Habilitando SPF, DMARC e DKIM no Office 365

O MxToolbox é uma ferramenta indispensável (gratuita!) Que toda equipe de TI e segurança deve ter. Nós de TI utilizamos para proteger os e-mails de nossos clientes, garantindo que habilitamos Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) e Domain-Based Message Authentication, Reporting & Conformance (DMARC).

Leia Mais:

Como configurar um Tenant de Microsoft 365: Criação e inclusão de Domínio
O que é DKIM (Domain Keys Identified Mail)
Estudantes e professores brasileiros podem ter acesso gratuito ao Office 365
Site falso está usando marca da Kingston sem autorização
Alterando a porta padrão do Remote Desktop 3389

MxToolbox

Essa ferramenta oferece soluções de monitoramento e pesquisa para ajudar as equipes de TI a avaliar a integridade geral do DNS de sua empresa por meio de 158 testes diferentes que podem ser concluídos em segundos. Nós o usamos todos os dias para determinar a integridade de nossos leads, de nossos clientes e de nossa própria rede.

1- Vá para https://mxtoolbox.com/
2- Selecione a saúde do domínio
3- Digite o domínio da sua empresa
4- Aguarde 30 segundos para que o M x T ool b ox execute mais de 158 testes em: domínios na lista negra, registros MX, entradas DMARC, SMTP, SPF, servidores web, entradas DNS e servidores DNS

Configurando SPF

O que é um registro SPF?

Um registro Sender Policy Framework (SPF) é um tipo de registro DNS (Sistema de Nomes de Domínio) que pode ajudar a evitar a falsificação de endereços de e-mail. Os spammers podem falsificar cabeçalhos de e-mail para fazer parecer que estão enviando de um endereço de e-mail em seu domínio. Eles podem fingir ser você, permitindo que façam phishing em seus usuários para obter informações de contas privadas ou abusem de sua reputação de outra forma. Quando eles sequestram uma conta de e-mail, eles alteram os detalhes do cabeçalho do e-mail para mostrar que as mensagens que estão enviando vêm do proprietário válido da conta.

Adicionar um registro SPF pode ajudar a evitar que outras pessoas falsifiquem seu domínio. Você pode especificar quais servidores de e-mail têm permissão para enviar um e-mail em nome de seu domínio. Então, quando os servidores de correio de entrada recebem mensagens de e-mail de seu nome de domínio, eles comparam o registro SPF com as informações do servidor de correio de saída. Se os dados não corresponderem, eles identificam a mensagem de e-mail como não autorizada e geralmente a filtram como spam ou a rejeitam.

Adicionar um registro SPF pode diminuir as tentativas de spoofing em seu domínio; no entanto, eles não são uma garantia total contra todo o spam.

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

Considerações para definir o SPF

Para definir corretamente o SPF para o seu domínio, responda às duas perguntas a seguir:De qual servidor ou servidores o e-mail do domínio será originado?

Se você estiver enviando e-mail de sua estação de trabalho usando os servidores de e-mail do seu provedor de serviços de Internet (ISP), considere os servidores deles. Você deve levar em consideração todos os servidores de envio possíveis (legítimos).Como você deseja que o e-mail ilegítimo seja tratado?

Você deseja que ela seja rejeitada de imediato ou deseja que a mensagem seja classificada como falha branda, o que significa que o e-mail será submetido a um exame mais minucioso?

Crie uma regra SPF

O exemplo nesta seção pressupõe que você tenha as seguintes considerações para seu e-mail em um domínio específico:

  • Os servidores autorizados são o seu servidor de nuvem (ou seja, os detalhes de troca de mensagens de entrada (MX) também enviam mensagens) e correio do Microsoft Exchange Online.
  • Nenhum outro servidor está autorizado.

Nessa situação, você criaria a seguinte regra e a adicionaria a um registro TXT:

A lista a seguir mostra como cada parte do registro é definida:

  • v = spf1
    Define a versão SPF que é usada.
  • incluem: spf.protection.outlook.com
    Inclui servidores online Microsoft Exchange como servidores autorizados.
  • -all
    Indica que os servidores que não estão listados anteriormente não estão autorizados a enviar um e-mail. Se um servidor não autorizado enviar um e-mail, a ação será executada de acordo com a política do servidor de recebimento de e-mail. Por exemplo, o e-mail é excluído ou marcado como spam.

