Práticas recomendadas para suporte à autenticação de remetente no Email dos Serviços de Comunicação do Azure
Este artigo fornece as práticas recomendadas de envio de email em registros DNS e como usar os métodos de autenticação de remetente que ajudam a impedir que invasores enviem mensagens que parecem vir do seu domínio.
Autenticação de e-mail e configuração de DNS
Enviar um e-mail requer várias etapas que incluem verificar se o remetente do e-mail realmente possui o domínio, verificar a reputação do domínio, verificação de vírus, filtragem de spam, tentativas de phishing, malware, etc. Configurar a autenticação de e-mail adequada é um princípio fundamental para estabelecer confiança no e-mail e proteger a reputação do seu domínio. Se um e-mail passar nas verificações de autenticação, o domínio de recebimento poderá aplicar uma política a esse e-mail de acordo com a reputação já estabelecida para as identidades associadas a essas verificações de autenticação, e o destinatário poderá ter certeza de que essas identidades são válidas.
Registo MX (Mail Exchange)
O registro MX (Mail Exchange) é usado para rotear e-mails para o servidor correto. Ele especifica o servidor de email responsável por aceitar mensagens de e-mail em nome do seu domínio. O DNS precisa ser atualizado com as informações mais recentes dos registros MX do seu domínio de e-mail, caso contrário, resultará em algumas falhas de entrega.
SPF (Estrutura de Política de Remetente)
O SPF RFC 7208 é um mecanismo que permite aos proprietários de domínios publicar e manter, através de um registo TXT DNS padrão, uma lista de sistemas autorizados a enviar e-mails em seu nome. Esse registro é usado para especificar quais servidores de email estão autorizados a enviar e-mails em nome do seu domínio. Isso ajuda a evitar falsificação de e-mail e aumentar a capacidade de entrega de e-mails.
DKIM (Chaves de Domínio Identificadas Mail)
O DKIM RFC 6376 permite que uma organização reivindique a responsabilidade pela transmissão de uma mensagem de uma forma que possa ser validada pelo destinatário. Esse registro também é usado para autenticar o domínio do qual o e-mail é enviado e ajuda a evitar falsificação de e-mails e aumentar a capacidade de entrega de e-mails.
DMARC (Autenticação, relatórios e conformidade de mensagens com base em domínio)
O DMARC RFC 7489 é um mecanismo escalável pelo qual uma organização de origem de email pode expressar políticas e preferências de nível de domínio para validação, eliminação e relatórios de mensagens que uma organização de recebimento de email pode usar para melhorar o tratamento de email. Ele também é usado para especificar como os destinatários de e-mail devem lidar com mensagens que falham nas verificações SPF e DKIM. Isso melhora a capacidade de entrega de e-mails e ajuda a evitar falsificações de e-mails.
ARC (Cadeia Recebida Autenticada)
O protocolo ARC RFC 8617 fornece uma cadeia de custódia autenticada para uma mensagem, permitindo que cada entidade que manipula a mensagem identifique quais entidades a manipularam anteriormente, bem como a avaliação de autenticação da mensagem em cada salto. ARC ainda não é um padrão de internet, mas a adoção está aumentando.
Como funciona a autenticação de e-mail
A autenticação de email verifica se as mensagens de e-mail de um remetente (por exemplo, ) são legítimas e vêm de fontes esperadas para esse domínio de e-mail (por exemplo, notification@contoso.comcontoso.com.) Uma mensagem de e-mail pode conter vários endereços de remetente ou remetente. Estes endereços são utilizados para diferentes fins. Por exemplo, considere estes endereços:
O endereço Mail From identifica o remetente e especifica para onde enviar avisos de retorno se ocorrer algum problema com a entrega da mensagem, como avisos de não entrega. Isso aparece na parte do envelope de uma mensagem de e-mail e não é exibido pelo seu aplicativo de e-mail. Isso às vezes é chamado de endereço 5321.MailFrom ou o endereço de caminho inverso.
Endereço de origem é o endereço exibido como o endereço de origem pelo seu aplicativo de e-mail. Este endereço identifica o autor do e-mail. Ou seja, a caixa de correio da pessoa ou sistema responsável por escrever a mensagem. Isso às vezes é chamado de endereço 5322.From.
O SPF (Sender Policy Framework) ajuda a validar emails de saída enviados do seu e-mail do domínio (vem de quem diz ser).
O DomainKeys Identified Mail (DKIM) ajuda a garantir que os sistemas de email de destino confiem nas mensagens enviadas do seu e-mail do domínio.
O DMARC (Domain-based Message Authentication, Reporting, and Conformance) funciona com o SPF (Sender Policy Framework) e o DKIM (DomainKeys Identified Mail) para autenticar remetentes de email e garantir que os sistemas de email de destino confiem nas mensagens enviadas do seu domínio.
Implementação do DMARC
A implementação do DMARC com SPF e DKIM oferece proteção avançada contra falsificação e phishing de e-mails. O SPF usa um registro TXT DNS para fornecer uma lista de endereços IP de envio autorizados para um determinado domínio. Normalmente, as verificações SPF são realizadas apenas no endereço 5321.MailFrom. Isso significa que o endereço 5322.From não é autenticado quando você usa SPF por si só. Isso permite um cenário em que um usuário pode receber uma mensagem, que passa por uma verificação SPF, mas tem um endereço de remetente falsificado 5322.From .
Como os registros DNS para SPF, o registro para DMARC é um registro de texto DNS (TXT) que ajuda a evitar falsificação e phishing. Você publica registros TXT DMARC no DNS. Os registros TXT DMARC validam a origem das mensagens de e-mail verificando o endereço IP do autor de um e-mail contra o suposto proprietário do domínio de envio. O registro TXT DMARC identifica servidores de e-mail de saída autorizados. Os sistemas de e-mail de destino podem então verificar se as mensagens que recebem são originárias de servidores de e-mail de saída autorizados. Isso força uma incompatibilidade entre os endereços 5321.MailFrom e 5322.From em todos os e-mails enviados do seu domínio e o DMARC falhará para esse e-mail. Para evitar isso, você precisa configurar o DKIM para seu domínio.
Um registro de política DMARC permite que um domínio anuncie que seu e-mail usa autenticação; fornece um endereço de e-mail para recolher feedback sobre a utilização do seu domínio; e especifica uma política solicitada para o tratamento de mensagens que não passam nas verificações de autenticação. Recomendamos que
- Os domínios de declarações de política que publicam registros DMARC devem ser "p=reject" sempre que possível, "p=quarentena" caso contrário.
- A declaração de política de "p=none", "sp=none" e pct<100 deve ser vista apenas como estados de transição, com o objetivo de removê-los o mais rápido possível.
- Qualquer registro de política DMARC publicado deve incluir, no mínimo, uma tag "rua" que aponte para uma caixa de correio para receber relatórios agregados DMARC e não deve enviar respostas de volta ao receber relatórios devido a preocupações de privacidade.
Próximos passos
Os seguintes documentos podem ser interessantes para si:
- Familiarize-se com a biblioteca de cliente de e-mail
- Como enviar e-mails com domínios verificados personalizados? Adicionar domínios personalizados
- Como enviar emails com o Azure Managed Domains? Adicionar domínios gerenciados do Azure