Blog

Não espere para autenticar

Dana Huten | 28 maio, 2015

Em março, escrevi um artigo entitulado “European Email Marketers; How the Phishing Phenomenon Impacts You (Even if You’ve Never Been Spoofed)” (em inglês). Recebi excelentes feedbacks depois da publicação e a maioria deles dizia “Não são apenas os remetentes europeus que ficam atrás quanto à compreensão do real impacto do phishing, esse é um problema global, ainda muito relevante em qualquer parte”.

Para resumir meu artigo anterior: você é impactado pelo fenômeno do phishing, mesmo que pense que você não tem um problema de phishing e nunca tenha sido vítima de spoofing. Se seu email é falsamente rotulado como tentativa de phishing, seus usuários nunca o verão. Ao contrário dos spams regulares, o seu email não irá para a pasta de spam, onde os usuários podem marcar como válido (“isso não é spam”). Ao invés disso, ele é colocado em quarentena. Se o filtro de um provedor de email suspeita de que sua mensagem possa ser phishing, ela pode ainda ser entregue, mas na pasta de lixo e sinalizada com um aviso para seu usuário tomar cuidado: “esse email pode ser phishing”. De qualquer maneira, isso é ruim para a sua marca.

Hoje a melhor solução é a autenticação de email. A Return Path vem escrevendo bastante sobre autenticação: SPF e DKIM, bem como DMARC-Domain Based Message Authentication – o que se baseia nas acima mencionadas SPF & DKIM. Nós já te contamos como fazer isso e o porquê de fazê-lo (em inglês), então não vou repetir o que já foi dito, ao invés disso, estou escrevendo sobre o que deve ser feito em relação à autenticação, o que já está virando o que precisa ser feito.

Enquanto a autenticação ainda não é obrigatória, é certo enxergar, cada vez mais, como um requisito para as melhores práticas de email. Dois grandes provedores de email recentemente fizeram algo que antes era consinderado impensável por muitos: Yahoo e AOL chamaram a atenção neste trimestre quando ambos mudaram para o “p=reject”. Para esses dois provedores, os benefícios compensavam os custos. Isso nao significa que, sendo um remetente, você não possa enviar mensagens para o Yahoo! Ou AOL se você não está autenticado, mas isso me faz perguntar: essa autenticação será eventualmente obrigatória? Provavelmente não a qualquer momento em um futuro imediato, mas alguém tem que fazer essa pergunta…

Se você é um remetente interessado em proteger sua marca e seus usuários, o phishing deveria ser a maior razão para autenticar seus emails. O fato evidente sobre phishing é que, quando se trata de filtragem, filtros anti-spam não vão sempre acertar. Na Return Path, já vimos mensagens que eram claramente de spam burlarem filtros de ISP. Em um caso, menos de 7% das mensagens foram pegas. Se alguém falsifica sua marca, pode ter certeza de que não apenas algumas (senão muitas) dessas mensagens irão parar nas caixas de entrada, várias serão lidas por seus assinantes, ou pior, obterão cliques. Autenticação deveria ser sua principal linha de defesa contra potenciais spoofings.

Finalmente, pense pela perspectiva de um provedor de email. Seus filtros anti-spam são baseados na premissa de que nada é feito para ser confiado. Ao considerar ‘culpado até que provem sua inocência’, eles procuram razões para desconfiar de uma mensagem. Quando você autentica, você está dando ao provedor de email uma razão para confiar em suas mensagens. Quando eles sabem que você é um “bom remetente”, eles não precisam, necessariamente, submeter suas mensagens às mesmas análises rigorosas que usariam para um remetente não autenticado. Eles ainda passarão seu email por filtros, mas, pelo menos, eles podem contar com sua boa reputação/Bayesian e filtros de conteúdo para determinar se suas mensagens são spam ou não. Ao obter a autenficação, é mais fácil a para a estrutura de anti-spam focar nos elementos de filtro. O ponto é: o quanto mais eles puderem confiar em seu email, melhor você entregará suas mensagens.

Não há como uma discussão sobre autenticação ser completa sem mencionar o DMARC. Mais de 60% das caixas de entrada do mundo são protegidas por DMARC. Na Europa, o número é próximo de 55%, mas está crescento. Existe uma correlação entre aumentar o número de phishing e diminuir o uso de DMARC e vice-versa.

O DMARC pode te ajudar a levar sua autenticação ao próximo nível. Você pode monitorar quantos de seus emails passam ou falham, informar ao provedor o que fazer com mensagens que falham e receber relatórios estatísticos. O DMARC pode ser usado em etapas e, para um remetente, ter mais visibilidade e relatórios são grandes benefícios.

A Return Path vem vendo como a prática de spoofing impacta a marca de um profissional de marketing e a reputação de email. Um remetente com um histórico de boas taxas de entrega em caixas de entrada e alto nível de reputação vê sua entrega em caixas de entrada cair em torno de 32% no mês seguinte a um incidente de spoofing. Uma queda com essa significância reduz o ROI de um programa de email.

Por que arriscar pagar o preço pelo crime de um outro alguém? Autentique agora e proteja-se dos problemas.

Your browser is out of date.
For a better Return Path experience, click a link below to get the latest version.