Protegendo seu servidor de e-mail para pequenas empresas: de DNSSEC a DMARC, DKIM e SPF
Introdução
Como proprietário de uma pequena empresa, proteger seu servidor de e-mail deve ser uma prioridade. Os cibercriminosos visam constantemente os servidores de e-mail para acessar informações confidenciais, distribuir malware ou cometer fraudes. UMA implementação de DNSSEC, DMUMARC, DKIM e FPS pode ajudá-lo a proteger seu servidor de e-mail e manter a integridade de suas comunicações comerciais. Neste artigo, exploraremos essas medidas de segurança e discutiremos as armadilhas do encaminhamento de mala direta que podem causar resultados SPF falsos positivos.
- DNSSEC: extensões de segurança do sistema de nomes de domínio
DNSSEC é um protocolo de segurança essencial que fornece autenticação e integridade ao Domain Name System (DNS). Ele garante que as informações que você recebe dos servidores DNS sejam autênticas e inalteradas. Ao implementar DNSSEC, você pode proteger seu servidor de e-mail contra envenenamento de cache DNS e outros ataques baseados em DNS.
Para habilitar o DNSSEC:
- Entre em contato com o registrador de seu domínio e peça para habilitar o DNSSEC para seu domínio.
- Gere um par de chaves, consistindo em uma chave privada e pública.
- Crie um registro DS para seu domínio e envie-o ao registrador de domínio.
- DMARC: Autenticação, relatórios e conformidade de mensagens baseadas em domínio
DMARC é um protocolo de autenticação de e-mail que ajuda a proteger seu domínio contra uso não autorizado, como phishing e spoofing. Ele funciona verificando se o domínio do remetente publicou registros SPF e DKIM e instruindo os servidores de recebimento sobre como lidar com e-mails não autenticados.
Para implementar o DMARC:
- Publique um registro SPF para seu domínio.
- Configure a assinatura DKIM para seu servidor de e-mail.
- Crie um registro de política DMARC nas configurações de DNS do seu domínio, especificando o nível de aplicação e as opções de relatório.
- DKIM: E-mail identificado por DomainKeys
DKIM é um método de autenticação de e-mail que usa assinaturas criptográficas para verificar a autenticidade de uma mensagem de e-mail. Ao assinar seus e-mails enviados com uma chave privada, você pode provar que a mensagem foi enviada de seu domínio e não foi adulterada durante o trânsito.
Para ativar o DKIM:
- Gere um par de chaves DKIM para seu domínio.
- Adicione a chave pública aos registros DNS do seu domínio como um registro TXT.
- Configure seu servidor de e-mail para assinar mensagens enviadas com a chave privada.
- SPF: estrutura de política do remetente
SPF é um padrão de autenticação de e-mail que permite aos proprietários de domínio especificar quais endereços IP estão autorizados a enviar e-mail em seu nome. Isso ajuda a proteger seu domínio de ser usado em campanhas de spam e phishing.
Para implementar o SPF:
- Crie um registro SPF para seu domínio nas configurações de DNS, listando os endereços IP autorizados.
- Configure seu servidor de e-mail para verificar registros SPF para mensagens recebidas e rejeitar remetentes não autorizados.
- Armadilhas do encaminhamento de mala direta e falsos positivos SPF
Às vezes, o encaminhamento de mala direta pode causar falsos positivos de SPF. Quando um e-mail é encaminhado, o endereço IP do remetente original é preservado, fazendo com que o servidor receptor verifique o registro SPF do remetente original. Se o endereço IP do servidor de encaminhamento não estiver autorizado no registro SPF do remetente original, o e-mail poderá ser marcado como com falha.
Para evitar esse problema:
- Use um serviço de encaminhamento de e-mail que suporte SRS (Esquema de reescrita do remetente) para reescrever o caminho de retorno, garantindo que as verificações de SPF sejam executadas corretamente.
