3 pontos por GN⁺ 2024-04-02 | 1 comentários | Compartilhar no WhatsApp

Uma análise aprofundada da entregabilidade de e-mails

  • Em outubro de 1971, Ray Tomlinson, formado pelo MIT, enviou o primeiro e-mail por uma rede.
  • No ano passado, cerca de 121 trilhões de e-mails foram enviados entre aproximadamente 4,3 bilhões de pessoas.
  • O e-mail é a forma de comunicação escrita mais importante do planeta e continuará sendo no futuro próximo.

Visão geral

  • Em 3 de outubro de 2023, Google e Yahoo anunciaram novos padrões de segurança de e-mail para prevenir tentativas de spam, phishing e malware.
  • À medida que os provedores de serviço de e-mail implementam essas políticas, torna-se essencial seguir as diretrizes de entregabilidade.
  • A maior mudança é a implementação de padrões de autenticação de e-mail como SPF, DKIM e DMARC.
  • No caso do Gmail, e-mails não autenticados são bloqueados.

Quem é afetado

  • Remetentes em massa são os principais afetados e precisam ativar SPF, DMARC e DKIM em seus domínios.
  • Mesmo quem não é remetente em massa pode ser afetado se não seguir as diretrizes.

Linha do tempo

  • O Google passou a exigir, a partir de fevereiro de 2024, que remetentes em massa autentiquem seus e-mails.
  • O Yahoo também aplicou os mesmos requisitos a partir do primeiro trimestre de 2024.

Diretrizes

  • Autenticação do remetente: implementar protocolos de autenticação de e-mail como SPF, DKIM e DMARC.
  • Requisitos para remetentes em massa: evitar o envio desnecessário de grandes volumes de e-mails para não cair em filtros de spam nem prejudicar a reputação.
  • Cancelamento de assinatura fácil: implementar de forma simples a opção de descadastro.
  • Engajamento: evitar assuntos enganosos, personalização excessiva e conteúdo promocional que acione filtros de spam.

Autenticação do remetente

  • SPF, DKIM e DMARC são 3 padrões de autenticação que ajudam a proteger os e-mails de uma organização.
  • A configuração correta desses padrões ajuda a proteger contra ataques e aumenta a entregabilidade, fazendo com que os e-mails cheguem à caixa de entrada em vez da pasta de spam.

Impacto

  • O Google atualiza continuamente seus algoritmos e dados de denúncias dos usuários para melhorar a filtragem de e-mails e a experiência do usuário.
  • As novas diretrizes de segurança esclarecem o impacto sobre a entregabilidade e o engajamento.

Ferramentas

  • É fornecida uma lista de recursos online gratuitos para ajudar a configurar, verificar e manter a higiene de e-mail.

Implementação

  • Implementar essas diretrizes pode ser um desafio para pequenas organizações com recursos limitados.
  • Consulte os recursos ou o suporte do provedor de serviços para implementar a autenticação de e-mail.

Bônus

  • São apresentados alguns métodos pelos quais hackers exploram vulnerabilidades de segurança em e-mails.

Opinião do GN⁺

  • Este artigo destaca a importância de seguir os padrões mais recentes relacionados à segurança de e-mail. Isso contribui para aumentar a confiabilidade da comunicação por e-mail e para proteger os usuários contra ameaças como spam e phishing.
  • À medida que os provedores de serviço de e-mail implementam novos padrões de segurança, as organizações precisam se esforçar para se adaptar a essas mudanças e cumpri-las. Isso é ainda mais importante em uma era sensível à privacidade e à segurança de dados.
  • Este artigo pode ser especialmente útil para empresas que operam negócios relacionados a e-mail marketing. Como o e-mail marketing ainda é um canal importante para muitas empresas, manter a entregabilidade é essencial para campanhas bem-sucedidas.
  • Implementar padrões de autenticação de e-mail pode ser um desafio técnico, especialmente para organizações que estão tendo o primeiro contato com protocolos como SPF, DKIM e DMARC. Ao adotar esses padrões, pode ser necessário contar com suporte técnico e recursos, o que exige tempo e custo.
  • Ao fornecer diretrizes e ferramentas úteis para organizações que desejam reforçar a segurança de e-mail, este artigo pode ajudar a corrigir vulnerabilidades dos sistemas de e-mail e melhorar a experiência do usuário.

