O que é DMARC?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) é um protocolo de autenticação de e-mail projetado para proteger domínios de uso não autorizado, como Phishing e spoofing de e-mail. Ele se baseia em dois outros mecanismos de autenticação, SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), para garantir que e-mails que alegam vir de um domínio específico sejam genuinamente enviados de fontes autorizadas.

O que é DMARC?

A autenticação, relatórios e conformidade de mensagens com base em domínio (DMARC) opera como uma camada abrangente sobre SPF e DKIM. O SPF verifica se uma mensagem se origina de um Endereço IP autorizado pelo domínio proprietário, enquanto o DKIM confirma a presença de uma assinatura criptográfica válida vinculada ao domínio de envio.

O DMARC exige que pelo menos uma dessas verificações passe e que o domínio envolvido na verificação se alinhe com o domínio no campo From visível. O alinhamento rigoroso determina uma correspondência exata entre o domínio no cabeçalho From e o domínio de autenticação, enquanto o alinhamento relaxado permite correspondências de subdomínio também.

O SPF é avaliado examinando o domínio Return-Path em relação a uma lista de endereços IP permitidos, e o DKIM é validado confirmando que a assinatura nos cabeçalhos de e-mail foi assinada pelo domínio de envio legítimo. A regra de alinhamento do DMARC garante que uma mensagem seja considerada autêntica somente se o endereço From corresponder ou for um subdomínio do domínio verificado pelo SPF ou DKIM. Quando uma mensagem falha no alinhamento, mesmo que tecnicamente passe pelo SPF ou DKIM em um domínio diferente, o DMARC trata essa mensagem como falhando nos requisitos do protocolo.

Os proprietários de domínio publicam um registro de política DMARC em seu DNS sob o rótulo _dmarc.. Este registro inclui parâmetros como a versão do DMARC (v=DMARC1), a diretiva de política (p=none, quarantine ou reject) e endereços de relatórios (rua para relatórios agregados, ruf para relatórios forenses). Quando uma mensagem recebida falha nas verificações do DMARC, o recebimento de e-mails servers são instruídos a aplicar a política especificada pelo proprietário do domínio. O recurso de relatórios do DMARC também fornece aos proprietários de domínios um feedback valioso sobre o uso não autorizado de seus domínios, autenticação taxas de sucesso e possíveis configurações incorretas.

Como funciona o DMARC?

O DMARC funciona unindo as verificações SPF e DKIM com os requisitos de alinhamento de domínio. O processo de autenticação ocorre quando um e-mail de recebimento server inspeciona um e-mail recebido.

A server realiza as seguintes verificações:

• Verificação do FPS. A server verifica se o proprietário do domínio autoriza o endereço IP de envio.
• Verificação DKIM. A server verifica se o e-mail tem uma assinatura criptográfica válida que corresponde ao domínio especificado na tag “d=” do cabeçalho da assinatura DKIM.
• Verificação de alinhamento. A server confirma que os domínios usados ​​no cabeçalho From estão alinhados com o domínio usado na verificação SPF ou com o domínio de assinatura DKIM.

Se a mensagem falhar em uma ou ambas as verificações SPF e DKIM, ou se o requisito de alinhamento de domínio não for atendido, o DMARC instrui o destinatário server para manipular a mensagem de acordo com a política especificada pelo proprietário do domínio.

O DMARC também permite o envio de relatórios ao proprietário do domínio, o que promove melhor monitoramento e análise de atividades fraudulentas de e-mail.

O que é alinhamento de domínio DMARC?

O alinhamento de domínio DMARC refere-se ao requisito de que o domínio no cabeçalho From corresponda (ou esteja alinhado com) o domínio especificado no SPF e no DKIM.

Existem duas formas de alinhamento:

• Alinhamento rigoroso. O domínio no cabeçalho From deve corresponder exatamente ao domínio no cabeçalho Return-Path (para SPF) ou à tag “d=” na assinatura DKIM.
• Alinhamento relaxado. O domínio no cabeçalho From e o domínio na tag Return-Path ou DKIM “d=” compartilham o mesmo domínio pai.

O alinhamento de domínio garante que o domínio do remetente percebido no cabeçalho do e-mail seja o mesmo ou um subdomínio do domínio usado pelos mecanismos de autenticação. O alinhamento é crucial porque evita cibercriminosos de reivindicar um domínio no campo De visível que difere do domínio de autenticação.

O que é um registro DMARC?

Um registro DMARC é um registro DNS TXT que o proprietário do domínio publica. Este registro especifica a política DMARC do domínio e inclui detalhes importantes necessários para destinatários de e-mail quando eles realizam verificações DMARC.

Um registro DMARC padrão inclui:

• v. A versão DMARC (DMARC1).
• p. A política DMARC (Nenhum, Quarentena ou Rejeitar).
• rua. O endereço ou endereços para os quais os relatórios agregados são enviados.
• ruf. O endereço ou endereços para os quais os relatórios forenses são enviados (se usados).
• adkim e aspf. Indicadores para alinhamento estrito ou relaxado para DKIM e SPF.
• pct. A porcentagem de mensagens com falha às quais a política se aplica.

