Como proteger pequenas empresas do BEC com autenticação de e-mail?
Publicados: 2021-01-31Business Email Compromise ou BEC é uma forma de violação de segurança de e-mail ou ataque de representação que afeta organizações comerciais, governamentais, sem fins lucrativos, pequenas empresas e startups, bem como multinacionais e empresas para extrair dados confidenciais que podem influenciar negativamente a marca ou organização. Ataques de Spear phishing, golpes de fatura e ataques de spoofing são exemplos de BEC.
Os cibercriminosos são planejadores especializados que visam intencionalmente pessoas específicas dentro de uma organização, especialmente aquelas em posições autoritárias, como o CEO ou alguém semelhante, ou até mesmo um cliente confiável. O impacto financeiro mundial devido ao BEC é enorme, especialmente nos EUA, que emergiu como o principal hub. A solução? Mude para DMARC!
O que é DMARC?
A autenticação, relatório e conformidade de mensagens com base em domínio (DMARC) é um padrão do setor para autenticação de e-mail. Esse mecanismo de autenticação especifica aos servidores de recebimento como responder a e-mails que falham nas verificações de autenticação SPF e DKIM. O DMARC pode minimizar as chances de sua marca ser vítima de ataques BEC em uma porcentagem substancial e ajudar a proteger a reputação, as informações confidenciais e os ativos financeiros de sua marca.
Observe que antes de publicar um registro DMARC, você precisa implementar SPF e DKIM para seu domínio, pois a autenticação DMARC usa esses dois protocolos de autenticação padrão para validar mensagens enviadas em nome de seu domínio.
Como otimizar seu registro DMARC para proteger contra BEC?
Para proteger seu domínio contra o comprometimento de e-mail comercial, bem como habilitar um mecanismo de relatório abrangente para monitorar os resultados da autenticação e obter visibilidade completa em seu ecossistema de e-mail, recomendamos que você publique a seguinte sintaxe de registro DMARC no DNS do seu domínio:
v=DMARC1; p=rejeitar; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;
Entendendo as tags usadas ao gerar um registro DMARC:
| v (obrigatório) | Este mecanismo especifica a versão do protocolo. |
| p (obrigatório) | Este mecanismo especifica a política DMARC em uso. Você pode definir sua política DMARC para: p=none (DMARC no monitoramento apenas em que os e-mails que falham nas verificações de autenticação ainda chegariam às caixas de entrada dos destinatários). p=quarentena (DMARC na aplicação, em que os e-mails que falharem nas verificações de autenticação serão colocados em quarentena ou alojados na pasta de spam). p=reject (DMARC na aplicação máxima, em que os e-mails que falharem nas verificações de autenticação serão descartados ou não serão entregues). Para iniciantes em autenticação, é recomendável começar com sua política apenas no monitoramento (p=none) e, em seguida, mudar lentamente para a imposição. No entanto, para os propósitos deste blog, se você deseja proteger seu domínio contra BEC, p=reject é a política recomendada para garantir proteção máxima. |
| sp (opcional) | Essa tag especifica a política de subdomínios que pode ser definida como sp=none/quarantine/reject solicitando uma política para todos os subdomínios em que os e-mails estão falhando na autenticação DMARC. Essa tag só é útil se você deseja definir uma política diferente para seu domínio principal e subdomínios. Se não for especificada, a mesma política será cobrada de todos os seus subdomínios por padrão. |
| adim (opcional) | Este mecanismo especifica o modo de alinhamento do identificador DKIM que pode ser definido como s (estrito) ou r (relaxado). O alinhamento estrito especifica que o campo d= na assinatura DKIM do cabeçalho do email deve se alinhar e corresponder exatamente ao domínio encontrado no cabeçalho do remetente. No entanto, para alinhamento relaxado, os dois domínios devem compartilhar apenas o mesmo domínio organizacional. |
| aspf (opcional) | Este mecanismo especifica o modo de alinhamento do identificador SPF que pode ser definido como s (estrito) ou r (relaxado). O alinhamento estrito especifica que o domínio no cabeçalho “caminho de retorno” deve se alinhar e corresponder exatamente ao domínio encontrado no cabeçalho from. No entanto, para alinhamento relaxado, os dois domínios devem compartilhar apenas o mesmo domínio organizacional. |
| rua (opcional, mas recomendado) | Essa tag especifica os relatórios agregados do DMARC que são enviados para o endereço especificado após o campo mailto:, fornecendo informações sobre os e-mails que passam e falham no DMARC. |
| ruf (opcional, mas recomendado) | Essa tag especifica os relatórios forenses DMARC que devem ser enviados para o endereço especificado após o campo mailto:. Os relatórios forenses são relatórios em nível de mensagem que fornecem informações mais detalhadas sobre falhas de autenticação. Como esses relatórios podem conter conteúdo de e-mail, criptografá-los é a melhor prática. |
| pc (opcional) | Essa tag especifica a porcentagem de e-mails aos quais a política DMARC é aplicável. O valor padrão é definido como 100. |
| fo (opcional, mas recomendado) | As opções forenses para seu registro DMARC podem ser definidas como: DKIM e SPF não são aprovados ou alinhados (0)DKIM ou SPF não aprovados ou alinhados (1)DKIM não aprovado ou alinhado (d)SPF não pass or align(s) O modo recomendado é fo=1, especificando que os relatórios forenses devem ser gerados e enviados para o seu domínio sempre que os e-mails falharem nas verificações de autenticação DKIM ou SPF. |
Você pode gerar seu registro DMARC com o DMARC Record Generator gratuito do PowerDMARC, no qual você pode selecionar os campos de acordo com o nível de aplicação desejado.
