Uma análise aprofundada da entregabilidade de e-mails
- Em outubro de 1971, Ray Tomlinson, formado pelo MIT, enviou o primeiro e-mail por uma rede.
- No ano passado, cerca de 121 trilhões de e-mails foram enviados entre aproximadamente 4,3 bilhões de pessoas.
- O e-mail é a forma de comunicação escrita mais importante do planeta e continuará sendo no futuro próximo.
Visão geral
- Em 3 de outubro de 2023, Google e Yahoo anunciaram novos padrões de segurança de e-mail para prevenir tentativas de spam, phishing e malware.
- À medida que os provedores de serviço de e-mail implementam essas políticas, torna-se essencial seguir as diretrizes de entregabilidade.
- A maior mudança é a implementação de padrões de autenticação de e-mail como SPF, DKIM e DMARC.
- No caso do Gmail, e-mails não autenticados são bloqueados.
Quem é afetado
- Remetentes em massa são os principais afetados e precisam ativar SPF, DMARC e DKIM em seus domínios.
- Mesmo quem não é remetente em massa pode ser afetado se não seguir as diretrizes.
Linha do tempo
- O Google passou a exigir, a partir de fevereiro de 2024, que remetentes em massa autentiquem seus e-mails.
- O Yahoo também aplicou os mesmos requisitos a partir do primeiro trimestre de 2024.
Diretrizes
- Autenticação do remetente: implementar protocolos de autenticação de e-mail como SPF, DKIM e DMARC.
- Requisitos para remetentes em massa: evitar o envio desnecessário de grandes volumes de e-mails para não cair em filtros de spam nem prejudicar a reputação.
- Cancelamento de assinatura fácil: implementar de forma simples a opção de descadastro.
- Engajamento: evitar assuntos enganosos, personalização excessiva e conteúdo promocional que acione filtros de spam.
Autenticação do remetente
- SPF, DKIM e DMARC são 3 padrões de autenticação que ajudam a proteger os e-mails de uma organização.
- A configuração correta desses padrões ajuda a proteger contra ataques e aumenta a entregabilidade, fazendo com que os e-mails cheguem à caixa de entrada em vez da pasta de spam.
Impacto
- O Google atualiza continuamente seus algoritmos e dados de denúncias dos usuários para melhorar a filtragem de e-mails e a experiência do usuário.
- As novas diretrizes de segurança esclarecem o impacto sobre a entregabilidade e o engajamento.
Ferramentas
- É fornecida uma lista de recursos online gratuitos para ajudar a configurar, verificar e manter a higiene de e-mail.
Implementação
- Implementar essas diretrizes pode ser um desafio para pequenas organizações com recursos limitados.
- Consulte os recursos ou o suporte do provedor de serviços para implementar a autenticação de e-mail.
Bônus
- São apresentados alguns métodos pelos quais hackers exploram vulnerabilidades de segurança em e-mails.
Opinião do GN⁺
- Este artigo destaca a importância de seguir os padrões mais recentes relacionados à segurança de e-mail. Isso contribui para aumentar a confiabilidade da comunicação por e-mail e para proteger os usuários contra ameaças como spam e phishing.
- À medida que os provedores de serviço de e-mail implementam novos padrões de segurança, as organizações precisam se esforçar para se adaptar a essas mudanças e cumpri-las. Isso é ainda mais importante em uma era sensível à privacidade e à segurança de dados.
- Este artigo pode ser especialmente útil para empresas que operam negócios relacionados a e-mail marketing. Como o e-mail marketing ainda é um canal importante para muitas empresas, manter a entregabilidade é essencial para campanhas bem-sucedidas.
- Implementar padrões de autenticação de e-mail pode ser um desafio técnico, especialmente para organizações que estão tendo o primeiro contato com protocolos como SPF, DKIM e DMARC. Ao adotar esses padrões, pode ser necessário contar com suporte técnico e recursos, o que exige tempo e custo.
- Ao fornecer diretrizes e ferramentas úteis para organizações que desejam reforçar a segurança de e-mail, este artigo pode ajudar a corrigir vulnerabilidades dos sistemas de e-mail e melhorar a experiência do usuário.
