VMC 08-31-2021

Como configurar o DMARC para qualificar o domínio para VMC

DigiCert

 

Em nosso último artigo, explicamos como colocar seu logotipo no formato correto para BIMI/VMC. Este artigo abordará a etapa seguinte: como configurar o DMARC para sua organização.

O QUE É O DMARC?

O DMARC (“Domain-based Message Authentication, Reporting & Conformance”) é um protocolo de autenticação de e-mail, política e relatório que permite às organizações proteger seu domínio contra uso não autorizado, incluindo ataques de personificação e phishing. Para que você possa se qualificar para um VMC, primeiro deve garantir que sua organização está em conformidade com o DMARC.

Não espere

Esse processo pode levar semanas ou meses, dependendo do tamanho da organização. Quanto maior for a sua, mais demorado será. Por isso, é melhor começar logo.

Este artigo explica o básico do processo. Se você quiser se aprofundar, baixe nosso guia abrangente de DMARC e BIMI.

O que é necessário

Antes de começar, você deve ter:

  1. Um editor de .txt (como Notepad++, Vim, Nano, entre outros)
  2. Acesso aos registros DNS de seu domínio
    1. Caso não gerencie seu DNS, fale com o administrador do seu servidor.
    • Servidor Web
    • Servidor de e-mail no escritório
    • Servidor de e-mail do provedor de internet
    • Qualquer servidor de e-mail de terceiros
  3. Etapa 1: colete os endereços IP para o SPF
    O primeiro passo para estar em conformidade com o DMARC é configurar o SPF (Sender Policy Framework, ou estrutura de políticas de remetente). Isso impedirá que endereços IP não autorizados enviem e-mails do seu domínio.

    Antes, liste todos os endereços IP autorizados que atualmente enviam e-mails do seu domínio.

    Isso inclui:

    Não se preocupe se não conseguir encontrar todos os endereços IP. O monitoramento do DMARC (etapa 4) vai fazer isso por você. Porém, convém ganhar tempo reunindo quantos endereços puder neste momento.

    Etapa 2: crie um registro SPF para seu(s) domínio(s)

    Depois, abra o editor de texto e crie um registro SPF para cada domínio.

    Exemplo 1: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 ip4:x.x.x.x -all

    Exemplo 2: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 include:thirdparty.com -all

    Feito isso, salve o arquivo e publique-o no seu DNS.

    Use uma ferramenta de SPF (como esta de nossa parceira Valimail) para garantir que tudo foi digitado corretamente.

    Etapa 3: configure o DKIM

    O padrão DKIM de autenticação de e-mails usa a criptografia de chaves públicas/privadas para assinar mensagens de e-mail. Ele impede que as mensagens sejam violadas quando em trânsito.

    1. Primeiro, escolha um seletor do DKIM.

    Exemplo: “standard._domain.example.com” = nome do host

    2. Em seguida, gere um par de chaves pública-privada para seu domínio.

    Windows: use PUTTYGen

    Linux ou Mac: use ssh-keygen

    3. Crie e publique um novo registro .txt com seu console de gerenciamento de DNS.

    Deve ser como este: v=DKIM1; p=SuaChavePública

    Etapa 4: monitore, comunique, repita

    Agora vem o passo mais importante. Só que também o mais demorado. Você deverá configurar o DMARC para começar a monitorar seu tráfego de e-mails atual a fim de estabelecer uma linha de base sólida para o que é aprovado (e o que em algum momento será posto em quarentena ou rejeitado pelo DMARC).

    OBSERVAÇÃO: embora seja tentador ir diretamente para a aplicação do DMARC, monitorar neste momento impedirá que mensagens importantes se percam ou sejam excluídas de forma irreversível depois que o DMARC estiver totalmente habilitado.

    Veja como iniciar o monitoramento do tráfego pelo DMARC:

    1. Verifique se configurou corretamente o SPF e o DKIM.

    2. Crie um registro DNS.

    O registro DMARC “txt” deve ter nome semelhante a “_dmarc.your_domain.com”.

    Exemplo: “v=DMARC1;p=none; rua=mailto:dmarcreports@your_domain.com”

    Se você gerenciar o DNS de seu domínio, crie um registro DMARC “p=none” (modo de monitoramento) da mesma forma que os registros SPF e DKIM.

    Se não gerenciar o DNS, peça ao seu provedor de DNS para criar o registro DMARC para você.

    3. Teste seu registro DMARC com uma ferramenta de verificação DMARC.

    Observação: normalmente, você precisa aguardar de 24 a 48 horas pela replicação.

    A partir de agora, o DMARC começará a gerar relatórios que mostrarão a você os e-mails enviados pelo seu domínio, inclusive mensagens sinalizadas pelo SPF e pelo DKIM.

    Importante: aqui você descobrirá se remetentes legítimos que não foram incluídos no seu registro SPF aparecem no relatório (etapa 1). Se for o caso, atualize o registro.

    Mas há um probleminha. Os relatórios são gerados em um formato XML, que é difícil de ler. Como você vai passar bastante tempo examinando os dados, recomendamos usar um processador de relatórios DMARC (como este da Valimail) para facilitar a análise.

    Etapa 5: socialize e depois melhore a aplicação

    Depois de você monitorar seu e-mail por tempo suficiente para acreditar que identificou quaisquer mensagens legítimas sinalizadas como não autorizadas, chegou a hora de intensificar a aplicação.

    O DMARC tem dois níveis de aplicação: “quarentena” e “rejeitar”. O “rejeitar” é claramente muito mais seguro, e por isso nossa recomendação principal, mas qualquer um deles qualificará seu domínio para um VMC.

    Porém, antes de rejeitar uma mensagem, convém deixá-la um tempo na quarentena. Veja como:

    1. Faça login em seu servidor DNS e pesquise o registro DMARC.

    2. Abra o registro DMARC para o domínio especificado e atualize a política de “p=none’ para “p=quarantine”.

    Exemplo:

    “v=DMARC1;p=quarantine;pct=10;rua=mailto:dmarcreports@your_domain.com”

    3. Adicione o sinalizador “pct” (% de mensagens sujeitas a filtragem). Sugerimos começar com 10% e aumentar aos poucos a porcentagem até 100%.

    Ao atingir a filtragem 100%, você conquista o status oficial de qualificado para o VMC e já pode começar a rejeitar.

    Felizmente, essa é a etapa mais fácil:

    1. Abra seu registro DMARC e altere “p=quarantine” para “p=reject”.

    Parabéns! Você agora tem muito mais visibilidade das mensagens enviadas do seu domínio e melhor segurança para cada usuário. Além disso, você se protegeu contra vários tipos de ataque de phishing e qualificou sua organização para um certificado VMC (assim que ele estiver disponível).

    Para saber mais sobre como proteger o acesso aos e-mails da sua organização, leia nosso artigo de blog sobre acesso remoto e protegido a e-mails.