Guia para configurar o DMARC

Guia para configurar o DMARC
Guia para Configurar o DMARC | Pág. 1 | Compartilhe:
Índice
Parte 1: Conhecendo DMARC
Página 3
Parte 2: História do DMARC
Página 6
Parte 3: Como funciona o DMARC
Página 8
Parte 4: Introdução ao DMARC
Página 10
Parte 5: O que vem a seguir?
Página 12
Contato
Página 13
Parte 1: Conhecendo DMARC
O que é DMARC?
O DMARC ajuda Remetentes e
DMARC significa Domain-based Authentication, Reporting and Conformance (Autenticação, Relatórios e
Conformidade baseados em Domínio). Ele permite que remetentes de email apliquem uma política para os
seus domínios de envio que instrui os provedores de email sobre o que fazer se as autenticações SPF e DKIM
falharem - como deixar a mensagem em quarentena na pasta de spam ou rejeitar o email para que não seja
entregue ao proprietário da caixa de entrada, que é cliente tanto do remetente quanto do provedor de caixa
de correio. Ele também fornece aos remetentes informações sobre sua infraestrutura de envio para ajudar a
Provedores de Email
Usando DMARC, os remetentes podem:
1. Proteger seus clientes das ameaças diretas
no domínio.
2. Obter um feedback valioso sobre emails que
não passam na autenticação.
melhorar a governança global de email e aderência às melhores práticas.
3. Instruir os provedores de email sobre como
devem lidar com mensagens que falham na
autenticação.
O DMARC combate Phishing e Spoofing
Quando usado em conjunto com o SPF e DKIM, o DMARC fornece uma maneira efetiva para combater
ameaças diretamente nos domínios, ataques que estão aproveitando um domínio que você possui e
controla, como phishing e spoofing. Estas ameaças, se não resolvidas, podem causar danos significativos
em termos financeiros, causando perda direta para consumidores e marcas, bem como custos indiretos
associados com a perda da confiança do consumidor e destruição do valor e reputação da marca.
Provedores de email, incluindo Gmail, Yahoo!, AOL e Microsoft levam ataques de phishing muito a sério e
adotaram o DMARC para ajudar a combater o cibercrime. Mas, para ser eficaz, o DMARC requer que tanto o
remetente quanto o provedor de email trabalhem em conjunto para reforçar a política de tráfego de correio
suspeito.
Usando DMARC, os provedores de email podem:
1. Diferenciar melhor os remetentes legítimos
de spammers.
2. Ter mais confiança de que estão
bloqueando emails ruins e não os bons.
3. Ajudar a proteger seus clientes, que são os
proprietários da conta de email.
As marcas precisam armar-se com informações e ferramentas para proteger seus clientes valiosos
contra ataques de phishing. O DMARC é um primeiro passo para fornecer as informações necessárias para
proteger marcas e consumidores contra ameaças diretamente no domínio.
Guia para Configurar o DMARC | Pág. 3 | Compartilhe:
O DMARC é importante para o seu programa de email
O email é um poderoso canal para a geração de receitas e fortalecimento do relacionamento com
clientes. As empresas para as quais o email é uma fonte de receita precisam garantir que o seu programa
e seus clientes estejam protegidos. Isto significa tomar medidas proativas para bloquear mensagens
fraudulentas e maliciosas, para que não cheguem aos clientes.
Não é uma questão de se, mas sim de quando os criminosos vão falsificar a sua marca. O DMARC fornece um
mecanismo para ajudar a bloquear ataques de phishing a seus valiosos clientes, o que melhora a experiência
geral com a sua marca.
Eu sou um profissional de Marketing... não seria o time de Segurança que deveria se
preocupar com DMARC?
Phishing é uma responsabilidade da empresa. Ambas as equipes de marketing e de segurança precisam se
preocupar com DMARC, uma vez que ambos os times têm interesse. Os profissionais de Marketing gastam
muito tempo, esforço e recursos para promover a marca e o engajamento do email. Um ataque de phishing
pode destruir isso em questão de minutos.
