Table of Contents
O Estado do DMARC em 2024
A situação do padrão de autenticação e segurança de emails DMARC (Domain-based Message Authentication, Reporting and Conformance) parecia promissora no início de 2024. Google e Yahoo estabeleceram um prazo para fevereiro de 2024, exigindo que os remetentes de emails em massa adotassem uma política DMARC. Com isso, muitas empresas se apressaram para cumprir o prazo, e o número de domínios de email com um registro DMARC válido saltou 60% em apenas dois meses. Em setembro, quase 6,8 milhões de domínios tinham a autenticação do remetente configurada.
Adoção Lenta e Desafios
Mesmo com esse aumento no início do ano, a realidade é que as empresas continuam a não instalar a autenticação de emails em seus domínios de maneira ágil. O atraso na adoção é especialmente notável na transição da política mínima do DMARC, p=none, para políticas mais rigorosas. A execução dessas políticas significa que emails não autenticados são colocados em quarentena ou rejeitados. A participação de domínios habilitados para DMARC que implementaram uma política de execução caiu de 18% no ano passado para menos de 14% atualmente.
De acordo com Seth Blank, diretor de tecnologia da Valimail, provedora de serviços de segurança de email: “As ações do Google e do Yahoo forçaram muitas empresas a adotarem DMARC, mas a maioria delas — motivada por receios de bloquear mensagens legítimas — ainda não adotou as políticas de quarentena ou rejeição.”
Protocolo DMARC e Suas Implicações
O protocolo DMARC tem como objetivo adicionar autenticação à infraestrutura de email da Internet, exigindo que os remetentes de email adotem duas tecnologias de verificação: Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM). Além disso, o DMARC demanda que uma política seja especificada, determinando como outros servidores devem lidar com emails de remitentes que não fazem parte de um domínio autorizado. Em outubro de 2023, Google e Yahoo exigiram que os profissionais de marketing por email — ou seja, aqueles que enviam mais de 5.000 emails diariamente através dos serviços — configurassem o DMARC. Essa mudança resultou em uma redução significativa de emails não autenticados, com o Google observando uma diminuição de dois terços (65%) nas mensagens não autenticadas enviadas aos usuários do Gmail e um total de 265 bilhões de mensagens não autenticadas a menos enviadas até agora neste ano.
Medo, Incerteza e DMARC
A taxa de adoção do DMARC dobrou aproximadamente no último ano — de cerca de 55 mil domínios adicionando novos registros DMARC a cada mês em 2023, para 110 mil domínios por mês no terceiro trimestre de 2024, segundo dados da Valimail. No entanto, mesmo nessa taxa, ainda levará quase 15 anos para que os 25 milhões principais de domínios adotem essa medida.
Fonte: Autor, com dados da Valimail
Desigualdade na Adoção
Ainda assim, a adoção do DMARC tem sido desigual. Enquanto mais de 60% das organizações em indústrias como manufatura e saúde adotaram o DMARC, apenas uma em cada cinco realmente migrou da política de segurança mais baixa (‘p=none‘) para a mais alta (‘p=reject‘). Segundo dados da EasyDMARC, algumas áreas, como organizações sem fins lucrativos e de caridade, aumentaram a adoção ao longo do ano, mas menos de 8% dos domínios estão utilizando o DMARC.
Como o email é crítico para as operações comerciais, as organizações se preocupam que a aplicação rigorosa dos padrões resulte em mensagens perdidas, especialmente porque o DMARC não é necessariamente uma tecnologia fácil de implementar e manter, afirma Kelly Molloy, diretora de desenvolvimento de rede da DomainTools, uma empresa de inteligência da Internet.
“O medo é, especialmente se você é uma empresa que depende de leads via email, que você vai perder mensagens de partes interessadas — de clientes e potenciais clientes — se começar a fazer [a aplicação rigorosa]” diz ela, acrescentando que: “Muitas empresas estão sendo conservadoras e não vão além do que realmente precisam, porque isso demanda recursos.”
Esperando a Próxima Medida
O ciclo de adoção estagnado provavelmente atrairá outro movimento importante por parte do Google, Yahoo e outros grandes serviços de email, segundo Hagop Khatchoian, líder da equipe de serviços técnicos da EasyDMARC. Ele afirma: “Eles [Google e Yahoo] estão apenas forçando todos a terem pelo menos p=none… para apenas ter uma política básica sem nenhuma aplicação — prevemos que isso será alterado nos próximos anos.” Ele também enfatiza que não se pode simplesmente dizer a todos: “Ei, você precisa ter p=reject…”, pois uma pequena má configuração no ecossistema de email poderá resultar no bloqueio de emails legítimos.
Nenhuma Política Não é Nada, Mas Quase Isso
Com mais pressão por um DMARC das principais empresas de email, as organizações devem se preparar para mudar sua política DMARC de ‘nenhuma’ para um nível mais elevado de aplicação.
Níveis de Aplicação do DMARC
Os três níveis de aplicação são:
- p=none — Emails que falham nas verificações de autenticação ainda são entregues.
- p=quarantine — Qualquer falha de autenticação resulta em email sendo colocado em quarentena, possivelmente enviado para a pasta de spam de um usuário ou para o armazenamento de quarentena de uma organização.
- p=reject — Falhas de autenticação resultam no descarte do email, embora alguns provedores de serviço possam, em vez disso, colocar o email em uma pasta separada.
Cada nível de aplicação pode produzir relatórios, e as empresas devem monitorar esses relatórios para verificar problemas e anomalias, afirma Blank da Valimail. “DMARC em p=none sem relatórios é sintaticamente equivalente a não ter DMARC algum”, diz ele, ressaltando a importância de relatórios para uma melhor segurança por email.
A obtenção de relatórios da infraestrutura DMARC é um nível importante de visibilidade para as empresas que buscam melhor segurança de email. Grandes empresas não são as únicas organizações que enfrentam abusos significativos de email, portanto, qualquer firma que envia email deve monitorar seus relatórios DMARC.
#DMARC, #SegurançaEmail, #AutenticaçãoEmail, #MarketingDigital, #Cibersegurança, #EmailMarketing, #Spam, #Tecnologia, #Negócios, #Privacidade