Práticas recomendadas para suporte à autenticação do remetente

Este artigo fornece as melhores práticas de Envio de Email em registros DNS e como usar os métodos de autenticação do remetente que ajudam a impedir que os invasores enviem mensagens que se parecem com elas provenientes do seu domínio.

Autenticação de email e configuração de DNS

O envio de um email requer várias etapas que incluem verificar se o remetente do email realmente possui o domínio, verificar a reputação do domínio, verificação de vírus, filtragem de spam, tentativas de phishing, malware e assim por diante. Configurar a autenticação de email adequada é um princípio fundamental para estabelecer a confiança no email e proteger a reputação do seu domínio. Se um email passar em verificações de autenticação, o domínio receptor poderá aplicar a política a esse email de acordo com a reputação já estabelecida para as identidades associadas a essas verificações de autenticação. O destinatário pode ter certeza de que essas identidades são válidas.

Registro MX (Mail Exchange)

O registro MX (Mail Exchange) é usado para rotear o email para o servidor correto. Ele especifica o servidor de email responsável por aceitar mensagens de email em nome do seu domínio. O DNS precisa ser atualizado com as informações mais recentes dos registros MX do seu domínio de email, caso contrário, resultará em algumas falhas de entrega.

SPF (Sender Policy Framework ou Estrutura de Política de Remetente)

O SPF RFC 7208 é um mecanismo que permite que os proprietários de domínio publiquem e mantenham, por meio de um registro TXT DNS padrão, uma lista de sistemas autorizados a enviar emails em seu nome. Esse registro é usado para especificar quais servidores de email estão autorizados a enviar emails em nome do seu domínio. Ele ajuda a evitar falsificação de email e aumentar a entrega de email.

DKIM (email identificado por chaves de domínio)

O DKIM RFC 6376 permite que uma organização assuma a responsabilidade pela transmissão de uma mensagem de forma que o destinatário possa validar. Esse registro também é usado para autenticar o domínio do qual o email é enviado e ajuda a evitar falsificação de email e aumentar a entrega de email.

DMARC (autenticação, relatório e conformidade de mensagens baseadas em domínio)

O DMARC RFC 7489 é um mecanismo escalonável pelo qual uma organização de origem de email pode expressar políticas e preferências de nível de domínio para validação, disposição e relatórios de mensagens. As organizações que recebem emails podem usar o RFC 7489 para melhorar o tratamento de email. Você também pode usar o RFC 7489 para especificar como os receptores de email devem lidar com mensagens que falham nas verificações de SPF e DKIM. Isso melhora a entrega de email e ajuda a evitar falsificação de email.

ARC (Cadeia de Recebimento Autenticado)

O protocolo ARC RFC 8617 fornece uma cadeia de custódia autenticada para uma mensagem, permitindo que cada entidade que manipula a mensagem identifique quais entidades a trataram anteriormente e a avaliação de autenticação da mensagem em cada salto. ARC ainda não é um padrão da Internet, mas a adoção está aumentando.

Como funciona a autenticação de email

A autenticação de email verifica se as mensagens de email de um remetente (por exemplo, notification@contoso.com) são legítimas e vêm de fontes esperadas para esse domínio de email (por exemplo, contoso.com).

Uma mensagem de email pode conter vários endereços de originador ou remetente. Esses endereços são usados para diferentes finalidades. Por exemplo, considere estes endereços:

• O endereço Mail From identifica o remetente e especifica o local para o qual os avisos de devolução serão enviados se ocorrerem problemas com a entrega da mensagem, como avisos de falha na entrega. Os avisos de retorno aparecem na parte do envelope de uma mensagem de email e não são exibidos pelo seu aplicativo de email. Às vezes, isso é chamado de endereço 5321.MailFrom ou endereço de caminho inverso.

• O endereço From é o endereço exibido como o endereço From pelo seu aplicativo de email. Esse endereço identifica o autor do email. Ou seja, a caixa de correio da pessoa ou do sistema responsável por escrever a mensagem. Às vezes, isso é chamado de endereço 5322.From.

• O SPF (Sender Policy Framework) ajuda a validar o email de saída enviado do seu email do domínio (é proveniente de quem ele diz ser).

• O DKIM (DomainKeys Identified Mail) ajuda a garantir que os sistemas de e-mail de destino confiem nas mensagens enviadas do seu domínio de e-mail.

• A DMARC (Autenticação de Mensagens, Relatórios e Conformidade) baseada em domínio funciona com o SPF (Sender Policy Framework) e o DKIM (DomainKeys Identified Mail) para autenticar remetentes de email. Essa abordagem garante que os sistemas de email de destino confiem nas mensagens enviadas do seu domínio.

Como implementar o DMARC

A implementação do DMARC com SPF e DKIM fornece proteção avançada contra falsificação e email de phishing. O SPF usa um registro TXT DNS para fornecer uma lista de endereços IP de envio autorizados para um determinado domínio. Normalmente, as verificações SPF são executadas somente no endereço 5321.MailFrom. Isso significa que o endereço 5322.From não é autenticado quando você usa o SPF sozinho. Isso permite um cenário em que um usuário pode receber uma mensagem que passa por uma verificação SPF, mas possui um endereço de remetente 5322.From falsificado.

Assim como os registros DNS do SPF, o registro de DMARC é um registro de texto DNS (TXT) que ajuda a evitar falsificação e phishing. Você publica registros TXT DMARC no DNS. Os registros TXT DMARC validam a origem das mensagens de email verificando o endereço IP do autor de um email em relação ao suposto proprietário do domínio de envio. O registro TXT DMARC identifica servidores de email de saída autorizados. Os sistemas de email de destino podem verificar se as mensagens recebidas se originam de servidores de email de saída autorizados. Isso força uma incompatibilidade entre os endereços 5321.MailFrom e 5322.From em todos os emails enviados de seu domínio e o DMARC falha nesse email. Para evitar isso, você precisa configurar o DKIM para seu domínio.

Um registro de política DMARC permite que um domínio anuncie que seu email usa autenticação. O registro de política fornece um endereço de email para coletar comentários sobre o uso de seu domínio. O registro de política também especifica uma política solicitada para o tratamento de mensagens que não passam em verificações de autenticação. É recomendável:

• Os domínios de instruções de política que publicam registros DMARC são “p=reject” sempre que possível, e “p=quarantine” caso contrário.
• Trate as instruções de política “p=none", “sp=none” e pct<100 como estados de transição, com o objetivo de removê-las o mais rápido possível.
• Qualquer registro de política de DMARC publicado deve incluir, no mínimo, uma marca rua que aponta para uma caixa de correio para receber relatórios de agregação de DMARC e não deve enviar respostas de volta ao receber relatórios devido a questões de privacidade.

Próximas etapas

• Práticas recomendadas para implementar o DMARC

• Solucionar problemas de implementação do DMARC

• Domínios de email e autenticação do remetente para Serviços de Comunicação do Azure

• Introdução à criação e gerenciamento do Serviço de Comunicação por Email no Serviço de Comunicação do Azure

• Comece por conectar o Serviço de Comunicação por E-mail a um recurso do Serviço de Comunicação do Azure

Artigos relacionados

• Familiarize-se com a Biblioteca de cliente de Email.
• Como enviar emails com domínios verificados personalizados? Adicione domínios personalizados.
• Como enviar emails com domínios gerenciados do Azure? Adicionar domínios gerenciados do Azure.