SPF, DMARC, DKIM e BIMI. O que são e como podem afetar a entrega dos seus emails?

O envio de emails fraudulentos existe desde que o email foi inventado e ao longo dos anos foram criados protocolos como SPF, DMARC, DKIM e BIMI para lidar com esse problema.

Infelizmente é cada vez mais um problema atual e que atinge valores astronómicos. O objetivo destes protocolos é evitar que exista esse problema de emails fraudulentos, mas…

… este mas tem muito que se lhe diga: analisamos os sites de 500 das maiores empresas da região centro do país. Apenas 5,5% desses tinham os protocolos  SPF, DMARC e DKIM, 40% tinham protocolos SPF e DKIM, 45% tinham protocolo SPF (e nem sempre devidamente configurado).

Assustadoramente 9,5% não tinham qualquer protocolo de segurança no email, permitindo assim que qualquer pessoa mal-intencionada possa enviar um email como se fosse uma destas empresas e causar milhares de euros de prejuízo, seja a quem recebeu, seja à empresa que não tinha estes protocolos.

Na WebDig.PT e na WebDig Host, estes protocolos são obrigatórios. Gostamos de trabalhar com segurança, mas principalmente gostamos que os nossos clientes estejam seguros.

Vamos explicar quais são estes protocolos:

O SPF (Sender Policy Framework) e DKIM foram desenvolvidos há mais de uma década para dar maior garantia sobre a origem de uma mensagem de email, mas apesar de serem amplamente utilizadas, elas não têm ajudado a reduzir significativamente o fluxo de emails fraudulentos e de phishing.

O DMARC (Domain-based Message Authentication, Reporting & Conformance) foi então criado para permitir que os remetentes e destinatários saibam lidar com emails que não passaram no teste de SPF e DKIM.

O BIMI (Brand Indicator for Message Identification) apareceu mais recentemente e é um indicador de marca para a identificação da mensagem, ou seja, uma maneira opcional para os remetentes de email autenticarem sua marca e depois de configurado, pode exibir o logotipo da sua marca ou empresa ao lado de mensagens autenticadas nos receptores de email compatíveis. Existe a obrigatoriedade de compra de um certificado de custo, para já, elevado.

E a sua empresa tem os emails protegidos por estes protocolos?

Como pode ver, nos números que expressamos na parte inicial deste artigo, muitas empresas que possuem site e usam contas de email com domínio próprio (sendo que todas as empresas o deviam de fazer e explicamos aqui cinco motivos porque o devem fazer) não tem as suas contas de email devidamente protegidas com estes protocolos.

E a sua empresa? Está devidamente protegida? Deixe-nos avaliar gratuitamente!

[contact-form-7 id=”3197″ title=”Protocolos Email”]

SPF (Sender Policy Framework)

O Sender Policy Framework (SPF) é um mecanismo de autenticação de email projetado para combater a falsificação de remetente, também conhecida como spoofing. É um padrão aberto que permite aos proprietários de domínios especificar quais servidores de email estão autorizados a enviar mensagens em seu nome.

O funcionamento do SPF envolve a inclusão de registros de SPF no sistema de nomes de domínio (DNS) do domínio do remetente. Esses registros contêm informações sobre os servidores de email autorizados a enviar emails em nome do domínio.

Quando um servidor de email recebe uma mensagem, ele verifica o registro SPF do domínio do remetente. Se o servidor de email que enviou a mensagem não estiver autorizado no registro SPF, o servidor receptor pode considerar o email como suspeito de falsificação ou até mesmo rejeitá-lo.

O SPF não impede o envio de emails de remetentes não autorizados, mas fornece uma maneira para os servidores de email avaliarem a autenticidade do remetente, pois ajuda a reduzir a quantidade de spam e e-mails maliciosos que utilizam endereços falsificados, melhorando a confiabilidade do sistema de email.

No entanto, é importante observar que o SPF por si só não garante a entrega de emails legítimos e email marketing ou impede totalmente o spoofing.

Outros mecanismos de autenticação, como o DomainKeys Identified Mail (DKIM) e o Domain-based Message Authentication, Reporting, and Conformance (DMARC), são frequentemente usados em conjunto com o SPF para fornecer uma proteção mais robusta contra falsificação de remetente e garantir a autenticidade dos e-mails.

Mas como já dissemos, o SPF sozinho já não vale de muito, mas ainda temos o DKIM, o DMARC e, mais recentemente, o BIMI. 

SPF, DMARC, DKIM e BIMI. O que são e como podem afetar a entrega dos seus emails?DKIM (DomainKeys Identified Mail)

O DomainKeys Identified Mail (DKIM) é um método de autenticação de email que permite verificar a autenticidade do remetente e a integridade da mensagem. É usado para combater o spam, o phishing e o spoofing de remetente, ajudando os servidores de email a determinar se um e-mail recebido é legítimo ou não.

O DKIM utiliza criptografia assimétrica para adicionar uma assinatura digital à mensagem de e-mail no cabeçalho. Essa assinatura digital é gerada pelo remetente usando uma chave privada exclusiva associada ao domínio do remetente. A chave pública correspondente é publicada no sistema de nomes de domínio (DNS) do domínio do remetente.

