Otimização da política DMARC: Proteger a sua marca e aumentar a capacidade de entrega do correio eletrónico

Como impedir a falsificação de correio eletrónico sem perder correio legítimo

Se é um especialista em marketing que gere os e-mails da sua marca, há uma boa hipótese de já ter ouvido falar do DMARC - especialmente se alguém o avisou sobre a falsificação de e-mails, queixas de spam ou a necessidade de BIMI e de uma melhor capacidade de entrega. Mas para muitos, o DMARC ainda é um mistério. Aparece como um registo TXT de aspeto estranho nas definições do seu domínio. Se já viu algo como isto...

v=DMARC1; p=none;rua=mailto:dmarc-reports@yourdomain.com

... e não sabia ao certo o que ele fazia, este artigo é para si.

Vamos explicar tudo - em palavras simples - e depois mostrar-lhe como otimizar a sua política DMARC para segurança, reputação da marca e desempenho do correio eletrónico.

O DMARC baseia-se em dois métodos de autenticação de correio eletrónico mais antigos:

• SPF (Sender Policy Framework): Define quais os servidores autorizados a enviar correio em nome do seu domínio.
• DKIM (DomainKeys Identified Mail): Adiciona uma assinatura digital aos cabeçalhos do seu correio eletrónico para verificar se a mensagem não foi alterada.

O DMARC acrescenta a camada final: aplicação de políticas e relatórios.

Por que você precisa do DMARC?

• Evita a falsificação: Impede que os maus actores enviem e-mails falsos utilizando o seu domínio (como phishing ou scams).
• Proteger a sua marca: Se alguém usar o seu domínio para fraude, isso pode prejudicar a reputação da sua marca.
• Capacidade de entrega de emails: Os fornecedores de e-mail preferem e-mails autenticados - o DMARC ajuda os seus e-mails legítimos a chegar à caixa de entrada.
• Ativar BIMI: Quer que o seu logótipo apareça junto aos seus e-mails no Gmail ou no Yahoo? É necessário ter uma política DMARC forte (com aplicação).

Anatomia de um registo DMARC

Um registo DMARC é uma única linha de texto adicionada às definições de DNS do seu domínio (normalmente no painel de controlo do seu fornecedor de alojamento ou registador de domínios). Vejamos este exemplo:

v=DMARC1; p=rejeitar; rua=mailto:reports@yourdomain.com

Agora vamos descodificar todas as opções que pode utilizar:

Os 3 modos de política DMARC

1. p=nenhum

• Apenas monitoriza. Os emails não são bloqueados.
• Use-o para começar a coletar dados.
• Melhor para as primeiras 1-3 semanas.

2. p=quarentena

• Os e-mails suspeitos vão para a pasta de spam.
• Um bom meio-termo. Começa a filtrar, mantendo o risco baixo.

3. p=rejeitar

• Totalmente aplicado. Os fornecedores de correio eletrónico bloqueiam as mensagens não autorizadas.
• A sua melhor proteção, necessária para a BIMI e a confiança total.
• Utilize depois de verificar se os seus remetentes estão alinhados (através de relatórios).

• RUA: Relatórios agregados diários (ficheiros XML) enviados por fornecedores de caixas de entrada. Mostra quem está a enviar correio eletrónico em seu nome, se passou ou falhou no SPF/DKIM e de onde veio.
• RUF: Relatórios forenses opcionais para falhas individuais (muitas vezes não são amplamente suportados devido a preocupações com a privacidade).

1. Começar com Monitorização

• Definir p=nenhum, adicionar rua=mailto:yourreports@yourdomain.com

• Aguardar 1-2 semanas, recolher relatórios.

2. Analisar quem está a enviar

• Utilize os relatórios para identificar todos os remetentes legítimos (Mailchimp, Google Workspace, ferramentas de CRM, etc.)

• Certifique-se de que cada remetente está configurado com SPF e DKIM adequados.

3. Corrigir problemas de alinhamento

• Certifique-se de que os registos DKIM e SPF correspondem ao seu domínio(d= e Return-Path).

• Defina adkim=s e aspf=s para um alinhamento rigoroso quando tiver a certeza.

4. Avançar para a aplicação gradualmente

• Comece com p=quarentena; pct=25, depois aumente para 50% e depois para 100%.

• Finalmente, defina p=rejeitar quando estiver confiante.

5. Manter e monitorizar

• Mantenha os relatórios activos. Mesmo com p=rejeitar, os atacantes podem tentar novos truques.

• Actualize os seus registos SPF e DKIM quando adicionar novas plataformas.

Precisa de assistência? Agende uma reunião connosco; nós ajudamo-lo a configurar tudo.

v=DMARC1; p=rejeitar; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:alerts@yourdomain.com; sp=rejeitar; adkim=s; aspf=s; fo=1

Isto diz aos fornecedores de caixas de entrada:

1. Bloqueiam todos os emails não autenticados(p=reject)

2. Enviar relatórios diários para o utilizador(rua)

3. Ser rigoroso com o alinhamento(adkim=s, aspf=s)

4. Aplicar também nos subdomínios(sp=reject)