1 comentários
Opiniões no Hacker News
Vendo a influência de provedores de e-mail como “Gmail”, “Outlook” e “Yahoo”, sempre me perguntei se não seria possível causar uma falha de entrega direcionada como outro tipo de ataque contra empresas
O atacante faria a vítima, especialmente uma empresa, lista de e-mails ou ONG, enviar e-mails em massa para endereços controlados por ele, e então marcaria essas mensagens como spam no Gmail/Yahoo/Outlook
Com isso, os filtros de spam com IA aprenderiam aquilo como uma nova atividade de spam e poderiam passar a tratar como spam até os e-mails enviados depois a clientes reais, ou apagá-los antes da entrega
Depois de mais ou menos um ano, a empresa estaria perdendo dinheiro a cada trimestre, o departamento de marketing ficaria intrigado com a queda no engajamento por e-mail, e a área técnica entraria em confusão
Uma empresa grande talvez aguentasse ou simplesmente desistisse de e-mail, mas empresas pequenas, ONGs ou listas de e-mails políticas poderiam sofrer impactos como queda nas doações
Sinceramente, como vetor de ataque, provavelmente é pouco provável, mas é uma ideia que continuou na minha cabeça
Os spammers colocavam o template legítimo de forma invisível dentro do e-mail e deixavam visíveis apenas algumas linhas do texto fraudulento
A ideia era fazer o filtro considerar a maior parte do e-mail normal e deixá-lo passar; no fim, quando usuários suficientes denunciassem como spam, o próprio template passava a provocar bloqueios
Então o spammer migrava para o template de e-mail da próxima vítima que ainda passasse pelos filtros, enquanto a primeira vítima ficava com o trabalho de resolver por que seus e-mails não chegavam a lugar nenhum
Tive uma experiência péssima demais com uma grande empresa que dizia maximizar valor para os acionistas, então vasculhei meus registros antigos de e-mail e marquei todas as comunicações daquela empresa como spam
Pode ser só uma gota d’água, mas no mundo do spam talvez não sejam necessários tantos votos assim
Acho que a entrega de e-mails vai evoluir para um modelo de passagem paga ainda mais explícito, e talvez já existam acordos de bastidores
Mesmo que esse domínio seja denunciado, os e-mails transacionais ainda podem continuar sendo enviados pelo domínio principal
Claro, isso pressupõe que os dois servidores de e-mail estejam em IPs diferentes
Dá para cancelar o recebimento pelo site, mas eles pedem para não marcar como spam no cliente de e-mail
Para organizações pequenas, isso pode ser um risco bem realista
Não sei bem como organizações grandes mitigam isso
Se o e-mail enviado pelo atacante falhar em SPF/DKIM, dá para configurar a política DMARC para que o Gmail nem entregue esse e-mail falso em primeiro lugar
Nesse caso, esse tipo de ataque não se sustentaria
Essa mudança era necessária e chegou tarde demais
Exigir corretamente a assinatura de mensagens de proprietários de domínios que enviam grandes volumes de e-mail permite que o destinatário diferencie melhor mensagens boas e ruins com base na reputação do domínio, e não na reputação do endereço IP
Em um cenário em que cada vez mais domínios enviam e-mails por espaços de IP compartilhados de serviços transacionais e de marketing, a capacidade de associar a reputação de forma estável ao domínio remetente é muito útil para reduzir abusos
O Google diz que os novos requisitos só são obrigatórios para quem envia mais de 5.000 mensagens por dia, mas isso é mentira
Eu enviava no máximo algumas mensagens por dia, normalmente nem uma por dia para contas do Gmail, e implementei só parte dos requisitos, mas mesmo assim o Google começou a rejeitar minhas mensagens
No fim, tive que perder tempo implementando todos os requisitos, inclusive alguns meio redundantes
No geral, concordo que a mudança é positiva, mas é muito frustrante quando o motivo de um e-mail cair na caixa de spam é uma configuração errada do lado do destinatário
Por exemplo, há casos em que o SPF quebra durante o encaminhamento
Se um remetente malicioso puder enviar cada e-mail a partir de um endereço IPv6 diferente, talvez seja preciso não confiar por padrão em todos os endereços IPv6 que pareçam novos
Há inconvenientes, mas espero que essa mudança ajude a organizar o ecossistema de e-mail
Spam não é distinguível de conteúdo malicioso
Você nunca se inscreveu naquela “newsletter”; seu endereço de e-mail foi coletado e repassado a um agente malicioso que quer incomodar você
Se clicar em qualquer coisa, você será levado a um site de uma empresa que tem suas informações e não levará seus interesses em consideração de forma alguma
