”, um registro SPF pode autorizar um domínio pelo nome. O registro abaixo autoriza um servidor associado ao domínio example.com.

 v=spf1 a:exemplo.com

Da mesma forma, o prefixo “mx” (“mail exchange”) autoriza servidores de correio específicos.

 v=spf1 mx:mail.example.com

Para autorizar um remetente terceirizado, use o prefixo “incluir”. O exemplo abaixo permite um intervalo de IP e servidores do Google.

 v=spf1 ip4:192.168.0.0/16 include:_spf.google.com

Há também dois qualificadores SPF. A primeira é ~all com um til (~). O segundo é -all com um hífen (-).

A versão til (~all) é um qualificador de falha temporária. Na maioria dos casos, o servidor de e-mail de recebimento aceitará mensagens de remetentes que não estão no registro SPF associado, mas as consideram suspeitas.

A versão com hífen (-all) é um qualificador de falha irreversível. O servidor de e-mail de recebimento provavelmente rotulará as mensagens enviadas de um servidor não autorizado no registro SPF como spam e as rejeitará.

Finalmente, todos eles podem ser usados ​​juntos para autorizações relativamente complexas.

 v=spf1 ip4:192.168.0.0/16 a:example.com include:_spf.google.com

Lembre-se de que os registros SPF ajudam os servidores de e-mail de recebimento a identificar mensagens de e-mail autênticas do domínio de sua empresa.

Chaves DKIM

O DKIM protege seu domínio e ajuda a impedir que alguém se faça passar por sua empresa. As duas chaves DKiM permitem que o servidor de e-mail do destinatário verifique se sua empresa enviou a mensagem e se ela não foi alterada após o envio.

A primeira etapa na configuração do DKIM é gerar as chaves — uma pública e outra privada. A chave privada está segura no servidor usado para enviar e-mails do seu domínio. A chave pública é adicionada ao DNS como um registro TXT.

A parte complicada é gerar as chaves, pois o procedimento exato para criá-las varia de um provedor de serviços de e-mail para outro. E é completamente diferente se sua empresa hospedar seu próprio servidor de e-mail.

Os provedores de serviços de e-mail oferecem instruções. Aqui estão vários exemplos em nenhuma ordem particular.

  • Mailchimp: configurar autenticação de domínio de e-mail,
  • Klaviyo: Como configurar um domínio de envio dedicado,
  • Zoho Campaigns: como autenticar meu domínio,
  • MailerLite: Autenticação de domínio de e-mail,
  • Ativista: DKIM, SPF e DMARC,
  • ConvertKit: usando um domínio verificado para envio de e-mail,
  • MailUp: maximizando a capacidade de entrega de seus e-mails,
  • ActiveCampaign: Autenticação SPF, DKIM e DMARC,
  • Manter: DKIM.

Em cada caso, o DKIM é concluído quando você adiciona — copia e cola — o registro CNAME do provedor de e-mail ao DNS do seu domínio. Este(s) registro(s) representa(m) a chave pública para autenticar as mensagens de marketing por e-mail de saída da sua empresa.

DMARC

O DMARC fornece outra camada de proteção e também instrui os servidores de e-mail sobre o que fazer com as mensagens que falham na autenticação SPF ou DKIM.

A base do DMARC é um registro TXT colocado no DNS do seu domínio. Isso conterá a política DMARC com pelo menos dois elementos:

  • Um endereço de e-mail para receber relatórios agregados de autenticação de e-mail e
  • A ação a ser executada em e-mails que falham na autenticação (ou seja, rejeitar ou colocar em quarentena).

Aqui está um exemplo de registro DMARC TXT em um DNS:

 v=DMARC1; p=quarentena; rua=mailto:[email protected]; ruf=mailto:[email protected].

O registro começa com a versão DMARC.

 v=DMARC1;

O elemento “p” atribui a ação para e-mails que falham na autenticação. Nesse caso, é definido como “quarentena”, que instrui o servidor receptor a mover essas mensagens para uma área de armazenamento. Outras opções incluem “nenhum” – que não interrompe o e-mail, mas monitora falhas de SPF ou DKIM – ou “rejeitar”.

 p=quarentena;

Os prefixos “rua” e “ruf” informam ao servidor receptor para onde enviar relatórios agregados (rua — URI de relatório para dados agregados) e relatórios forenses (ruf — URI de relatório para dados de falha). Esses relatórios podem revelar um criminoso tentando se passar por sua empresa.

Modificadores adicionais incluem:

  • pct — a porcentagem de mensagens de e-mail sujeitas à política DMARC.
  • sp — a política DMARC para subdomínios.
  • adkim — atribui modo estrito (adkim:s) ou relaxado (adkim:r) para DKIM.
  • aspf — atribui modo estrito (adkim:s) ou relaxado (adkim:r) para SPF.

Serviços de terceiros podem ajudar a gerar um registro DMARC com base no padrão oficial. Esses serviços incluem:

  • MXToolBox,
  • PowerDMARC,
  • Dmarciano,
  • EasyDMARC.

Proteger remetente e destinatários

A configuração de registros SPF, DKIM e DMARC para seu domínio garante que os servidores de e-mail reconheçam as mensagens de sua empresa como autênticas e rejeitem impostores. O resultado protege a reputação da sua empresa e protege os clientes contra ataques de phishing e outros tipos de fraude por e-mail.