Conformidade com o protocolo de autenticação DMARC no Amazon SES - Amazon Simple Email Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conformidade com o protocolo de autenticação DMARC no Amazon SES

A Autenticação, Relatórios e Conformidade de Mensagens Baseadas em Domínio (DMARC) é um protocolo de autenticação de e-mail que usa o Sender Policy Framework (SPF) e o DomainKeys Identified Mail (DKIM) para detectar falsificação de e-mail e phishing. Para cumprir com o DMARC, as mensagens devem ser autenticadas através de SPF ou DKIM, mas, idealmente, quando ambos são usados com o DMARC, você garantirá o mais alto nível de proteção possível para o envio de e-mails.

Vamos analisar brevemente o que cada um faz e como o DMARC os une:

  • SPF — Identifica quais servidores de e-mail têm permissão para enviar e-mails em nome do seu domínio MAIL FROM personalizado por meio de um registro DNS TXT usado pelo DNS. Os sistemas de e-mail do destinatário se referem ao registro TXT SPF para determinar se uma mensagem do seu domínio personalizado vem de um servidor de mensagens autorizado. Basicamente, o SPF foi projetado para ajudar a evitar a falsificação, mas existem técnicas de falsificação às quais o SPF é suscetível na prática e é por isso que você também precisa usar o DKIM junto com o DMARC.

  • DKIM — Adiciona uma assinatura digital às suas mensagens enviadas no cabeçalho do e-mail. Os sistemas de recebimento de e-mail podem usar essa assinatura digital para ajudar a verificar se o e-mail recebido está assinado por uma chave de propriedade do domínio. No entanto, quando um sistema de recebimento de e-mail encaminha uma mensagem, o envelope da mensagem é alterado de uma forma que invalida a autenticação SPF. Como a assinatura digital permanece com a mensagem de e-mail porque faz parte do cabeçalho do e-mail, o DKIM funciona mesmo quando uma mensagem é encaminhada entre servidores de e-mail (desde que o conteúdo da mensagem não tenha sido modificado).

  • DMARC — Garante que haja alinhamento de domínio com pelo menos um dos SPF e DKIM. Usar SPF e DKIM por si só não faz nada para garantir que o endereço do remetente seja autenticado (esse é o endereço de e-mail que o destinatário vê no cliente de e-mail). O SPF verifica apenas o domínio especificado no endereço MAIL FROM (não visto pelo destinatário). O DKIM verifica apenas o domínio especificado na assinatura DKIM (além disso, não é visto pelo destinatário). O DMARC aborda esses dois problemas exigindo que o alinhamento do domínio esteja correto no SPF ou no DKIM:

    • Para que o SPF passe pelo alinhamento DMARC, o domínio no endereço From deve corresponder ao domínio no endereço MAIL FROM (também conhecido como Return-Path e Envelope-FROM address). Isso raramente é possível com e-mails encaminhados porque eles são retirados ou ao enviar e-mails por meio de provedores de e-mail em massa terceirizados, porque o Return-Path (MAIL FROM) é usado para devoluções e reclamações que o provedor (SES) rastreia usando um endereço de sua propriedade.

    • Para que o DKIM passe pelo alinhamento do DMARC, o domínio especificado na assinatura do DKIM deve corresponder ao domínio no endereço From. Se você usa remetentes ou serviços de terceiros que enviam e-mails em seu nome, isso pode ser feito garantindo que o remetente terceirizado esteja configurado corretamente para assinatura DKIM e que você tenha adicionado os registros DNS apropriados em seu domínio. Os servidores de e-mail de recebimento poderão então verificar o e-mail enviado a eles por terceiros, como se fosse um e-mail enviado por alguém autorizado a usar um endereço dentro do domínio.

Juntando tudo com o DMARC

As verificações de alinhamento do DMARC que discutimos acima mostram como o SPF, o DKIM e o DMARC trabalham juntos para aumentar a confiança no seu domínio e a entrega do seu e-mail nas caixas de entrada. O DMARC faz isso garantindo que o endereço de origem, visto pelo destinatário, seja autenticado por SPF ou DKIM:

  • Uma mensagem passa pelo DMARC se uma ou ambas as verificações SPF ou DKIM descritas forem aprovadas.

  • Uma mensagem falha no DMARC se as duas verificações de SPF ou DKIM descritas falharem.

Portanto, tanto o SPF quanto o DKIM são necessários para que o DMARC tenha a melhor chance de obter a autenticação do e-mail enviado e, ao utilizar todos os três, você ajudará a garantir que você tenha um domínio de envio totalmente protegido.

O DMARC também permite que você instrua os servidores de e-mail sobre como lidar com e-mails quando eles falham na autenticação do DMARC por meio de políticas que você define. Isso será explicado na seção a seguir,Configuração da política DMARC no seu domínio, que contém informações sobre como configurar seus domínios SES para que os e-mails enviados estejam em conformidade com o protocolo de autenticação DMARC por meio de SPF e DKIM.

