Entenda como SPF, DKIM e DMARC protegem o envio de e-mails

Introdução

Em um mundo digital inundado por ameaças de segurança, a proteção da integridade e autenticidade das comunicações por e-mail é excencial. Essa importância é refletida nas práticas de segurança adotadas por todo o ecossistema de e-mail.

Este guia prático foca nos padrões de segurança SPF, DKIM e DMARC. Ele oferece uma visão clara de como esses padrões funcionam tanto individualmente quanto em conjunto. A abordagem é reforçada por exemplos práticos, visando facilitar o entendimento e a implementação dessas tecnologias.

SPF (Sender Policy Framework)

O SPF é uma medida de segurança que verifica se os e-mails enviados em nome do seu domínio estão vindo de servidores autorizados. Esse protocolo é essencial para evitar que outras pessoas enviem e-mails como se fossem você, utilizando servidores não autorizados.

Para adicionar o SPF ao seu domínio, o administrador insere um registro TXT no DNS. Este registro deve listar todos os servidores autorizados a enviar e-mails pelo domínio, ajudando assim a garantir que apenas mensagens legítimas sejam enviadas.

exemplo.com.br. IN TXT "v=spf1 include:spf.provedor.com ip4:192.168.0.1 -all"

No registro SPF acima, include:spf.provedor.com autoriza os e-mails enviados pelos servidores do spf.provedor.com. O ip4:192.168.0.1 permite o envio a partir desse endereço IP específico. A diretiva -all serve para rejeitar qualquer e-mail enviado de IPs que não estão listados no registro, aumentando a segurança do seu domínio.

Quando recebido, o servidor de e-mail verifica o registro SPF do remetente consultando o DNS. Se o IP do remetente constar na lista do registro SPF do domínio, o e-mail é aceito. Caso contrário, ele pode ser rejeitado ou encaminhado para a pasta de Spam, dependendo das políticas do servidor receptor.

DKIM (DomainKeys Identified Mail)

O DKIM garante a integridade dos e-mails adicionando uma assinatura digital, permitindo a verificação de que o conteúdo não foi alterado em trânsito.

A implementação envolve a criação de um par de chaves pelo administrador do domínio: uma privada, usada para assinar os e-mails enviados, e uma pública, publicada no DNS do domínio para verificação.

dkim._domainkey.exemplo.com.br. IN TXT "v=DKIM1; k=rsa; p=CHAVE_PÚBLICA..."

No registro DKIM acima, p=CHAVE_PÚBLICA... representa a chave pública utilizada para verificar as assinaturas.

Os e-mails são assinados com a chave privada. Servidores de recebimento usam a chave pública do DNS do remetente para confirmar a autenticidade e integridade da mensagem.

DMARC (Domain-based Message Authentication, Reporting, and Conformance)

O DMARC aprimora a segurança do e-mail, utilizando SPF e DKIM para validar a autenticidade das mensagens e orientar o tratamento de e-mails que não passam nessas verificações. Ele também permite o envio de relatórios para monitoramento e ajuste das políticas de segurança.

Para configurar o DMARC, o administrador do domínio publica um registro TXT no DNS, definindo como os e-mails falhos devem ser tratados e onde os relatórios devem ser enviados.

_dmarc.exemplo.com.br. IN TXT "v=DMARC1; p=none; sp=none;"

No registro DMARC acima, p=none significa que nenhuma ação específica será tomada contra e-mails que falhem na verificação, mas as tentativas de entrega serão relatadas. Isso permite um monitoramento inicial sem interferir no fluxo de mensagens. A diretiva sp=none aplica a mesma política aos subdomínios.

Quando um e-mail é recebido, o servidor verifica as políticas SPF e DKIM do domínio remetente. Com base no registro DMARC, ele decide como proceder com e-mails que falharam nessas verificações. Mesmo sem ações imediatas (p=none), o envio de relatórios permite ao administrador ajustar suas configurações de segurança, melhorando a proteção contra abusos.

Requisitos técnicos para envio de e-mails para Google e Yahoo

Em fevereiro de 2024, Google e Yahoo, com o objetivo de reduzir a quantidade de mensagens de Spam, passaram a exigir a configuração desses padrões de segurança para aceitar mensagens de outros provedores.

Se você está tem seus e-mails hospedados na MCO2, não se preocupe, nós cuidamos disso para você. Todas as configurações de SPF, DKIM e DMARC são implementadas automaticamente para todos os domínios com e-mails hospedados em nossa infraestrutura.