BEC and EAC

Google e Yahoo definem um prazo curto para o cumprimento de novos requisitos DMARC. Você está preparado?

Share with your network!

This is an updated version of a blog post originally published in October 2023.

Se você tem uma conta Gmail ou Yahoo, provavelmente sabe o quão desorganizada a sua caixa de entrada pode ficar com e-mails não solicitados e outros tantos claramente fraudulentos. Se você já se perguntou, “por que essas empresas não fazem um trabalho melhor de bloqueio dessas mensagens fraudulentas para que eu receba menos e-mails não solicitados?”, você não é o único.

A boa notícia: Google, Yahoo e Apple estão fazendo algo em relação a isso e as coisas estão prestes a mudar para melhor para seus usuários de e-mail. A má notícia: se a sua empresa ainda não implementou completamente medidas de autenticação de e-mail, você tem trabalho a fazer e pouco tempo para fazê-lo.

A partir de fevereiro de 2024, o Gmail exigirá autenticação de e-mail ao enviar mensagens para contas do Gmail. Se você é um remetente em massa que envia mais de 5.000 e-mails por dia para contas do Gmail, os requisitos de autenticação de e-mail são ainda maiores. Você também precisará:

  • Ter uma política de Domain-based Message Authentication, Reporting & Conformance (DMARC) em vigor
  • Assegurar alinhamento entre Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM)
  • Facilitar para os usuários o cancelamento do recebimento de e-mails (cancelamento com um só clique)

As diretrizes detalhadas da Google para o remetente de e-mails podem ser encontradas aqui.

A Yahoo fez exigências semelhantes. Ela também exigirá uma autenticação de e-mail forte a partir de fevereiro de 2024 para deter o afluxo de mensagens maliciosas e reduzir a quantidade de e-mails de baixo valor que entulham as caixas de entrada dos usuários.

Apenas 10 dias após Google e Yahoo fazerem seus pronunciamentos em outubro de 2023, a Apple lançou um guia de práticas recomendadas para o iCloud Mail. Ele destacou muitos dos mesmos requisitos de autenticação de e-mail. Embora a Apple não tenha definido uma data específica para a publicação de uma política DMARC, ela recomenda que remetentes em massa sigam essas práticas recomendadas para que seus e-mails não sejam considerados lixo e não sejam bloqueados automaticamente.

Você está preparado para satisfazer esses requisitos? Eis o que você precisa saber.

Novos requisitos de e-mail da Google e da Yahoo

Os novos requisitos da Google dividem-se em duas categorias. Todos os remetentes precisarão seguir o primeiro conjunto de regras. Dependendo de quantos e-mails você envia por dia, há também regras adicionais.

Aplicável a todos os remetentes:

1. Autenticação de e-mail. Essa é uma medida crítica para ajudar a evitar que perpetradores de ameaças enviem e-mails como se pertencessem à sua organização. Essa tática é o que se chama de falsificação de domínio e, quando deixada sem proteção, permite que criminosos cibernéticos utilizem domínios de envio em ataques cibernéticos maliciosos.

  • SPF é um protocolo de autenticação de e-mail desenvolvido para evitar falsificação de e-mail, uma técnica frequentemente utilizada em ataques de phishing e spam de e-mail. Como parte integrante da cibersegurança do e-mail, SPF permite que o servidor de e-mail do destinatário verifique se o e-mail recebido origina-se de um endereço IP autorizado pelo administrador do domínio em questão.
  • DKIM é um protocolo que permite a uma organização assumir responsabilidade pela transmissão de uma mensagem assinando-a de uma maneira que provedores de caixas de correio podem verificar. A verificação do registro DKIM é viabilizada por meio de autenticação criptográfica.

2. Baixas taxas de spam. Se os destinatários denunciarem as suas mensagens como SPAM a uma taxa superior ao novo limite de 0,3% (idealmente objetivando taxas de spam de 0,1%, ou seja, 1 em cada 1.000 mensagens entregues marcadas como spam), as suas mensagens poderão ser bloqueadas ou enviadas diretamente para uma pasta de spam.