As equipes de segurança se concentram em proteger os ativos da empresa. E a base de clientes das marcas
é provavelmente o maior ativo que a empresa tem. As equipes de segurança precisam fazer parcerias com
equipes de marketing para proteger os clientes e a receita gerada através do canal de email.
A proteção da marca é um imperativo conjunto e as equipes de marketing e de segurança têm um interesse
compartilhado em proteger a marca e os clientes do tráfego de email mal intencionado.
Guia para Configurar o DMARC | Pág. 4 | Compartilhe:
Números do DMARC
2/3
60%
80
mil
Provedores de email
O DMARC protege quase
60% dos domínios dos
Mais de 80.000 domínios
rejeitaram centenas de
dois terços de caixas de
maiores remetentes que
implantaram políticas
milhões de mensagens por
correio de consumidores do
publicam políticas são
através do padrão DMARC
ano, porque a verificação de
mundo e 80% dos clientes
provenientes de empresas
autenticação DMARC falhou
nos EUA, assumindo que
não diretamente associadas
tanto o remetente quanto
com DMARC.org
+100
milhões
o provedor de email estão
implementando DMARC
Guia para Configurar o DMARC | Pág. 5 | Compartilhe:
Parte 2: A história do DMARC
Como DMARC começou
Onde o DMARC está hoje
Problemas com SPF e DKIM
Hoje, muitos desses mesmos partidos formam
um grupo de trabalho não incorporado ao
DMARC.org. O grupo dedica-se a desenvolver
padrões de Internet para reduzir a ameaça de
email de phishing e melhorar a coordenação
entre os provedores de caixa de correio e
remetentes de email.
Desde 2004, grupos de padrões da indústria e da Internet, remetentes, provedores de caixas de correio, e
fornecedores (tais como a Return Path) têm trabalhado no estabelecimento de padrões de autenticação de
email para evitar fraudes.
A adoção dessas normas de autenticação, incluindo SPF e DKIM, tornou-se comum em toda
a indústria, reduzindo drasticamente a capacidade dos spammers em utilizar domínios nos quais os
consumidores confiam.
Mesmo assim, este consórcio da indústria percebeu um problema com o processo de autenticação: o
problema sobre o que fazer com o correio não autenticado.
Comunicações Privadas
Antes do DMARC ser estabelecido, emissores e receptores comunicavam-se confidencialmente sobre o que
fazer quando havia falha de autenticação.
Em 2007, o PayPal trabalhou em particular com o Yahoo e Gmail - dizendo-lhes o que fazer com o email não
autenticado do PayPal. Os resultados desta parceria foram excelentes: o PayPal experimentou uma redução
significativa em email fraudulento e suspeito.
Embora esses esforços privados tenham sido bem sucedidos, exigiram muita coordenação manual. O grupo
simplificou o processo e criou um padrão público para que todos possam dar diretrizes para provedores de
email sobre o que fazer com o email não autenticado. Este padrão tornou-se o DMARC.
Guia para Configurar o DMARC | Pág. 6 | Compartilhe:
Como o DMARC resolveu problemas de SPF e DKIM
Embora SPF e DKIM ajudaram a reduzir a fraude, eles não conseguiram acabar com o phishing.
A falta de padrão de uso e aplicação pelos ISPs e o alto risco de bloqueio de email legítimo
impediram o progresso.
Problemas com SPF e DKIM
O SPF funciona através da publicação de um registro permitindo que os endereços IP autorizados
enviem em nome de um domínio. O SPF não sobrevive com o encaminhamento de email, então
pode ser facilmente quebrado. O DKIM tentou resolver esse problema assinando um email com
criptografia. Embora o DKIM sobreviva ao encaminhamento e seja difícil de falsificar, é caro e difícil
adotar devido à carga computacional, complexidade, erros de configuração e muito mais.