O registro DMARC reside no DNS do domínio sob o rótulo _dmarc.. Por exemplo, a _dmarc.exemplo.com. Um registro DMARC válido é necessário para instruir os destinatários de e-mail sobre como lidar com e-mails que falham na autenticação e como fornecer feedback ao proprietário do domínio.

O que são políticas p=DMARC?

O DMARC utiliza uma tag “p=” no registro DNS TXT para determinar como receber e-mails servers tratar mensagens que falham tanto no SPF (ou falham no alinhamento do SPF) quanto no DKIM (ou falham no alinhamento do DKIM).

nenhum

Uma política p=none instrui o e-mail receptor server para não aplicar nenhum tratamento especial a mensagens com falha. As mensagens que falham nas verificações DMARC são entregues normalmente, a menos que sejam locais server regras substituem esse comportamento. Proprietários de domínio usam essa política quando querem monitorar resultados DMARC sem afetar o fluxo de e-mails.

Quarentena

Uma política de quarentena instrui o destinatário do e-mail server para marcar mensagens com falha como suspeitas. Essa abordagem geralmente coloca as mensagens na pasta de spam ou lixo eletrônico do destinatário. A quarentena permite que os proprietários de domínio protejam seus destinatários de possíveis tentativas de phishing ou spoofing, enquanto ainda permite a entrega em uma pasta de spam em vez da rejeição total.

Rejeitar

Uma política p=reject instrui o e-mail receptor server para rejeitar mensagens no SMTP nível se eles falharem na autenticação DMARC. Essa prática descarta as mensagens completamente, impedindo que elas cheguem a qualquer caixa de correio do destinatário. Os proprietários de domínio frequentemente implantam uma política de rejeição após analisar completamente os relatórios DMARC e garantir que todos os e-mails legítimos já estejam passando nas verificações de autenticação.

O que é um relatório DMARC?

Um relatório DMARC é um resumo gerado por e-mail ou uma notificação detalhada de que o recebimento enviar servers enviar para o proprietário do domínio de acordo com os endereços especificados no registro DMARC. Os relatórios fornecem insights sobre fontes de envio de e-mail, resultados de autenticação e padrões de uso de domínio. Existem dois tipos principais de relatórios DMARC.

Relatórios Agregados

Os relatórios agregados encapsulam dados estatísticos sobre os resultados da autenticação DMARC para um domínio. Esses relatórios incluem:

• Informações sobre o envio de endereços IP que utilizaram o domínio.
• O número total de mensagens processadas.
• A contagem de mensagens que passam ou falham nas verificações SPF e DKIM.
• Ações de política (como Nenhum, Quarentena ou Rejeitar) aplicadas pelos destinatários.

Os relatórios agregados geralmente chegam diariamente (ou em outro intervalo determinado pelo sistema de recebimento) em um formato de linguagem de marcação extensível (XML). Os proprietários de domínio analisam esses relatórios para identificar IPs não autorizados enviando e-mails usando seu domínio, monitorar fontes de tráfego legítimas e ajustar suas configurações de autenticação de e-mail adequadamente.

Relatórios Forenses

Relatórios forenses, também chamados de relatórios de falha, contêm informações detalhadas sobre mensagens de e-mail individuais que falham na avaliação DMARC. Esses relatórios são enviados imediatamente quando ocorre uma falha.

Os relatórios forenses geralmente incluem amostras de cabeçalhos de mensagens originais e outros detalhes potencialmente sensíveis, o que ajuda os proprietários de domínios a investigar incidentes específicos de autenticação com falha. Algumas organizações optam por minimizar ou desabilitar relatórios forenses devido a preocupações com privacidade ou manuseio de dados.

Benefícios do DMARC

Aqui estão os benefícios da implementação do DMARC:

• Proteção contra falsificação. O DMARC impede que agentes mal-intencionados usem um domínio legítimo no cabeçalho De visível de e-mails fraudulentos.
• Maior capacidade de entrega. O DMARC configurado corretamente melhora a entrega de e-mail, indicando que o domínio está em total conformidade com os padrões de autenticação, o que gera confiança com ISPs e receber serviços de correio.
• Visibilidade e responsabilização. Os relatórios DMARC fornecem insights acionáveis ​​sobre tráfego de e-mail, envio de endereços IP e falhas de autenticação. Esses insights permitem que os proprietários de domínio rastreiem fontes suspeitas e imponham responsabilidade.
• Consistência com os padrões da indústria. O DMARC está alinhado com estruturas amplamente reconhecidas, como SPF e DKIM, que promovem práticas consistentes para autenticação de e-mail e reduzem a prevalência de ataques de phishing.
• Reputação de marca mais forte. A adoção do DMARC demonstra um compromisso com a segurança de e-mail e protege a identidade de uma marca ao atenuar tentativas de phishing que exploram domínios legítimos.