Ajuda Skymail

Menu

Boas Práticas para DKIM e DMARC

Avatar
Ronaldo Melo
  • Atualizado

Introdução

Com o aumento constante de ataques de phishing, spoofing e fraudes por e-mail, mecanismos de autenticação como DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance) tornaram-se essenciais para proteger a identidade digital das empresas e a integridade das mensagens enviadas.

Este artigo apresenta as melhores práticas para a configuração e manutenção de DKIM e DMARC, ajudando sua organização a garantir maior segurança, eficiência na entrega e reputação dos e-mails corporativos.

Entendendo SPF, DKIM e DMARC com uma analogia

Imagine que sua empresa envia cartas físicas aos seus clientes. A seguir, uma analogia simples para compreender como funcionam SPF, DKIM e DMARC nesse cenário.

SPF – Lista de carteiros autorizados

Você entrega suas cartas para um grupo de carteiros confiáveis (como seu provedor de e-mail, SMTP, etc.). O SPF permite que você informe aos sistemas de destino que somente esses carteiros estão autorizados a entregar mensagens em seu nome.

Se alguém tentar entregar cartas usando outro carteiro não autorizado, o sistema pode desconfiar da origem da mensagem.

DKIM – Selo e assinatura digital nas cartas

Toda carta que você envia vem com um selo único e assinatura digital, que só a sua empresa possui. Quando o destinatário recebe a carta, ele verifica se o selo está presente e íntegro.

Se o selo estiver quebrado ou ausente, a mensagem pode ser considerada fraudulenta ou adulterada.

DMARC – O vigia da portaria com regras

O DMARC atua como um sistema de verificação que combina SPF e DKIM para tomar decisões baseadas em políticas definidas. Ele avalia:

  • Se o remetente está autorizado (verificação SPF)

  • Se a assinatura digital é válida (verificação DKIM)

  • Se há alinhamento entre o domínio visível no "From" e o domínio autenticado

Com base nesses critérios, o DMARC executa ações conforme a política definida:

  • p=none: Apenas monitora e envia relatórios (sem bloqueio)

  • p=quarantine: Direciona mensagens suspeitas para a quarentena (spam)

  • p=reject: Bloqueia completamente mensagens que não passam na verificação

Além disso, o DMARC envia relatórios periódicos com informações sobre tentativas de envio em seu nome, mensagens rejeitadas ou aprovadas, facilitando o monitoramento da integridade do seu domínio.

1. Boas Práticas para DKIM

Habilite DKIM para todos os domínios ativos
Garanta que todos os domínios (incluindo subdomínios) utilizados no envio de e-mails tenham DKIM configurado.

Utilize chaves de, no mínimo, 2048 bits
Evite chaves de 1024 bits. Chaves de 2048 bits oferecem proteção mais robusta contra ataques de força bruta.

Implemente rotação periódica das chaves
Defina uma política de rotação (por exemplo, a cada 6 ou 12 meses) para mitigar o risco de comprometimento prolongado.

Evite reutilização de seletores
Sempre que renovar uma chave, utilize um novo seletor para manter a consistência e evitar falhas em mecanismos externos.

Valide o funcionamento após alterações
Utilize ferramentas como dkimvalidator.com ou análise de cabeçalhos para confirmar que a assinatura DKIM está ativa e válida.

2. Boas Práticas para DMARC

Inicie com política p=none
Antes de aplicar bloqueios, utilize a política de monitoramento (p=none) para entender como os provedores estão tratando seus envios e detectar eventuais falhas de autenticação.

Exemplo de configuração inicial:

ini
 
v=DMARC1; p=none; rua=mailto:relatorios@seudominio.com; ruf=mailto:falhas@seudominio.com; fo=1

Monitore os relatórios regularmente
Analise os relatórios agregados (rua) e de falhas (ruf) para identificar abusos, falhas de autenticação e fontes desconhecidas.

Evolua gradualmente a política
Após o período de monitoramento e ajustes:

  • Aplique p=quarantine para e-mails suspeitos

  • Avance para p=reject após garantir que todos os remetentes legítimos estão devidamente autenticados

Use a tag sp para proteger subdomínios
Defina políticas específicas para subdomínios usando a tag sp, evitando brechas de segurança.

Exemplo:

ini
 
v=DMARC1; p=reject; sp=reject; rua=mailto:relatorios@seudominio.com

Garanta alinhamento entre DMARC, SPF e DKIM
O DMARC exige que pelo menos SPF ou DKIM passem, e que o domínio autenticado esteja alinhado com o domínio do campo "From". Para isso:

  • Configure e valide o SPF com os servidores autorizados

  • Assegure que o DKIM utilize o mesmo domínio do endereço visível no e-mail (From)

3. Práticas Adicionais

Não envie e-mails de domínios sem autenticação
Evite que sistemas externos enviem mensagens em nome de domínios que não tenham SPF e DKIM configurados. Isso prejudica a reputação do domínio e aumenta a rejeição dos envios.

Bloqueie domínios inativos para envio
Domínios que não são utilizados para envio devem ter uma configuração explícita de bloqueio:

ini
 
v=DMARC1; p=reject; rua=mailto:relatorios@seudominio.com v=spf1 -all

Mantenha inventário de remetentes legítimos
Documente todos os sistemas e serviços autorizados a enviar e-mails em nome da sua organização, como ERPs, CRMs, sistemas de automação e gateways SMTP.

Conclusão

Implementar boas práticas para DKIM e DMARC é fundamental para garantir a segurança, a confiabilidade e a reputação da comunicação por e-mail da sua empresa. Esses mecanismos não apenas protegem contra fraudes e abusos, mas também melhoram a taxa de entrega e fortalecem a imagem da sua marca perante clientes e parceiros.

Empresas que investem em autenticação de e-mails demonstram maturidade em segurança da informação e responsabilidade com a proteção de dados.

Artigos relacionados