Como usar o DKIM para evitar falsificação de domínio

Publicados: 2020-03-24

Na década de 1980, quando o email e o SMTP (simple mail transfer protocol) foram desenvolvidos, não havia necessidade de verificação e validação de mensagens. Na maioria das vezes, as únicas organizações que usavam e-mail na época eram grandes empresas e instituições de ensino.

Infelizmente, à medida que o e-mail crescia, os agentes mal-intencionados descobriram que podiam explorar os destinatários enviando mensagens maliciosas, falsificando domínios e enviando spam. Por exemplo, alguém pode agir como se estivesse enviando em nome de uma marca ou remetente confiável e tentar fazer com que os destinatários respondam e forneçam informações pessoais e confidenciais. Outros remetentes usaram o e-mail como forma de enviar mensagens indesejadas para qualquer endereço em que pudessem colocar as mãos, uma prática que culminou na Lei CAN-SPAM.

Dica: A falsificação de e-mail acontece quando um agente mal-intencionado cria e envia e-mails para destinatários de um endereço de e-mail forjado. Leia mais sobre por que você nunca deve enviar e-mails de domínios que você não controla em nossa postagem no blog Não envie e-mails de domínios que você não controla

Práticas de autenticação de e-mail como SPF, DKIM e DMARC foram desenvolvidas para impedir que esses tipos de e-mails maliciosos cheguem às caixas de entrada dos destinatários.

O que é DKIM?

DKIM (DomainKeys Identified Mail) é uma tecnologia criptográfica criada pela Cisco e Yahoo que os remetentes podem usar para “assinar” suas mensagens. O DKIM permite que o destinatário de uma mensagem de e-mail verifique se essa mensagem foi autorizada e enviada pelo remetente responsável pelo domínio. Quando as mensagens não são assinadas com DKIM, provedores de caixa de entrada, como Gmail e Microsoft, podem bloquear mensagens e impedir que sejam entregues aos destinatários.

Como funciona o DKIM?

O DKIM é uma forma relativamente simples de autenticação de e-mail porque sua única função é verificar se o remetente de um e-mail é responsável pelo domínio do qual o e-mail é enviado e é responsável pelo conteúdo do e-mail. As duas etapas para DKIM são:

  1. Um remetente adiciona uma chave privada em seus servidores de email e assina a mensagem.
  2. O servidor receptor verifica a chave pública armazenada no registro txt de dkimselector._domainkey.domain.com para validar a chave privada adicionada pelo remetente.

Como o DKIM impede a falsificação de domínio?

Como marca, se você implementar o DKIM, estará basicamente assinando seu e-mail e informando aos provedores de caixa de entrada que o e-mail recebido é do seu domínio e você está assumindo a responsabilidade por ele. Isso significa que os maus atores não podem enviar e-mails de endereços como @suaempresa.com.

Por que o DKIM é importante?

O DKIM é importante porque é uma das maneiras pelas quais os provedores de caixa de entrada podem verificar a identidade do remetente. Sem implementar o DKIM corretamente, muitos provedores de caixa de entrada bloquearão seu e-mail, impedindo que suas mensagens cheguem ao destino pretendido. Embora isso possa não parecer muito importante, se apenas um pequeno número de suas mensagens for bloqueado, isso pode ter grandes consequências para o seu negócio.

Como implemento o DKIM no SendGrid?

Depois de criar uma conta do SendGrid, você terá a opção de implementar a segurança manual ou automatizada. Ao optar por implementar a segurança automatizada, o SendGrid gerenciará seus registros SPF e DKIM para você. Ao fazer isso, se você fizer uma alteração em sua conta que afete a capacidade de entrega de e-mail (como adicionar um novo endereço IP), o SendGrid atualizará suas configurações de DKIM e DNS em seu nome.

Como posso testar o DKIM?

Há uma variedade de ferramentas de teste DKIM disponíveis para uso online. Usar algo como um analisador DKIM ou um verificador DKIM o ajudará a determinar se você publicou com precisão seu registro DKIM. Em geral, é altamente recomendável que todas as alterações feitas nos registros SPF ou DKIM sejam testadas antes da implementação.

