Em nosso último artigo, explicamos como colocar seu logotipo no formato correto para BIMI/VMC. Este artigo abordará a etapa seguinte: como configurar o DMARC para sua organização.
O QUE É O DMARC?
O DMARC (“Domain-based Message Authentication, Reporting & Conformance”) é um protocolo de autenticação de e-mail, política e relatório que permite às organizações proteger seu domínio contra uso não autorizado, incluindo ataques de personificação e phishing. Para que você possa se qualificar para um VMC, primeiro deve garantir que sua organização está em conformidade com o DMARC.
Não espere
Esse processo pode levar semanas ou meses, dependendo do tamanho da organização. Quanto maior for a sua, mais demorado será. Por isso, é melhor começar logo.
Este artigo explica o básico do processo. Se você quiser se aprofundar, baixe nosso guia abrangente de DMARC e BIMI.
O que é necessário
Antes de começar, você deve ter:
Etapa 1: colete os endereços IP para o SPF
O primeiro passo para estar em conformidade com o DMARC é configurar o SPF (Sender Policy Framework, ou estrutura de políticas de remetente). Isso impedirá que endereços IP não autorizados enviem e-mails do seu domínio.
Antes, liste todos os endereços IP autorizados que atualmente enviam e-mails do seu domínio.
Isso inclui:
Não se preocupe se não conseguir encontrar todos os endereços IP. O monitoramento do DMARC (etapa 4) vai fazer isso por você. Porém, convém ganhar tempo reunindo quantos endereços puder neste momento.
Etapa 2: crie um registro SPF para seu(s) domínio(s)
Depois, abra o editor de texto e crie um registro SPF para cada domínio.
Exemplo 1: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 ip4:x.x.x.x -all
Exemplo 2: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 include:thirdparty.com -all
Feito isso, salve o arquivo e publique-o no seu DNS.
Use uma ferramenta de SPF (como esta de nossa parceira Valimail) para garantir que tudo foi digitado corretamente.
Etapa 3: configure o DKIM
O padrão DKIM de autenticação de e-mails usa a criptografia de chaves públicas/privadas para assinar mensagens de e-mail. Ele impede que as mensagens sejam violadas quando em trânsito.
1. Primeiro, escolha um seletor do DKIM.
Exemplo: “standard._domain.example.com” = nome do host
2. Em seguida, gere um par de chaves pública-privada para seu domínio.
Windows: use PUTTYGen
Linux ou Mac: use ssh-keygen
3. Crie e publique um novo registro .txt com seu console de gerenciamento de DNS.
Deve ser como este: v=DKIM1; p=SuaChavePública
Etapa 4: monitore, comunique, repita
Agora vem o passo mais importante. Só que também o mais demorado. Você deverá configurar o DMARC para começar a monitorar seu tráfego de e-mails atual a fim de estabelecer uma linha de base sólida para o que é aprovado (e o que em algum momento será posto em quarentena ou rejeitado pelo DMARC).
OBSERVAÇÃO: embora seja tentador ir diretamente para a aplicação do DMARC, monitorar neste momento impedirá que mensagens importantes se percam ou sejam excluídas de forma irreversível depois que o DMARC estiver totalmente habilitado.
Veja como iniciar o monitoramento do tráfego pelo DMARC:
1. Verifique se configurou corretamente o SPF e o DKIM.
2. Crie um registro DNS.
O registro DMARC “txt” deve ter nome semelhante a “_dmarc.your_domain.com”.
Exemplo: “v=DMARC1;p=none; rua=mailto:dmarcreports@your_domain.com”
Se você gerenciar o DNS de seu domínio, crie um registro DMARC “p=none” (modo de monitoramento) da mesma forma que os registros SPF e DKIM.
Se não gerenciar o DNS, peça ao seu provedor de DNS para criar o registro DMARC para você.
3. Teste seu registro DMARC com uma ferramenta de verificação DMARC.
Observação: normalmente, você precisa aguardar de 24 a 48 horas pela replicação.
A partir de agora, o DMARC começará a gerar relatórios que mostrarão a você os e-mails enviados pelo seu domínio, inclusive mensagens sinalizadas pelo SPF e pelo DKIM.
Importante: aqui você descobrirá se remetentes legítimos que não foram incluídos no seu registro SPF aparecem no relatório (etapa 1). Se for o caso, atualize o registro.
Mas há um probleminha. Os relatórios são gerados em um formato XML, que é difícil de ler. Como você vai passar bastante tempo examinando os dados, recomendamos usar um processador de relatórios DMARC (como este da Valimail) para facilitar a análise.
Etapa 5: socialize e depois melhore a aplicação
Depois de você monitorar seu e-mail por tempo suficiente para acreditar que identificou quaisquer mensagens legítimas sinalizadas como não autorizadas, chegou a hora de intensificar a aplicação.
O DMARC tem dois níveis de aplicação: “quarentena” e “rejeitar”. O “rejeitar” é claramente muito mais seguro, e por isso nossa recomendação principal, mas qualquer um deles qualificará seu domínio para um VMC.
Porém, antes de rejeitar uma mensagem, convém deixá-la um tempo na quarentena. Veja como:
1. Faça login em seu servidor DNS e pesquise o registro DMARC.
2. Abra o registro DMARC para o domínio especificado e atualize a política de “p=none’ para “p=quarantine”.
Exemplo:
“v=DMARC1;p=quarantine;pct=10;rua=mailto:dmarcreports@your_domain.com”
3. Adicione o sinalizador “pct” (% de mensagens sujeitas a filtragem). Sugerimos começar com 10% e aumentar aos poucos a porcentagem até 100%.
Ao atingir a filtragem 100%, você conquista o status oficial de qualificado para o VMC e já pode começar a rejeitar.
Felizmente, essa é a etapa mais fácil:
1. Abra seu registro DMARC e altere “p=quarantine” para “p=reject”.
Parabéns! Você agora tem muito mais visibilidade das mensagens enviadas do seu domínio e melhor segurança para cada usuário. Além disso, você se protegeu contra vários tipos de ataque de phishing e qualificou sua organização para um certificado VMC (assim que ele estiver disponível).
Para saber mais sobre como proteger o acesso aos e-mails da sua organização, leia nosso artigo de blog sobre acesso remoto e protegido a e-mails.