Quando um servidor de email recebe uma mensagem, ele verifica a assinatura DKIM no cabeçalho usando a chave pública obtida no DNS do domínio do remetente. Se a assinatura for válida, significa que a mensagem não foi modificada durante o trânsito e que o remetente é autêntico.

Além de verificar a autenticidade, o DKIM também ajuda a estabelecer a reputação do remetente. Os provedores de email e filtros de spam podem usar o DKIM como um fator para determinar se uma mensagem é confiável ou suspeita. E-mails autenticados com DKIM têm mais chances de serem entregues corretamente na caixa de entrada do destinatário em vez de serem marcados como spam.

É importante ressaltar que o DKIM opera em nível de domínio, o que significa que cada domínio pode ter sua própria configuração de DKIM. É recomendado que os remetentes configurem corretamente o DKIM para seus domínios para garantir a autenticidade e a entrega confiável de seus e-mails.

DMARC (Domain-based Message Authentication, Reporting & Conformance)

O Domain-based Message Authentication, Reporting, and Conformance (DMARC) é um protocolo de autenticação de e-mail que complementa o SPF (Sender Policy Framework) e o DKIM (DomainKeys Identified Mail). Ele fornece uma camada adicional de proteção contra falsificação de remetente e ajuda a garantir a autenticidade dos emails.

O DMARC permite que os proprietários de domínios especifiquem políticas de autenticação para seus domínios, definindo como os servidores de email devem tratar as mensagens que falham nas verificações de SPF e DKIM. Essas políticas podem instruir os servidores de e-mail a rejeitar, marcar como spam ou tomar outras medidas com base nos resultados de autenticação.

Além disso, o DMARC também permite que os remetentes recebam relatórios detalhados sobre a autenticação de emails enviados em seu nome. Esses relatórios fornecem informações sobre quais emails passaram ou falharam nas verificações de SPF e DKIM, ajudando os remetentes a monitorar e corrigir problemas de autenticação.

O DMARC ajuda a combater ataques de phishing, spoofing de remetente e abuso de domínio, fornecendo uma maneira de proteger a reputação do domínio e melhorar a entrega confiável de e-mails. Ao implementar corretamente o DMARC, os remetentes podem reduzir a probabilidade de seus e-mails serem falsificados ou marcados como spam, aumentando a confiança do destinatário e fortalecendo a autenticidade do seu domínio.

A configuração correta do DMARC envolve a publicação de um registro DMARC no sistema de nomes de domínio (DNS) do domínio do remetente, especificando a política de autenticação e endereço para relatórios. Recomenda-se que os remetentes implementem o SPF, o DKIM e o DMARC em conjunto para obter uma camada robusta de autenticação de e-mail.

BIMI (Brand Indicator for Message Identification)

O Brand Indicator for Message Identification (BIMI) é uma iniciativa de autenticação de email que visa fornecer uma maneira visualmente consistente de exibir marcas nas caixas de entrada dos utilizadores.

Permite que as marcas associadas a um domínio verificado exibam seus logotipos ou ícones nas mensagens de e-mail, ajudando os destinatários a identificar rapidamente a autenticidade das mensagens e a distinguir as comunicações legítimas das tentativas de phishing ou spoofing.

O BIMI funciona em conjunto com outras tecnologias de autenticação, como SPF, DKIM e DMARC. Para que o logotipo ou ícone de uma marca seja exibido, o domínio do remetente deve ter implementado corretamente essas tecnologias e ter uma política DMARC configurada como “p=quarantine” ou “p=reject”.

O processo de implementação do BIMI envolve o registro do logotipo ou ícone da marca em um sistema de marcação BIMI e a publicação de registros DNS correspondentes ao domínio do remetente. Esses registros DNS contêm informações sobre a localização do logotipo e incluem uma assinatura criptográfica para verificar a autenticidade do logotipo.

Quando um servidor de e-mail recebe uma mensagem de um remetente que implementou o BIMI, ele verifica se o remetente possui um registro BIMI válido no DNS. Se for o caso, o servidor de e-mail busca o logotipo associado à marca e exibe-o na caixa de entrada do destinatário junto com a mensagem.

O BIMI tem como objetivo promover a confiança e a transparência nas comunicações por email, permitindo que as marcas autenticadas sejam facilmente identificadas pelos destinatários.

No entanto, é uma iniciativa relativamente nova e ainda está em processo de adoção generalizada, requerendo suporte tanto dos servidores de e-mail quanto dos remetentes para ser eficaz.

E a sua empresa tem os emails protegidos por estes protocolos?

Como pode ver, nos números que expressamos na parte inicial deste artigo, muitas empresas que possuem site e usam contas de email com domínio próprio (sendo que todas as empresas o deviam de fazer e explicamos aqui cinco motivos porque o devem fazer) não tem as suas contas de email devidamente protegidas com estes protocolos.

E a sua empresa? Está devidamente protegida? Deixe-nos avaliar gratuitamente!

[contact-form-7 id=”3197″ title=”Protocolos Email”]

Sem Comentários

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *