Visão geral do DMARC
DMARC, que significa “Domain-based Message Authentication, Reporting & Conformance”, é um protocolo de autenticação de e-mail. Ele aproveita os amplamente utilizados protocolos SPF e DKIM, além de adicionar uma função de relatórios que permite aos remetentes e destinatários melhorar e monitorar a proteção do domínio de e-mails fraudulentos, tornando possível a comunicação segura por e-mail.
Os spammers costumam "forjar" ou "falsificar" os "Endereços do remetente" nos e-mails, fazendo parecer que eles vêm do seu domínio. Para impedir esse tipo de abuso usando o seu domínio, e para permitir que os outros domínios do destinatário conheçam as políticas de domínio de saída, você pode publicar um registro DMARC, usando os serviços de e-mail que usam os padrões DMARC que podem lidar com e-mails não autenticados. Isso também ajuda a controlar Email Backscatter e as atividades de "Phishing" usando seu domínio e ajuda a proteger a reputação do seu domínio.
Antes de publicar o DMARC
Uma política DMARC permite que um remetente indique que seus e-mails são protegidos por SPF e/ou DKIM, e instrui aos destinatários sobre a ação, se ambas as verificações, de SPF e DKIM, falharem, como Quarentena ou para rejeitar a mensagem. DMARC ajuda o destinatário a lidar melhor com mensagens com falha e, portanto, limita ou elimina a exposição dos destinatários finais para e-mails falsificados usando o domínio. DMARC também fornece uma maneira para o receptor do e-mail relatar para o remetente sobre e-mails que foram aprovados e/ou aprovados na avaliação DMARC.
A política de DMARC será eficaz somente se todos os e-mails forem enviados usando os seus próprios domínios. O e-mail enviado em nome de seu domínio por serviços de terceiros aparecerá como não autenticado, e pode ser rejeitado com base em sua política DMARC publicada. Para autorizar os e-mails por provedores de terceiros, você precisa compartilhar a chave DKIM a ser incluída nos cabeçalhos ou os e-mails devem ser enviados por servidores SMTP que já têm chaves DKIM autorizadas e registros SPF publicados.
Será preciso configurar os registros SPF e as chaves DKIM para seus domínios antes de publicar a política DMARC. A política DMARC é baseada em chaves SPF e DKIM, para assegurar a autenticidade do e-mail. Um e-mail usando o endereço de e-mail de seus domínios, o que falha no teste SPF e/ou no teste DKIM, acionando a política DMARC.
Publicação de política DMARC
Para publicar a política DMARC, você precisa criar um registro TXT no seu DNS no formato a seguir.
Nome do registro TXT:
_dmarc.yourdomain.com onde yourdomain.com deve ser substituído pelo nome do domínio.
Valor do registro TXT:
"v=DMARC1; p=none; rua=mailto:admin@yourdomain.com"
Onde p=none é a política básica recomendada. Posteriormente, você poderá alterá-lo para p=quarantine e então para p=reject.
Implementação da política DMARC em fases
É altamente recomendável implementar a política DMARC em fases. Para implementar por fases, altere o parâmetro "p" de nenhum para quarentena e, finalmente, para rejeitar. Da mesma forma, durante a Fase 2 (ou fase de quarentena) e a Fase 3 (fase de rejeição), é possível usar o parâmetro opcional "pct" para controlar a porcentagem de e-mails que estão sendo colocados em quarentena ou rejeitados.
Fase 1: Monitorar relatórios e tráfego
"v=DMARC1; p=none; rua=mailto:admin@yourdomain.com"
Você pode definir a política para p=none nessa fase. Isso envia para você relatórios de violação do endereço de e-mail especificado na política. Os relatórios trazem informações sobre anomalias em e-mails, sobre a origem dos e-mails que não estão assinados ou dos e-mails que parecem ser falsificados. É possível revisar as fontes e incluir os endereços IP válidos em seus registros SPF ou configurar a origem com DKIM, se eles forem legítimos. Ao encontrar relatórios apenas com e-mails falsos válidos, você pode alterar a política para Quarentena.
Fase 2: e-mails em quarentena e análise
"v=DMARC1; p=quarantine; rua=mailto:admin@yourdomain.com"
Você pode definir a política para p=quarantine nessa fase. Isso envia a você os relatórios da violação para o endereço de e-mail especificado na política, e também envia esses e-mails para quarentena. Você pode monitorar os e-mails em quarentena e aprovar ou rejeitar e-mails em quarentena. Você pode rever seus relatórios e também monitorar os e-mails em quarentena.
Você também pode usar o parâmetro "pct" no modelo de registro TXT DMARC para especificar a porcentagem de e-mails afetados pela política na fase 2 e, lentamente, aumente a porcentagem para 100% para concluir a implantação. O aspecto importante é garantir que você monitore os relatórios de e-mail regularmente para garantir que os e-mails válidos não sejam rejeitados ou afetados.
"v=DMARC1; p=quarantine; pct=20; rua=mailto:admin@yourdomain.com"
No exemplo acima, apenas 20% dos e-mails que parecem falsificados serão colocados em quarentena, e o restante dos detalhes do e-mail serão incluídos apenas nos relatórios.
Após alterar o registro TXT para o exemplo acima e remover o parâmetro pct, todos os e-mails que não passarem na política DMARC serão rejeitados.
Quando você estiver confiante de que somente os e-mails falsos são rejeitados e que todos os e-mails válidos são assinados, você pode alterar a política para "Rejeição", para implementar completamente a política DMARC.
Fase 3: rejeitar e-mails falsificados
"v=DMARC1; p=reject; rua=mailto:admin@yourdomain.com"
Você pode definir a política para p=reject nessa fase. Os e-mails que são falsificados usando seu nome de domínio serão rejeitados depois de fazer essa alteração. Você pode manter o controle dos e-mails rejeitados pelos relatórios recebidos por e-mail para o endereço de e-mail fornecido no registro TXT.