fbpx
Invista no exterior sem taxas com a Nomad

A segurança dos e-mails aprimorada com DKIM e SPF

1.780

Um tópico de grande relevância na Internet é a segurança dos e-mails. Em busca disso, a utilização de mecanismos modernos como o DKIM e SPF são cruciais.

A segurança dos e-mails vem sendo debatida e bastante melhorada nos últimos anos.

Grandes empresas do setor de tecnologia abraçaram a causa visando diminuir o volume de spams, bem como a redução de práticas criminosas aplicadas sobre os usuários da rede.

Há pouco mais de 6 anos, realizou-se a mudança da porta padrão do SMTP (Simple Mail Transfer Protocol) para facilitar a identificação de anomalias nas transferências de e-mails.

No entanto, ainda temos que percorrer um caminho longo na busca de novas formas de aperfeiçoamentos. Hoje, vou apresentar dois mecanismos não tão novos, mas ainda pouco difundidos: DKIM e SPF.

Leia mais:

O que é o SPF (Sender Policy Framework)?

O SPF foi introduzido como uma forma de validar se as mensagens foram enviadas por um servidor de e-mail autorizado pelo detentor de determinado domínio.

Isso porque, ao preparar uma mensagem para envio, é possível informar qualquer remetente (fulano@dominio.com.br), mesmo que você não seja o dono do domínio.

Sendo assim, para furar a segurança dos e-mails, um spammer ou qualquer outra pessoa pode se utilizar disso para enviar e-mails falsos em nome de outros.

Como funciona o SPF

Os servidores de e-mail (Gmail, Outlook etc), ao receberem qualquer mensagem, validam junto ao domínio do remetente qual ou quais são os servidores (IPs) permitidos a enviarem em seu nome.

Assim, como cada servidor tem sua própria política, ele pode receber ou rejeitar a mensagem. Além disso, as entidades que mantêm listas de bloqueio ou permissão (black/white lists) podem ser alertadas sobre qualquer uso indevido.

O que é e como funciona SPF
O que é e como funciona SPF

Como configurar o SPF

Para criar o SPF, você precisa adicionar uma chave TXT na configuração de registros DNS do domínio. E, para que ela seja válida, deve conter as seguintes diretrizes:

  1. Um registro SPF deve sempre começar com o número da versão v=spf1 (versão 1).
  2. Após incluir a tag de versão, você deve informar todos os endereços IP autorizados a enviar e-mail em seu nome. Por exemplo: v=spf1 ip4:18.229.190.53 ip6:0:0:0:0:0:ffff:12e5:be35
  3. Em seguida, você pode informar todos os serviços de terceiros que podem enviar e-mails em seu nome. Por exemplo: v=spf1 ip4:18.229.190.53 include:servicoterceiro.com.br
  4. A última definição é você aplicar a política aos e-mails provenientes de fontes não autorizadas:
    • -all: servidores não listados não possuem autorização e o sistema rejeitará os e-mails provenientes deles.
    • ~all: o sistema aceitará os e-mails provenientes de servidores não listados, porém, irá marcá-los.
    • +all: aceita e-mails provenientes de qualquer fonte (não recomendado).
Retorno da validação do SPF

Após a criação do registro, é possível validar se o mesmo está em conformidade com o padrão nesse site.

O que é o DKIM (Domain Keys Identified Mail)?

O DKIM é um mecanismo para assinatura e autenticação com um par chaves pública/privada das mensagens de e-mails enviadas. O SPF garante a autenticidade do servidor, enquanto o DKIM certifica ao destinatário que a mensagem não foi alterada até ser entregue.

Fazendo uma analogia, podemos dizer que o SPF funciona como o carteiro dos Correios que entrega a carta (e-mail) e garante sua autenticidade, enquanto o DKIM age como a segurança que verifica se a carta não foi violada ou teve seu conteúdo modificado durante o trajeto entre a coleta e a entrega.

Como funciona o DKIM

A assinatura DKIM é gerada pelo MTA (Mail Transfer Agent). Ele cria uma sequência única de caracteres através de uma função de Hash.

Então, você deve armazenar esse valor nas configurações de DNS do domínio. Após receber o e-mail, o destinatário pode verificar a assinatura usando a chave pública registrada no DNS.

Ele usa essa chave para descriptografar o valor de hash no cabeçalho e recalcular o valor de hash do e-mail recebido. Se as duas assinaturas DKIM corresponderem, o MTA saberá que o e-mail não foi alterado.

Portanto, essa confirmação garante ao usuário que o e-mail foi realmente enviado do domínio listado, estabelecendo assim a sua procedência.

Como configurar o DKIM

O primeiro passo é realizar o inventário de todos os domínios que farão envios dos seus e-mails.

Em seguida, é preciso instalar e configurar nos servidores de e-mail o software responsável por assinar cada mensagem antes do envio. O site do DKIM.org tem uma relação dos softwares e serviços e, ainda, como realizar a configuração.

Após isso, é preciso criar o par de chaves pública/privada DKIM. Eu utilizei o DKIM Wizard da SparkPost.

Com a chave pública em mãos, é preciso que você publique-a em um registro TXT do DNS com o nome utilizado no wizard.

Já a chave privada deve ser adiciona em seu servidor no aplicativo responsável por assinar digitalmente seus e-mails.

Para verificar se sua configuração DKIM no DNS está correta visite esse site.

Os comentários estão fechados, mas trackbacks E pingbacks estão abertos.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More