5 métodos de autenticação de e-mail para evitar o SPAM

A autentificação de e-mail é fundamental para que a sua mensagem chegue a caixa de entrada do seu destinatário, sem ser categorizada como spam

Frequentemente, negligenciamos a segurança do e-mail como um elemento importante neste meio universal da internet. No mundo dos negócios, uma caixa de entrada de e-mail é a forma básica de comunicação entre empresários, contratados, clientes e outras partes interessadas. 

Infelizmente, além de mensagens importantes e substanciais, uma grande quantidade de spam e ofertas promocionais chega às nossas caixas de entrada todos os dias. Como resultado, sem protocolos de autenticação de e-mails estabelecidos, é muito mais fácil forjar a comunicação da sua marca, expondo você e seus clientes a ataques de hackers e phishing. 

Além disso, e-mails sem autentificação podem ser enviados diretamente para a caixa de SPAM, reduzindo a entregabilidade de e-mails no e-commerce e atrapalhando o processo de comunicação com clientes.

O que é autenticação do E-mail?

Autenticar uma mensagem de e-mail significa garantir que ela foi entregue e atestar aos provedores de serviços de e-mail que ela veio de você e não de uma conta de spam se passando por você. 

Se autenticado, o servidor do destinatário processará o e-mail com segurança. Se a autenticação falhar, a mensagem é bloqueada, colocada em quarentena ou gerenciada conforme as regras definidas pela política de autenticação do provedor.

Como autenticar e-mails?

Atualmente, existem cinco formas preferenciais de autenticação de mensagens – SPF, DKIM, DMARC, BIMI e VMC. Os protocolos diferem entre si no método de autenticação, no grau de segurança e na dificuldade de configuração. Vamos dar uma olhada mais de perto em cada um deles.

1. Estrutura de política do remetente (SPF)

O protocolo SPF (Sender Policy Framework ou Estrutura da Política do Remetente) de autenticação de e-mails verifica se cada mensagem é originária de um servidor confiável, que está autorizado a enviar mensagens de um determinado domínio, resultando na aceitação da rejeição da mensagem. 

O SPF foi criado para reduzir o número de mensagens falsas enviadas por golpistas se passando por endereços de e-mail válidos ou por vírus. Já foi adequado para os primeiros sistemas de e-mail, mas apresenta alguns problemas para métodos modernos de envio de e-mail.

Os principais problemas com a autenticação SPF incluem:

• Não suporta encaminhamento de e-mail: o servidor do destinatário não valida a mensagem encaminhada porque o domínio de identificação parece ser o domínio do servidor de encaminhamento, não o domínio original.
• Pode ser facilmente enganado: o SPF usa um campo de caminho de retorno oculto para verificação, não um campo “De” que o destinatário possa ver. Um hacker tentando obter informações pode enviar um campo válido procurando por um domínio e endereço de e-mail no campo “De”, mas usar seu e-mail como caminho de retorno e usar seu sistema de autenticação para passar na verificação do servidor.
• Pode ficar muito complexo: os registros SPF são armazenados em texto simples no domínio DNS e especificam os endereços IP, com permissão para enviar pelo domínio. Se não estiverem corretos, a autenticação falha mesmo que a mensagem e o remetente sejam genuínos.
• Ele aprova vários usuários nos mesmos endereços de IP: sistemas compartilhados, como plataformas em nuvem, podem hospedar vários serviços com endereços IP atribuídos dinamicamente. Embora você possa especificar e aprovar um IP, ele também pode permitir que qualquer outra pessoa use o mesmo IP compartilhado com seu registro SPF.

Apesar dos problemas associados a este tipo de segurança, o SPF deve ser implementado. Ele fornece a base sobre a qual você pode construir uma segurança geral maior. E se você não programou a entrada SPF, há uma chance de suas mensagens não chegarem aos destinatários. No entanto, não é suficiente para garantir a segurança dos e-mails atualmente, devendo ser combinado a outros métodos de autenticação de e-mails.

2. E-mail identificado por DomainKeys (DKIM)

O método DKIM ou DomainKeys, que em tradução livre significa chaves do domínio, é um protocolo de autenticação de e-mails mais seguro, pois garante que a mensagem não seja alterada durante a transmissão. 

O padrão DKIM permite o uso de uma assinatura criptografada que verifica a origem da mensagem. Quando um e-mail é enviado, uma “hashtag” é gerada com base no conteúdo da mensagem. Essa hashtag é criptografada com a chave privada do domínio e anexada ao cabeçalho do e-mail. 

O servidor de e-mail do destinatário lê as informações criptografadas com uma chave pública localizada no DNS e, se tudo der certo, a autenticação é realizada. Todo o processo de descriptografia de mensagens é feito automaticamente pelos provedores. 

Os principais problemas com o protocolo de autenticação DKIM são:

• Provisionamento e gerenciamento de chaves: chaves mais longas e seguras podem ser problemáticas quando usadas em um domínio DNS. Essas cadeias de dados longas podem ser facilmente violadas, incluindo copiar e colar.
• Conteúdo flexível: torna-se problemático quando o conteúdo do e-mail é alterado. Como resultado, a assinatura não pode ser verificada positivamente. Portanto, você deve alterar as configurações e desabilitar as alterações do conteúdo ou configurar o DKIM para criptografar somente após essa alteração.
• Chave de segurança: um hacker que assina mensagens usando o domínio de outra pessoa pode verificar seus e-mails usando a chave privada desse domínio.
• Assinaturas inconsistentes: uma assinatura DKIM válida pode usar um domínio completamente diferente daquele especificado no campo “De”. Isso facilita o phishing de um domínio de e-mail diferente.

O DKIM é muito importante para os tipos de negócios que são objetos de ataques de phishing e spoofing. Lembre-se de que a falta da assinatura DKIM pode fazer com que, até mesmo o conteúdo mais valioso de remetentes confiáveis, ​​vá para o Spam, ou seja bloqueado pelo provedor no nível do servidor.

Para melhorar o aproveitamento do DKIM, é necessário conectá-lo ao DMARC e incluir o domínio utilizado no campo “De”. Graças a isso, o destinatário, sabendo que o verdadeiro remetente usa DKIM, pode verificar se é um ataque de spam. Para conferir, vale enviar um e-mail para um destinatário de confiança ou para outro endereço de e-mail que você utilize. Os provedores de serviços de e-mail geralmente permitem que o destinatário verifique a precisão da chave DKIM.

Leia também: Como configurar SPF e DKIM nos principais serviços de hospedagem

3. Relatórios e conformidade de autenticação de mensagem baseada em domínio (DMARC)

O DMARC (Domain-based Message Authentication Reporting and Conformance ou Relatórios e conformidade de autenticação de mensagem baseada em domínio) garante que os e-mails atendam aos requisitos SPF e DKIM antes da entrega. 

Conforme mencionado anteriormente, o DMARC impõe o uso do domínio definido no campo de origem para impedir que hackers e invasores usem domínios alternativos para ignorar as verificações de segurança. Esse método de autenticação de e-mail também inclui um mecanismo de relatório que permite ao remetente decidir como lidar com os resultados da verificação. 

Observe que a proteção definida como “estrita” pode resultar na rejeição de boletins informativos e outras mensagens, como as de diferentes filiais da mesma empresa. Para determinar a opção apropriada, vale a pena ler os relatórios com antecedência.

O DMARC permite que os proprietários de domínio publiquem políticas que informam aos iniciadores de caixa de correio DMARC, como lidar com mensagens não autenticadas, enviadas de seus domínios. 

A política tem três resultados: não fazer nada, colocar em quarentena (marcar como spam) ou rejeitar. O relatório DMARC alerta os proprietários de domínio sobre a origem dessas mensagens com falha e fornece informações importantes sobre a violação e o que eles podem fazer para se protegerem ainda mais.

A configuração adequada do DMARC é a única maneira conhecida de impedir a falsificação de mensagens de e-mail. O usuário que usa o DMARC não precisa realizar nenhuma ação adicional porque os testes do DMARC são executados pelos provedores de serviço.

4. Indicadores de Marca para Identificação de Mensagens (BIMI)

O BIMI (Brand Indicators for Message Identification ou Indicadores de Marca para Identificação de Mensagens)  permite que sua empresa publique um novo registro DNS padronizado para seu domínio. Isso significa que, ao usar esse método de autenticação de e-mail, o logotipo da sua empresa será visualizado ao lado de um e-mail na caixa de entrada do cliente. 

Com a integração do BIMI pelo Google no G Suite, é apenas uma questão de tempo até que o resto do mundo siga o exemplo. 

O BIMI realiza uma verificação final focada na confiabilidade do remetente e na exibição da imagem da marca na caixa de entrada do destinatário. Para as marcas, o BIMI significa maior confiança dos destinatários que se sentem confiantes ao receber e-mails verificados. Ele, portanto, fornece identificação de conteúdo e seus criadores ajudam a combater o phishing e tem um impacto positivo na segurança, reforçando a identidade e a confiança da marca.

Principais vantagens do BIMI

O BIMI é importante para fins de branding e capacidade de entrega de e-mail. Para habilitar o BIMI, você deve primeiro verificar e-mails com protocolos de autenticação SPF, DKIM e DMARC e garantir que eles combinem entre si (o domínio é o mesmo em todos os casos). 

Para que a autenticação resultante apareça nas caixas de correio dos destinatários, você também deve colocar o arquivo do logotipo correspondente como um link. Antes disso, no entanto, o URL do logotipo é escaneado e verificado com o VMC. 

Ou seja, você deve provar ao BIMI que tem o direito de utilização de imagens associadas à marca, principalmente o seu logotipo. O objetivo é proteger sua marca, garantindo que os destinatários recebam apenas e-mails enviados por você e não por outra pessoa. 

5. Certificado de Marca Verificada (VMC)

O VMC (Verified Mark Certificate ou certificado de Marca verificada) é um novo tipo de certificado digital que certifica a autenticidade do logotipo associado ao domínio do remetente de um e-mail, e já são um requisito para a operação BIMI. 

É importante ressaltar que o logotipo usado para VMC deve ser registrado no Escritório de Patentes. Para o Brasil, deve-se solicitar o registro de patentes pelo INPI (Instituto Nacional da Propriedade Industrial).  

Todos os dias, dezenas ou até centenas de e-mails chegam às nossas caixas de entrada. Algumas delas passam despercebidas, outras são consideradas spam, e outras representam diversas formas de abuso. 

Infelizmente, escolher apenas um método de autenticação de e-mail não fornece uma solução abrangente que deixa a sua marca à prova de golpes. No entanto, se você decidir combinar esses protocolos em um, logo notará um aumento no número de mensagens entregues por campanha de e-mail marketing, levando a uma melhoria na comunicação por e-mail e na autenticidade da sua marca.

Com os cenários de automação de marketing da edrone você também pode melhorar o alcance das suas campanhas, segmentando melhor seus clientes e enviando a mensagem certa, para a pessoa certa, na hora certa!