Configuração da política DMARC no seu domínio

Para configurar a DMARC, é necessário modificar as configurações de DNS do seu domínio. As configurações de DNS do seu domínio devem incluir um registro TXT que especifica as configurações DMARC do domínio. Os procedimentos para adicionar registros TXT à configuração de DNS dependem de qual DNS ou provedor de hospedagem você usa. Se você usar o Route 53, consulte Trabalho com registros no Guia do desenvolvedor do Amazon Route 53. Se você usar outro provedor, consulte a documentação de configuração de DNS do seu provedor.

O nome do registro TXT criado deve ser _dmarc.example.com, onde example.com é o seu domínio. O valor do registro TXT contém a política DMARC que se aplica ao seu domínio. Veja a seguir um exemplo de um registro TXT que contém uma política DMARC:

Nome Tipo Valor
_dmarc.example.com TXT "v=DMARC1;p=quarantine;rua=mailto:my_dmarc_report@example.com"

No exemplo anterior da política DMARC, esta política diz aos provedores de e-mail que façam o seguinte:

  • Para qualquer mensagem que falhe na autenticação, envie-a para a pasta Spam conforme especificado pelo parâmetro de política,p=quarantine. Outras opções incluem não fazer nada usando p=none ou rejeitar totalmente a mensagem usando. p=reject

  • Envie relatórios sobre todos os e-mails que falharam na autenticação em um resumo (ou seja, um relatório que agrega os dados de um determinado período de tempo, em vez de enviar relatórios individuais para cada evento) conforme especificado pelo parâmetro de relatório rua=mailto:my_dmarc_report@example.com (rua significa URI de relatório para relatórios agregados). Os provedores de e-mail normalmente enviam esses relatórios agregados uma vez por dia, embora essas políticas variem de provedor para provedor.

Para saber mais sobre como configurar a DMARC para seu domínio, consulte a Visão geral no site DMARC.

Para obter as especificações completas do sistema DMARC, consulte o rascunho do DMARC da Internet Engineering Task Force (IETF).

Melhores práticas para a implementação do DMARC

É melhor implementar a aplicação da sua política de DMARC numa abordagem gradual e faseada para que não interrompa o resto do seu fluxo de correio. Crie e implemente um plano de implantação que siga essas etapas. Execute cada uma dessas etapas primeiro com cada um dos seus subdomínios e, finalmente, com o domínio de nível superior da sua organização antes de passar para a próxima etapa.

  1. Monitorize o impacto da implementação do DMARC (p=nenhum).

    • Comece com um registro simples no modo de monitoramento para um subdomínio ou domínio que solicita que as organizações receptoras de e-mails enviem estatísticas sobre as mensagens que veem usando esse domínio. Um registro no modo de monitoramento é um registro TXT DMARC que tem sua política definida como nenhuma. p=none

    • Os relatórios gerados através do DMARC fornecerão os números e as fontes de mensagens que passam nessas verificações, versus aquelas que não o fazem. Você pode ver facilmente quanto do seu tráfego legítimo está ou não coberto por eles. Você verá sinais de encaminhamento, pois as mensagens encaminhadas falharão no SPF e no DKIM se o conteúdo for modificado. Você também começará a ver quantas mensagens fraudulentas estão sendo enviadas e de onde elas são enviadas.

    • Os objetivos desta etapa são saber quais e-mails serão afetados quando você implementar uma das próximas duas etapas e fazer com que qualquer remetente terceirizado ou autorizado alinhe suas políticas de SPF ou DKIM.

    • Ideal para domínios existentes.

  2. Solicite que os sistemas de correio externos coloquem em quarentena os e-mails que falham no DMARC (p=quarentena).

    • Quando você acredita que todo ou a maior parte do seu tráfego legítimo está enviando um domínio alinhado com SPF ou DKIM e compreende o impacto da implementação do DMARC, você pode implementar uma política de quarentena. Uma política de quarentena é um registro TXT DMARC que tem sua política definida como quarentena. p=quarantine Ao fazer isso, você está pedindo aos destinatários do DMARC que coloquem mensagens do seu domínio que falham no DMARC no equivalente local de uma pasta de spam em vez das caixas de entrada dos seus clientes.

    • Ideal para domínios em transição que analisaram relatórios DMARC durante a Etapa 1.

  3. Solicite que os sistemas de correio externos não aceitem mensagens que falhem no DMARC (p=rejeitar).

    • A implementação de uma política de rejeição geralmente é a etapa final. Uma política de rejeição é um registro TXT DMARC que tem sua política definida como rejeição. p=reject Ao fazer isso, você está pedindo aos destinatários do DMARC que não aceitem mensagens que falhem nas verificações do DMARC — isso significa que eles nem mesmo serão colocados em quarentena em uma pasta de spam ou lixo eletrônico, mas serão rejeitados de imediato.