Sobre o SPF tudo configurações

A configuração de todos é um aspecto essencial do registro e tem os seguintes marcadores básicos:

  • -all : Qualquer servidor que não esteja listado anteriormente não está autorizado a enviar um e-mail.
  • ~ all : Se o e-mail for recebido de um servidor que não esteja listado anteriormente, será marcado como uma falha leve, o que permite que o e-mail seja examinado posteriormente.

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

Como adicionar um registro SPF para proteger seu e-mail

Um registro Sender Policy Framework (SPF) é um tipo de registro TXT do Domain Name Service (DNS) que identifica quais servidores de email têm permissão para enviar um email em nome do seu domínio. O objetivo de um registro SPF é detectar e impedir que spammers enviem mensagens com endereços De forjados em seu domínio.

1- Vá para o seu provedor de DNS (ou seja, GoDaddy, Soluções de rede, etc.)
2- Vá para a página Gerenciamento de DNS. Como cada provedor de DNS tem uma interface diferente, você precisará encontrar a localização do seu editor de DNS
3- Selecione para adicionar uma próxima entrada TXT
4- Preencha os seguintes campos:

  • Tipo de registro : TXT
  • Nome do host: insira o nome do host para o registro TXT (por exemplo, digite @ para mapear o registro diretamente para o seu nome de domínio ou insira o subdomínio dos seus nomes de host (rotulado como Host), como www ou ftp.)
  • Valor TXT: insira o valor que deseja atribuir ao registro.
    1. Observação: para um registro TXT SPF, insira a regra SPF no campo TXT Value. Por exemplo, insira v = spf1 mx -all para indicar que todos os emails são enviados deste servidor e nenhum outro servidor de email está autorizado.
  • TTL : Especifique o tempo de vida (TTL). Normalmente, eu uso 3600 como valor

5- Salve o registro.

Teste SPF

Para testar seu SPF, vá para https://mxtoolbox.com/spf.aspx e insira seu domínio. Se configurado corretamente, seu SPF passará nos testes conforme mostrado abaixo:

Configurando DKIM

O que é DKIM?

DomainKeys Identified Mail (DKIM) é um método de autenticação de e-mail projetado para detectar endereços de remetentes forjados em e-mails (spoofing de e-mail), uma técnica freqüentemente usada em phishing e spam de e-mail.

O DKIM permite que o destinatário verifique se um e-mail alegadamente proveniente de um domínio específico foi realmente autorizado pelo proprietário desse domínio. Ele consegue isso afixando uma assinatura digital, vinculada a um nome de domínio, a cada mensagem de e-mail enviada. O sistema destinatário pode verificar isso consultando a chave pública do remetente publicada no DNS. Uma assinatura válida também garante que algumas partes do e-mail (possivelmente incluindo anexos) não foram modificadas desde que a assinatura foi afixada. Normalmente, as assinaturas DKIM não são visíveis para os usuários finais e são afixadas ou verificadas pela infraestrutura, e não pelos autores e destinatários da mensagem.

Como eu configuro o DKIM com o Microsoft Office 365?

Primeiro, para cada domínio, você precisará criar dois registros CNAME em sua zona DNS pública . Para construir os registros CNAME, você usará o seguinte formato:

selector1- <domainGUID> ._domainkey. <inititalDomain>

O <domainGUID> será a primeira parte do registro MX conforme listado para o Exchange Online. Por exemplo, para habilitar o nome de domínio “contoso.com” para DKIM, procurarei o registro MX (você pode usar https://mxtoolbox.com/MXLookup.aspx para encontrar o registro MX) e ver se o registro MX aponta para:

1- contoso.com
2- Preferência MX = 0
3- mail exchangeger = contoso-com.mail.protection.outlook.com

Você pega a primeira parte, “ contoso-com” , e deixa de fora “.mail.protection.outlook.com” . O  <InitialDomain>  é a parte do prefixo do nome do locatário. Nesse caso, o domínio do locatário é  contoso.onmicrosoft.com . Portanto, o  <initialdomain>  é  contoso .

