O spoofing de domínios de e-mail é uma técnica amplamente utilizada por cibercriminosos para se passar por empresas ou organizações legítimas. Ao falsificar a identidade de uma entidade confiável, eles aumentam a credibilidade de suas mensagens perante potenciais vítimas. Esse tipo de ataque geralmente envolve links para sites maliciosos ou anexos infectados, projetados para comprometer dispositivos e roubar informações sensíveis.

Esse tipo de ciberataque não afeta apenas quem recebe o e-mail malicioso, mas também, de forma secundária, a empresa cuja identidade foi falsificada. Essas empresas veem sua reputação e confiabilidade em risco e, em alguns casos mais extremos, podem enfrentar consequências legais por serem consideradas insuficientes (ou inexistentes) as ações tomadas para conscientizar seus clientes.

Embora o spoofing de domínio seja possível devido ao design dos protocolos envolvidos no envio de e-mails, existem certos mecanismos de segurança que permitem aos administradores de domínios corporativos prevenir esses envios ou diferenciar e-mails legítimos de falsificados.

Registros SPF

Um registro SPF (Sender Policy Framework) é uma entrada de texto simples no DNS que permite identificar quais servidores de e-mail estão autorizados a enviar mensagens em nome do domínio gerenciado. Esses registros foram criados especificamente para prevenir o spoofing de e-mails, sendo uma das medidas mais simples a serem adotadas.

Com um registro SPF configurado, todo servidor de e-mail receptor verificará, por meio de uma consulta DNS, se o servidor remetente coincide com algum dos autorizados. Se coincidir, o e-mail é autorizado e passa para outras verificações. Caso contrário, pode ser marcado como spam ou rejeitado, dependendo da política definida no registro.

Campos de um registro SPF

Os campos de um registro SPF permitem filtrar e-mails com base em diferentes origens. Os parâmetros configuráveis incluem:

  • ip4: Autoriza servidores por meio de um endereço ou um intervalo de endereços IPv4.
  • ip6: Autoriza servidores por meio de um endereço ou um intervalo de endereços IPv6.
  • a: Autoriza servidores pelo nome de domínio.
  • mx: Autoriza servidores com base no registro MX do domínio.
  • include: Autoriza remetentes de e-mails externos por seu domínio.
  • all: Define a ação para todos os servidores não especificados. Se for usado -all, todos os e-mails que não passarem na validação serão rejeitados pelo servidor receptor. Com ~all, uma versão mais flexível, e-mails que não passarem na validação serão aceitos, mas marcados como spam.

Aqui estão alguns exemplos de registros SPF:

v=spf1 ip4:192.168.1.10 ip4:192.168.2.20 -all => Autoriza dois servidores emissores.

v=spf1 include:spf.protection.outlook.com a:mail.ejemplo.com -all => Permite o servidor que resolve para mail.ejemplo.com e para provedores de e-mail do Microsoft 365.

v=spf1 mx ~all => Autoriza e-mails provenientes de servidores definidos nos próprios registros MX, e aqueles não autorizados são enviados, mas marcados como suspeitos.

É importante considerar que um registro SPF mal configurado pode causar falhas na entrega de e-mails enviados pelo servidor, por isso recomendamos testar essas configurações antes de ativá-las.

DKIM e DMARC

DKIM (DomainKeys Identified Mail) é outro mecanismo de autorização de e-mails que, por meio do uso de criptografia assimétrica, assegura a autenticidade do remetente do e-mail. Ele funciona como uma camada adicional sobre os registros SPF, complementando a proteção contra spoofing e outros ataques relacionados.

O funcionamento do DKIM pode ser dividido em duas partes principais. Primeiramente, a assinatura do e-mail enviado: quando uma mensagem é enviada de um domínio, o servidor configurado com DKIM adiciona uma assinatura digital nos cabeçalhos do e-mail, gerada com a chave privada do próprio servidor. Em seguida, o servidor receptor obtém a chave pública no DNS do domínio emissor e verifica a assinatura, considerando legítimos os e-mails cujas assinaturas coincidam.

Esse mecanismo não só previne o spoofing do domínio pertencente ao servidor emissor, mas também reforça a confiança do receptor: um e-mail proveniente de um domínio com DKIM configurado tem menores chances de ser marcado erroneamente como spam.

A configuração do DKIM não é complexa, mas envolve vários passos. Para isso, recomendamos seguir as orientações dos serviços que sua organização utiliza, como Google Workspace ou Microsoft 365.

Como complemento a essas duas tecnologias, surge o DMARC (Domain-based Message Authentication, Reporting and Conformance). Este é um protocolo projetado para garantir não apenas o cumprimento das validações SPF e DKIM, mas também para determinar as ações a serem tomadas em relação aos e-mails que não cumprirem essas validações.

De acordo com a configuração DMARC, o servidor receptor pode aceitar, rejeitar ou colocar em quarentena (por exemplo, em spam) um e-mail que não atenda às políticas estabelecidas. Além disso, ele pode enviar relatórios periódicos sobre essas ocorrências ao administrador, o que permite monitorar tentativas de usurpação de identidade ou spoofing e ajustar as políticas conforme necessário.

BIMI

Até agora, todas as políticas abordadas neste artigo são transparentes para o usuário final, que é quem recebe o e-mail. Embora sejam necessárias, também é fundamental garantir ao receptor de maneira explícita que a mensagem é realmente de quem diz ser.

E é aqui que entra o BIMI (Brand Indicator for Message Identification), um padrão de identificação visual que permite que as organizações associem seus logotipos aos e-mails enviados de seus servidores. Esse logotipo aparece diretamente na caixa de entrada do destinatário (ao lado do remetente), proporcionando uma identificação visual imediata da empresa e reforçando a confiança na comunicação por e-mail.

A implementação do BIMI requer vários passos comuns à maioria dos servidores de e-mail. Primeiramente, é necessário o design de um logotipo em formato específico (geralmente SVG), limpo e facilmente associável à organização emissora.

Além disso, é necessário que o DMARC esteja configurado com políticas rigorosas, seja de rejeição ou quarentena, o que implica que os registros SPF e DKIM também devem estar ativos. E, dependendo do provedor de e-mail, pode ser necessário um VMC (Verified Mark Certificate), um certificado emitido por entidades como DigiCert, que autentique o registro e a autoria do logotipo.

Conclusões

Essas tecnologias, embora complementares, desempenham um papel crucial na criação de um ambiente de comunicação mais confiável, onde os e-mails legítimos são devidamente validados e as oportunidades para que os atacantes usurpem identidades e cometam fraudes são reduzidas. A segurança que elas fornecem vai além da organização, pois ao garantir que os e-mails autênticos sejam facilmente identificáveis pelos usuários, minimiza-se a possibilidade de que se tornem vítimas de enganos.

No entanto, as ferramentas tecnológicas por si só não são suficientes. A educação em cibersegurança continua sendo um componente-chave para reforçar a proteção das empresas e seus clientes. À medida que as ameaças de usurpação de identidade evoluem, é fundamental que tanto os funcionários quanto os usuários estejam capacitados para identificar e-mails fraudulentos e compreender os riscos associados às comunicações eletrônicas.