DMARC: O que é + como ajuda a proteger sua marca contra fraude por e-mail

Publicados: 2016-10-04

No mundo do e-mail, é surpreendentemente fácil fingir ser alguém que você não é. Quase qualquer pessoa com um conhecimento básico de como funciona o e-mail pode fazer uma mensagem parecer que está vindo de qualquer remetente que eles escolherem - e é claro, os golpistas tiram vantagem disso.

Há um número infinito de exemplos em que criminosos se fazem passar por uma marca e, em seguida, usam a reputação de confiança da marca para roubar informações pessoais ou detalhes de cartão de crédito de destinatários de e-mail. É o pesadelo de um comerciante.

Felizmente, existem mecanismos que ajudam as marcas a evitar esse tipo de fraude por e-mail: Protocolos de autenticação de e-mail.

A autenticação, relatório e conformidade de mensagens com base em domínio - ou DMARC - é a adição mais recente à lista de protocolos de autenticação de e-mail. Ele se baseia em duas estruturas existentes e amplamente implantadas, os protocolos Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM).

Não distingue o seu DKIM do seu SPF?

Sabemos que isso pode ser confuso! Recapitule os fundamentos da entrega de e-mail antes de pular para os detalhes essenciais do DMARC.

Recapitule o básico →

O que diferencia o DMARC de outros protocolos de autenticação de e-mail - e o torna particularmente valioso para cada profissional de marketing - é sua função de relatório. Com o DMARC, você pode ver quem está enviando e-mail em nome de seu domínio - sua marca - e evitar que spammers o usem para enviar e-mail fraudulento.

Entender a autenticação de email não é fácil e, na maioria dos casos, não é algo que os profissionais de marketing por email possam fazer sozinhos. Ainda assim, como a voz de sua marca, todo comerciante de email deve ter um conhecimento básico de email smj_headshot autenticação e DMARC e como usar as ferramentas disponíveis para ajudar a proteger sua marca contra fraudes por e-mail.

Para trazer um pouco mais de clareza ao mundo confuso da autenticação de e-mail, conversamos com Steven Jones, Diretor Executivo da DMARC.org , e perguntamos a ele tudo o que sempre queríamos saber sobre autenticação de e-mail e DMARC:

  1. O que é autenticação e por que os profissionais de marketing por e-mail devem se preocupar com isso?
  2. O que é DMARC, como funciona e o que o torna diferente de outros protocolos de autenticação (DKIM e SPF)? Como eles trabalham juntos?
  3. Quais são os benefícios de configurar o DMARC? Como isso ajuda a proteger minha marca?
  4. O que pode acontecer se eu não configurar?
  5. Qual é a aparência dos relatórios DMARC? Que tipo de informação eles incluem?
  6. Por que o DMARC também é importante para provedores de caixa de entrada (ISPs)?
  7. Quantas marcas e ISPs já estão usando o DMARC?
  8. Se um provedor de caixa de entrada verificar o DMARC nos e-mails recebidos, mas minha marca ainda não tiver configurado isso, isso pode prejudicar minha taxa de entrega?
  9. Os provedores de caixa de entrada anexam avisos de segurança a e-mails de marcas que não são autenticadas? Os destinatários do email são informados sobre as falhas de autenticação?
  10. E quanto aos domínios que não enviam e-mail? Eles também devem ser autenticados?
  11. Quem geralmente é responsável por configurar o DMARC para uma marca - alguém na minha empresa ou no meu ESP? Quem pode ajudar na implementação técnica?
  12. Quanto custa configurar o DMARC?
  13. Além do DMARC, que outras práticas você recomenda para se proteger contra fraudes por e-mail?

1. O que é autenticação e por que os profissionais de marketing por e-mail devem se preocupar com isso?

A autenticação de e-mail se refere a mecanismos ou protocolos que permitem que você, ou seu servidor de e-mail, verifique se uma mensagem usando um determinado domínio da Internet no campo de realmente foi autorizado a usar esse domínio. Em outras palavras, se você receber uma mensagem com o endereço de [email protected], o BigBank.com realmente autorizou essa mensagem?

Diferentes protocolos de autenticação de e-mail foram introduzidos na última década. Os protocolos mais populares são:

  • Estrutura de política do remetente ou SPF
  • Mensagem de identificação de DomainKeys ou DKIM
  • Autenticação, Relatório e Conformidade de Mensagens Baseada em Domínio, ou DMARC.

