O que são DMARC, DKIM, e SPF?

SPF, DKIM e DMARC ajudam a autenticar os remetentes de e-mail, verificando se os e-mails vieram do domínio que afirmam vir. Estes três métodos de autenticação são importantes para prevenir spam, ataques de phishing e outros riscos de segurança de e-mail.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Descrever como SPF, DKIM e DMARC funcionam
  • Explicar como esses métodos ajudam a autenticar os remetentes de e-mail
  • Compreender os tipos de registros de DNS utilizados em SPF, DKIM e DMARC

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que são DMARC, DKIM, e SPF?

DMARC, DKIM, e SPF são três métodos de autenticação de e-mail. Juntos, eles ajudam a evitar que spammers, phishers e outras partes não autorizadas enviem e-mails em nome de um domínio* que não lhes pertence.

DKIM e SPF podem ser comparados a uma licença comercial ou a um diploma de médico exibido na parede de um consultório, eles ajudam a demonstrar legitimidade.

O DMARC, por sua vez, informa aos servidores de e-mail o que fazer quando o DKIM ou o SPF falham, seja marcando os e-mails com falha como "spam", entregando os e-mails de qualquer maneira ou descartando-os completamente.

Os domínios que não configuram SPF, DKIM e DMARC corretamente podem descobrir que seus e-mails são colocados em quarentena como spam ou não são entregues aos destinatários. Eles também correm o risco de serem imitados por spammers.

*Um domínio, a grosso modo, é um endereço de site como "example.com". Os domínios formam a segunda metade de um endereço de e-mail: por exemplo, alice@example.com.

Relatório
Relatório sobre Ameaças de Phishing 2023
Fale com um especialista
Saiba como a Cloudflare pode proteger sua empresa

Como funciona o SPF?

O Sender Policy Framework (SPF) é uma maneira de um domínio listar todos os servidores a partir dos quais eles enviam e-mails. Pense nisso como um diretório de funcionários disponível publicamente que ajuda alguém a confirmar se um funcionário trabalha para uma organização.

Os registros SPF listam todos os endereços de IP de todos os servidores que têm permissão para enviar e-mails a partir do domínio, assim como um diretório de funcionários lista os nomes de todos os funcionários de uma organização. Os servidores de e-mail que recebem uma mensagem de e-mail podem verificá-la no registro SPF antes de enviá-la para a caixa de entrada do destinatário.

Cadastre-se
Segurança e velocidade com qualquer plano da Cloudflare

Como funciona o DKIM?

O DomainKeys Identified Mail (DKIM) permite que os proprietários de domínios "assinem" e-mails automaticamente a partir de seu domínio, assim como a assinatura em um cheque ajuda a confirmar quem emitiu o cheque. A "assinatura" DKIM é uma assinatura digital que usa criptografia para verificar matematicamente que o e-mail veio do domínio.

Especificamente, o DKIM usa criptografia de chave pública:

  • Um registro DKIM armazena a chave pública do domínio e os servidores de e-mail que recebem e-mails do domínio podem verificar este registro para obter a chave pública.
  • A chave privada é mantida em segredo pelo remetente, que assina o cabeçalho do e-mail com esta chave.
  • Os servidores de e-mail que recebem o e-mail podem verificar se a chave privada do remetente foi utilizada, aplicando a chave pública.

Como funciona o DMARC?

O Domain-based Message Authentication Reporting and Conformance (DMARC) informa a um servidor de e-mail de recebimento o que fazer de acordo com os resultados após a verificação de SPF e DKIM. A política DMARC de um domínio pode ser definida de várias maneiras, ela pode instruir os servidores de e-mail a colocar em quarentena os e-mails que falham no SPF ou DKIM (ou em ambos), rejeitar esses e-mails ou entregá-los.

As políticas DMARC ficam armazenadas nos registros DMARC. Um registro DMARC também pode conter instruções para enviar relatórios aos administradores de domínio sobre quais e-mails são aprovados e reprovados nessas verificações. Os relatórios DMARC fornecem aos administradores as informações necessárias para decidir como ajustar suas políticas DMARC (por exemplo, o que fazer se e-mails legítimos forem erroneamente marcados como spam).

