Boas Práticas para DKIM e DMARC
Introdução
Com o aumento constante de ataques de phishing, spoofing e fraudes por e-mail, mecanismos de autenticação como DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance) tornaram-se essenciais para proteger a identidade digital das empresas e a integridade das mensagens enviadas.
Este artigo apresenta as melhores práticas para a configuração e manutenção de DKIM e DMARC, ajudando sua organização a garantir maior segurança, eficiência na entrega e reputação dos e-mails corporativos.
Entendendo SPF, DKIM e DMARC com uma analogia
Imagine que sua empresa envia cartas físicas aos seus clientes. A seguir, uma analogia simples para compreender como funcionam SPF, DKIM e DMARC nesse cenário.
SPF – Lista de carteiros autorizados
Você entrega suas cartas para um grupo de carteiros confiáveis (como seu provedor de e-mail, SMTP, etc.). O SPF permite que você informe aos sistemas de destino que somente esses carteiros estão autorizados a entregar mensagens em seu nome.
Se alguém tentar entregar cartas usando outro carteiro não autorizado, o sistema pode desconfiar da origem da mensagem.
DKIM – Selo e assinatura digital nas cartas
Toda carta que você envia vem com um selo único e assinatura digital, que só a sua empresa possui. Quando o destinatário recebe a carta, ele verifica se o selo está presente e íntegro.
Se o selo estiver quebrado ou ausente, a mensagem pode ser considerada fraudulenta ou adulterada.
DMARC – O vigia da portaria com regras
O DMARC atua como um sistema de verificação que combina SPF e DKIM para tomar decisões baseadas em políticas definidas. Ele avalia:
-
Se o remetente está autorizado (verificação SPF)
-
Se a assinatura digital é válida (verificação DKIM)
-
Se há alinhamento entre o domínio visível no "From" e o domínio autenticado
Com base nesses critérios, o DMARC executa ações conforme a política definida:
-
p=none
: Apenas monitora e envia relatórios (sem bloqueio) -
p=quarantine
: Direciona mensagens suspeitas para a quarentena (spam) -
p=reject
: Bloqueia completamente mensagens que não passam na verificação
Além disso, o DMARC envia relatórios periódicos com informações sobre tentativas de envio em seu nome, mensagens rejeitadas ou aprovadas, facilitando o monitoramento da integridade do seu domínio.
1. Boas Práticas para DKIM
Habilite DKIM para todos os domínios ativos
Garanta que todos os domínios (incluindo subdomínios) utilizados no envio de e-mails tenham DKIM configurado.
Utilize chaves de, no mínimo, 2048 bits
Evite chaves de 1024 bits. Chaves de 2048 bits oferecem proteção mais robusta contra ataques de força bruta.
Implemente rotação periódica das chaves
Defina uma política de rotação (por exemplo, a cada 6 ou 12 meses) para mitigar o risco de comprometimento prolongado.
Evite reutilização de seletores
Sempre que renovar uma chave, utilize um novo seletor para manter a consistência e evitar falhas em mecanismos externos.
Valide o funcionamento após alterações
Utilize ferramentas como dkimvalidator.com ou análise de cabeçalhos para confirmar que a assinatura DKIM está ativa e válida.
2. Boas Práticas para DMARC
Inicie com política p=none
Antes de aplicar bloqueios, utilize a política de monitoramento (p=none
) para entender como os provedores estão tratando seus envios e detectar eventuais falhas de autenticação.
Exemplo de configuração inicial:
Monitore os relatórios regularmente
Analise os relatórios agregados (rua) e de falhas (ruf) para identificar abusos, falhas de autenticação e fontes desconhecidas.
Evolua gradualmente a política
Após o período de monitoramento e ajustes:
-
Aplique
p=quarantine
para e-mails suspeitos -
Avance para
p=reject
após garantir que todos os remetentes legítimos estão devidamente autenticados
Use a tag sp
para proteger subdomínios
Defina políticas específicas para subdomínios usando a tag sp
, evitando brechas de segurança.
Exemplo:
Garanta alinhamento entre DMARC, SPF e DKIM
O DMARC exige que pelo menos SPF ou DKIM passem, e que o domínio autenticado esteja alinhado com o domínio do campo "From". Para isso:
-
Configure e valide o SPF com os servidores autorizados
-
Assegure que o DKIM utilize o mesmo domínio do endereço visível no e-mail (From)
3. Práticas Adicionais
Não envie e-mails de domínios sem autenticação
Evite que sistemas externos enviem mensagens em nome de domínios que não tenham SPF e DKIM configurados. Isso prejudica a reputação do domínio e aumenta a rejeição dos envios.
Bloqueie domínios inativos para envio
Domínios que não são utilizados para envio devem ter uma configuração explícita de bloqueio:
Mantenha inventário de remetentes legítimos
Documente todos os sistemas e serviços autorizados a enviar e-mails em nome da sua organização, como ERPs, CRMs, sistemas de automação e gateways SMTP.
Conclusão
Implementar boas práticas para DKIM e DMARC é fundamental para garantir a segurança, a confiabilidade e a reputação da comunicação por e-mail da sua empresa. Esses mecanismos não apenas protegem contra fraudes e abusos, mas também melhoram a taxa de entrega e fortalecem a imagem da sua marca perante clientes e parceiros.
Empresas que investem em autenticação de e-mails demonstram maturidade em segurança da informação e responsabilidade com a proteção de dados.