1 comentários

 
GN⁺ 2024-04-02
Opiniões no Hacker News
  • Vendo a influência de provedores de e-mail como “Gmail”, “Outlook” e “Yahoo”, sempre me perguntei se não seria possível causar uma falha de entrega direcionada como outro tipo de ataque contra empresas
    O atacante faria a vítima, especialmente uma empresa, lista de e-mails ou ONG, enviar e-mails em massa para endereços controlados por ele, e então marcaria essas mensagens como spam no Gmail/Yahoo/Outlook
    Com isso, os filtros de spam com IA aprenderiam aquilo como uma nova atividade de spam e poderiam passar a tratar como spam até os e-mails enviados depois a clientes reais, ou apagá-los antes da entrega
    Depois de mais ou menos um ano, a empresa estaria perdendo dinheiro a cada trimestre, o departamento de marketing ficaria intrigado com a queda no engajamento por e-mail, e a área técnica entraria em confusão
    Uma empresa grande talvez aguentasse ou simplesmente desistisse de e-mail, mas empresas pequenas, ONGs ou listas de e-mails políticas poderiam sofrer impactos como queda nas doações
    Sinceramente, como vetor de ataque, provavelmente é pouco provável, mas é uma ideia que continuou na minha cabeça

    • Conheço uma vítima real em que spammers roubaram, sem alterações, templates de e-mails legítimos
      Os spammers colocavam o template legítimo de forma invisível dentro do e-mail e deixavam visíveis apenas algumas linhas do texto fraudulento
      A ideia era fazer o filtro considerar a maior parte do e-mail normal e deixá-lo passar; no fim, quando usuários suficientes denunciassem como spam, o próprio template passava a provocar bloqueios
      Então o spammer migrava para o template de e-mail da próxima vítima que ainda passasse pelos filtros, enquanto a primeira vítima ficava com o trabalho de resolver por que seus e-mails não chegavam a lugar nenhum
    • Já pensei nisso não do ponto de vista de ataque corporativo, mas de direitos do consumidor ou boicote
      Tive uma experiência péssima demais com uma grande empresa que dizia maximizar valor para os acionistas, então vasculhei meus registros antigos de e-mail e marquei todas as comunicações daquela empresa como spam
      Pode ser só uma gota d’água, mas no mundo do spam talvez não sejam necessários tantos votos assim
      Acho que a entrega de e-mails vai evoluir para um modelo de passagem paga ainda mais explícito, e talvez já existam acordos de bastidores
    • É por isso que a maioria dos sites de e-commerce envia e-mails de marketing a partir de um domínio separado
      Mesmo que esse domínio seja denunciado, os e-mails transacionais ainda podem continuar sendo enviados pelo domínio principal
      Claro, isso pressupõe que os dois servidores de e-mail estejam em IPs diferentes
    • Um fórum web que conheço tem uma regra pedindo para não marcar como spam as notificações por e-mail que eles enviam
      Dá para cancelar o recebimento pelo site, mas eles pedem para não marcar como spam no cliente de e-mail
      Para organizações pequenas, isso pode ser um risco bem realista
      Não sei bem como organizações grandes mitigam isso
    • Acho que isso não poderia ser evitado com uma política DMARC?
      Se o e-mail enviado pelo atacante falhar em SPF/DKIM, dá para configurar a política DMARC para que o Gmail nem entregue esse e-mail falso em primeiro lugar
      Nesse caso, esse tipo de ataque não se sustentaria
  • Essa mudança era necessária e chegou tarde demais
    Exigir corretamente a assinatura de mensagens de proprietários de domínios que enviam grandes volumes de e-mail permite que o destinatário diferencie melhor mensagens boas e ruins com base na reputação do domínio, e não na reputação do endereço IP
    Em um cenário em que cada vez mais domínios enviam e-mails por espaços de IP compartilhados de serviços transacionais e de marketing, a capacidade de associar a reputação de forma estável ao domínio remetente é muito útil para reduzir abusos

