Spammers aproveitam melhor SPF, DKIM e DMARC

 (toad.social)
14 pontos por GN⁺ 2025-03-26 | 2 comentários | Compartilhar no WhatsApp
  • Métodos de autenticação de e-mail como DMARC, SPF e DKIM são usados para reduzir spam, mas, na prática, quem os aproveita melhor são os próprios spammers.
  • Esses métodos de autenticação oferecem pouco benefício para a maioria dos remetentes, e rejeitar e-mails com base em falha de autenticação pode até ser prejudicial.
  • Spammers sabem bem como comprar domínios baratos e fazer com que a autenticação seja aprovada.

Encaminhamento de e-mail e problemas com o Gmail

  • O Gmail exige autenticações como DMARC, e isso pode causar problemas no encaminhamento de e-mails.
  • Durante o encaminhamento, o SPF pode ser quebrado, enquanto o DKIM é preservado desde que o corpo ou os cabeçalhos não sejam modificados.
  • O recurso de coleta via POP3 do Gmail é difícil de acionar manualmente, e o intervalo automático costuma ser longo.

Limitações da autenticação de e-mail

  • A autenticação de e-mail impede a falsificação de um domínio específico, mas não bloqueia spam que usa domínios parecidos ou erros de digitação.
  • A autenticação é útil para verificar a identidade do remetente, mas é algo separado de autorização.
  • Spammers podem configurar políticas de autenticação, e isso pode ter algum papel no controle de spam.

Prevenção de spam e segurança de e-mail

  • Vários métodos são usados para prevenir spam, mas não existe solução perfeita.
  • Serviços como o Spamhaus são úteis para bloquear spam, mas podem gerar falsos positivos.
  • A segurança de e-mail exige gerenciamento e atualizações contínuos.

Leituras relacionadas

2 comentários

 
GN⁺ 2025-03-26
Comentários no Hacker News

  • Como alguém que opera um servidor de e-mail pessoal, percebo tentativas contínuas de endereços IP russos de enviar e-mails usando meu nome de domínio

    • Pessoas cujo negócio é enviar e-mail sabem como configurar e-mail corretamente
    • É surpreendente que muitos administradores de sistemas não consigam acertar nem mesmo a configuração básica
    • Se eu receber um e-mail do DMARC dizendo que e-mails do Sendgrid estão sendo rejeitados por causa de uma assinatura SPF incorreta, eu teria que perguntar ao marketing se eles estão usando isso legitimamente
    • Assinaturas automáticas têm valor limitado, mas rejeições baseadas em SPF e DKIM raramente são enganosas
    • Em grandes organizações a situação pode ser pior, mas em servidores de e-mail pequenos uma rejeição técnica normalmente é a decisão correta
    • Listas de e-mail são uma exceção, mas quem as usa pode descobrir como adicionar exceções

  • Mesmo configurando corretamente SPF, DKIM e DMARC e tendo um domínio com pontuação de spam 0, ainda enfrento o problema de cair na pasta de spam

    • Para que um e-mail seja aceito pelo Gmail, é preciso ter "reputação"
    • É confuso como essa reputação deveria ser construída se o e-mail vai direto para o spam
    • E-mails do LinkedIn não são spam e não são bloqueados, mesmo quando seus dark patterns acabam adicionando pessoas à lista de e-mails

  • SPF/DKIM têm relação com a reputação do servidor de e-mail

    • Isso beneficia principalmente grandes servidores como Google, Microsoft e Yahoo
    • As tentativas dos grandes provedores de combater spam prejudicam os pequenos provedores
    • Não deveria ser necessário rastrear a reputação do servidor de e-mail; deveria ser rastreada a reputação do remetente
    • Deveríamos poder tratar de forma diferente e-mails anônimos e e-mails de pessoas que realmente conhecemos
    • No momento, não há uma forma segura de um remetente de e-mail conhecido apresentar um remetente desconhecido

  • SPF e DKIM não impedem completamente o spam, mas o DMARC provavelmente é inútil

    • Como os spammers também conseguem ler esses padrões, SPF e DKIM não conseguem impedir totalmente o spam
    • Antes da adoção de SPF/DKIM, eu recebia muitos e-mails de phishing com endereços como "support@paypal.com"
    • O Paypal pode indicar claramente os endereços IP permitidos com SPF, e seus e-mails podem ser verificados com DKIM
    • O Spamassassin reduz bastante a pontuação de spam de e-mails com DKIM correto e vindos de paypal.com

  • O objetivo de SPF/DKIM/DMARC é vincular o e-mail ao domínio e impedir spoofing

    • Esperar que apenas autenticação reduza spam é ingenuidade

  • O Google é ruim com SPF e DKIM

    • Alguns meses atrás, tentei responder por e-mail a uma mensagem no rastreador de bugs do Chromium, mas falhei
    • O e-mail não foi processado porque a verificação de SPF/DKIM falhou
    • Meu SPF e meu DKIM não tinham problema algum
    • A ferramenta que mandam usar ao configurar o Google Workspace não funciona direito há muito tempo
    • O link de feedback também não funciona corretamente

  • Opero um servidor de e-mail pessoal, e a maior parte do spam não passa em SPF/DKIM

    • Nos últimos anos, a proporção de spam que passa nessas verificações vem aumentando
    • 90-95% dos e-mails esperados passam em SPF/DKIM
    • Estou aplicando regras rígidas para remetentes
    • Publiquei meu endereço de e-mail no site, mas quase não recebo spam

  • Estou usando um filtro de spam simples baseado em heurísticas

    • Verifico e-mails enviados, e mensagens que incluem um endereço ou assunto que eu já usei para enviar não são marcadas como spam
    • Spam vindo de endereços novos é marcado como não lido
    • Casos como confirmação de assinatura ficam no topo da pasta de spam

  • Migrei meu e-mail para o Proton, e o processo de adicionar e verificar entradas DNS foi muito fácil

    • No começo eu tinha medo dessa etapa, mas foi resolvida facilmente

  • Eu pensava que o valor de SPF, DKIM e DMARC era mover a reputação de algo baseado em IP para algo baseado em domínio

    • Eu esperava que, mantendo uma boa reputação do domínio e configurando corretamente SPF, DKIM e DMARC, fosse possível hospedar um servidor SMTP em qualquer IP
    • Fico me perguntando por que isso não funciona assim