Blog

Desmitificando SPF, DKIM e DMARC

Return Path | 3 março, 2014

Muito já se falou sobre a necessidade que as marcas têm de proteger seu negócio e seus clientes através de tecnologias como o DMARC (Domain-based Message Authentication, Reporting & Conformance). SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), usados em conjunto com DMARC, fornecem atualmente, a maneira mais efetiva de combater spam, phishing e spoofing. Mas será que SPF, DKIM e DMARC vão realmente acabar com o phishing? Mesmo estando mais próximos do que nunca de acabar com o phishing, as pessoas ainda cometem equívocos comuns sobre proteção contra fraude, SPF, DKIM e DMARC. Eu considero importante dissipar alguns destes mitos.

Mito #1: Phishing e spoofing são uma responsabilidade da segurança, não do marketing.
Phishing é uma responsabilidade da empresa como um todo, com igual importância dada ao departamento de marketing e ao departamento de segurança. Profissionais de marketing gastam muito tempo e esforço em seu programa de email marketing, inclusive em tópicos como a visibilidade da marca e o engajamento de email, e seria um absurdo ter tudo isso destruído devido a um ataque de phishing. Uma parceria com a equipe de segurança é essencial para evitar isso, já que os profissionais de marketing estão frequentemente na linha de frente para detectar problemas com phishing, e são eles quem têm mais a perder com um possível ataque. Eu até iria um pouco mais além, e diria que toda empresa precisa de uma política interna abrangente. Mais olhos significa mais proteção, reduzindo custos associados com o potencial devastador de um ataque de phishing, e, mais importante, protegendo o canal de email como um todo.

Mito #2: “Eu publico um registro SPF, então tudo bem”, ou “Eu assino todos os meus e-mails com DKIM, então estou protegido” ou “Eu uso tanto o SPF quanto o DKIM, então eu não preciso me preocupar com nada”.
Infelizmente, é um erro pensar que você está 100% protegido ao assinar com SPF, DKIM ou até mesmo ambos. Primeiramente, provedores de email têm dois grandes desafios com a aplicação do SPF ou do DKIM: falta de uma adoção generalizada por remetentes de email e profissionais de marketing, e falta de uma política padronizada em todos os provedores email, ao redor do mundo, na maneira de lidar com falha de autenticação. SPF funciona ao publicar um registro que permite que endereços de IP autorizados enviem em nome de um domínio, porém, não sobrevive ao encaminhamento de email, podendo ser facilmente enganado e não é uma solução de autenticação end-to-end. DKIM tentou resolver estas deficiências ao criptografar a assinatura de um e-mail, o que faz com que DKIM sobreviva ao encaminhamento, dificulte a falsificação e seja mais caro, devido à sobrecarga computacional. Por outro lado, a complexidade, erros de configuração, destinatários que modificam o corpo e falta de informação tornam a adoção em massa complicada.
SPF e DKIM não se tornaram o ponto fraco do phishing. Falta de padrão de uso e execução por provedores e o alto risco de bloquear emails legítimos estagnaram o processo. DMARC resolve a maior parte desses problemas não apenas por usar ambos o SPF e DKIM, mas também por fornecer relatórios sobre falhas de autenticação, permitir que o remetente controle as políticas sobre como lidar com falhas: não realizar nenhuma ação, colocar em quarentena ou bloquear. Como resultado, o trio SPF, DKIM e DMARC, reduz consideravelmente a questão de falsos positivos. Resumindo, você precisa dos três, não apenas de um para se proteger.

Mito #3: Eu uso os três, SPF, DKIM e DMARC, então estou completamente protegido e todos os meus emails chegam à caixa de entrada.
Eu sei que acabei de dizer que você precisa dos três para se proteger, mas nem isso vai ser o suficiente. É crucial anotar que usar DMARC com DKIM e SPF não:

  1. Fornece uma análise de nível de autenticação e inteligência.
  2. Determina se um remetente é ou não legítimo ou prejudicial; e, portanto, fornece benefícios de entrega em caixa de entrada.

Embora seja notável que DMARC apresente um relatório, você ainda precisa extrair a inteligência e insights úteis a partir dos dados. Você precisa dessa inteligência para identificar tendências, surtos de phishing, razões para a falha de autenticação. Do contrário, DMARC não será útil para você. Este é o motivo pelo qual nós criamo a solução Email Fraud Protection. Profissionais de marketing não têm o tempo necessário para extrair e analisar esses dados diariamente. Email Fraud Protection apresenta a completa visibilidade de todas as correntes de email, inclusive emails enviados em seu nome, ao fornecer acesso, em tempo real, a falhas de autenticação e ataques de phishing. E na provável chance de um ataque de phishing, você não tem o tempo que é preciso para investigar o ocorrido. Você precisa agir imediatamente, antes que os prejuízos causados por um ataque de phishing ocorram. Email Fraud Protection, além de resolver isso através do monitoramento e da produção de relatórios em tempo real, também permite que os departamentos de segurança e de marketing trabalhem de forma proativa ao bloquear ataques de phishing, e permite que você configure a política por provedor, o que não é possível apenas com o DMARC.

E o mito sobre melhores taxas de entrega em caixa de entrada, através de autenticação? Enquanto autenticação é a melhor prática, ela não fornece os melhores benefícios de melhor entrega em caixa de entrada, e nem deveria. Autenticação não é uma alternativa para evitar as melhores práticas e para ter uma boa reputação de envio. Por outro lado, não bloquear essas mensagens de phishing pode ter um efeito sobre sua entregabilidade.

Um pedido final a todos que estão lendo: façam sua parte na guerra contra o phishing ao se informar, autenticar, trabalhar em conjunto com suas equipes de segurança e de marketing, e por último, ao informar o próximo. Você não compra o seguro de sua casa esperando que ela caia, mas para se proteger, caso alguma coisa aconteça. Sua marca e seu programa de email não são diferentes. Não é uma questão de “se”, mas de “quando” fraudadores vão prejudicar sua marca. Já existem soluções para combater o phishing. Se você ainda não está protegendo sua marca, o que está esperando?

Your browser is out of date.
For a better Return Path experience, click a link below to get the latest version.