Google e Yahoo empurram DMARC, forçando as empresas a se atualizarem

Google e Yahoo empurram DMARC, forçando as empresas a se atualizarem

Carimbo de data / hora: 6 de outubro de 2023 11h28
Google, Yahoo Push DMARC, forçando as empresas a alcançar a inteligência de dados PlatoBlockchain. Pesquisa vertical. Ai.

Até fevereiro de 2024, qualquer empresa que envie mais de 5,000 mensagens de e-mail através do Google ou Yahoo terá que começar a usar uma tecnologia de autenticação conhecida como Domain-based Message Authentication Reporting and Conformance (DMARC).

Os requisitos - anunciados por Google e Yahoo esta semana – chegará muito mais longe do que os profissionais de marketing, forçando todas as empresas que ficaram para trás na adoção do trio de tecnologias de segurança a recuperar o atraso. As empresas que usam o Sender Policy Framework (SPF) e o DomainKeys Identified Mail (DKIM) ganharão proteção contra falsificação de identidade por meio de uma melhor autenticação, enquanto o DMARC cria um canal de notificação de volta ao proprietário do nome de domínio para coletar informações sobre se seu e-mail está sendo falsificado.

As exigências de dois grandes provedores devem levar mais empresas a adotar o DMARC até que a adoção atinja um nível em que medidas de segurança mais eficazes se tornem possíveis, diz Neil Kumaran, gerente de produto do grupo Gmail Security & Trust do Google.

“Ao adotar o DMARC da maneira que solicitamos, os remetentes começam a receber de volta muita informação que os ajudará a identificar problemas com sua configuração [e] coisas que eles podem querer alterar”, diz ele. “Portanto, há um benefício material para o remetente adotar o DMARC e pensar sobre essas coisas coletivamente.”

O trio de tecnologias de segurança de e-mail teve uma adoção acelerada nos últimos anos – especialmente durante a pandemia do coronavírus, quando as empresas foram forçadas a operar remotamente. Como resultado, cerca de metade dos remetentes de e-mail têm um registo DMARC, mas apenas 14% definiram o DMARC para aplicar uma política rigorosa de quarentena ou rejeição – amplamente considerada o objetivo final, de acordo com dados da Valimail, um fornecedor de serviços DMARC. Cerca de metade de todas as empresas estabeleceram o seu registo DMARC para aplicar uma política rigorosa. No entanto, apenas 1% dos domínios sem fins lucrativos tenha o DMARC configurado.

Os requisitos do Google e do Yahoo são um bom começo e o mercado não está pronto para requisitos mais rigorosos. Mas Seth Blank, diretor de tecnologia da Valimail, espera que os principais provedores de e-mail elevem o padrão rapidamente.

“Acho que isso é absolutamente fantástico, mas acho que não vai longe o suficiente”, diz ele. “Estou entusiasmado por eles elevarem o nível, mas o que temos agora são um conjunto de práticas recomendadas do setor que são aplicadas de maneira inconsistente. Você tem alguns remetentes de grande volume fazendo isso bem e depois todos os outros, e é por isso que o abuso é tão comum no ecossistema.”

Expandindo a adoção de segurança de e-mail

Em sua postagem no blog, o Google descreveu seus requisitos, incluindo registros SPF e DKIM para autenticação de domínios de envio de e-mail; um registro DMARC para o domínio; e um cabeçalho “De” que corresponde ao registro SPF ou DMARC, conhecido como “alinhamento”. Além disso, os profissionais de marketing devem ter taxas de spam abaixo de 0.3% e oferecer a capacidade de cancelar a assinatura com um único clique.

O Google aplicará as novas regras a quem enviar mais de 5,000 mil mensagens para endereços do Gmail em um determinado dia. O Yahoo aplicará os requisitos a “remetentes em massa”, mas sua postagem no blog não define o que constitui um remetente em massa. Os requisitos deverão ser cumpridos até fevereiro de 2024 para o Google e “no primeiro trimestre de 2024” para o Yahoo.

