O envio de e-mails fraudulentos existe desde que e-mail foi inventado. Ao longo dos últimos anos muitas pessoas e empresas envolvidas no envio e recebimento de e-mail têm trabalhado em formatar políticas para lidar com esse problema. Tecnologias como SPF e DKIM foram desenvolvidas há mais de uma década para dar maior garantia da autoria de uma mensagem de e-mail. Mesmo sendo amplamente utilizadas, elas não têm ajudado a reduzir significativamente o fluxo de e-mails fraudulentos e enganosos. A solução DMARC (Domain-based Message Authentication, Reporting & Conformance) foi então projetada para permitir que os remetentes e receptores saibam lidar com e-mails que não passaram no teste de SPF e DKIM.
O que é DMARC?
DMARC é um conjunto de regras que permitem que os emissores e receptores coordenem seus esforços na detecção e tratamento de e-mails fraudulentos. Os remetentes publicam uma política que desejam que os receptores sigam e enviem relatórios aos remetentes sobre a quantidade de e-mails falsos ou fraudulentos que detectaram e rejeitaram. Um destinatário usando DMARC irá verificar tanto SPF e DKIM para determinar quem é o remetente do e-mail e, em seguida, aplicar a política definida para esse domínio. A política irá definir de onde vem o e-mail, quais assinaturas eletrônicas estão configuradas, quem deve ser notificado quando o e-mail não corresponde e o que fazer com que o e-mail (descartá-lo ou entregá-lo normalmente). Se não houver políticas para esse domínio então o provedor é livre para agir com base em qualquer política que preferir.
Por que os provedores de e-mail estão usando DMARC?
Quase todos os grandes provedores de e-mail (Yahoo!, Gmail, Hotmail, AOL, etc) estão usando DMARC para melhorar a qualidade das caixas de entrada de seus usuários. Eles podem facilmente distinguir um e-mail que é enviado pelo PayPal, por exemplo, do que alguém tentando se passar por PayPal. Não é difícil entender a vantagem de se ter garantia de que o e-mail de uma instituição financeira seja realmente deles.
Uma nova tendência entre os maiores provedores de e-mail é publicar uma política DMARC limitando o uso de endereços de e-mail que eles fornecem. Até agora, Yahoo! e AOL já o fizeram e há indícios de que o Gmail também fará. Essas políticas DMARC causam grandes transtornos para os clientes que usam o e-mail para outros serviços, como os transacionais. No entanto o serviço proporciona um benefício de segurança significativo para a maioria de seus usuários.
Quem pode usar DMARC?
As políticas DMARC são publicadas no Domain Name System (DNS) e disponível para todos. Como a especificação está disponível sem licença ou restrição, qualquer interessado é livre para implementá-lo.
Se você pensa em receber feedback dos provedores de cada e-mail que não passa na autenticação, quer eliminar a falsificação de domínio, impacto de e-mails phishing e fraudulentos sendo entregues aos usuários finais, é recomendável então implementar a política DMARC em seu servidor DNS.