What is DMARC?
Email plays a very important role in today’s digital and connected business environment. However, when email protocols were originally developed, security was not a priority, and there was no concern about preventing people from sending emails on behalf of others.
DMARC is an email protocol designed to address this issue by ensuring that only authorized sources can send emails on behalf of an organization.
Implementing DMARC brings several benefits to your company.
- When you receive an email from a colleague, you can be confident that it was truly sent by them and not by a hacker. Many people believe that checking only the “sender” field is sufficient, but this is only true when the organization is DMARC compliant.
- It protects your company’s reputation by preventing hackers from sending fake or malicious emails on your behalf or on behalf of your colleagues to customers and business partners.
- In addition, implementing DMARC can also improve the delivery rate of your emails to your customers’ inboxes.
- DMARC provides full visibility into all email traffic, helping to identify and eliminate vulnerabilities as well as outdated or insecure configurations.
Como o DMARC funciona?
O DMARC não define uma nova forma de autenticar e-mails. Em vez disso, ele utiliza dois padrões de autenticação já existentes e amplamente consolidados: SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail).
De forma simples, o DMARC é uma maneira de informar a todos os destinatários que qualquer e-mail recebido aparentando vir da sua organização deve ser validado por pelo menos um desses dois padrões de autenticação — SPF ou DKIM.
Isso torna a implementação do DMARC mais simples e evita interrupções no fluxo normal do tráfego de e-mails.
O padrão DMARC também possui um mecanismo de controle integrado.
Você pode configurar uma caixa de entrada para receber relatórios diários de todas as partes que recebem e-mails aparentemente enviados pela sua organização.
Esses relatórios contêm informações como:
- De onde cada e-mail foi enviado
- Qual é o status da verificação SPF
- Qual é o status da verificação DKIM
Ao analisar esses relatórios, é possível identificar quais sistemas estão enviando e-mails em nome da sua organização e verificar se SPF e DKIM estão corretamente configurados para cada uma dessas fontes.
Como começar com a análise de DMARC?
Como primeiro passo, você pode verificar se o seu domínio já está devidamente protegido.
Você pode utilizar a ferramenta de teste de spoofing da White Arrow Technology para verificar o status de DMARC dos seus domínios. Essa ferramenta não apenas informa o nível de proteção DMARC atual, mas também permite demonstrar, na prática, como a falsificação de e-mails pode acontecer.
O próximo passo na jornada de segurança DMARC da sua organização é o monitoramento DMARC.
Antes de adotar uma política DMARC rigorosa, é fundamental entender completamente a natureza do seu tráfego de e-mails:
- Quais são as fontes legítimas que enviam e-mails em nome da sua empresa?
- Cada uma dessas fontes possui SPF e DKIM implementados corretamente?
O monitoramento DMARC ajuda você a obter uma visão completa de todo o tráfego de e-mails, sem qualquer risco de interromper suas operações de envio.
Depois de implementar SPF e DKIM em todos os recursos identificados por meio desse monitoramento, a sua organização estará finalmente pronta para aplicar uma política DMARC forte e colocar fim ao abuso contínuo praticado por hackers.
O monitoramento DMARC não é uma medida de segurança, e sim um sistema de rastreamento.
Nossas pesquisas mostram que muitas organizações ativam o monitoramento DMARC, mas nunca dão o próximo passo rumo à conformidade total com o protocolo.
Infelizmente, o monitoramento por si só não melhora a segurança do e-mail da sua organização.
Listamos três razões para isso:
- A frequência de ataques contra qualquer organização de médio porte (ou maior) minimamente conhecida é tão alta que muitas empresas acabam se tornando insensíveis a essas ocorrências. A maioria das organizações que analisamos sofre ataques semanalmente. Algumas empresas mais conhecidas são atacadas várias vezes ao dia.
- Se nem todas as fontes de e-mail da organização estiverem em conformidade com DKIM e SPF, torna-se extremamente difícil distinguir entre tráfego legítimo de e-mails e tentativas de ataque.
- Existe um atraso natural de até 24 horas nos relatórios DMARC. Isso significa que, muitas vezes, a organização só toma conhecimento de um ataque depois que ele já aconteceu.
Por que um filtro antispam / Secure Email Gateway (SEG) não é suficiente?
Existe um equívoco comum de que um Secure Email Gateway (SEG) robusto pode substituir a implementação do DMARC. Na prática, porém, Secure Email Gateways e DMARC são tecnologias complementares, e não alternativas.
As soluções antispam normalmente atuam sobre os e-mails recebidos (embora algumas soluções mais avançadas também monitorem parte dos e-mails enviados pela organização).
No entanto, quando um hacker envia um e-mail para um dos seus clientes se passando pela sua empresa, a solução antispam da sua organização não tem como interceptar essa mensagem, pois ela nunca passa pelos seus servidores internos.
Nem mesmo o antispam do seu cliente consegue barrar um e-mail de spoofing bem elaborado.
Isso acontece porque um e-mail falso sofisticado pode ser tecnicamente indistinguível de mensagens corporativas legítimas muito comuns — como convites de calendário ou e-mails enviados por ferramentas de CRM — especialmente quando a sua organização não possui DMARC implementado.
O monitoramento DMARC não é uma medida de segurança, e sim um sistema de rastreamento.
Nossas pesquisas mostram que muitas organizações ativam o monitoramento DMARC, mas nunca dão o próximo passo rumo à conformidade total com o protocolo.
Infelizmente, o monitoramento por si só não melhora a segurança do e-mail da sua organização.
Listamos três razões para isso:
- A frequência de ataques contra qualquer organização de médio porte (ou maior) minimamente conhecida é tão alta que muitas empresas acabam se tornando insensíveis a essas ocorrências. A maioria das organizações que analisamos sofre ataques semanalmente. Algumas empresas mais conhecidas são atacadas várias vezes ao dia.
- Se nem todas as fontes de e-mail da organização estiverem em conformidade com DKIM e SPF, torna-se extremamente difícil distinguir entre tráfego legítimo de e-mails e tentativas de ataque.
- Existe um atraso natural de até 24 horas nos relatórios DMARC. Isso significa que, muitas vezes, a organização só toma conhecimento de um ataque depois que ele já aconteceu.