A solução com DMARC
O DMARC resolve a maioria desses problemas, não só usando SPF e DKIM, mas fornecendo
relatórios sobre falhas de autenticação e dando controle de políticas ao remetente sobre como
lidar com falhas ao não fazer nada, colocar as mensagens com falha em quarentena, ou bloquear.
Como resultado, SPF, DKIM e DMARC reduzem significativamente a emissão de falsos positivos.
Guia para Configurar o DMARC | Pág. 7 | Compartilhe:
Parte 3: Como funciona o DMARC
O DMARC permite que remetentes indiquem dentro do seu registro DNS que o seu email está
protegido por SPF e/ou DKIM - e diz aos provedores de email o que fazer se a autenticação falhar.
Alinhamento Identificador
Relaxed Alignment x Strict Alignment
Por que o DMARC verifica o RFC5322
O DMARC não aborda diretamente se
um email é ou não é fraudulento. Em vez
disso, mensagens são consideradas alinhadas
se o domínio “De” RFC 5322 especificado
no Registro DMARC está de acordo com o
domínio especificado no SPF e/ou registro(s)
DKIM.
Remetentes podem especificar o rigor do
alinhamento; o alinhamento Relaxed é o
padrão.
do domínio “De”?
No caso de SPF, o domínio MFROM tem
que corresponder exatamente ao domínio
organizacional do domínio “De” RFC5322. No
caso do DKIM, o domínio organizacional do
valor d= na assinatura DKIM tem que coincidir
com o domínio “De” do RFC5322. Apenas um
identificador autenticado tem que coincidir
para que o email seja considerado em
alinhamento.
Alinhamento Relaxed permite coincidências
parciais entre SPF e/ou registro(s) DKIM
com o RFC 5322. Por exemplo, subdomínios
de um determinado domínio podem ser
considerados alinhados. Um exemplo de
alinhamento relaxed é: facebook.com e
facebook.groups.com.
O RFC5322 do domínio “De” (1) é altamente
visível (2) é o domínio que os usuários de
email têm contato com mais facilidade, (2)
é uma das partes mais forjadas do corpo do
email, (3) é a única parte que com certeza
estará presente, e (4) é apresentada pelos
MUAs de uma forma que sugere fortemente
que o autor da mensagem é verdadeiro.
O alinhamento strict requer correspondências
exatas. Um exemplo de alinhamento rigoroso
é: facebook.com e facebook.com.
NOTA: Um domínio organizacional é a marca ou o domínio registrado. Por exemplo,
facebook.com é um domínio organizacional enquanto groups.facebook.com é um sub-domínio.
Guia para Configurar o DMARC | Pág. 8 | Compartilhe:
Quem usa Relaxed Alignment e Strict Alignment
Relaxed Alignment pode ser útil para remetentes que contratam a manipulação de determinados fluxos
de correio (tais como processamento de bounces) de terceiros. Estes remetentes podem usar terceiros e
implantar DMARC sem ter qualquer impacto negativo.
Geralmente, as instituições financeiras ou outras organizações de alto perfil se interessam mais por Strict
Alignment.
Relatórios
Com o DMARC, os remetentes podem receber relatórios que incluem dados sobre problemas de
autenticação que estão tendo em seus fluxos de email. Estes relatórios de feedback loop tornam
o ecossistema de email mais seguro por permitir que remetentes e receptores se comuniquem
automaticamente sobre potencial abuso.
Os remetentes podem optar por receber dois tipos de relatórios: agregados e/ou de nível de mensagem
(forense).
Os relatórios incluem informações para dar insights aos remetentes sobre os seus resultados de autenticação
para que eles possam agir sobre as correções necessárias, e calibrar uma política DMARC apropriada.
Receptores enviarão relatórios agregados para todos os emails. Receptores que dão suporte a relatórios
forenses enviarão os mesmos apenas se SPF ou DKIM falharem.
Estes relatórios podem ser difíceis de entender e uma solução in-house para analisar os dados deve ser
considerada, ou ainda soluções de terceiros, como da Return Path, que exibem os dados do relatório DMARC
em um portal de fácil utilização para direcionar esforços na aplicação de políticas e correção de problemas
de autenticação.
