Como proteger os domínios que não enviam e-mails

A criação desses registros de DNS específicos ajuda a proteger domínios que não enviam e-mails evitando que sejam usados em ataques de falsificação de domínio.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Saiba o que os registros de DNS podem fazer para ajudar a proteger os domínios que não enviam e-mails
  • Descreva como funcionam esses tipos de registros de DNS
  • Entenda os principais componentes desses tipos de registros de DNS

Copiar o link do artigo

Como proteger os domínios que não enviam e-mails

Os domínios que não enviam e-mails ainda podem ser usados na falsificação de e-mails ou em ataques de phishing, mas há tipos específicos de registros DNS de texto (TXT) que podem ser usados para conter os invasores. Cada um desses registros estabelece regras de como e-mails não autorizados devem ser tratados pelos servidores de e-mail, tornando mais difícil para os invasores explorar esses domínios.

Um registro DNS TXT permite que os administradores do domínio insiram um texto no Domain Name System (DNS). Os registros DNS TXT são usados para processos como autenticação de e-mail porque podem armazenar informações importantes que os servidores podem usar para confirmar se um domínio autorizou ou não um remetente de e-mail a enviar mensagens em seu nome.

Exemplos de domínios que não enviam e-mails incluem domínios adquiridos para proteger um nome de marca ou para um negócio futuro. Domínios extintos ou legados também não têm motivo para enviar e-mails e poderiam se beneficiar desse tipo de registro.

Quais são os diferentes tipos de registros DNS TXT usados para autenticação de e-mail?

Existem três tipos principais de registros DNS TXT usados para autenticação de e-mail. Cada um deles difere ligeiramente na forma de funcionamento:

  • Registros Sender Policy Framework (SPF) listam todos os endereços de IP e nomes de domínio autorizados a enviar e-mails em nome do domínio.
  • Registros DomainKeys Identified Mail (DKIM) fornecem uma assinatura digital para autenticar se o remetente realmente autorizou ou não o e-mail. Essa assinatura digital também ajuda a evitar ataques on-path, em que os invasores interceptam comunicações e alteram mensagens com fins criminosos.
  • Registros Domain-based Message Authentication, Reporting and Conformance (DMARC) contêm a política DMARC de um domínio. DMARC é um sistema de autenticação de e-mails por meio da verificação dos registros SPF e DKIM de um domínio. A política DMARC define se os e-mails que não são aprovados nas verificações SPF ou DKIM devem ser marcados como spam, bloqueados ou receber permissão para prosseguir.

Como são esses registros de DNS?

Como esses registros de DNS funcionam todos de maneira ligeiramente diferente, cada um de seus componentes é único.

SPF

Os registros SPF podem ser formatados para proteger os domínios contra tentativas de ataques de phishing, rejeitando quaisquer e-mails enviados do domínio. Para isso, um registro SPF deve usar o formato a seguir.

v=spf1 -all

*Observe que os registros SPF são definidos diretamente no próprio domínio, o que significa que eles não exigem um subdomínio especial.

A seguir mostramos o que significam os componentes individuais desse registro:

  • v=spf1 permite que o servidor saiba que o registro contém uma política de SPF. Todos os registros SPF devem começar com este componente.
  • O indicador -all diz ao servidor o que fazer com e-mails que não estão em conformidade ou que forem enviados por quaisquer remetentes que não estejam explicitamente listados no registro SPF. Com esse tipo de registro SPF, nenhum endereço de IP ou domínio é permitido, portanto -all determina que todos os e-mails que não estão em conformidade sejam rejeitados. Para esse tipo de registro, todos os e-mails são considerados como não estando em conformidade porque não existem endereços de IP ou domínios aceitos.

DKIM

Os registros DKIM protegem os domínios, garantindo que os e-mails foram realmente autorizados pelo remetente usando uma chave pública e uma chave privada. Os registros DKIM armazenam a chave pública que o servidor de e-mail então utiliza para autenticar que a assinatura do e-mail foi autorizada pelo remetente. Para domínios que não enviam e-mails, o registro DKIM deve ser configurado sem uma chave pública associada. Abaixo se encontra um exemplo:

Nome Tipo Conteúdo
*._domainkey.example.com TXT v=DKIM1; p=

 

  • *._domainkey.example.com é o nome especializado para o registro DKIM (onde "example.com" deve ser substituído pelo seu domínio). Neste exemplo, o asterisco (denominado curinga) está sendo usado como seletor, que é um valor especializado que o provedor de serviços de e-mail gera e usa para o domínio. O seletor faz parte do cabeçalho do DKIM e o servidor de e-mail o utiliza para realizar a pesquisa de DKIM no DNS. O curinga abrange todos os valores possíveis para o seletor.
  • TXT indica o tipo de registro de DNS.
  • v=DKIM1 define o número da versão e informa ao servidor que este registro faz referência a uma política DKIM.
  • O valor p ajuda a autenticar e-mails vinculando uma assinatura à sua chave pública. Neste registro DKIM, o valor p deve estar vazio porque não existe nenhuma assinatura/chave pública a ser vinculada.
  • DMARC

    As políticas DMARC também podem ajudar a proteger os domínios que não enviam e-mails, rejeitando todos os e-mails que não foram aprovados pelo SPF e pelo DKIM. Nesse caso, todos os e-mails enviados de um domínio não configurado para enviar e-mails seriam reprovados nas verificações de SPF e DKIM. Abaixo está um exemplo de como formatar uma política dessa forma:

    Nome Tipo Conteúdo
    _dmarc.example.com TXT v=DMARC1;p=reject;sp=reject;adkim=s;aspf=s

     

    • O campo nome garante que o registro seja definido no subdomínio chamado _dmarc.example.com, que é obrigatório para as políticas DMARC.
    • TXT indica o tipo de registro de DNS.
    • v=DMARC1 informa ao servidor que esse registro de DNS contém uma política DMARC.
    • p=reject indica que os servidores de e-mail devem rejeitar e-mails que não forem aprovados nas verificações pelo DKIM e pelo SPF.
    • adkim=s representa algo chamado modo de alinhamento. Nesse caso, o modo de alinhamento é definido como "s" de estrito ("strict" em inglês). O modo de alinhamento estrito significa que o servidor do domínio de e-mail que contém o registro DMARC deve corresponder exatamente ao domínio no cabeçalho De do e-mail . Se não coincidir, a verificação DKIM falha.
    • aspf=s tem a mesma finalidade que adkim=s, mas para o alinhamento de SPF.
    • O Assistente de Segurança de DNS para E-mail da Cloudflare simplifica a configuração dos registros de DNS TXT corretos e impede os spammers de usarem um domínio. Leia mais sobre o Assistente aqui.