O protocolo DMARC (Domain-based Message Authentication, Reporting & Conformance) tem como objetivo reduzir o envio de e-mails de phishing e os ataques de comprometimento de e-mail corporativo (BEC). Para empresas que possuem um servidor de domínio de e-mails, habilitar esse protocolo é uma prática recomendada.

Uma dica importante para administradores de TI é publicar um ou mais registros DMARC no sistema de nomes de domínio (DNS) e definir políticas para orientar os destinatários sobre como lidar com e-mails que falharem na autenticação. Dependendo do servidor de domínio utilizado (Microsoft 365, Google Workspace ou Amazon SES), a configuração pode ser feita facilmente seguindo as diretrizes específicas de cada plataforma.

Por que é importante habilitar o DMARC?

Sabendo que os cibercriminosos utilizam diversos métodos para falsificar identidades e se passar por pessoas legítimas diante de clientes, funcionários e fornecedores, a implementação do DMARC se torna uma estratégia essencial para minimizar o impacto dessas ameaças, incluindo:

  • Spoofing (falsificação) de domínios: Um cibercriminoso pode identificar domínios sem DMARC habilitado e usá-los para falsificar o e-mail de uma empresa ou instituição, simulando comunicações legítimas. Com isso, aplicam técnicas de engenharia social para enganar os destinatários e obter informações confidenciais.
  • Spoofing (falsificação) de e-mail: Assim como no caso anterior, um atacante pode usar ferramentas de código aberto para verificar se um e-mail possui o protocolo DMARC e, caso ele não esteja habilitado, explorar essa vulnerabilidade para falsificar a identidade do remetente.
  • Comprometimento de e-mail corporativo (BEC): Esse ataque ocorre quando um e-mail parece ter sido enviado por um executivo de uma empresa ou instituição, solicitando informações sensíveis ou, em alguns casos, transferências financeiras, enganando os destinatários.

A partir disso, podem surgir ameaças mais específicas após a falsificação do domínio do e-mail:

  • E-mail impostor: ocorre quando um cibercriminoso envia um e-mail se passando por outra pessoa, com a intenção de obter um benefício econômico ou material.
  • Phishing por e-mail: o cibercriminoso tenta fazer com que suas vítimas instalem malware ou revelem suas credenciais por meio de um formulário ou diretamente no e-mail.
  • Phishing direcionado ao consumidor: algumas das grandes violações de dados começaram com um e-mail falsificado enviado ao consumidor de uma empresa ou instituição, fingindo ser essa empresa, com o objetivo de roubar suas credenciais.
  • Spoofing (falsificação) de parceiros: após falsificar um e-mail corporativo, o cibercriminoso busca manipular detalhes de pagamento para desviar fundos e obter informações privilegiadas.
  • Whaling Phishing: esse tipo de phishing tem como alvo perfis de alto nível dentro de uma organização, visando obter um benefício financeiro ou material.

Dois passos dos cibercriminosos para verificar a vulnerabilidade de um domínio ao spoofing

Existem ferramentas de código aberto e plataformas que podem determinar se um domínio de e-mail pode ser falsificado. Por isso, o primeiro passo que um cibercriminoso tomaria é usar qualquer recurso que permita identificar se um e-mail utiliza ou não o DMARC.

dmarc-configuracion-seguridad-email-1
Imagem 1. Ferramenta que permite identificar se um domínio pode ser falsificado.
dmarc-configuracion-seguridad-email-2
Imagem 2. Exemplo de domínio com DMARC ativado.
dmarc-configuracion-seguridad-email-3
Imagem 3. Exemplo de domínio sem DMARC ativado, podendo ser usado para falsificação de identidade.

Uma vez confirmado que o domínio não possui DMARC, o próximo passo do cibercriminoso seria enviar um e-mail utilizando o domínio falsificado.

dmarc-configuracion-seguridad-email-4
Imagem 4. Script em Python que permitiria a um cibercriminoso enviar um e-mail de phishing com o domínio falsificado.

Vantagens de implementar DMARC

  • Bloqueia a falsificação de identidade de organizações legítimas usada em fraudes.
  • Protege a reputação da empresa ou organização.
  • Melhora a entrega de e-mails legítimos.
  • Oferece maior monitoramento e visibilidade sobre tentativas de abuso do domínio.
  • Ajuda no cumprimento de normas e boas práticas de cibersegurança.

Desvantagens de implementar DMARC

  • Requer conhecimentos técnicos para configuração adequada.
  • Se configurado incorretamente, pode bloquear ou marcar como spam e-mails legítimos.
  • Exige manutenção constante das políticas de DMARC.
  • Não é uma solução 100% infalível, sendo necessário combiná-la com outras ferramentas de cibersegurança, como XDR ou EDR.

Lembre-se de que, se o responsável pela gestão de um domínio corporativo não ativar o DMARC, a empresa fica exposta a riscos como a falsificação de e-mails ou domínios. Isso pode resultar em uma violação de dados, na disseminação de malware (como trojans, spyware ou ransomware) e, além disso, na perda de reputação da empresa vítima.