Muitos provedores de caixa de correio em todo o mundo usam esses protocolos para filtrar as mensagens recebidas. Os profissionais de marketing não precisam ir além do Google, Yahoo e Microsoft para descobrir que mais da metade de suas listas médias estão sendo verificadas para todos os três protocolos.

Muitos comerciantes de email enviam mensagens em nome de clientes, usando os domínios do cliente no endereço de origem, mas não estão enviando as mensagens da infraestrutura do cliente. Isso é essencialmente o que os spammers e phishers estão fazendo, portanto, é necessário mais trabalho dos provedores de caixa de correio para distinguir os agentes mal-intencionados dos profissionais de marketing legítimos.

Os protocolos de autenticação de e-mail visam tornar essa tarefa mais fácil, e os profissionais de marketing devem estar altamente motivados para garantir que as mensagens enviadas possam ser verificadas como legítimas. Isso evita atrasos ou desvio acidental para a pasta de spam.

2. O que é DMARC, como funciona e o que o torna diferente de outros protocolos de autenticação (DKIM e SPF)? Como eles trabalham juntos?

DMARC é essencialmente uma política e camada de relatórios sobre DKIM e SPF.

O lado dos relatórios significa que os receptores habilitados para DMARC dirão a você:

  • Quantas mensagens eles receberam usando seu domínio da Internet no endereço De:
  • De onde essas mensagens vieram
  • Se essas mensagens foram aprovadas nas verificações DKIM e SPF.

Isso é extremamente útil para organizações que estão introduzindo a autenticação de e-mail e permite que elas vejam se algum criminoso está se passando por elas.

O lado da política do DMARC permite que o proprietário do domínio solicite tratamento específico de mensagens que usam seu domínio no endereço de origem, mas não passam DKIM ou SPF. Em outras palavras: se alguém usa seu domínio, mas falha na autenticação, que ação o provedor de caixa de entrada deve tomar? Você pode perguntar isso:

  • Nenhuma ação será tomada
  • As mensagens com falha serão colocadas em quarentena
  • As mensagens com falha serão rejeitadas.

Isso é obviamente muito poderoso no combate à fraude e um avanço porque os provedores de caixa de entrada não estavam dispostos a fazer isso quando apenas o SPF era usado, e para DKIM não havia um mecanismo de política amplamente aceito.

Há um fator adicional que o DMARC apresenta, conhecido como alinhamento de endereço. A autenticação DKIM e SPF usa nomes de domínio específicos para cada mensagem. Com o SPF, esse é o domínio dentro do “endereço de devolução”, mais precisamente o RFC5321.MailFrom. Com o DKIM, este é um domínio incluído na assinatura criptográfica que o DKIM anexa à mensagem.

Ainda está confuso? Este é exatamente o problema. Tanto o DKIM quanto o SPF usam identificadores de domínio que o usuário final nunca vê. Portanto, um malfeitor pode fazer com que as mensagens passem por verificações DKIM ou SPF simples usando domínios que eles controlam, enquanto colocam o que quiserem no endereço de origem. O usuário veria “[email protected]” e ficaria feliz em confiar na mensagem, quando não deveria.

No DMARC, esses domínios devem corresponder (ou estar “alinhados” com) o endereço no cabeçalho de. Isso é o que chamamos de alinhamento de endereço ou domínio e ajuda a prevenir a forma mais fácil e eficaz de phishing.

3. Quais são os benefícios de configurar o DMARC? Como isso ajuda a proteger minha marca?

Ninguém quer ser associado a fraudes contra seus clientes ou clientes em potencial. Mas se você não proteger seu domínio - sua marca - com autenticação de e-mail, estará facilitando para que os criminosos capitalizem a boa reputação que você construiu cuidadosamente, permitindo que eles personifiquem seu domínio.

Para o proprietário da marca, o primeiro benefício é que os relatórios DMARC fornecem um instantâneo da atividade de e-mail usando seu domínio. Você pode conseguir isso mesmo se não tiver implantado o DKIM e o SPF ainda para ver se spammers e phishers estão se fazendo passar por você. Além disso, você terá uma ideia de todas as entidades internas que enviam e-mail usando seu domínio: por exemplo, você pode descobrir que o marketing contratou duas empresas para enviar e-mail aos clientes, o RH contratou uma empresa para informar aos funcionários sobre os benefícios e O departamento de compras possui um fornecedor que cuida dos pedidos.