Requisitos para remetentes em massa:

1. SPF e DKIM precisam estar implementados. As empresas que enviam para Gmail ou Yahoo precisam ter os métodos de autenticação SPF e DKIM implementados.

2. As empresas precisam ter uma política DMARC em vigor. DMARC é um padrão de autenticação de e-mail que oferece proteção em nível de domínio ao canal de e-mail.

  • A autenticação DMARC detecta e evita técnicas de falsificação de e-mail utilizadas em ataques de phishing, comprometimento de e-mail corporativo (BEC) e outros ataques baseados em e-mail.
  • O DMARC baseia-se nos padrões existentes de Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM). É a primeira e única tecnologia amplamente implementada que pode tornar confiável o domínio do cabeçalho “de”. O dono do domínio pode publicar um registro DMARC no sistema de nomes de domínio (DNS) e criar uma política que informa aos destinatários o que fazer com os e-mails que não passarem na autenticação.

3. As mensagens precisam passar no alinhamento DMARC. Isso significa que o domínio “Envelope From” de envio seja igual ao domínio “Header From” ou que o domínio DKIM seja igual ao domínio “Header From”.

4. As mensagens precisam incluir cancelamento de recebimento com um só clique. Mensagens relacionadas a uma assinatura precisam conter cabeçalhos “List-Unsubscribe” e um link de cancelamento do recebimento, claramente visível no corpo da mensagem, que possa ser iniciado com um único clique (cancelamento com um só clique). Ações de cancelamento de recebimento devem ser executadas para o usuário solicitante no prazo de dois dias.

Resumo rápido dos requisitos da Google, Yahoo e Apple para remetentes

Requisito

Google

Apple

Yahoo

Aprovação DMARC exigida (aprovações de autenticação de e-mail SPF ou DKIM)

Sim (<5.000 mensagens/dia)

Sim

Sim

Aprovação DMARC exigida (aprovações de autenticação de e-mail SPF e DKIM)

Sim (>5.000 mensagens/dia)

-

Sim

Registros de DNS PTR normal e reverso válidos

Sim

Sim

Sim

Taxas de spam abaixo de 0,3% (idealmente abaixo de 0,1%), segundo as Postmaster Tools

Sim

-

Sim

Formato da mensagem conforme padrões de e-mail (RFC 5321 e 5322)

Sim

Sim

Sim

Sem falsificação de domínio nos cabeçalhos FROM

Sim

Sim

Sim

TLS exigido para e-mail recebido

Sim

-

-

O e-mail encaminhado requer cabeçalhos ARC

Sim (>5.000 mensagens/dia)

-

-

Autenticação de e-mail DMARC para os seus domínios de envio

Sim (p=none DMARC)

Sim

Sim (p=none DMARC)

O cabeçalho “From” deve estar alinhado com o domínio do SPF ou o domínio do DKIM

Sim

Sim

Sim

Cancelamento de recebimento com um só clique para mensagens comerciais/promocionais solicitadas (RFC 8058)

Sim (1º de junho de 2024)

Sim

Sim (fevereiro de 2024)

Segregação de tipos de classe de e-mail

Sim (por domínio)

Sim (por IP ou domínio)

Sim (por IP ou domínio)

Adesão aos erros de rejeição e falha temporária do SMTP

Sim

Sim

Sim

Datas importantes

Tenha em mente essas datas conforme os requisitos entrarem em vigor.

Janeiro de 2024

A Apple não definiu uma data para a publicação de uma política DMARC, mas foi declarado que todos os demais requisitos já devem estar implementados. Portanto, é melhor supor que isso significa imediatamente.

Fevereiro de 2024

Esse é o prazo inicial da Google e da Yahoo para o cumprimento dos novos requisitos.

A Google deu esclarecimentos adicionais sobre o prazo de fevereiro após seu pronunciamento inicial. Afirmou-se que remetentes em massa que não cumprirem os requisitos de envio começarão a ter erros temporários em nível de protocolo SMTP (com códigos de erro) em um pequeno percentual de seu tráfego de e-mail que estiver fora de conformidade. Esses erros temporários servem para ajudar os remetentes a identificar o tráfego de e-mail que não está cumprindo com as novas diretrizes e começar a resolver sua falta de conformidade.

