Conformidade com o protocolo de autenticação DMARC no Amazon SES - Amazon Simple Email Service
Configuração da política DMARC no seu domínioComo implementar o DMARCConformidade com o DMARC por meio de SPFConformidade com o DMARC via DKIM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conformidade com o protocolo de autenticação DMARC no Amazon SES

A Autenticação, Relatórios e Conformidade de Mensagens Baseadas em Domínio (DMARC) é um protocolo de autenticação de e-mail que usa o Sender Policy Framework (SPF) e o DomainKeys Identified Mail (DKIM) para detectar falsificação de e-mail e phishing. Para estar em conformidade com o DMARC, as mensagens devem ser autenticadas pelo SPF ou DKIM, mas o ideal é que ambos sejam usados com o DMARC para garantir o nível de proteção mais alto possível para o envio de e-mails.

Vamos analisar brevemente o que cada um faz e como o DMARC os combina:

  • SPF: identifica quais servidores de e-mail têm permissão para enviar e-mails em nome do seu domínio MAIL FROM personalizado por meio de um registro TXT de DNS usado pelo DNS. Os sistemas de e-mail do destinatário se referem ao registro TXT do SPF para determinar se uma mensagem do seu domínio personalizado vem de um servidor de mensagens autorizado. Basicamente, o SPF foi projetado para ajudar a evitar a falsificação, mas existem técnicas de falsificação às quais o SPF é suscetível na prática e é por isso que você também precisa usar o DKIM com o DMARC.

  • DKIM: adiciona uma assinatura digital às suas mensagens enviadas no cabeçalho do e-mail. Os sistemas de recebimento de e-mail podem usar essa assinatura digital para ajudar a verificar se o e-mail recebido está assinado por uma chave pertencente ao domínio. No entanto, quando um sistema de recebimento de e-mail encaminha uma mensagem, o envelope da mensagem é alterado de uma forma que invalida a autenticação do SPF. Como a assinatura digital permanece com a mensagem de e-mail porque faz parte do cabeçalho do e-mail, o DKIM funciona mesmo quando uma mensagem é encaminhada entre servidores de e-mail (desde que o conteúdo da mensagem não tenha sido modificado).

  • DMARC: garante que haja alinhamento de domínio com pelo menos um destes: SPF ou DKIM. Usar o SPF e DKIM por si só não garante que o endereço do remetente seja autenticado (esse é o endereço de e-mail que o destinatário vê no cliente de e-mail). O SPF verifica apenas o domínio especificado no endereço MAIL FROM (não visto pelo destinatário). O DKIM verifica apenas o domínio especificado na assinatura do DKIM (além disso, não é visto pelo destinatário). O DMARC resolve esses dois problemas exigindo que o alinhamento de domínio esteja correto no SPF ou no DKIM:

    • Para que o SPF passe pelo alinhamento do DMARC, o domínio no endereço do remetente deve corresponder ao domínio no endereço MAIL FROM (também conhecido como endereço Return-Path e Envelope-from). Isso raramente é possível com e-mails encaminhados porque eles são removidos ou ao enviar e-mails via provedores de e-mails em massa terceirizados, porque o Return-Path (MAIL FROM) é usado para devoluções e reclamações que o provedor (SES) rastreia usando um endereço de sua propriedade.

    • Para que o DKIM seja aprovado no alinhamento do DMARC, o domínio especificado na assinatura do DKIM deve corresponder ao domínio no endereço do remetente. Para conseguir enviar e-mails em seu nome ao usar remetentes ou serviços de terceiros, certifique-se de que esse remetente esteja devidamente configurado com a assinatura do DKIM e de ter adicionado os registros DNS apropriados dentro do domínio. Os servidores de recebimento de e-mails poderão então verificar o e-mail enviado a eles por terceiros como se fosse um e-mail enviado por alguém autorizado a usar um endereço dentro do domínio.

Como combinar tudo isso com o DMARC

As verificações de alinhamento do DMARC que discutimos acima mostram como o SPF, o DKIM e o DMARC trabalham em conjunto para aumentar a confiança do seu domínio e da entrega do seu e-mail às caixas de entrada. Para conseguir isso, o DMARC garante que o endereço do remetente, visto pelo destinatário, seja autenticado pelo SPF ou DKIM:

  • Uma mensagem será aprovada pelo DMARC se uma ou ambas as verificações do SPF ou DKIM descritas forem aprovadas.

  • Uma mensagem será reprovada pelo DMARC se uma ou ambas as verificações do SPF ou DKIM descritas forem reprovadas.

Portanto, tanto o SPF quanto o DKIM são necessários para que o DMARC tenha a melhor chance de obter a autenticação do e-mail enviado e, ao utilizar os três, você ajudará a garantir um domínio de envio totalmente protegido.