Onde ficam armazenados os registros SPF, DKIM e DMARC?

Os registros SPF, DKIM e DMARC são armazenados no Domain Name System (DNS), que está disponível publicamente. O principal uso do DNS é combinar endereços web com endereços de IP, para que os computadores possam encontrar os servidores corretos para carregar conteúdo pela internet sem que os usuários humanos tenham que memorizar longos endereços alfanuméricos. O DNS também pode armazenar uma variedade de registros associados a um domínio, incluindo nomes alternativos para esse domínio (registros CNAME), endereços IPv6 (registros AAAA) e registros de DNS reverso para pesquisas de domínio (registros PTR).

Os registros DKIM, SPF e DMARC são todos armazenados como registros DNS TXT. Um registro DNS TXT armazena o texto que um proprietário de domínio deseja associar ao domínio. Esse registro pode ser usado de várias maneiras, pois pode conter qualquer texto arbitrário. DKIM, SPF e DMARC são três dos vários aplicativos para registros DNS TXT.

Como verificar se um e-mail foi aprovado por SPF, DKIM e DMARC

A maioria dos clientes de e-mail oferece uma opção denominada "Mostrar detalhes" ou "Mostrar original" que exibe a versão completa de um e-mail, incluindo o cabeçalho. O cabeçalho, geralmente um longo bloco de texto acima do corpo do e-mail, é onde os servidores de e-mail anexam os resultados de SPF, DKIM e DMARC.

A leitura do cabeçalho denso pode ser complicada. Os usuários que o visualizam em um navegador podem clicar em "Ctrl+F" ou "Command+F" e digitar "spf", "dkim" ou "dmarc" para encontrar esses resultados.

O texto relevante pode ser semelhante a:


arc=pass (i=1 spf=pass spfdomain=example.com dkim=pass
dkdomain=example.com dmarc=pass fromdomain=example.com);

Quando a palavra "pass" aparece no texto acima ela indica que o e-mail passou na verificação de autenticação. "spf=pass", por exemplo, significa que o e-mail não falhou no SPF; veio de um servidor autorizado com um endereço de IP listado no registro SPF do domínio.

Neste exemplo, o e-mail passou por todos os três: SPF, DKIM e DMARC, e o servidor de e-mail pôde confirmar que ele realmente veio de example.com e não de um impostor.

É importante observar que esses registros em si não impõem as políticas do domínio nem autenticam os e-mails. Os servidores de e-mail devem verificá-las e aplicá-las corretamente para que os registros tenham efeito.

Também é importante observar que os proprietários de domínio precisam configurar seus registros SPF, DKIM e DMARC corretamente, tanto para evitar spam de seu domínio quanto para garantir que e-mails legítimos de seu domínio não sejam marcados como spam. Os serviços de hospedagem na web não fazem isso automaticamente. Mesmo os domínios que não enviam e-mails devem ter pelo menos registros DMARC para que os spammers não possam fingir enviar e-mails desse domínio.

Como criar DMARC, DKIM, e SPF para um domínio

DMARC, DKIM e SPF devem ser configurados nas configurações de DNS do domínio. Os administradores podem entrar em contato com seu provedor de DNS, ou sua plataforma de hospedagem na web pode fornecer uma ferramenta que permite carregar e editar registros de DNS. Para mais detalhes sobre como funcionam esses registros, consulte nossos artigos sobre eles:

O processo de configuração desses registros pode ser complicado e demorado e as políticas muito rígidas ou muito flexíveis podem ter um impacto extremamente negativo para um domínio. Por esse motivo, a Cloudflare oferece um Assistente de DNS de segurança de e-mail que permite aos administradores configurar rápida e corretamente esses registros de DNS para autenticação de e-mails. O assistente está na guia DNS do Painel de controle da Cloudflare.