No entanto, você ainda deve implantar DKIM e SPF. Tornar mais fácil para os destinatários verificar suas mensagens legítimas significa menos demora na análise do conteúdo de cada mensagem que você envia, porque todas são potencialmente suspeitas. Isso significa que suas mensagens serão tratadas de forma mais consistente em cada provedor de caixa de entrada, em vez de ter alguma parte enviada para a pasta de spam, dependendo das propriedades exclusivas de cada campanha.

4. O que pode acontecer se eu não configurar?

Se você não configurar o DMARC, pode ser que nada aconteça. Ou pode ser que alguém envie um milhão de mensagens usando seu domínio, tentando fazer com que as pessoas revelem os detalhes de suas contas bancárias. Sem os relatórios DMARC, você nunca ouvirá falar sobre isso. Com o DMARC e os outros protocolos em vigor, você tem a oportunidade de evitar que essas mensagens cheguem aos consumidores - que, em caso de fraude, terão naturalmente uma má associação com o domínio ou marca que foi usado para vitimá-los.

Enquanto trabalhava para meu antigo empregador, implantamos o DMARC em um domínio retirado e nada aconteceu por um mês. Então, em um fim de semana, um fraudador enviou quase dois milhões de mensagens usando esse domínio. Felizmente, quase todos eles (99%) foram bloqueados por causa da política DMARC que publicamos, mas sem o DMARC nunca saberíamos - a menos que tenha saído dos jornais, que não é como as pessoas querem saber dessas coisas.

Seu registro DMARC está configurado corretamente?

O Litmus Spam Testing ajuda a garantir que sua autenticação de e-mail - incluindo DMARC, DKIM e SPF - seja configurada para o sucesso

Explore o teste de spam →

5. Como são os relatórios do DMARC? Que tipo de informação eles incluem?

Existem dois tipos de relatórios. Aqueles sobre os quais costumamos falar são chamados de relatórios agregados, em que cada provedor de caixa de entrada inclui informações resumidas sobre todas as mensagens que viram usando seu domínio. Esse é o número de mensagens, de quais endereços IP elas vieram, se foram autenticadas com DKIM ou SPF, se houve uma “passagem” DMARC, o que foi feito com a mensagem e assim por diante. É como as linhas de um banco de dados ou planilha, empacotadas como texto usando um formato chamado XML. Os relatórios podem ter dezenas ou centenas de kilobytes, tudo depende do tamanho do provedor de caixa de entrada e da quantidade de fontes de tráfego, etc.

O outro tipo de relatório são relatórios de falha, que não são enviados por todos os provedores de caixa de entrada. O Hotmail da Microsoft é provavelmente o provedor de caixa de correio mais conhecido dos Estados Unidos que os envia. Nesse caso, se os proprietários do domínio os solicitaram por meio de sua política DMARC, o provedor da caixa de entrada enviará um relatório de falha para cada mensagem que receber e que use seu domínio, mas que não consegue autenticar.

Lembre-se de que solicitar relatórios de falha pode gerar muitas mensagens. Mas esses relatórios podem conter detalhes sobre os sistemas de envio e quaisquer URLs ou links na mensagem, portanto, podem ser muito úteis para pessoas que estão implantando autenticação de e-mail e solucionando problemas, ou para a equipe de segurança tentando entender o que os golpistas estão tramando.

Ambos os relatórios são muito valiosos, mas lê-los - particularmente os relatórios agregados - não é algo que a maioria das pessoas goste. O proprietário do domínio ou remetente do e-mail normalmente deseja processar os relatórios automaticamente. Os formatos são documentados nos padrões, então você tem a opção de escrever suas próprias ferramentas. Existem alguns pacotes de código aberto para você começar, mas a maioria das organizações tende a usar um dos vários serviços para obter ajuda. Agari, dmarcian e Return Path estão nisso há mais tempo, mas, mais recentemente, empresas como 250ok, Easy Solutions, Fraudmarc e ValiMail oferecem esses serviços e muito mais.

6. Já conversamos sobre os remetentes e por que eles devem adotar e agir no DMARC. Mas por que o DMARC também é importante para provedores de caixa de entrada (ISPs)?

Implementar DMARC como um provedor de caixa de entrada pode ser caro. Imagine manter um banco de dados sobre todos os domínios individuais enviando e-mail para sua empresa. Agora imagine que você hospeda uma centena de empresas. Ainda comigo? Agora imagine que você hospeda todas as empresas que usam o Google Apps ou Office 365. É um investimento significativo de tempo, equipe e recursos.

