Entendendo SPF, DKIM e DMARC: um guia simples

 (github.com/nicanorflavier)
20 pontos por GN⁺ 2024-06-18 | 3 comentários | Compartilhar no WhatsApp

Para que serve este guia?

  • É um guia essencial para quem desenvolve, dá suporte ou mantém aplicações que enviam e-mails.
  • Garante que os e-mails cheguem à caixa de entrada do destinatário, e não à pasta de spam.
  • Explica como proteger seu domínio contra cibercriminosos e remetentes de spam.

Por que escolher este guia?

  • Explica SPF, DKIM e DMARC de forma fácil de entender, com descrições simples e claras e exemplos.
  • Está hospedado no GitHub, permitindo acesso rápido às informações com integração ao ambiente de desenvolvimento.
  • É uma documentação que a comunidade pode atualizar e manter continuamente.

Para que este guia não serve?

  • Não aborda tópicos avançados, como configuração de servidores de e-mail, criptografia ou gateways de e-mail seguros.

Explicando SPF, DKIM e DMARC de forma simples

SPF (Sender Policy Framework)

  • SPF: é como uma lista de amigos que podem enviar e-mails.
  • Registro SPF: essa lista de amigos fica armazenada em um registro TXT no DNS.
  • Exemplo: v=spf1 ip4:123.123.123.123 ~all

DKIM (DomainKeys Identified Mail)

  • DKIM: é como colocar um bilhete secreto dentro do e-mail.
  • Registro DKIM: armazena a chave pública em um registro TXT no DNS para que o destinatário possa verificar a autenticidade do e-mail.
  • Exemplo: v=DKIM1; k=rsa; p=NICfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDBolTXCqbxwoRBffyg2efs+Dtlc+CjxKz9grZGBaISRvN7EOZNoGDTyjbDIG8CnEK479niIL4rPAVriT54MhUZfC5UU4OFXTvOW8FWzk6++a0JzYu+FAwYnOQE9R8npKNOl2iDK/kheneVcD4IKCK7IhuWf8w4lnR6QEW3hpTsawIDAQ0B

DMARC (Domain-based Message Authentication, Reporting & Conformance)

  • DMARC: é como criar um grande livro de regras reunindo as regras de SPF e DKIM.
  • Registro DMARC: esse livro de regras é armazenado em um registro TXT no DNS para determinar como o destinatário deve tratar o e-mail.
  • Exemplo: v=DMARC1; p=none; rua=mailto:postmaster@example.com

Exemplos práticos de uso de SPF, DKIM e DMARC

  • Apps móveis: quando um app de fitness ou um app bancário envia e-mails, usa SPF, DKIM e DMARC para garantir que eles cheguem à caixa de entrada, e não à pasta de spam.
  • Provedores de e-mail: Gmail, Yahoo, Outlook etc. usam SPF, DKIM e DMARC para autenticar e-mails recebidos.
  • Plataformas de redes sociais: LinkedIn, Facebook, Twitter etc. usam SPF, DKIM e DMARC ao enviar e-mails de notificação.
  • Empresas: ao enviar e-mails promocionais, usam SPF, DKIM e DMARC para evitar que as mensagens sejam marcadas como spam e para impedir que o domínio seja usado em spoofing de e-mail.
  • Órgãos governamentais: ao enviar notificações aos cidadãos, usam SPF, DKIM e DMARC para prevenir ataques de phishing.

O que fazer agora?

  1. Identificar endereços de e-mail e domínios: identifique os endereços de e-mail e os domínios usados no app.
  2. Verificar o estado atual: confira se já existem registros SPF, DKIM e DMARC e se estão configurados corretamente.
  3. Acesso ao domínio: verifique se você tem permissão para alterar registros DNS.
  4. Monitoramento de DMARC: monitore os relatórios DMARC para confirmar que não há problemas e corrija o que for necessário.

