O que é DMARC e por que é importante?

A depender do seu nível de envolvimento com Internet, chega um ponto em que é inevitável conhecer algumas siglas, o que elas representam e, sobretudo, o benefício que está associado a elas

E se e-mail é algo importante no funcionamento do seu negócio e dele depende parte dos seus resultados, esse é um caso típico de necessidade de se conhecer mais uma, entre as muitas siglas que povoam a Internet.

O nome da vez, é o DMARC!

Ainda não é dos assuntos mais populares, pelo menos entre a maioria dos usuários, mas é para toda empresa de hospedagem, serviço de e-mail Marketing e tudo que envolve e-mail. Portanto, se e-mail é um serviço importante para você – para alguém não é? – você precisa ficar até o fim desse artigo.

O que é DMARC?

Objetivamente, é uma sigla do termo em inglês Domain-based Message Authentication, Reporting & Conformance e que traduzida para o português, seria algo como Autenticação de Mensagem Baseada em Domínio, Relatório e Conformidade.

Se para muita gente do meio isso não é muito esclarecedor, para leigos é ainda menos.

Em termos práticos, pode-se dizer que é um método de verificação (autenticação), em que participam remetentes e destinatários, trocando tantas informações quanto necessárias, a fim de tornar possível a comprovação da autenticidade (conformidade) de toda mensagem de correio eletrônico por parte do remetente e em que o destinatário contribui para fornecer dados de como o domínio do remetente tem sido usado para envio de e-mail e que constitui o relatório da sigla.

Ufa! Parece complicado?

De modo simplificado, visando a compreensão de como se dá o uso do DMARC para garantir trocas legítimas de mensagens eletrônicas, o remetente assegura a todo destinatário meios para verificar que uma mensagem usando seu domínio, possa ser comprovada quanto a sua origem.

O método para se fazer isso, é configurando SPF e DKIM. Logo, não há como se configurar o DMARC corretamente para um domínio, se antes disso o mesmo domínio não tiver SPF e DKIM adequadamente configurados.

Por seu lado, os destinatários que fazem verificação de DMARC, fornecem informações aos domínios que também o usam, de todo o tráfego de e-mails que faz uso dos seus domínios e que chegam até o destinatário em questão.

Como funciona o DMARC?

Uma vez que uma mensagem recebida por um destinatário que faz a verificação de DMARC, de um domínio que também tem DMARC configurado, ele (destinatário) valida ou autentica a mensagem, checa a política de DMARC do remetente e fornece dados na forma de relatórios a uma conta de e-mail determinada pelo remetente.

Ao proceder desta forma, todo domínio que tem DMARC configurado, receberá de todos os outros domínios que também o tem, mensagens com informações que permitem monitorar como seu domínio está sendo usado e sendo assim, se eventualmente por uma conta ocorrerem envios de phishing ou spoofing, o administrador do domínio ficará sabendo.

Basicamente dois serviços de e-mail no papel de remetente e destinatário, usando o DMARC, tem ambos em suas zonas de DNS, informações de texto seguindo regras bem definidas, que permitem aos serviços de e-mail saber como proceder. A isso é chamado de política.

Para entender melhor como funciona, é importante conhecer as tags (rótulos ou etiquetas) usadas no DMARC e que compõem os registros completos nas zonas de DNS relativas a ele:

  • v – corresponde à versão do DMARC usado e que atualmente é DMARC1. Esta tag é obrigatória;

  • p – determina como o remetente deve lidar com uma mensagem suspeita ou que não passe na validação de SPF ou de DKIM, ou de ambos. Os parâmetros são:

    • none – não faz nada com a mensagem, mas registra as mensagens suspeitas no relatório diário. Ao não determinar nada para ser feito com a mensagem, ela é recebida;

    • quarantine – estipula que se marque as mensagens como spam e que as mova para a pasta de SPAM ou lixo eletrônico do destinatário, que pode avaliá-las quanto a possibilidade de serem SPAM. As mensagens marcadas como SPAM, também constarão do relatório;

    • reject – instrui o servidor do destinatário a rejeitar a mensagem, ou seja, o servidor devolve a mensagem para o servidor de envio e as mensagens constarão do relatório;

  • pct – esta tag é opcional e determina o percentual de mensagens suspeitas em que a política DMARC é usada. Mensagens suspeitas são aquelas que não passaram na verificação do SPF ou do DKIM, ou de ambas. Os parâmetros possíveis variam de 1 a 100 e são respectivamente 1% e 100%;