Dica: O DKIM pode ser usado em endereços IP dedicados e pools de endereços IP compartilhados como uma forma de ajudar a melhorar a capacidade de entrega de seu e-mail, independentemente do tipo de conta SendGrid que você tenha.

O que o DKIM NÃO faz?

Embora o DKIM forneça aos remetentes uma maneira de assinar suas mensagens para que os provedores de caixa de entrada saibam que são responsáveis ​​pelo conteúdo e pelo domínio da mensagem, há algumas coisas que o DKIM não faz:

  • O DKIM não informa aos provedores de caixa de entrada como lidar com a mensagem. Ao contrário de uma tecnologia de autenticação de e-mail como o DMARC, o DKIM não diz o que fazer se uma mensagem falhar ou passar na verificação.
  • O DKIM não leva em conta o remetente das mensagens. Mesmo que uma mensagem seja aprovada na verificação DKIM, o remetente responsável pela mensagem ainda pode ser um agente mal-intencionado enviando e-mails maliciosos.
  • O DKIM não impede que as mensagens sejam reenviadas. Se um e-mail malicioso for aberto e encaminhado por um destinatário, a mensagem ainda poderá ser aberta e prejudicial aos destinatários subsequentes.

Como o SPF é diferente do DKIM e ambos são necessários?

O SPF permite que os remetentes informem aos ISPs quais IPs podem enviar em seu nome. O DKIM permite que os ISPs verifiquem se o conteúdo enviado é o que o remetente original pretendia. Para obter mais informações sobre como entregar seu e-mail corretamente, confira nosso Guia de entrega de e-mail de 2019 .

Nem o SPF nem o DKIM protegem totalmente um e-mail. Cada um está faltando uma peça importante. O SPF não tem a verificação de mensagem e o DKIM não tem uma maneira de verificar de onde a mensagem está vindo. Ambos são necessários para ser um remetente de e-mail seguro.

Quais são as principais dicas de DKIM?

  • O DKIM precisa ser a última coisa adicionada à mensagem antes de ser enviada. Se uma assinatura, espaço em branco, outro cabeçalho – qualquer coisa – for adicionado depois, ele falhará.
  • O cabeçalho ou o cabeçalho e o corpo podem ser assinados. O Gmail recomenda que você assine ambos.
  • O loop de feedback do Yahoo é baseado em uma assinatura DKIM dos remetentes, eles usam partes da assinatura para combinar um remetente com uma reclamação. Se você não estiver usando DKIM (ou chaves de domínio), não poderá usar o loop de feedback do Yahoo.
  • A maioria dos clientes do SendGrid terá nosso DKIM padrão inserido no cabeçalho automaticamente.

Existem recursos disponíveis que eu possa usar para aprender mais sobre o DKIM?

Claro, confira: http://dkimcore.org/tools/keycheck.html e http://www.dkim.org.
Para saber mais sobre como implementar DKIM, SPF ou DMARC com sua conta e mensagens do SendGrid, você pode conferir a Documentação do SendGrid.

Ajude os provedores de caixa de entrada autenticando seu e-mail

Para garantir que os clientes continuem respondendo às suas mensagens, você deve ajudar os ISPs a proteger sua marca. Ao assinar todos os seus domínios com DKIM usando o d=, você está dizendo aos ISPs para bloquear qualquer domínio que não esteja na “lista de acessos”. Portanto, certifique-se de assinar todos os domínios dos quais você envia seu e-mail promocional e transacional. (Isso inclui seus subdomínios, portanto, faça um inventário completo.)

Lembre-se, o DKIM responde a duas perguntas principais: o e-mail tem uma assinatura válida e qual domínio o assinou. Não garantirá a entrega de e-mail, mas certamente ajudará a melhorá-la. Além disso, ajudará a evitar todas as consequências secundárias que acontecem quando as marcas são invadidas. Reservar um tempo para implementar medidas preventivas pode ajudar a proteger sua reputação e sua marca.

Para saber mais sobre autenticação de e-mail e estratégias para garantir a capacidade de entrega de e-mail, baixe nosso SendGrid Email Infrastructure Guide gratuito.