O que é DMARC?
O e-mail desempenha um papel muito importante no ambiente de negócios do mundo digital e conectado de hoje. No entanto, quando os protocolos de e-mail foram desenvolvidos, a segurança não era uma prioridade, e não houve preocupação em impedir que pessoas enviassem e-mails em nome de terceiros.
O DMARC é um protocolo de e-mail criado para resolver esse problema, garantindo que apenas fontes autorizadas possam enviar e-mails em nome de uma organização.
A implementação do DMARC traz diversos benefícios para a sua empresa.
- Quando você recebe um e-mail de um colega, pode ter a certeza de que ele realmente foi enviado por ele e não por um hacker. Muitas pessoas acreditam que verificar apenas o campo “remetente” é suficiente, mas isso só é verdade quando a organização possui conformidade com DMARC.
- Ele protege a reputação da sua empresa, impedindo que hackers enviem e-mails falsos ou maliciosos em nome de você ou dos seus colegas para clientes e parceiros de negócios.
- Além disso, a implementação do DMARC também pode melhorar a taxa de entrega dos seus e-mails na caixa de entrada dos clientes.
- O DMARC fornece visibilidade completa sobre todo o tráfego de e-mails, ajudando a identificar e eliminar vulnerabilidades e configurações antigas ou inseguras.
Como o DMARC funciona?
O DMARC não define uma nova forma de autenticar e-mails. Em vez disso, ele utiliza dois padrões de autenticação já existentes e amplamente consolidados: SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail).
De forma simples, o DMARC é uma maneira de informar a todos os destinatários que qualquer e-mail recebido aparentando vir da sua organização deve ser validado por pelo menos um desses dois padrões de autenticação — SPF ou DKIM.
Isso torna a implementação do DMARC mais simples e evita interrupções no fluxo normal do tráfego de e-mails.
O padrão DMARC também possui um mecanismo de controle integrado.
Você pode configurar uma caixa de entrada para receber relatórios diários de todas as partes que recebem e-mails aparentemente enviados pela sua organização.
Esses relatórios contêm informações como:
- De onde cada e-mail foi enviado
- Qual é o status da verificação SPF
- Qual é o status da verificação DKIM
Ao analisar esses relatórios, é possível identificar quais sistemas estão enviando e-mails em nome da sua organização e verificar se SPF e DKIM estão corretamente configurados para cada uma dessas fontes.
Como começar com a análise de DMARC?
Como primeiro passo, você pode verificar se o seu domínio já está devidamente protegido.
Você pode utilizar a ferramenta de teste de spoofing da White Arrow Technology para verificar o status de DMARC dos seus domínios. Essa ferramenta não apenas informa o nível de proteção DMARC atual, mas também permite demonstrar, na prática, como a falsificação de e-mails pode acontecer.
O próximo passo na jornada de segurança DMARC da sua organização é o monitoramento DMARC.
Antes de adotar uma política DMARC rigorosa, é fundamental entender completamente a natureza do seu tráfego de e-mails:
- Quais são as fontes legítimas que enviam e-mails em nome da sua empresa?
- Cada uma dessas fontes possui SPF e DKIM implementados corretamente?
O monitoramento DMARC ajuda você a obter uma visão completa de todo o tráfego de e-mails, sem qualquer risco de interromper suas operações de envio.
Depois de implementar SPF e DKIM em todos os recursos identificados por meio desse monitoramento, a sua organização estará finalmente pronta para aplicar uma política DMARC forte e colocar fim ao abuso contínuo praticado por hackers.
O monitoramento DMARC não é uma medida de segurança, e sim um sistema de rastreamento.
Nossas pesquisas mostram que muitas organizações ativam o monitoramento DMARC, mas nunca dão o próximo passo rumo à conformidade total com o protocolo.
Infelizmente, o monitoramento por si só não melhora a segurança do e-mail da sua organização.
Listamos três razões para isso:
- A frequência de ataques contra qualquer organização de médio porte (ou maior) minimamente conhecida é tão alta que muitas empresas acabam se tornando insensíveis a essas ocorrências. A maioria das organizações que analisamos sofre ataques semanalmente. Algumas empresas mais conhecidas são atacadas várias vezes ao dia.
- Se nem todas as fontes de e-mail da organização estiverem em conformidade com DKIM e SPF, torna-se extremamente difícil distinguir entre tráfego legítimo de e-mails e tentativas de ataque.
- Existe um atraso natural de até 24 horas nos relatórios DMARC. Isso significa que, muitas vezes, a organização só toma conhecimento de um ataque depois que ele já aconteceu.
Por que um filtro antispam / Secure Email Gateway (SEG) não é suficiente?
Existe um equívoco comum de que um Secure Email Gateway (SEG) robusto pode substituir a implementação do DMARC. Na prática, porém, Secure Email Gateways e DMARC são tecnologias complementares, e não alternativas.
As soluções antispam normalmente atuam sobre os e-mails recebidos (embora algumas soluções mais avançadas também monitorem parte dos e-mails enviados pela organização).
No entanto, quando um hacker envia um e-mail para um dos seus clientes se passando pela sua empresa, a solução antispam da sua organização não tem como interceptar essa mensagem, pois ela nunca passa pelos seus servidores internos.
Nem mesmo o antispam do seu cliente consegue barrar um e-mail de spoofing bem elaborado.
Isso acontece porque um e-mail falso sofisticado pode ser tecnicamente indistinguível de mensagens corporativas legítimas muito comuns — como convites de calendário ou e-mails enviados por ferramentas de CRM — especialmente quando a sua organização não possui DMARC implementado.
O monitoramento DMARC não é uma medida de segurança, e sim um sistema de rastreamento.
Nossas pesquisas mostram que muitas organizações ativam o monitoramento DMARC, mas nunca dão o próximo passo rumo à conformidade total com o protocolo.
Infelizmente, o monitoramento por si só não melhora a segurança do e-mail da sua organização.
Listamos três razões para isso:
- A frequência de ataques contra qualquer organização de médio porte (ou maior) minimamente conhecida é tão alta que muitas empresas acabam se tornando insensíveis a essas ocorrências. A maioria das organizações que analisamos sofre ataques semanalmente. Algumas empresas mais conhecidas são atacadas várias vezes ao dia.
- Se nem todas as fontes de e-mail da organização estiverem em conformidade com DKIM e SPF, torna-se extremamente difícil distinguir entre tráfego legítimo de e-mails e tentativas de ataque.
- Existe um atraso natural de até 24 horas nos relatórios DMARC. Isso significa que, muitas vezes, a organização só toma conhecimento de um ataque depois que ele já aconteceu.