Observe que apenas uma política de rejeição pode minimizar o BEC e proteger seu domínio contra ataques de spoofing e phishing.
Embora o DMARC possa ser um padrão eficaz para proteger seus negócios contra BEC, a implementação correta do DMARC requer esforço e recursos. Seja você um novato em autenticação ou um aficionado por autenticação, como pioneiros em autenticação de e-mail, o PowerDMARC é uma plataforma SaaS de autenticação de e-mail única que combina todas as melhores práticas de autenticação de e-mail, como DMARC, SPF, DKIM, BIMI, MTA-STS e TLS-RPT, sob o mesmo teto para você. Nós te ajudamos:
- Mude do monitoramento para a fiscalização em pouco tempo para manter o BEC sob controle
- Nossos relatórios agregados são gerados na forma de gráficos e tabelas simplificados para ajudá-lo a entendê-los facilmente sem ter que ler arquivos XML complexos
- Criptografamos seus relatórios forenses para proteger a privacidade de suas informações
- Visualize seus resultados de autenticação em 7 formatos diferentes (por resultado, por origem de envio, por organização, por host, estatísticas detalhadas, relatórios de localização geográfica, por país) em nosso painel amigável para uma experiência de usuário ideal
- Obtenha 100% de conformidade com o DMARC alinhando seus e-mails com SPF e DKIM para que os e-mails que falham em qualquer um dos pontos de verificação de autenticação não cheguem às caixas de entrada dos destinatários
Como o DMARC protege contra BEC?
Assim que você definir sua política DMARC para aplicação máxima (p=rejeitar), o DMARC protegerá sua marca contra fraudes por e-mail, reduzindo a chance de ataques de falsificação de identidade e abuso de domínio. Todas as mensagens de entrada são validadas em relação às verificações de autenticação de email SPF e DKIM para garantir que sejam provenientes de fontes válidas.
O SPF está presente no seu DNS como um registro TXT, exibindo todas as fontes válidas que estão autorizadas a enviar e-mails do seu domínio. O servidor de e-mail do destinatário valida o e-mail em relação ao seu registro SPF para autenticá-lo. O DKIM atribui uma assinatura criptográfica, criada com uma chave privada, para validar os emails no servidor de recebimento, onde o destinatário pode recuperar a chave pública do DNS do remetente para autenticar as mensagens. Com sua política de rejeição, os e-mails não são entregues na caixa de correio do destinatário quando as verificações de autenticação falham, indicando que sua marca está sendo personificada. Em última análise, isso mantém o BEC como ataques de spoofing e phishing à distância.
Plano Básico do PowerDMARC para Pequenas Empresas
Nosso plano básico começa a partir de apenas 8 USD por mês, então pequenas empresas e startups que tentam adotar protocolos seguros como o DMARC podem facilmente aproveitá-lo. As vantagens que terá ao seu dispor com este plano são as seguintes:
- Economize 20% em seu plano anual
- Até 2.000.000 e-mails compatíveis com DMARC
- Até 5 domínios
- 1 ano de histórico de dados
- 2 usuários da plataforma
- BIMI hospedado
- MTA-STS hospedado
- TLS-RPT
Inscreva-se hoje mesmo com o DMARC Analyzer gratuito e proteja o domínio da sua marca, minimizando as chances de comprometimento de e-mail comercial e fraude de e-mail!
| Url-protecting-small-businesses-from-bec Palavras-chave: BEC, autenticação de e-mail, DMARC, otimizar seu registro DMARC, registro DMARC Meta: Protocolos de autenticação de e-mail como o DMARC podem ajudá-lo a minimizar o BEC de forma eficaz, mantendo-se dentro do seu orçamento! |