O DMARC também permite que você instrua os servidores de e-mail sobre como lidar com e-mails quando eles falharem na autenticação do DMARC devido a políticas que você definiu. Isso será explicado na seção a seguir, Configuração da política DMARC no seu domínio, que contém informações sobre como configurar seus domínios do SES para que os e-mails enviados estejam em conformidade com o protocolo de autenticação DMARC por meio do SPF e DKIM.

Configuração da política DMARC no seu domínio

Para configurar a DMARC, é necessário modificar as configurações de DNS do seu domínio. As configurações de DNS do seu domínio devem incluir um registro TXT que especifica as configurações DMARC do domínio. Os procedimentos para adicionar registros TXT à configuração de DNS dependem de qual DNS ou provedor de hospedagem você usa. Se você usar o Route 53, consulte Trabalho com registros no Guia do desenvolvedor do Amazon Route 53. Se você usar outro provedor, consulte a documentação de configuração de DNS do seu provedor.

O nome do registro TXT criado deve ser _dmarc.example.com, onde example.com é o seu domínio. O valor do registro TXT contém a política DMARC que se aplica ao seu domínio. Veja a seguir um exemplo de um registro TXT que contém uma política DMARC:

Name Tipo Valor
_dmarc.example.com TXT "v=DMARC1;p=quarantine;rua=mailto:my_dmarc_report@example.com"

No exemplo anterior de política do DMARC, essa política diz aos provedores de e-mail que façam o seguinte:

  • Se houver falha de autenticação em qualquer mensagem, envie-a para a pasta Spam conforme especificado pelo parâmetro da política, p=quarantine. Outras opções incluem não fazer nada usando p=none ou rejeitar totalmente a mensagem usando p=reject.

  • Envie relatórios sobre todos os e-mails com falha de autenticação em um resumo (ou seja, um relatório que agrega os dados de um determinado período, em vez de enviar relatórios individuais para cada evento), conforme especificado pelo parâmetro de relatórios, rua=mailto:my_dmarc_report@example.com (rua significa relatórios de URI de relatórios para agregações). Os provedores de e-mail normalmente enviam esses relatórios agregados uma vez por dia, embora essas políticas variem de provedor para provedor.

Para saber mais sobre como configurar a DMARC para seu domínio, consulte a Visão geral no site DMARC.

Para obter as especificações completas do sistema DMARC, consulte Rascunho do DMARC do Internet Engineering Task Force (IETF).

Melhores práticas para implementação do DMARC

É melhor implementar a aplicação da sua política do DMARC com uma abordagem gradual e em fases para não interromper o resto do seu fluxo de e-mails. Crie e implemente um plano de implantação que siga essas etapas. Execute cada uma dessas etapas primeiro com cada um dos seus subdomínios e, por fim, com o domínio de nível superior da sua organização antes de passar para a próxima etapa.

  1. Monitore o impacto da implementação do DMARC (p=none).

    • Comece com um registro simples no modo de monitoramento para um subdomínio ou domínio que solicita que as organizações receptoras de e-mails enviem estatísticas sobre as mensagens que usando esse domínio. Um registro no modo de monitoramento é um registro TXT do DMARC que tem sua política definida como nenhuma p=none.

    • Os relatórios gerados pelo DMARC fornecerão os números e as fontes de mensagens que foram aprovadas pelas verificações em relação àquelas reprovadas. Você pode ver facilmente a quantidade do seu tráfego legítimo que está ou não coberta por eles. Você verá sinais de encaminhamento, já que as mensagens encaminhadas falharão no SPF e no DKIM se o conteúdo for modificado. Você também começará a ver a quantidade de mensagens fraudulentas que estão sendo enviadas e de onde elas foram enviadas.

    • Os objetivos desta etapa são saber quais e-mails serão afetados quando você implementar uma das próximas duas etapas e fazer com que qualquer remetente de terceiros ou autorizado alinhe suas políticas do SPF ou DKIM.

    • Ideal para domínios existentes.

  2. Solicite que os sistemas externos de e-mail coloquem em quarentena os e-mails reprovados pelo DMARC (p=quarantine).

    • Quando você acredita que todo ou a maior parte do seu tráfego legítimo está enviando um domínio alinhado com o SPF ou DKIM e compreende o impacto da implementação do DMARC, você pode implementar uma política de quarentena. Uma política de quarentena é um registro TXT do DMARC que tem sua política definida como quarentena p=quarantine. Ao fazer isso, você pede aos destinatários do DMARC que coloquem mensagens do seu domínio reprovadas pelo DMARC no local equivalente a uma pasta de spam no lugar das caixas de entrada dos seus clientes.

    • Ideal para domínios em transição que analisaram relatórios do DMARC durante a Etapa 1.

  3. Solicite que os sistemas externos de e-mail não aceitem mensagens reprovadas pelo DMARC (p=reject).

    • A implementação de uma política de rejeição geralmente é a etapa final. Uma política de rejeição é um registro TXT do DMARC que tem sua política definida como rejeição p=reject. Ao fazer isso, você pede aos receptores do DMARC que não aceitem mensagens reprovadas pelas verificações do DMARC; ou seja, eles não serão colocados em quarentena em uma pasta de spam ou lixo eletrônico, mas rejeitados imediatamente.