    • Ao usar uma política de rejeição, você saberá exatamente quais mensagens estão falhando na política DMARC, pois a rejeição resultará em uma rejeição de SMTP. Com a quarentena, os dados agregados fornecem informações sobre as porcentagens de e-mails aprovados ou reprovados nas verificações SPF, DKIM e DMARC.

    • Ideal para domínios novos ou domínios existentes que passaram pelas duas etapas anteriores.

Conformidade com o DMARC por meio de SPF

Para um e-mail estar em conformidade com o DMARC com base em SPF, as condições a seguir deverão ser cumpridas:

  • A mensagem deve passar por uma verificação SPF com base em um registro SPF (tipo TXT) válido que você deve publicar na configuração de DNS do seu domínio MAIL FROM personalizado.

  • O domínio no endereço From do cabeçalho do e-mail deve estar alinhado (corresponder) ao domínio, ou a um subdomínio de, especificado no endereço MAIL FROM. Para obter o alinhamento do SPF com o SES, a política DMARC do domínio não deve especificar uma política SPF estrita (aspf=s).

Para cumprir esses requisitos, execute as seguintes etapas:

  • Configure um domínio MAIL FROM personalizado executando os procedimentos em Uso de um domínio MAIL FROM personalizado.

  • Verifique se o seu domínio de envio usa uma política flexível para SPF. Se você não alterou o alinhamento da política do seu domínio, ele usa uma política relaxada por padrão, assim como o SES.

    nota

    Você pode determinar o alinhamento do DMARC de seu domínio para SPF digitando o seguinte comando na linha de comando, substituindo example.com pelo seu domínio:

    dig -type=TXT _dmarc.example.com

    Na saída do comando, em Resposta não autorizada, procure um registro que comece com v=DMARC1. Se esse registro incluir a string aspf=r, ou se a string aspf não estiver presente, seu domínio usará o alinhamento flexível para SPF. Se o registro incluir a string aspf=s, seu domínio usará o alinhamento estrito para SPF. O administrador do sistema precisará remover essa tag do registro TXT DMARC na configuração do DNS do seu domínio.

    Como alternativa, você pode usar uma ferramenta de pesquisa DMARC baseada na Web, como o Inspetor DMARC do site dmarcian ou a ferramenta DMARC Check Tool do site, para determinar o alinhamento da política do seu domínio para o MxToolBox SPF.

Conformidade com o DMARC por meio de DKIM

Para um e-mail estar em conformidade com o DMARC com base em DKIM, as condições a seguir deverão ser cumpridas:

  • A mensagem deve ter uma assinatura DKIM válida e passar na verificação DKIM.

  • O domínio especificado na assinatura DKIM deve se alinhar (corresponder) ao domínio no endereço From. Se a política DMARC do domínio especificar um alinhamento estrito para o DKIM, esses domínios devem corresponder exatamente (o SES usa uma política rígida de DKIM por padrão).

Para cumprir esses requisitos, execute as seguintes etapas:

  • Configure o Easy DKIM executando os procedimentos em Easy DKIM no Amazon SES. Quando você usa Easy DKIM, o Amazon SES assina automaticamente seus e-mails.

    nota

    Em vez de usar o Easy DKIM, também é possível assinar manualmente suas mensagens. No entanto, você deve ter muito cuidado se escolher fazê-lo, porque o Amazon SES não valida a assinatura DKIM que você cria. Por esse motivo, é altamente recomendável usar o Easy DKIM.

  • Certifique-se de que o domínio especificado na assinatura DKIM esteja alinhado ao domínio no endereço From. Ou, se estiver enviando de um subdomínio do domínio no endereço De, certifique-se de que sua política de DMARC esteja definida para um alinhamento descontraído.

    nota

    Você pode determinar o alinhamento do DMARC de seu domínio para DKIM digitando o seguinte comando na linha de comando, substituindo example.com pelo seu domínio:

    dig -type=TXT _dmarc.example.com

    Na saída do comando, em Resposta não autorizada, procure um registro que comece com v=DMARC1. Se esse registro incluir a string adkim=r, ou se a string adkim não estiver presente, seu domínio usará o alinhamento flexível para DKIM. Se o registro incluir a string adkim=s, seu domínio usará o alinhamento estrito para DKIM. O administrador do sistema precisará remover essa tag do registro TXT DMARC na configuração do DNS do seu domínio.

    Como alternativa, você pode usar uma ferramenta de pesquisa DMARC baseada na Web, como o Inspetor DMARC do site dmarcian ou a ferramenta DMARC Check Tool do site, para determinar o alinhamento da política do seu domínio para o MxToolBox DKIM.