- Adicione o endereço IP do servidor de encaminhamento ao registro SPF do remetente original, se você tiver controle sobre ele.
Conclusão
Proteger o servidor de e-mail de sua pequena empresa é crucial no cenário digital atual. Ao implementar DNSSEC, DMARC, DKIM e SPF, você pode melhorar significativamente a segurança de seu e-mail e proteger sua empresa contra ameaças cibernéticas. Seja cauteloso com o encaminhamento de mala direta e tome as medidas necessárias para evitar falsos positivos de SPF. Com essas medidas em vigor, você pode proteger suas comunicações por e-mail e se concentrar no crescimento de seus negócios.
Antes de mergulhar na implementação de cada protocolo de segurança, é essencial entender sua sintaxe. A tabela a seguir fornece exemplos de sintaxe para registros DNSSEC, DMARC, DKIM e SPF. Observe que estes são apenas exemplos e você deve substituir os espaços reservados pelo seu domínio real, endereços IP e chaves públicas. Além disso, pode ser necessário ajustar os valores de TTL (tempo de vida) conforme necessário. Assim que estiver familiarizado com a sintaxe, você pode começar a configurar os registros DNS do seu domínio para aumentar a segurança do seu servidor de e-mail.
| Protocolo de segurança | Exemplo de sintaxe |
|---|---|
| DNSSEC | exemplo. com. 86400 IN DS 12345 8 2 0234567890UMABCDEF1234567890UMABCDEF1234567890 |
| DMARC | _dmarc .exemplo .com . 86400 IN TXT "v=DMUMARC1; p=rejeitar; exportar=mailto:reports@example.com" |
| DKIM | selector._domainkey.example.com. 86400 IN TXT "v=DKIM1; k=rsa; p=PUBLIC_KEY_HERE" |
| SPF | exemplo. com. 86400 IN TXT "v=spf1 mx a:mail.example.com ip4:192.0.2.1 -all" |
*Observe que essas são sintaxes de exemplo e você deve substituir os espaços reservados por seu domínio real, endereços IP e chaves públicas. Você também pode precisar ajustar os valores de TTL (tempo de vida) conforme necessário.
UMAbaixo está uma tabela que lista vários registros DNS e sua sintaxe de amostra. Esses registros são usados para finalidades diferentes, como apontar seu domínio para um servidor da Web, servidor de e-mail ou verificar a propriedade do domínio.
| Tipo de registro DNS | Exemplo de sintaxe | Propósito |
|---|---|---|
| A | exemplo. com. 86400 IN UMA 192.0.2.1 | Mapeia um domínio para um endereço IPv4 |
| UMAUMAUMAUMA | exemplo. com. 86400 IN UMAUMAUMAUMA 2001:0db8:85a3:0000:0000:8a2e:0370:7334 | Mapeia um domínio para um endereço IPv6 |
| CNUMAME | www.example.com. 86400 IN CNUMAME example.com. | Cria um alias para outro domínio |
| MX | exemplo. com. 86400 IN MX 10 mail.example.com. | Especifica o servidor de correio para um domínio |
| TXT | exemplo. com. 86400 IN TXT "v=spf1 mx a:mail.example.com ip4:192.0.2.1 -all" | UMArmazena informações baseadas em texto para várias finalidades |
| SRV | _sip._tcp.example.com. 86400 IN SRV 0 5 5060 sipserver.example.com. | Fornece informações sobre os serviços disponíveis |
| NS | exemplo. com. 86400 IN NS ns1.example.com. | Delega uma zona DNS para usar servidores de nomes específicos |
| PTR | 1.2.0.192.in-addr.arpa. 86400 IN PTR example.com. | Mapeia um endereço IP para um domínio (DNS reverso) |
| SOA | exemplo. com. 86400 IN SOA ns1.example.com. hostmaster.example.com. (serial, atualizar, repetir, expirar, mínimo) | Contém informações administrativas sobre uma zona DNS |