No melhor dos casos, você só consegue remover uma fonte de lixo da caixa de entrada; no pior, acaba clicando em algo que instala malware no seu computador
Portanto, não clique em links de cancelamento de inscrição, use o botão de denunciar spam e pare de usar grandes serviços de e-mail que ignoram denúncias de spam
O Gmail deixa outras grandes empresas enviarem spam para você e nem oferece a opção de bloquear diretamente um domínio inteiro
Até você migrar para um provedor de e-mail que leve privacidade e segurança a sério, conteúdo malicioso continuará chegando à sua caixa de entrada
Fiquei curioso para saber qual provedor de e-mail você usa
É surpreendente que tantas grandes empresas não passem no teste de descadastro com um clique
É o tipo de coisa em que Cloudflare ou Akamai bloqueia a conexão, a página leva mais de 5 segundos para carregar, ou exigem login ou que você digite o endereço de e-mail de novo
Depois disso, não deveriam se surpreender quando o cliente clica no botão de denunciar spam
Por isso clico em denunciar spam
O mais irritante é que remetentes de e-mail fazem rastreamento de cliques por domínios que são bloqueados por listas de anúncios
Tenho uma instância separada do navegador para copiar e colar esses links, mas aí preciso fazer login de novo
Prefiro enviar um e-mail de descadastro a clicar no link, e o Gmail consegue automatizar isso
Se eu receber outro e-mail em poucos dias, vou marcar como spam
Se o TripAdvisor consegue criar roteiros de viagem gerados por IA, também deveria conseguir descobrir como não enviá-los por e-mail
O cliente escolhe o que for mais fácil, seja cancelar a assinatura ou denunciar como spam
Uma das coisas que as mudanças de abril quebram é o encaminhamento entre serviços de e-mail
Por exemplo, se você encaminha de um antigo endereço universitário foo@school.edu para uma conta pessoal do Gmail bar@gmail.com, isso não vai mais funcionar
Pelo que os grandes provedores estão impondo, deve ser um caso de uso relativamente raro, mas é uma mudança bem incômoda para quem for afetado
Ao encaminhar um e-mail, desde que o encaminhador não modifique o conteúdo da mensagem, ela ainda deve corresponder à assinatura DKIM e, portanto, passar
SPF sempre quebrou encaminhadores que não alteram o endereço do remetente no envelope, e isso é correto e apropriado
Ainda é possível encaminhar e-mails, mas o encaminhador precisa reescrever o return path
É surpreendente que alguém estivesse deixando passar e-mails mesmo sem SPF, DKIM e DMARC perfeitamente configurados
Eu rodei por anos um servidor de e-mail pessoal auto-hospedado bem configurado e, ainda assim, às vezes tive dificuldade para fazer as mensagens passarem; mesmo assim, parece que isso vem melhorando aos poucos
Em especial, servidores da Microsoft frequentemente marcam aleatoriamente como falha uma configuração DKIM perfeitamente válida, sem motivo algum
Se o volume de envio é baixo, você corre o risco de ser descartado apenas por não ser um remetente conhecido
Agora que os três grandes publicaram essas diretrizes e as tornaram transparentes, espero que o comportamento fique mais consistente
Spammers também conseguem fazer o mesmo, já que a barreira de entrada é baixa
É importante, mas tem muito pouca relação com a entregabilidade no mundo real
O mais difícil no DMARC é que ele falha com frequência, especialmente na Microsoft
E também há problemas em todos os casos de uso em que o destinatário encaminha o e-mail, pois aí o alinhamento SPF quebra
Como eu queria seguir as melhores práticas, recentemente mudei de p=quarantine para p=none
Fiz isso porque tinha medo de que e-mails legítimos não passassem no DMARC mesmo com DKIM e SPF configurados corretamente
Eu realmente queria usar p=reject, mas não consigo até que os destinatários corrijam seus servidores de recebimento para lidar com esses mesmos casos de exceção em que o encaminhamento quebra o DMARC
Encaminhar uma mensagem assinada com DKIM não quebra o DMARC de forma alguma
O pior é aceitar o e-mail, marcá-lo silenciosamente como spam e colocá-lo em um lugar onde o destinatário pretendido jamais vai vê-lo
O Gmail do Google é quem faz isso de forma mais agressiva
E-mail corporativo não é mais e-mail; é um jardim murado como o Facebook, um silo
Caso contrário, estaríamos afogados em spam de cold email
Falando sério, desisti de operar e administrar servidores próprios e uso Gmail em todas as empresas
É uma tragédia que isso tenha ficado tão difícil
Se você não estiver em cima de um Gmail Workspace bem configurado, parece que e-mails legítimos não têm chance de passar
Pelo que entendo, eles não querem dar aos spammers um sinal de que a mensagem foi classificada como e-mail legítimo ou spam