    • A condição de “grandes volumes” na verdade não é verdadeira
      O Google diz que os novos requisitos só são obrigatórios para quem envia mais de 5.000 mensagens por dia, mas isso é mentira
      Eu enviava no máximo algumas mensagens por dia, normalmente nem uma por dia para contas do Gmail, e implementei só parte dos requisitos, mas mesmo assim o Google começou a rejeitar minhas mensagens
      No fim, tive que perder tempo implementando todos os requisitos, inclusive alguns meio redundantes
    • Como administrador de sistemas, fico me perguntando o que fazer quando 5% dos e-mails vão parar no spam por causa de erro de configuração no servidor de e-mail Office365 do destinatário
      No geral, concordo que a mudança é positiva, mas é muito frustrante quando o motivo de um e-mail cair na caixa de spam é uma configuração errada do lado do destinatário
      Por exemplo, há casos em que o SPF quebra durante o encaminhamento
    • Nós também estamos migrando gradualmente para IPv6, e, se for possível ter tantos endereços IP novos quanto se quiser, a reputação baseada em IP vai se tornar um tanto inútil
      Se um remetente malicioso puder enviar cada e-mail a partir de um endereço IPv6 diferente, talvez seja preciso não confiar por padrão em todos os endereços IPv6 que pareçam novos
    • Concordo, essa é uma vantagem clara
      Há inconvenientes, mas espero que essa mudança ajude a organizar o ecossistema de e-mail
  • Spam não é distinguível de conteúdo malicioso
    Você nunca se inscreveu naquela “newsletter”; seu endereço de e-mail foi coletado e repassado a um agente malicioso que quer incomodar você
    Se clicar em qualquer coisa, você será levado a um site de uma empresa que tem suas informações e não levará seus interesses em consideração de forma alguma
    No melhor dos casos, você só consegue remover uma fonte de lixo da caixa de entrada; no pior, acaba clicando em algo que instala malware no seu computador
    Portanto, não clique em links de cancelamento de inscrição, use o botão de denunciar spam e pare de usar grandes serviços de e-mail que ignoram denúncias de spam
    O Gmail deixa outras grandes empresas enviarem spam para você e nem oferece a opção de bloquear diretamente um domínio inteiro
    Até você migrar para um provedor de e-mail que leve privacidade e segurança a sério, conteúdo malicioso continuará chegando à sua caixa de entrada

    • É uma avaliação válida
      Fiquei curioso para saber qual provedor de e-mail você usa
  • É surpreendente que tantas grandes empresas não passem no teste de descadastro com um clique
    É o tipo de coisa em que Cloudflare ou Akamai bloqueia a conexão, a página leva mais de 5 segundos para carregar, ou exigem login ou que você digite o endereço de e-mail de novo
    Depois disso, não deveriam se surpreender quando o cliente clica no botão de denunciar spam

    • Eu não cancelo a assinatura de e-mails para os quais não dei consentimento
      Por isso clico em denunciar spam
    • Uso o NextDNS com listas de bloqueio de anúncios; na prática, é um Pi-hole na nuvem
      O mais irritante é que remetentes de e-mail fazem rastreamento de cliques por domínios que são bloqueados por listas de anúncios
      Tenho uma instância separada do navegador para copiar e colar esses links, mas aí preciso fazer login de novo
      Prefiro enviar um e-mail de descadastro a clicar no link, e o Gmail consegue automatizar isso
    • Eu até cancelo a assinatura, mas, em 2024, não aceito mais essa bobagem de “pode levar até 14 dias para entrar em vigor”
      Se eu receber outro e-mail em poucos dias, vou marcar como spam
      Se o TripAdvisor consegue criar roteiros de viagem gerados por IA, também deveria conseguir descobrir como não enviá-los por e-mail
    • No fim, vejo isso como uma simples disputa de UI
      O cliente escolhe o que for mais fácil, seja cancelar a assinatura ou denunciar como spam
  • Uma das coisas que as mudanças de abril quebram é o encaminhamento entre serviços de e-mail
    Por exemplo, se você encaminha de um antigo endereço universitário foo@school.edu para uma conta pessoal do Gmail bar@gmail.com, isso não vai mais funcionar
    Pelo que os grandes provedores estão impondo, deve ser um caso de uso relativamente raro, mas é uma mudança bem incômoda para quem for afetado