Abril de 2024

A Google começará a rejeitar um percentual do tráfego de e-mail fora de conformidade e aumentará gradualmente a taxa de rejeição. Por exemplo, se 75% do tráfego de um remetente cumprir seus requisitos, eles começarão a rejeitar um percentual dos 25% de tráfego restantes que não estiverem em conformidade.

1º de junho de 2024

Esse é o prazo revisado da Google para que os remetentes em massa implementem o cancelamento de recebimento com um só clique em todas as mensagens comerciais e promocionais.

O que acontecerá se você perder o prazo?

Se a sua empresa conta com e-mail para se comunicar com seus clientes e não implementa autenticação de e-mail, essas alterações terão um impacto significativo na entregabilidade das suas mensagens para clientes com contas Gmail, Yahoo e Apple iCloud. Se você envia e-mails em massa para contas Gmail e Yahoo e não tem SPF e DKIM, ou se você não tem uma política DMARC implementada, essas mensagens não entregues terão um impacto maior ainda para os seus negócios.

Não acredite em soluções rápidas

Tenha cuidado com fornecedores que oferecem implementações “em um único clique” para entrar em conformidade rapidamente.

Tais anúncios pegam muitas empresas desprevenidas, muitas das quais estão agora tentando ficar em dia com os novos requisitos. Ao pesquisar o que será necessário para cumprir os novos requisitos, você pode encontrar alegadas soluções “em um único clique” ou soluções que podem proporcionar conformidade em cronogramas extremamente curtos.

O que parece bom demais para ser verdade costuma ser. Um DMARC devidamente alinhado para os seus e-mails enviados exige alterações na forma como os seus seus endereços “De:” são passados em nível de cabeçalho de e-mail e SMTP, de maneira que o domínio no endereço do remetente coincida com o domínio na chave DKIM e com o domínio SPF. Quando essas alterações de “endereçamento do remetente” envolvem colaboração com soluções de SaaS ou de terceiros que não oferecem flexibilidade em sua configuração ou que não oferecem suporte para assinaturas DKIM, as coisas podem ficar complicadas rapidamente.

A Proofpoint pode ajudar

A Proofpoint é líder do setor no que se refere a autenticação de e-mail. As empresas da Fortune 1000 que contam com a Proofpoint para DMARC são mais do que as que preferem nossas cinco concorrentes mais próximas somadas. Nós temos as ferramentas, os recursos e a experiência para avaliar a sua situação e ajudar a fechar essa brecha de segurança mais efetivamente do que você por sua própria conta.

O Proofpoint Email Fraud Defense oferece acesso a consultores altamente experientes que podem orientá-lo em cada passo da sua jornada de DMARC, ajudando você a cumprir os novos requisitos e também a proteger a reputação da sua marca. Essa solução também inclui SPF hospedado, DKIM hospedado e DMARC hospedado para simplificar o gerenciamento e agilizar sua implementação.

Para e-mails transacionais (aqueles que podem ser enviados em seu nome por aplicativos ou parceiros terceirizados), o Proofpoint Secure Email Relay não só assegura que todas essas mensagens sejam assinadas por DKIM, como também ajuda na obtenção do alinhamento com DMARC de forma mais rápida.

Em resposta a esses novos requisitos, a Proofpoint agora está oferecendo uma avaliação de entregabilidade de e-mail gratuita para ajudar a identificar possíveis deficiências e oferecer recomendações sobre o caminho adiante, para que você possa minimizar o impacto dessas mudanças para a sua empresa. Você também pode visitar nosso assistente de criação de DMARC hoje mesmo para verificar sua situação de DMARC e SPF.

Não espere até a última hora para iniciar sua jornada de DMARC. Você não sabe quais problemas pode ter de superar e não quer correr o risco de perder os prazos. Entre em contato com a Proofpoint hoje mesmo. Nós não só podemos preparar você para esses novos requisitos, como também melhoramos a sua postura de segurança como um todo e ajudamos a quebrar a cadeia de ataque.