Blog

Tudo sobre a política DMARC de rejeição do Yahoo!

Return Path | 5 Maio, 2014

Algumas semanas atrás, o Yahoo tornou-se o primeiro grande provedor de emails a publicar uma política DMARC de rejeição. Para aqueles que não estão familiarizados com DMARC e não sabem o que é uma política de rejeitação, isso significa que o Yahoo tem uma linha de texto em seu registro DNS dizendo a provedores de email (MBPs-Mailbox Providers) para rejeitar qualquer email de um domínio do Yahoo que não venha de servidores próprios do Yahoo. Esta foi uma grande notícia que teve um grande impacto, e vou explicar brevemente por que, para que você possa determinar se esta mudança tem algum impacto sobre você.

Em primeiro lugar, vou explicar por que o Yahoo fez esta mudança. Os cibercriminosos invadem contas de usuários e acessam o catálogo de endereços (é uma maneira elegante de dizer que eles copiam os endereços). Isso acontece em todos MBPs, e não apenas no Yahoo. Em seguida, o criminoso usa um servidor diferente para falsificar mensagens e envia daquele usuário aos seus próprios contatos. Você já recebeu alguma mensagem de email que veio do endereço de um amigo e tinha apenas uma URL no corpo de texto? Provavelmente, se você olhar, a mensagem não chegou a vir de seu amigo, foi falsificada. O que isto significa é que o spammer enviou a mensagem a partir de seu próprio servidor e apenas fez parecer que veio de seu amigo.

Isso é ruim em uma série de níveis para o MBP envolvido. Primeiro, afeta a imagem do MBP por causa do spam que está sendo entregue, que parece que veio dele. Esta é uma questão de confiança na marca. Em segundo lugar, uma vez que os cibercriminosos podem falsificar e-mail de usuários finais neste MBP, ficam mais propensos a tentar hackear contas de usuário e copiar os catálogos de endereços, o que significa que a segurança do usuário está em risco.

Com a política de rejeição DMARC, o Yahoo está dizendo “se você receber email de um usuário do Yahoo, mas não foi enviado por nós, por favor, não entregue.” Esta política só terá um impacto no MBP que olha para as políticas DMARC, mas é uma lista significativa – Comcast, Gmail, Outlook.com, AOL e Yahoo. Estamos falando de bilhões de caixas de correio que não vão mais receber mensagens falsificadas do Yahoo.

Parece uma grande vitória, certo?

Se você é o Yahoo, há um benefício significativo para tomar esta ação, que ajuda a restaurar a confiança na marca. O Yahoo está protegendo seus usuários de serem falsificados, pois isso causa situações complicadas quando os seus amigos dizem para parar de enviar spam que eles de fato não enviaram. Hackers estão menos interessados em roubar o catálogo de endereços do usuário, uma vez que não podem falsificar o email, portanto, os usuários do Yahoo são alvos menos almejados, o que pode ser considerado uma vitória para a segurança do usuário. Jeff Bonforte, SVP de Produtos de Comunicação no Yahoo, publicou no site do Yahoo Mail Tumblr que “durante a noite, os maus elementos que usaram email spoofing para forjar emails e lançar as tentativas de phishing, que parecem ter sido enviadas a partir de uma conta Yahoo Mail, foram praticamente interrompidos no caminho.”

Então, qual é a desvantagem? Sempre há um lado negativo.

A desvantagem é que há um grande número de pessoas (e até mesmo organizações) na Internet que enviam e-mail de sua conta do Yahoo, mas não através de servidores do Yahoo. Exemplos disso incluem uma pequena empresa que envia mensagens através de sua empresa de hospedagem usando o seu domínio do Yahoo, Provedores de Serviços de Email (ESPs), que têm clientes que utilizam domínios Yahoo, e listas de discussão. Muitas listas de discussão usam o endereço de email do membro da lista, mas enviam através do domínio do mailing.

Muitas pessoas têm problemas ao enviar seus emails do Yahoo (para o Gmail, Outlook.com, Yahoo, etc), não conseguem enviar seu email e não sabem o porquê. Estava ouvindo um programa de rádio onde o anfitrião disse que não conseguiu enviar emails, porque a vulnerabilidade do Heartbleed fez com que o email para o Yahoo voltasse. Claro, eu tinha que ligar e dizer a ela que não estava relacionado com Heartbleed, e que ela não poderia mais mandar email do Yahoo pelo domínio de sua pequena empresa.

Se você é um cliente Return Path, como isso afeta você?

Enquanto o Yahoo emprega sua política de rejeição DMARC (não houve nenhuma indicação de que irá removê-la), você não pode mais enviar emails usando o seu endereço do Yahoo, a menos que você envie o email diretamente do Yahoo. Felizmente, é fácil configurar o seu próprio domínio e usar isso em seu endereço de email. A boa notícia é que isso vai adicionar benefícios para você, assim como você vai ser capaz de construir a reputação do seu próprio domínio.
Se você administra um mailing, você vai precisar instruir os membros da sua lista a não se inscreverem na sua lista usando uma conta do Yahoo.

Se você tem amigos e familiares que estão tendo problemas para enviar emails de suas contas do Yahoo e estão perguntando sobre isso porque você trabalha com email, descubra se eles estão enviando seus emails do lado de fora do Yahoo. Se assim for, esse é o problema, e não vai ser solucionado. Eles não conseguirão enviar seu email do Yahoo de outros serviços.
Para mais informações sobre como isso pode afetar você e as ações recomendadas, consulte o post do Yahoo, em inglês: Yahoo DMARC Policy Chance – What should senders do? (“Mudança no Yahoo sobre Política DMARC – O que remetentes devem fazer”)

Your browser is out of date.
For a better Return Path experience, click a link below to get the latest version.