Mas também há um benefício para os ISPs. A autenticação de e-mail é muito programática quando comparada a determinar se algo é spam ou phishing, com base no conteúdo da mensagem. O primeiro é um conjunto rápido de cálculos, enquanto o último é muito subjetivo, envolve análise de linguagens naturais, interpretação do uso de imagens, análise para onde vão os links na mensagem, etc.

Quanto mais sofisticada for a análise a que cada mensagem deve ser submetida, mais caro se tornará para o ISP manter as caixas de entrada dos usuários limpas. A autenticação de e-mail e a reputação dos remetentes aumentam mais rapidamente ao usá-la podem tornar essas determinações iniciais muito mais rápidas e, portanto, mais baratas. Os ISPs ainda precisam fazer a varredura em busca de vírus e coisas do gênero, mas saber que a mensagem veio de um remetente confiável faz uma grande diferença.

Para ajudar os proprietários de domínio e remetentes a tornar suas mensagens mais fáceis de autenticar, os ISPs e outros receptores DMARC aceitam a sobrecarga de compilar e enviar esses relatórios agregados. A ideia é que os remetentes usem esses relatórios para garantir que suas mensagens legítimas sejam autenticadas 100% do tempo, o que ajuda a conter os custos operacionais para os destinatários. Todos se beneficiam - especialmente os usuários finais que têm menos mensagens fraudulentas em sua caixa de entrada.

7. Quantas marcas e ISPs já estão usando o DMARC?

Seria muito difícil fornecer uma resposta precisa a essa pergunta. Nem toda organização que usa DMARC para filtrar mensagens recebidas anuncia que o usa, e alguns gateways de e-mail comerciais agora fazem a filtragem, mas ainda não oferecem suporte a relatórios. Do lado do remetente, posso dizer que um conjunto de dados mostra que mais de 100.000 domínios publicaram registros DMARC válidos, e esse é um conjunto de dados limitado - não cobre nada remotamente perto de toda a Internet.

Se os leitores estão tentando entender se há uso suficiente do DMARC para que eles devam adotar mais cedo ou mais tarde, minha resposta é sim. Em termos de marketing, considere quantos dos clientes de seus clientes são cobertos pela AOL, Comcast, GMail, Microsoft e Yahoo. Todos eles usam DMARC, portanto, certifique-se de que você também está. E embora tudo isso pareça muito específico para a América do Norte e talvez Europa, um dos maiores provedores de caixa de correio chineses, NetEase; LaPoste na França; Mail.ru e Yandex na Rússia; e muitos outros provedores de caixa de correio grandes e pequenos em todo o mundo usam DMARC.

8. Se um provedor de caixa de entrada verificar o DMARC nos e-mails recebidos, mas minha marca ainda não tiver configurado, isso pode prejudicar minha taxa de entrega?

Quanto mais fácil for determinar que as mensagens não são ruins, mais provável será que sejam entregues rapidamente e sem erros. Não é tanto que você prejudique sua taxa de entrega quando você não tem autenticação de e-mail, mas sim que você pode evitar ser tratado incorretamente quando você tem.

Por exemplo, você envia uma mensagem e ela inclui uma frase ou um link que se parece com algo em uma recente campanha de spam em grande escala. Se um provedor de caixa de correio depender de filtragem de conteúdo e correspondência de padrões e não tiver provas de que sua mensagem veio de um agente conhecido, há uma chance maior de que algumas ou todas essas mensagens sejam enviadas para a pasta de spam. Na melhor das hipóteses, as mensagens ficam sujeitas a mais varreduras e verificações, o que atrasa a entrega de suas mensagens.

Ou - e isso está ficando mais comum - se você não passar nas verificações de autenticação, os links em suas mensagens podem ser removidos ou desabilitados, ou as imagens podem ser bloqueadas, tudo porque a origem da mensagem não pôde ser verificada.

9. Os provedores de caixa de entrada anexam avisos de segurança a e-mails de marcas que não são autenticadas? Os destinatários do email são informados sobre as falhas de autenticação?

Na verdade, alguns dos principais provedores de caixa de correio estão experimentando mostrar aos usuários diferentes indicadores quando as mensagens que não foram autenticadas aparecem em sua caixa de entrada. O Gmail em particular tem feito isso, o mesmo que faz com mensagens não enviadas por uma conexão criptografada.