O anúncio do Google, junto com a ação correspondente do Yahoo!, significa que a adoção do DMARC não é mais uma sugestão, escreveu Len Shneyder, vice-presidente de relações industriais da Twilio SendGrid, um serviço de marketing por e-mail. um blog sobre as novidades.

“[Com] as notícias do Yahoo também, você pode considerar isso o novo normal”, escreveu ele. “Os novos requisitos marcam uma mudança na forma como a indústria vê a autenticação de e-mail e as melhores práticas: o que antes era um conjunto de recomendações agora está se tornando um conjunto de requisitos aplicáveis.”

O Google espera que os requisitos levem a uma adoção quase completa da autenticação de e-mail em sua plataforma. Atualmente, a empresa processa cerca de 15 bilhões de e-mails todos os dias, e o número de mensagens não autenticadas diminuiu 75% desde que a empresa exigiu que todas as mensagens tivessem alguma forma de autenticação.

A autenticação é apenas o começo

O objetivo dos requisitos do DMARC é garantir que todos os e-mails legítimos tenham registros DMARC definidos com seu serviço DNS, fornecendo informações de autenticação para verificar os cabeçalhos de quaisquer mensagens de e-mail recebidas. Quase todos os provedores de e-mail reportarão informações sobre o alinhamento do DMARC ao proprietário autorizado de um domínio.

Por esta razão, uma melhor identificação das fontes e uma identificação mais forte das mensagens são fundamentais para melhorar a tecnologia de e-mail, diz Kumaran, do Google.

“A autenticação em si não é uma solução mágica para impedir o spam, mas o que ela faz é permitir que todos entendam melhor o e-mail que está fluindo”, diz ele. “Espero que os filtros comecem a captar esses padrões, aproveitem os benefícios da autenticação e façam um trabalho melhor – devemos ver os impactos em todos os níveis.”

Depois que a autenticação do remetente estiver implementada, os fornecedores de segurança e provedores de e-mail poderão filtrar melhor o tráfego ruim, diz Blank.

“Você controla quem está autorizado a enviar como você, o que significa que no momento em que a mensagem chega a qualquer provedor de caixa de correio, em todo o mundo, a autenticação está em vigor e eles podem aproveitar as vantagens do DMARC”, ele diz. “Mensagens falsificadas ou autenticadas nunca chegam às caixas de entrada dos usuários e, portanto, obtemos essa imunidade coletiva e proteção em grande escala, muito além do Google e do Yahoo, onde estão os requisitos.”

Espere soluções alternativas

Embora os requisitos provavelmente façam com que todas as empresas de marketing legítimas ajustem suas configurações de segurança de e-mail, as empresas devem esperar que os malfeitores encontrem maneiras de enviar spam, phishing e malware, diz Raf Marconi, consultor sênior de gerenciamento da Bishop Fox.

“Um ator mal-intencionado pode ficar abaixo dos limites ou usar serviços legítimos para evitar ser afetado pelos requisitos”, diz ele, acrescentando: “Esses novos requisitos devem ter algum efeito no nível de spam e phishing, mas é difícil avaliar quanto tempo antes dos requisitos serem implementados e também depende da implementação adequada de DKIM, SPF e DMARC.”

Em um relatório recente, a empresa de serviços de Internet Cloudflare descobriu que 89% das mensagens bloqueadas como spam tinham informações corretas de SPF, DKIM ou DMARC, ressaltando que as tecnologias fazem parte da equação, mas não a solução completa, diz Oren Falkowitz, CSO de campo da Cloudflare.

“Por esse motivo, é inútil confiar apenas em padrões que rastreiam as informações do remetente para detectar e interromper campanhas”, afirma. “Para solucionar danos reais, as equipes de segurança devem identificar e ter controles sobre payloads, arquivos, links e solicitações maliciosas que compõem o phishing e que causam danos.”

Blank de Valimail reforçou esse ponto.

“Maus atores tendem a ser os primeiros a seguir as melhores práticas”, diz ele. “A suposição de que ter SPF, DKIM ou DMARC significa que a correspondência está boa está errada. O que isso significa é que sabemos de quem veio a correspondência, e isso é fundamental para tomar decisões de reputação.”

Carimbo de hora:

Mais de Leitura escura