Agora, para ver tudo junto, você vai construí-lo da seguinte maneira:

selector1._domainkey.contoso.com. CNAME selector1-contoso-com._domainkey.contoso.onmicrosoft.com
selector2._domainkey.contoso.com. CNAME selector2-contoso-com._domainkey.contoso.onmicrosoft.com

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

Como adicionar o registro DKIM ao DNS

1- Vá para o seu provedor de DNS (ou seja, GoDaddy, Soluções de rede, etc.)
2- Vá para a página Gerenciamento de DNS. Como cada provedor de DNS tem uma interface diferente, você precisará encontrar a localização do seu editor de DNS
3- Selecione para adicionar uma próxima entrada CNAME
4- Preencha os seguintes campos:

  • Tipo de registro: CNAME
  • Nome do host: digite selector1. _domainkey  como o nome do host para o registro CNAME.
  • Valor TXT: digite o valor que deseja atribuir ao seletor de registro1-contoso-com._domainkey.contoso.onmicrosoft.com
  • TTL : Especifique o tempo de vida (TTL). Normalmente, eu uso 3600 como valor

5- Salve o registro

Agora que você criou o primeiro registro DKIM. Você precisará repetir as mesmas etapas e inserir um segundo registro, conforme mostrado abaixo.

1- Selecione para adicionar uma próxima entrada CNAME
2- Preencha os seguintes campos:

  • Tipo de registro: CNAME
  • Nome do host: digite seletor2. _domainkey  como o nome do host para o registro CNAME.
  • Valor TXT: digite o valor que deseja atribuir ao seletor de registro2-contoso-com._domainkey.contoso.onmicrosoft.com
  • TTL : Especifique o tempo de vida (TTL). Normalmente, eu uso 3600 como valor

3- Salve o registro

Depois de fazer isso, você verá algo semelhante em seu editor de DNS (abaixo, estou usando GoDaddy)

Como validar se as entradas DKIM no DNS foram salvas

Agora vamos validar se suas entradas DKIM foram configuradas corretamente. Aqui está o que você tem atualmente:

selector1._domainkey.contoso.com. CNAME selector1-contoso-com._domainkey.contoso.onmicrosoft.com
selector2._domainkey.contoso.com. CNAME selector2-contoso-com._domainkey.contoso.onmicrosoft.com

Parte 1: você precisa verificar se os dois registros DKIM CNAME foram publicados com sucesso + o processo de “redirecionamento” CNAME foi implementado com sucesso

1- Use o  MxToolboxsite, para verificar informações sobre o registro DKIM CNAME que você publicou. Para executar uma aparência CNAME, você usará o seguinte link –  Pesquisa de registro CNAME MXTOOLBOX
2- Para verificar se seu registro CNAME foi publicado com êxito e, além disso, realizar o “redirecionamento” necessário, você precisará fornecer a “primeira parte” do registro CNAME. Em nosso cenário específico, o nome do host é “_domainkey.contoso.com”
3- Na caneta do resultado, você pode ver que o processo de “redirecionamento de CNAME” foi concluído com sucesso.
4- Execute o mesmo teste com “selector2._domainkey.contoso.com”

Parte 2: Verifique o “conteúdo” do registro de texto DKIM do Office 365 que representa o nome de domínio público.

1- Para poder realizar este teste, você precisa saber o nome do host do nome do host “real Office 365 DKIM selector”. Nesse cenário, você consulta o DNS público sobre o conteúdo de um “registro DNS TXT”.
2- Para realizar uma consulta sobre um registro TEXT, use o seguinte link –  Pesquisa de registro MXTOOLBOX TXT
3- Em nosso cenário, você observa um registro TXT que usa o seguinte nome de host:
selector1-contoso-com._domainkey.contoso.onmicrosoft.com

Os resultados incluem as informações que são “armazenadas” no registro TXT. Em nosso caso, o registro TXT do Office 365 armazena a chave pública do seletor DKIM do Office 365, que representa nosso nome de domínio.