Eu gostaria de saber com que inteligência os spammers realmente usam esse tipo de informação
A maior parte do spam parece ser uma tentativa de martelar sem levar em conta feedback de falha
No meu servidor de e-mail, continuo recusando temporariamente mensagens classificadas como lixo, junto com uma mensagem de erro comum
Pelo menos remetentes legítimos classificados incorretamente recebem um DSN de atraso e, no fim, um feedback de que a mensagem não foi recebida
Muitos servidores e serviços de e-mail parecem valorizar mais não dar sinais aos spammers do que dar sinais úteis a usuários legítimos classificados incorretamente
Talvez eles achem que a própria classificação é tão excelente que não gera falsos positivos
Os filtros de spam e de promoções do Gmail são confiáveis em mais de 99% do ponto de vista do usuário, e os falsos positivos são realmente poucos
Em B2B, se um profissional de marketing consegue descobrir seu endereço de e-mail, é como se tivesse o direito de enviar quantas mensagens quiser
Sem esses muros, teria se tornado totalmente inutilizável
Minha VM pessoal acabou entrando em alguma RBL porque todo o espaço de endereços /24 foi colocado na lista de bloqueio
Dizem que alguém enviou spam, e agora a minha máquina, que envia umas três mensagens por semana, também está bloqueada
O spammer pode ter usado um endereço aleatório dentro desse intervalo, ou alguém pode ter colocado no ar um servidor SMTP mal configurado que permite relay
Rodar um servidor SMTP de saída em um intervalo de IPs de clientes tende a dar problema de qualquer forma
Esses intervalos podem ser vistos como suspeitos por inteiro, porque spammers os usam sem se importar com reputação
Parece que os operadores de listas de bloqueio não verificam bem as denúncias de abuso, ou causam danos colaterais para forçar os operadores de rede a agir
Não gosto de entrar em listas de bloqueio, mas talvez haja um efeito líquido positivo para a internet em geral
Acho que servidores e serviços de e-mail estão usando listas de bloqueio baseadas em IP de forma errada
Elas podem ser usadas como um entre vários sinais, e até receber mais peso para remetentes vistos pela primeira vez
Mas, se um IP que vinha trocando mensagens e transações com você, autenticadas por SPF/DKIM/DMARC, de repente entra em uma lista de bloqueio, a reputação positiva anterior deveria pesar mais do que esse bloqueio
Você deveria poder continuar se comunicando com contatos conhecidos, e só depois que eles marcassem como spam recusar as entregas seguintes ou mandar para o lixo eletrônico
Hoje, muitos servidores e serviços de e-mail parecem aplicar listas de bloqueio de IP logo no início do processo SMTP para reduzir a carga do sistema
Isso é bom para a carga do sistema, mas ruim para a qualidade da análise
No geral, até grandes serviços gratuitos de e-mail parecem não ser muito bons em usar a reputação existente para decidir o que é legítimo ou spam
Recentemente, mudei um serviço web online que criei para cadastro baseado em e-mail, em um modelo parecido com inscrição em lista de e-mails: a pessoa envia um e-mail para um endereço específico para se cadastrar
A ideia é que, quando o usuário envia um e-mail para o meu serviço, eu passo a fazer parte da lista de contatos conhecidos dele
Então, a resposta de confirmação enviada pelo meu servidor de e-mail, alinhada com SPF/DKIM/DMARC, obviamente deveria ser aceita
Fico pensando quanto opt-in mais explícito do que isso seria necessário
Testei em alguns grandes serviços gratuitos de e-mail, e o Yahoo colocou até a resposta de confirmação que referenciava a mensagem original na pasta de spam
Para quem acha que não dá para competir com grandes serviços de e-mail: a barra não é tão alta quanto parece
Consertar reputação é, na melhor das hipóteses, quase um pesadelo
Também vi sugestões de comprar outro domínio para proteger o domínio principal e enviar e-mails por ele, mas não tenho muita vontade de fazer isso
Parece que o texto misturou envelope (RFC5321) e cabeçalhos (RFC5322)
Ele diz que “o nome de domínio no campo From: do cabeçalho do envelope do e-mail é verificado e alinhado com outro domínio autenticado por SPF ou DKIM”, mas o envelope não tem cabeçalhos; os cabeçalhos ficam dentro do conteúdo/corpo do e-mail
A captura de tela intitulada “exemplo de envelope de e-mail de uma organização que passa por todas as diretrizes de segurança de e-mail” também mostra cabeçalhos da mensagem, não informações do envelope
Há uma boa apresentação do dmarc.org sobre esse assunto
https://dmarc.org/presentations/Email-Authentication-Basics-...