Verificando o status de SPF, DKIM e DMARC

FAQ's sobre SPF, DKIM e DMARC

  1. Endereço de e-mail para relatórios DMARC: é recomendável usar uma caixa de e-mail compartilhada que várias pessoas possam acompanhar.
  2. Diferença entre ~all, -all, ?all e +all no registro SPF:
    • ~all (SoftFail): permite e-mails vindos de servidores fora da lista, mas eles podem ser considerados suspeitos.
    • -all (Fail): rejeita e-mails vindos de servidores fora da lista.
    • ?all (Neutral): trata o e-mail sem instruções específicas.
    • +all (Pass): permite e-mails vindos de qualquer servidor.
  3. É possível configurar DMARC sem SPF?: sim, mas é ineficiente. É melhor usar SPF e DKIM juntos.
  4. Quando aparecem várias falhas de SPF e algumas aprovações de SPF no cabeçalho do e-mail: você deve confiar na verificação de SPF relacionada ao seu próprio domínio.

Conclusão

  • SPF, DKIM e DMARC são os heróis ocultos da segurança de e-mail.
  • Esses três elementos têm um papel importante em manter a confiabilidade do e-mail.

Opinião do GN⁺

  • Importância da segurança de e-mail: o e-mail é um meio de comunicação importante, e a segurança é fundamental.
  • Necessidade de SPF, DKIM e DMARC: essas três tecnologias são essenciais para prevenir spoofing de e-mail e ataques de phishing.
  • Pontos a considerar na adoção: é necessário configurar e monitorar, e uma configuração incorreta pode causar problemas na entrega de e-mails.
  • Ferramentas relacionadas: com ferramentas como MXToolbox e DMARCTester, é possível verificar facilmente o status da configuração.
  • Padrão da indústria: para reforçar a segurança de e-mail, SPF, DKIM e DMARC se consolidaram como padrão da indústria.

Leituras relacionadas

3 comentários

 
kty1965 2024-06-21

SPF, DKIM e DMARC agora parecem ter se tornado importantes demais.
 
ninebow 2024-06-19

Quando comecei a usar Google Workspace ou SES, além do registro MX, fui tendo que configurar SPF, DKIM e outras coisas uma a uma. No fim das contas, eu nem pensava muito em pesquisar sobre isso e só achava que, de algum jeito, tudo devia estar funcionando bem por aí. Obrigado! :D
 
GN⁺ 2024-06-18
Comentários do Hacker News

  • Experiência de um administrador de TI: Ao gerenciar TI em pequenas e médias empresas, frequentemente recebia pedidos para liberar e-mails colocados em quarentena por causa de registros SPF incorretos. Em vez de usar whitelist, ajudava a corrigir o registro SPF. Para automatizar isso, escreveu um script em Racket.

  • Recomendação de livro: Michael W. Lucas está preparando um livro chamado "Run Your Own Mail Server", que aborda em detalhes a configuração de SPF/DKIM/DMARC. Assistiu ao tutorial e à palestra dele na BSDCan e recomenda o livro.

  • Necessidade de um guia sobre SPF/DKIM/DMARC: É necessário um guia de SPF/DKIM/DMARC para desenvolvedores de aplicativos que enviam e-mails por outros domínios. Muitos sistemas de tickets e plataformas de marketing não entendem esses conceitos.

  • Importância da automação: Administra uma startup que automatiza a configuração de SPF/DKIM/DMARC e avalia a qualidade do guia de forma muito positiva. No entanto, como os usuários passam pelo problema apenas uma vez, é difícil criar entendimento de longo prazo. A automação é importante.

  • Recomendação de ferramenta de depuração: Compartilha um link de uma boa ferramenta para depurar problemas de DMARC.

  • Recomendação de ferramentas de teste: Recomenda as versões gratuitas de mail-tester.com e eu.dmarcian.com como ferramentas de teste. Também compartilha um link de blog para entender DKIM.

  • Problema de spam: Mesmo com a configuração de e-mail perfeita, às vezes o Gmail classifica as mensagens como spam. Investiu centenas de horas, mas não conseguiu resolver e acabou usando serviços de hospedagem de terceiros, como o iCloud.

  • Necessidade de diversidade no e-mail: Em vez de depender de serviços de e-mail de grandes empresas como Apple, Google e Microsoft, deve-se usar servidores de e-mail próprios sempre que possível.

  • Serviço gratuito de monitoramento DMARC: Um serviço chamado Postmark oferece monitoramento DMARC gratuito.

  • Resultado da configuração de SPF/DKIM/DMARC: Compartilha os resultados mostrando que SPF, DKIM e DMARC passaram com sucesso em um domínio de exemplo.