Guia para Configurar o DMARC | Pág. 9 | Compartilhe:
Parte 4: Introdução ao DMARC
Relatório Agregado e Forense
Parabéns, você está prestes a juntar-se ao grupo de elite dos principais remetentes que já
Provedores de email enviam ambos os tipos
de relatório para o email especificado no
seu registro DMARC (especificado usando o
ruf:mailto= ou rf:mailto= tags).
publicaram uma política DMARC. Siga os passos abaixo para começar!
1
Antes de começar a bloquear mensagens
supostamente fraudulentas, você precisa
ganhar visibilidade sobre todo fluxo de email
outbound.
Realize uma auditoria para garantir que
todos os IPs, domínios e ambientes de envio
estão sendo considerados e estão sendo
devidamente autenticados.
3
2
identificar e autenticar
Conhecer as tags DMARC
Existem numerosas tags DMARC disponíveis,
mas você não tem que usar todas. Concentrese nas tags v, p, rua, e ruf.
Relatórios agregados incluem um arquivo XML
em um arquivo zip. O relatório incluirá
3 seções:
Verificar Alinhamento
Abra os cabeçalhos de email das mensagens
•
Informações sobre o provedor de email
que enviou o relatório
•
A descrição do seu Registro DMARC
•
que você envia. Identifique o seguinte:
•
Return Path/MFrom/Domínio Envelope
From
•
Domínio “De” amigável
Um resumo dos resultados de
autenticação. Procure áreas que mostram
•
DKIM-Signature (procure a tag “d=”)
como status neutro, nenhum, ou falhou.
Certifique-se que os domínios estejam
alinhados
4
Criar uma entrada
Criar uma entrada no DNS para o arquivo
de zona. Um exemplo de registro DMARC é:
“v=DMARC1; p=none; rua=mailto:report@
example.com”
Relatórios forenses são enviados em formato
AFRF ou IODEF, dependendo do que foi
especificado no tag “rf”. Por padrão, é AFRF.
Você vai receber relatórios individuais por
mensagem que falhar SPF e/ou DKIM.
Certifique-se de não clicar em nenhum link.
Use os cabeçalhos de email para ajudar na sua
investigação.
Guia para Configurar o DMARC | Pág. 10 | Compartilhe:
5
Configurar Política para p=”none”
Embora você possa especificar três tipos de
política: rejeição, quarentena, ou nenhum,
defina a política, a princípio, para “p=none.”
Isto instrui provedores de email a não tomar
medidas se a verificação DMARC falhar - o que
lhe permite trabalhar quaisquer problemas
com seus registros.
6
Monitorar
Comece a coletar relatórios para ver se alguém
está praticando spoofing ou phishing em sua
marca. Peça para receber os relatórios agregados
diários usando a tag rua dos provedores de caixas
de correio ao especificar o seu endereço de email.
Solicite relatórios agregados no início, uma vez
que muitas vezes as pessoas acham os relatórios
forenses (ruf ) difíceis de entender, devido à
magnitude dos dados que estão incluídos.
Os remetentes podem rapidamente inundarse com os relatórios DMARC. As soluções de
proteção de marca da Return Path podem ajudar
com ambos os problemas, para que você consiga
extrair o melhor da coleta de dados e elaboração
de relatórios. Clique aqui para mais informações.
7
Colocar em Quarentena
Enquanto você ganha confiança e verifica se todos
os seus fluxos de email outbound estão devidamente
autenticados, dê o próximo passo e defina a tag do
registro DNS DMARC ‘p=’ para
“Quarantine”.
Um exemplo de registro é: “v=DMARC1; p=quarantine;
rua=mailto:[email protected];
ruf=mailto:[email protected]”
Durante este período, verifique diligentemente seus
relatórios na interface de usuário da solução Domain
Secure.