    • Não entendo por que isso deixaria de funcionar
      Ao encaminhar um e-mail, desde que o encaminhador não modifique o conteúdo da mensagem, ela ainda deve corresponder à assinatura DKIM e, portanto, passar
    • Isso não é uma mudança nova
      SPF sempre quebrou encaminhadores que não alteram o endereço do remetente no envelope, e isso é correto e apropriado
      Ainda é possível encaminhar e-mails, mas o encaminhador precisa reescrever o return path
    • Isso é bem significativo; quer dizer que o encaminhamento de e-mails não funciona mais?
  • É surpreendente que alguém estivesse deixando passar e-mails mesmo sem SPF, DKIM e DMARC perfeitamente configurados
    Eu rodei por anos um servidor de e-mail pessoal auto-hospedado bem configurado e, ainda assim, às vezes tive dificuldade para fazer as mensagens passarem; mesmo assim, parece que isso vem melhorando aos poucos

    • Ter SPF, DKIM e DMARC perfeitamente configurados não significa que o servidor de recebimento vá enxergar assim
      Em especial, servidores da Microsoft frequentemente marcam aleatoriamente como falha uma configuração DKIM perfeitamente válida, sem motivo algum
    • Não é só uma questão de configuração; reputação também importa
      Se o volume de envio é baixo, você corre o risco de ser descartado apenas por não ser um remetente conhecido
    • Também venho lutando com esse problema há anos
      Agora que os três grandes publicaram essas diretrizes e as tornaram transparentes, espero que o comportamento fique mais consistente
    • Pela minha experiência, DKIM não era necessário e, nas novas diretrizes do Google, se você usar SPF, ele ainda não é obrigatório
    • É surpreendente que as pessoas vejam entregabilidade de e-mail apenas como configuração de SPF, DKIM e DMARC
      Spammers também conseguem fazer o mesmo, já que a barreira de entrada é baixa
      É importante, mas tem muito pouca relação com a entregabilidade no mundo real
  • O mais difícil no DMARC é que ele falha com frequência, especialmente na Microsoft
    E também há problemas em todos os casos de uso em que o destinatário encaminha o e-mail, pois aí o alinhamento SPF quebra
    Como eu queria seguir as melhores práticas, recentemente mudei de p=quarantine para p=none
    Fiz isso porque tinha medo de que e-mails legítimos não passassem no DMARC mesmo com DKIM e SPF configurados corretamente
    Eu realmente queria usar p=reject, mas não consigo até que os destinatários corrijam seus servidores de recebimento para lidar com esses mesmos casos de exceção em que o encaminhamento quebra o DMARC

    • Remetentes que aplicam DMARC e querem que seus e-mails sejam encaminhados precisam usar DKIM
      Encaminhar uma mensagem assinada com DKIM não quebra o DMARC de forma alguma
  • O pior é aceitar o e-mail, marcá-lo silenciosamente como spam e colocá-lo em um lugar onde o destinatário pretendido jamais vai vê-lo
    O Gmail do Google é quem faz isso de forma mais agressiva
    E-mail corporativo não é mais e-mail; é um jardim murado como o Facebook, um silo

    • Ainda bem que esses muros existem
      Caso contrário, estaríamos afogados em spam de cold email
      Falando sério, desisti de operar e administrar servidores próprios e uso Gmail em todas as empresas
      É uma tragédia que isso tenha ficado tão difícil
      Se você não estiver em cima de um Gmail Workspace bem configurado, parece que e-mails legítimos não têm chance de passar
    • É realmente irritante
      Pelo que entendo, eles não querem dar aos spammers um sinal de que a mensagem foi classificada como e-mail legítimo ou spam
      Eu gostaria de saber com que inteligência os spammers realmente usam esse tipo de informação
      A maior parte do spam parece ser uma tentativa de martelar sem levar em conta feedback de falha
      No meu servidor de e-mail, continuo recusando temporariamente mensagens classificadas como lixo, junto com uma mensagem de erro comum
      Pelo menos remetentes legítimos classificados incorretamente recebem um DSN de atraso e, no fim, um feedback de que a mensagem não foi recebida
      Muitos servidores e serviços de e-mail parecem valorizar mais não dar sinais aos spammers do que dar sinais úteis a usuários legítimos classificados incorretamente
      Talvez eles achem que a própria classificação é tão excelente que não gera falsos positivos
    • Não estou dizendo que seja certo, mas funciona
      Os filtros de spam e de promoções do Gmail são confiáveis em mais de 99% do ponto de vista do usuário, e os falsos positivos são realmente poucos
    • Infelizmente, muitas proteções legais contra spam não solicitado se aplicam apenas ao uso por consumidores
      Em B2B, se um profissional de marketing consegue descobrir seu endereço de e-mail, é como se tivesse o direito de enviar quantas mensagens quiser
      Sem esses muros, teria se tornado totalmente inutilizável
  • Minha VM pessoal acabou entrando em alguma RBL porque todo o espaço de endereços /24 foi colocado na lista de bloqueio
    Dizem que alguém enviou spam, e agora a minha máquina, que envia umas três mensagens por semana, também está bloqueada

