Práticas recomendadas para suporte à autenticação do remetente no Email do Serviços de Comunicação do Azure

Este artigo fornece as práticas recomendadas de envio de email em registros DNS e como usar os métodos de autenticação de remetente que ajudam a impedir que invasores enviem mensagens que parecem vir do seu domínio.

Autenticação de e-mail e configuração de DNS

O envio de um email requer várias etapas que incluem verificar se o remetente do email realmente possui o domínio, verificar a reputação do domínio, verificação de vírus, filtragem de spam, tentativas de phishing, malware etc. A configuração da autenticação de email adequada é um princípio fundamental para estabelecer a confiança no email e proteger a reputação do seu domínio. Se um email passar nas verificações de autenticação, o domínio de recebimento poderá aplicar a política a esse email de acordo com a reputação já estabelecida para as identidades associadas a essas verificações de autenticação, e o destinatário poderá ter certeza de que essas identidades são válidas.

Registro MX (Mail Exchange)

O registro MX (Mail Exchange) é usado para rotear emails para o servidor correto. Ele especifica o servidor de email responsável por aceitar mensagens de email em nome do seu domínio. O DNS precisa ser atualizado com as informações mais recentes dos registros MX do seu domínio de e-mail, caso contrário, isso resultará em algumas falhas de entrega.

SPF (Sender Policy Framework)

O SPF RFC 7208 é um mecanismo que permite que os proprietários de domínio publiquem e mantenham, por meio de um registro TXT DNS padrão, uma lista de sistemas autorizados a enviar emails em seu nome. Esse registro é usado para especificar quais servidores de email estão autorizados a enviar emails em nome do seu domínio. Isso ajuda a evitar falsificação de e-mail e aumentar a capacidade de entrega de e-mail.

DKIM (Email Identificado por Chaves de Domínio)

O DKIM RFC 6376 permite que uma organização reivindique a responsabilidade pela transmissão de uma mensagem de uma forma que possa ser validada pelo destinatário. Esse registro também é usado para autenticar o domínio do qual o email é enviado e ajuda a evitar falsificação de e-mail e aumentar a capacidade de entrega de e-mails.

DMARC (Autenticação, relatório e conformidade de mensagens baseadas em domínio)

O DMARC RFC 7489 é um mecanismo escalonável pelo qual uma organização enviando um email pode expressar políticas e preferências de nível de domínio para validação, disposição e relatório de mensagens que uma organização recebendo um email pode usar para melhorar o tratamento do email. Ele também é usado para especificar como os destinatários de e-mail devem lidar com mensagens que falham nas verificações SPF e DKIM. Isso melhora a capacidade de entrega de e-mails e ajuda a evitar falsificações de e-mails.

ARC (Cadeia de Recebimento Autenticado)

O protocolo ARC RFC 8617 fornece uma cadeia de custódia autenticada para uma mensagem, permitindo que cada entidade que identifica a mensagem identifique quais entidades a identificaram anteriormente, bem como a avaliação de autenticação da mensagem em cada salto. ARC ainda não é um padrão da Internet, mas a adoção está aumentando.

Como funciona a autenticação por email

A autenticação por email verifica se as mensagens de email de um remetente (por exemplo, notification@contoso.com) são legítimas e vêm de fontes esperadas para esse domínio de email (por exemplo, contoso.com.) Uma mensagem de email pode conter vários endereços de originador ou remetente. Esses endereços são usados com finalidades diferentes. Por exemplo, considere esses endereços:

• O endereço Mail From identifica o remetente e especifica para onde enviar avisos de devolução se ocorrerem problemas com a entrega da mensagem, como avisos de falha na entrega. Isso aparece na parte do envelope de uma mensagem de email e não é exibido pelo aplicativo de email. Às vezes, isso é chamado de endereço 5321.MailFrom ou endereço de caminho inverso.

• O endereço From é o endereço exibido como o endereço From pelo seu aplicativo de email. Esse endereço identifica o autor do email. Ou seja, a caixa de correio da pessoa ou do sistema responsável por escrever a mensagem. Às vezes, isso é chamado de endereço 5322.From.

• O SPF (Sender Policy Framework) ajuda a validar o email de saída enviado do seu email do domínio (vem de quem ele diz ser).

• O DKIM (DomainKeys Identified Mail) ajuda a garantir que os sistemas de email de destino confiem nas mensagens enviadas do seu email do domínio.

• A DMARC (Autenticação, relatório e conformidade de mensagens baseadas em domínio) funciona com o SPF (Sender Policy Framework) e o DKIM (DomainKeys Identified Mail) para autenticar remetentes de email e garantir que os sistemas de email de destino confiem em mensagens enviadas de seu domínio.

Implementando o DMARC

A implementação do DMARC com SPF e DKIM fornece proteção avançada contra email de phishing e falsificação. O SPF usa um registro TXT DNS para fornecer uma lista de endereços IP de envio autorizados para um determinado domínio. Normalmente, só são executadas verificações de SPF contra o endereço 5321.MailFrom. Isso significa que o endereço 5322.From não é autenticado quando você usa o SPF por si só. Isso permite um cenário em que um usuário pode receber uma mensagem, que passa por uma verificação SPF, mas tem um endereço do remetente 5322.From falsificado.

Como os registros DNS para SPF, o registro do DMARC é um registro de texto (TXT) de DNS que ajuda a evitar os tipos de falsificação spoofing e phishing. Você publica registros TXT de DMARC no DNS. Os registros TXT de DMARC validam a origem das mensagens de email verificando o endereço IP do autor de um email em relação ao suposto proprietário do domínio de envio. O registro TXT do DMARC identifica os servidores de email de saída autorizados. Os sistemas de email de destino conseguem, então, verificar se as mensagens têm origem em servidores de email de saída autorizados. Isso força uma incompatibilidade entre os endereços 5321.MailFrom e 5322.From em todos os emails enviados do seu domínio e o DMARC falhará nesse email. Para evitar isso, o DKIM deve ser configurado para seu domínio.

Um registro de política de DMARC permite que um domínio anuncie que seu email usa autenticação; fornece um endereço de email para obter comentários sobre o uso de seu domínio; e especifica uma política solicitada para o tratamento de mensagens reprovadas em verificações de autenticação. Recomendamos que

• Os domínios de instruções de política que publicam registros de DMARC são "p=reject" sempre que possível, "p=quarantine" caso contrário.
• A instrução de política "p=none", "sp=none" e pct<100 só deve ser vista como estados de transição, com o objetivo de removê-los o mais rápido possível.
• Qualquer registro de política de DMARC publicado deve incluir, no mínimo, uma marca "rua" que aponta para uma caixa de correio para receber relatórios de agregação de DMARC e não deve enviar respostas de volta ao receber relatórios devido a questões de privacidade.

Próximas etapas

• Práticas recomendadas para implementar DMARC

• Solucionar problemas de implementação de DMARC

• Domínios de email e autenticação do remetente para Serviços de Comunicação do Azure

• Introdução à criação e gerenciamento do Serviço de Comunicação por Email no Serviço de Comunicação do Azure

• Introdução conectando o Serviço de Comunicação por Email a um recurso do Serviço de Comunicação do Azure

Os seguintes documentos podem ser do seu interesse:

• Familiarize-se com a biblioteca de clientes de email
• Como enviar emails com domínios verificados personalizados? Adicionar domínios personalizados
• Como enviar emails com Domínios Gerenciados do Azure? Adicionar Domínios Gerenciados do Azure