  • rua – corresponde ao endereço de e-mail para onde devem ser enviados os relatórios sobre a atividade do DMARC relativos ao seu domínio. Embora não seja obrigatório, tem sido considerada uma boa prática usar uma conta de e-mail do próprio domínio ao qual a política está associada, criada especificamente para esse fim, como por exemplo [email protected] ou [email protected] Apesar de não ser uma tag obrigatória, não há muito sentido não usá-la, se o que se quer é ter informações completas (relatórios) de como seu domínio é usado na troca de mensagens eletrônicas;

  • sp – define a política para mensagens de um subdomínio, caso você tenha um, mesmo que não tenha contas de e-mail criadas sob algum subdomínio. Permite que sejam aplicadas políticas diferentes aos subdomínios. Assim como a tag “p”, os parâmetros possíveis são none, quarantine e reject e seguem as mesmas ações correspondentes;

  • adkim – essa tag – que é opcional – estabelece como o destinatário fará a autenticação com base na verificação de DKIM, sendo que é possível usar:

    • s – a correspondência deve ser exata, ou seja, o domínio do remetente precisa corresponder exatamente ao d=name dos cabeçalhos de e-mail DKIM;

    • r – não há necessidade de correspondência exata, o que significa que um subdomínio válido em d=domain nos cabeçalhos de e-mail DKIM, permite que a mensagem seja aceita;

  • aspf – da mesma forma que adkim, é opcional e estabelece como o destinatário fará a autenticação com base na verificação de SPF, sendo que é possível usar:

    • s – exige correspondência exata, ou seja, o campo FROM da mensagem de e-mail precisa utilizar o mesmo domínio do comando “smtp mail from”, durante o protocolo SMTP;

    • r – permite correspondências exatas, se por exemplo, um subdomínio do domínio informado em “smtp mail from”, durante o protocolo SMTP;

 

Dessa forma uma política de DMARC definida como no exemplo abaixo, será interpretada como segue:

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100; sp=none

O remetente usa DMARC1 e todas as mensagens (pct=100) que não passarem na verificação de SPF e DKIM, devem ser enviadas para a pasta de SPAM ou lixo eletrônico (p=quarantine), sendo que deve-se aceitar mensagens de subdomínio (sp=none) e os relatórios devem ser enviados para a conta [email protected]

Por que é importante usar o DMARC?

Antes de responder os porquês, é importante dizer que mesmo com um crescimento apreciável na adoção dessa nova metodologia de autenticação na troca de e-mails entre dois domínios ou serviços de e-mail, ainda são poucos que o utilizam.

Se não ficou claro seu o funcionamento, de nada adianta você ter o DMARC configurado em seu domínio, se seus destinatários não o tem. E vice-versa.

Como não é um padrão universalmente usado, o seu nível de eficiência não é o que poderia ser, caso 100% dos serviços de e-mail o adotassem.

Também é importante salientar, que não impedirá que você receba phishing ou seu domínio não possa ser usado para tanto, nem mesmo para SPAM, tanto porque a eficácia depende do nível de adoção, como porque o phishing usando o e-mail e outras ações maliciosas, não dependem apenas do controle que se tem das mensagens enviadas.

Todavia, mesmo não mitigando por completo o conjunto de ações maliciosas que envolvem o serviço de e-mail, há motivos importantes que justificam a implantação do DMARC:

  • Possibilita que remetentes e destinatários colaborem mutuamente na detecção, no histórico e na abordagem dada a e-mails fraudulentos;

  • A padronização permite que provedores de hospedagem e serviços de e-mail melhorem a qualidade dos serviços oferecidos e assim os usuários dispõem de políticas de conhecimento universal;

  • Mesmo não impedindo ocorrências como phishing ou spoofing, a quantidade de informação circulante permite sua identificação mais precoce e pode até mesmo evitar problemas como inclusão do endereço IP e/ou domínio em blacklists;

  • A medida em que serviços de e-mail gratuitos, como o Gmail e o Outlook, entre outros, incorporem totalmente o DMARC como parte de suas políticas de prestação de serviços, o nível de SPAM circulante usando-os como remetentes, tende a diminuir;

  • Não representa gastos adicionais para os usuários, visto que assim como o SPF e o DKIM, não exige-se o pagamento de licenças e instalação de softwares ou serviços nos dispositivos dos usuários;

  • Já há uns poucos serviços ou domínios, que condicionam o recebimento de mensagens ao uso de SPF, DKIM e DMARC e há até ferramentas de verificação de DNS, que fazem a checagem das configurações correspondentes nas zonas de DNS dos domínios, como é o caso do MXToolBox.

Conclusão

O DMARC é uma política e um padrão implementável no serviço de e-mail, através de configurações em zonas de DNS, pela qual se pretende autenticação e controle sobre o tráfego de e-mail, permitindo que mensagens legítimas cheguem aos seus destinatários.

Comentários ({{totalComentarios}})