10. E quanto aos domínios que não enviam e-mail? Eles também devem ser autenticados?

Este é um caso especial e deve ser tratado com autenticação. Se você tiver um domínio que não está enviando e-mails agora ou em um futuro próximo - digamos que esteja reservado ou "estacionado" - você pode facilmente definir um registro SPF para que ninguém que se faça passar por ele possa acessar a caixa de entrada e definir um registro DMARC para receber relatórios quando alguém tenta.

Isso é algo que deve ser feito para todos os domínios reservados, simplesmente para preservar o valor potencial da marca do domínio. Se o domínio que você reservou foi abusado e tem uma péssima reputação no momento em que deseja usá-lo, você desperdiçou seu tempo e dinheiro. Melhor protegê-lo desde o início.

11. Quem geralmente é responsável por configurar o DMARC para uma marca - alguém na minha empresa ou no meu ESP? Quem pode ajudar na implementação técnica?

Cada empresa parece organizar essa responsabilidade de forma diferente. Às vezes, a equipe de marketing desenvolve os nomes e os registra, trabalhando com uma equipe interna ou um fornecedor para as operações. Outras vezes, um departamento gerencia domínios, um grupo diferente gerencia o e-mail e o marketing é um cliente interno coordenando-se com vários ESPs. Qualquer um desses grupos pode ter a tarefa de prevenir abusos, ou pode vir de uma equipe de segurança da informação ou gerenciamento de risco.

As melhores sugestões que posso oferecer são:

  1. A empresa que possui a marca deve ser o proprietário do domínio registrado, e
  2. Eles devem determinar quem é responsável pelo gerenciamento de domínio em toda a empresa, semelhante à forma como o gerenciamento de marca é normalmente organizado em toda a empresa.

Certifique-se de que seus executivos entendam os riscos de não proteger seus domínios e defina uma política clara e parte ou departamento responsável com autoridade para fazer o trabalho. Em seguida, determine quais equipes precisam estar envolvidas no desenvolvimento de um plano para proteger esses domínios e executá-lo.

No que diz respeito a questões de tecnologia e operações, se uma empresa não tiver o conhecimento interno, existem fornecedores que podem ajudar. Listamos alguns fornecedores para implementação e suporte analítico no site do DMARC.

12. Quanto custa configurar o DMARC?

Isso não se presta a uma resposta fácil, porque a escala do projeto variaria muito de empresa para empresa. Por exemplo:

  • Quantos domínios estão envolvidos?
  • Quantos departamentos internos diferentes enviam e-mail?
  • Quantos fornecedores externos?
  • Haverá cobrança se esses fornecedores tiverem que alterar aspectos das mensagens que enviam?
  • Quem é responsável pelo projeto e pode forçar outros departamentos a fazer mudanças operacionais quando necessário?
  • O conhecimento técnico necessário está disponível internamente ou precisa ser adquirido?

Armado com essas perguntas - que apenas arranham a superfície - alguém que conhece a organização-alvo pode começar a definir o esforço. Ao mesmo tempo, e para se ter uma ideia do que o DMARC pode fazer, publicar um registro DNS para um domínio e revisar os relatórios é uma maneira fácil de começar e pode demonstrar a necessidade de um projeto real com base no que esses relatórios mostram.

13. Além do DMARC, que outras práticas você recomenda para proteção contra fraude por e-mail?

Faça o que puder para facilitar a identificação de suas mensagens. Use seus domínios de forma consistente ao longo do tempo, de preferência usando um domínio ou subdomínio em toda a mensagem para endereços, imagens, links, etc. É fácil e tentador extrair ativos de domínios diferentes - seus fornecedores e parceiros, por exemplo - mas podem ter a mesma aparência como quando os phishers obtêm ativos de domínios não relacionados ao endereço de origem. Limite, pelo menos, o conjunto de outros domínios com os quais está trabalhando e mantenha-o estável ao longo do tempo.

Quanto mais fácil é saber que suas mensagens vêm de você, mais fácil é saber quando as mensagens que usam sua identidade vêm de outro lugar e não devem ser entregues na caixa de entrada.

Vá para a caixa de entrada, não para a pasta de spam

Identifique os problemas que podem impedi-lo de acessar a caixa de entrada e obtenha ajuda acionável sobre como corrigi-los com o Litmus Spam Testing.

Experimente Litmus grátis →