Parte 3: métodos adicionais para verificar os registros DKIM DNS

Ao usar a pesquisa de registros DKIM , você precisará fornecer:

  • O nome de domínio que usa serviços DKIM, em nosso exemplo contoso.com
  • O nome do host de nosso seletor DKIM em nosso exemplo – seletor1

Habilitar DKIM no Office 365

Depois de ter os registros DNS em vigor e verificados, eles estão acessíveis publicamente, vá para:

1- https://admin.office.com
2- Acesse Admin Exchange Center -> Proteção -> DKIM
3- clique em HABILITAR

  • Depois de clicar, não feche a janela. Observe que pode levar 1 hora para que você possa ativar. Se você conseguir passar em todos os testes acima, a configuração do DKIM deve ser concluída em uma hora.

Configurando DMARC

O que é DMARC?

DMARC (Domain-Based Message Authentication, Reporting & Conformance) é um protocolo de autenticação, política e relatório de e-mail. Ele se baseia nos protocolos SPF e DKIM amplamente implantados, adicionando vínculo ao nome de domínio do autor (“De:”), políticas publicadas para tratamento de falhas de autenticação por destinatário e relatórios de destinatários para remetentes, para melhorar e monitorar a proteção do domínio contra email fraudulento.

Considerações para configurar DMARC

As políticas DMARC definem como os registros SPF e DKIM devem ser tratados por servidores de e-mail. Um elemento extremamente importante da política DMARC é que ela também fornece um mecanismo de relatório para que os administradores de domínio possam identificar se o e-mail está falhando ou se um invasor está tentando falsificar um determinado domínio.

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

Crie uma regra DMARC

As políticas DMARC são publicadas no DNS como texto (TXT) e anunciam o que um destinatário de e-mail deve fazer com os e-mails não alinhados que recebe. Os registros DMARC seguem a sintaxe extensível de “valor de tag” para registros de chave baseados em DNS definidos em DKIM. O gráfico a seguir ilustra algumas das tags disponíveis:

Exemplo 1

v = DMARC1; p = quarentena; rua = mailto: [email protected]; ruf = mailto: [email protected]; adkim = r; aspf = r; rf = afrf
  • A opção “p” tem três opções de como o e-mail que viola as políticas deve ser tratado:
    • Nenhum
    • Quarentena
    • rejeitar,
  • As opções adkim e aspf definem quão estritamente a política DKIM e SPF deve ser aplicada, com ‘s’ indicando estrito e ‘r’ indicando relaxado
  • O RUA fornece um endereço para relatórios de dados agregados, enquanto o RUF fornece um endereço para relatórios forenses

Exemplo # 2:

v = DMARC1; p = quarentena; pct = 100
  • política especifica qual política você deseja que o servidor receptor siga se o DMARC falhar. Você pode definir a política como nenhuma, quarentena ou rejeição.
  • pct = 100  indica que esta regra deve ser usada para 100% do email.

Como adicionar uma entrada DMARC em meu DNS

1- Vá para o seu provedor de DNS (ou seja, GoDaddy, Soluções de rede, etc.)
2- Vá para a página Gerenciamento de DNS. Como cada provedor de DNS tem uma interface diferente, você precisará encontrar a localização do seu editor de DNS
3- Selecione para adicionar uma próxima entrada TXT
4- Preencha os seguintes campos:

  • Tipo de registro : TXT
  • Nome do host: digite _dmarc como o nome do host para o registro TXT.
  • Valor TXT: insira o valor que deseja atribuir ao registro.
    v = DMARC1; p = quarentena; pct = 100
  • TTL : Especifique o tempo de vida (TTL). Normalmente, eu uso 3600 como valor
  • Salve o registro

Teste DMARC

Para verificar se você configurou corretamente seu DMARC, execute as seguintes etapas:

1- Acesse https://mxtoolbox.com/dmarc.aspx
2- Insira seu nome de domínio e clique em pesquisa DMARC
3- Irá obter um ecrã como mostrado abaixo com a validação das regras que colocou em vigor

Este artigo foi útil?

Para manter um padrão de qualidade para vocês, investimos em um ótimo plano de hospedagem, CDN Pago, Plugins de Otimização para o Site, etc…

Ajude-nos a manter o projeto ativo! 

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

Felipe Santos
Felipe Santos é Arquiteto de Cloud e Segurança, com vivência em Administração de Ambientes Windows Server, Cluster, Storages, Backups Veeam e Office 365.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!