    • Ao usar uma política de rejeição, você saberá exatamente quais mensagens estão falhando na política do DMARC, pois a rejeição resultará em uma devolução SMTP. Com a quarentena, os dados agregados fornecem informações sobre as porcentagens de e-mails aprovados ou reprovados nas verificações do SPF, DKIM e DMARC.

    • Ideal para domínios novos ou domínios existentes que passaram pelas duas etapas anteriores.

Conformidade com o DMARC por meio de SPF

Para um e-mail estar em conformidade com o DMARC com base em SPF, as condições a seguir deverão ser cumpridas:

  • A mensagem deve ser aprovada por uma verificação do SPF com base em um registro SPF (tipo TXT) válido que você deve publicar na configuração de DNS do seu domínio MAIL FROM personalizado.

  • O domínio no endereço do remetente do cabeçalho do e-mail deve estar alinhado (corresponder) ao domínio ou a um subdomínio especificado no endereço MAIL FROM. Para obter o alinhamento do SPF com o SES, a política do DMARC do domínio não deve especificar uma política estrita do SPF (aspf=s).

Para cumprir esses requisitos, execute as seguintes etapas:

  • Configure um domínio MAIL FROM personalizado executando os procedimentos em Uso de um domínio MAIL FROM personalizado.

  • Verifique se o seu domínio de envio usa uma política flexível para SPF. Se você não alterou o alinhamento da política do seu domínio, ele usará uma política flexível por padrão assim como o SES.

    nota

    Você pode determinar o alinhamento do DMARC de seu domínio para SPF digitando o seguinte comando na linha de comando, substituindo example.com pelo seu domínio:

    dig TXT _dmarc.example.com

    Na saída do comando, em Resposta não autorizada, procure um registro que comece com v=DMARC1. Se esse registro incluir a string aspf=r, ou se a string aspf não estiver presente, seu domínio usará o alinhamento flexível para SPF. Se o registro incluir a string aspf=s, seu domínio usará o alinhamento estrito para SPF. O administrador do sistema precisará remover essa tag do registro TXT DMARC na configuração do DNS do seu domínio.

    Como alternativa, você pode usar uma ferramenta de pesquisa DMARC baseada na Web, como o Inspetor DMARC do site dmarcian ou a ferramenta DMARC Check Tool do site, para determinar o alinhamento da política do seu domínio para o MxToolBox SPF.

Conformidade com o DMARC via DKIM

Para um e-mail estar em conformidade com o DMARC com base em DKIM, as condições a seguir deverão ser cumpridas:

  • A mensagem deve ter uma assinatura do DKIM válida e ser aprovada na verificação do DKIM.

  • O domínio especificado na assinatura do DKIM deve se alinhar (corresponder) ao domínio no endereço do remetente. Se a política do DMARC do domínio especificar alinhamento estrito para o DKIM, esses domínios deverão ter uma correspondência exata (o SES usa uma política estrita do DKIM por padrão).

Para cumprir esses requisitos, execute as seguintes etapas:

  • Configure o Easy DKIM executando os procedimentos em Easy DKIM no Amazon SES. Quando você usa Easy DKIM, o Amazon SES assina automaticamente seus e-mails.

    nota

    Em vez de usar o Easy DKIM, também é possível assinar manualmente suas mensagens. No entanto, você deve ter muito cuidado se escolher fazê-lo, porque o Amazon SES não valida a assinatura DKIM que você cria. Por esse motivo, é altamente recomendável usar o Easy DKIM.

  • Certifique-se de que o domínio especificado na assinatura do DKIM esteja alinhado ao domínio no endereço do remetente. Ou, se estiver enviando de um subdomínio do domínio no endereço do remetente, certifique-se de que sua política do DMARC esteja definida como alinhamento flexível.

    nota

    Você pode determinar o alinhamento do DMARC de seu domínio para DKIM digitando o seguinte comando na linha de comando, substituindo example.com pelo seu domínio:

    dig TXT _dmarc.example.com

    Na saída do comando, em Resposta não autorizada, procure um registro que comece com v=DMARC1. Se esse registro incluir a string adkim=r, ou se a string adkim não estiver presente, seu domínio usará o alinhamento flexível para DKIM. Se o registro incluir a string adkim=s, seu domínio usará o alinhamento estrito para DKIM. O administrador do sistema precisará remover essa tag do registro TXT DMARC na configuração do DNS do seu domínio.

    Como alternativa, você pode usar uma ferramenta de pesquisa DMARC baseada na Web, como o Inspetor DMARC do site dmarcian ou a ferramenta DMARC Check Tool do site, para determinar o alinhamento da política do seu domínio para o MxToolBox DKIM.