    • O problema é que o provedor da VM está, sem querer, fornecendo o mesmo espaço de endereços a spammers
      O spammer pode ter usado um endereço aleatório dentro desse intervalo, ou alguém pode ter colocado no ar um servidor SMTP mal configurado que permite relay
      Rodar um servidor SMTP de saída em um intervalo de IPs de clientes tende a dar problema de qualquer forma
      Esses intervalos podem ser vistos como suspeitos por inteiro, porque spammers os usam sem se importar com reputação
    • Sim, isso é doloroso
      Parece que os operadores de listas de bloqueio não verificam bem as denúncias de abuso, ou causam danos colaterais para forçar os operadores de rede a agir
      Não gosto de entrar em listas de bloqueio, mas talvez haja um efeito líquido positivo para a internet em geral
      Acho que servidores e serviços de e-mail estão usando listas de bloqueio baseadas em IP de forma errada
      Elas podem ser usadas como um entre vários sinais, e até receber mais peso para remetentes vistos pela primeira vez
      Mas, se um IP que vinha trocando mensagens e transações com você, autenticadas por SPF/DKIM/DMARC, de repente entra em uma lista de bloqueio, a reputação positiva anterior deveria pesar mais do que esse bloqueio
      Você deveria poder continuar se comunicando com contatos conhecidos, e só depois que eles marcassem como spam recusar as entregas seguintes ou mandar para o lixo eletrônico
      Hoje, muitos servidores e serviços de e-mail parecem aplicar listas de bloqueio de IP logo no início do processo SMTP para reduzir a carga do sistema
      Isso é bom para a carga do sistema, mas ruim para a qualidade da análise
      No geral, até grandes serviços gratuitos de e-mail parecem não ser muito bons em usar a reputação existente para decidir o que é legítimo ou spam
      Recentemente, mudei um serviço web online que criei para cadastro baseado em e-mail, em um modelo parecido com inscrição em lista de e-mails: a pessoa envia um e-mail para um endereço específico para se cadastrar
      A ideia é que, quando o usuário envia um e-mail para o meu serviço, eu passo a fazer parte da lista de contatos conhecidos dele
      Então, a resposta de confirmação enviada pelo meu servidor de e-mail, alinhada com SPF/DKIM/DMARC, obviamente deveria ser aceita
      Fico pensando quanto opt-in mais explícito do que isso seria necessário
      Testei em alguns grandes serviços gratuitos de e-mail, e o Yahoo colocou até a resposta de confirmação que referenciava a mensagem original na pasta de spam
      Para quem acha que não dá para competir com grandes serviços de e-mail: a barra não é tão alta quanto parece
    • Sinto muito mesmo
      Consertar reputação é, na melhor das hipóteses, quase um pesadelo
      Também vi sugestões de comprar outro domínio para proteger o domínio principal e enviar e-mails por ele, mas não tenho muita vontade de fazer isso
  • Parece que o texto misturou envelope (RFC5321) e cabeçalhos (RFC5322)
    Ele diz que “o nome de domínio no campo From: do cabeçalho do envelope do e-mail é verificado e alinhado com outro domínio autenticado por SPF ou DKIM”, mas o envelope não tem cabeçalhos; os cabeçalhos ficam dentro do conteúdo/corpo do e-mail
    A captura de tela intitulada “exemplo de envelope de e-mail de uma organização que passa por todas as diretrizes de segurança de e-mail” também mostra cabeçalhos da mensagem, não informações do envelope
    Há uma boa apresentação do dmarc.org sobre esse assunto
    https://dmarc.org/presentations/Email-Authentication-Basics-...