8
Bloquear
Uma vez que você está confiante de que o seu sistema está autenticando todos os fluxos de email outbound
sem erros, defina a tag do registro DNS DMARC “p=” para “reject”.
DMARC “p=” para “reject”. Um exemplo de registro DMARC é: “v=DMARC1, p=reject; rua=mailto:dmarc_agg@
auth.returnpath.net; ruf=mailto:[email protected]”
Coloque seus domínios no registro da Return Path. Isto instrui os provedores de email a bloquear mensagens
suspeitas de fraude.
Guia para Configurar o DMARC | Pág. 11 | Compartilhe:
Parte 5: O que vem a seguir?
Use a Return Path para analisar o
Use o Registro Return Path
Proteja a sua marca e os seus clientes
DMARC
O DMARC não é o único mecanismo através
do qual a política pode ser configurada. Tanto
com o Domain Protect quanto com o Domain
Secure, os clientes podem também optar
por colocar os seus domínios no Registro da
Return Path.
contra o abuso de marca por email
Embora o DMARC seja uma norma pública,
arquivos de relatórios DMARC são complexos.
As soluções de proteção de marca da
Return Path mostram os resultados dos
relatórios DMARC em um formato fácil de
ler e compreender, para que você possa
se concentrar na tomada de decisões
importantes sobre políticas, domínio por
domínio.
A solução também analisa e extrai dados para
identificar tendências, surtos de phishing,
falhas de autenticação e resoluções de falha
de autenticação. Melhore os dados DMARC
com dados privados que a Return Path recebe
dos principais ISPs do mundo. Os clientes de
proteção de marca Return Path têm acesso a
esses dados, que fornecem maior visibilidade
e insights sobre abuso de marcas por email.
O registro é o arquivo de política que a
Return Path divulga aos provedores de email
em nosso canal privado. O Registro permite
que clientes Return Path especifiquem o
que gostariam que os provedores de email
Faça a sua parte na guerra contra o phishing
e abuso de marca ao conhecer o espectro
completo de ameaças, as capacidades e
limitações do DMARC, ao autenticar seu
outbound email usando SPF e DKIM, e
ao trabalhar em colaboração com o seu
marketing e as equipes de segurança para
implementar DMARC como um primeiro
passo para proteger sua marca e clientes.
fizessem com seu correio não autenticado.
Fontes:
http://googleonlinesecurity.blogspot.com/2013/12/internet-wide-efforts-to-fight-email.html
http://www.returnpath.com/solution-content/dmarc-support/
http://www.dmarcian.com/dmarc-xml/
http://www.techsneeze.com/how-parse-dmarc-reports
https://github.com/linkedin/dmarc-msys/
https://github.com/thinkingserious/sendgrid-python-dmarc-parser
http://www.trusteddomain.org/opendmarc/
http://landing.returnpath.com/dmarc
Guia para Configurar o DMARC | Pág. 12 | Compartilhe:
Sobre a
Return Path
Canadá
[email protected]
Reino Unido
[email protected]
Alemanha
[email protected]
Estados Unidos
[email protected]
Brasil
França
[email protected]
A Return Path é líder mundial em Email Intelligence.
Nós analisamos mais informações a respeito de
emails do que qualquer outra empresa no mundo
e usamos os dados para reforçar os produtos,
garantindo que somente os emails que os
destinatários desejam receber cheguem à caixa
de entrada. Nossas soluções de Email Intelligence,
líderes de mercado, utilizam o mais abrangente
conjunto de dados do mundo para maximizar o
desempenho e a responsabilidade de cada email,
além de construir relações de confiança por todo
ecossistema de email e proteger os usuários
contra spam e outros abusos. Como consequência,
ajudamos a construir melhores relacionamentos
com seus clientes e a aumentar seu ROI e, ao mesmo
tempo, damos suporte aos ISPs e outros provedores
de serviços de email para aumentar o desempenho
das redes e incrementar a retenção de clientes.
Informações sobre a Return Path podem ser
encontradas em:
br.returnpath.com
[email protected]
Austrália
[email protected]