Pular para o conteúdo
Última atualização: 2022-04-04

Como funcionam as verificações de remetente

As verificações de remetente são usadas para verificar a autenticidade da origem do e-mail.

Este tópico trata dos tipos de verificações de remetente que o Sophos Email Security usa para protegê-lo de e-mails falsos.

Nota

Este tópico oferece uma breve explicação sobre como as verificações de remetente funcionam, entretanto não inclui informações detalhadas, como configuração de registros DNS (DMARC, DKIM, SPF), porque estamos focando em o que acontece a mensagens recebidas.

SPF

A Estrutura de Política de Remetentes, ou SPF, Sender Policy Framework, lhe permite verificar se os e-mails recebidos vêm de um endereço de IP ou host de envio autorizado pelos administradores do domínio remetente.

O remetente cria um registro SPF que especifica os hosts, endereços IP e sub-redes que estão autorizados a enviar mensagens para seus domínios.

Quando o Sophos Email Security recebe um e-mail, ele compara o endereço do servidor de envio de mensagem com os remetentes autorizados no registro SPF. Se não corresponderem, a verificação SPF será reprovada.

DKIM

DKIM (DomainKeys Identified Mail) é usado para autorizar um e-mail por meio da verificação de sua assinatura digital, a qual associa um nome de domínio com o e-mail.

O remetente decide qual parte do e-mail deseja que seja assinada (cabeçalho e/ou corpo) e configura o servidor de mensagem para criar um hash dessas partes. O hash é encriptado com sua chave privada. Eles também publicam um registro DKIM que contém uma chave pública usada para decodificar a assinatura.

Quando o Sophos Email Security nota que o e-mail tem uma assinatura DKIM, ele faz uma busca de DNS para encontrar o registro DKIM associado com o domínio de envio. Ele usa a chave pública para decodificar a assinatura digital de volta para o valor hash. Em seguida, usando os elementos da mensagem que foram assinados, cria o seu próprio hash, o qual será comparado com o hash decodificado. Se não corresponderem, a verificação DKIM será reprovada.

Consulte DKIM.

DMARC

O DMARC (Domain-based Message Authentication, Reporting and Conformance) utiliza o DKIM e o SPF para validar a autenticidade de um e-mail.

O remetente cria um registro DMARC que instrui o destinatário a fazer as verificações de DMARC e que contém informações sobre o que fazer quando o DMARC é reprovado.

Quando um e-mail é recebido, o Sophos Email Security realiza uma verificação de DNS para localizar o registro DMARC para o domínio especificado no endereço de (cabeçalho). O registro DMARC informa o destinatário (nesse caso, o Sophos Email Security) para verificar o DMARC e especifica o que fazer com o e-mail que é reprovado nas verificações DMARC. A opção padrão do Sophos Email Security para mensagens reprovadas nas verificações de DMARC é Conformar com política do remetente, o que significa que o que será feito com a mensagem depende do que foi definido no registro DMARC. O domínio especificado no endereço De é comparado com as informações nos registros SPF e DKIM para verificar se os domínios correspondem. Para ser aprovada em uma verificação DMARC, a mensagem precisa ser aprovada nas verificações de validação e de alinhamento de SPF ou DKIM:

  • Para SPF, o domínio especificado no endereço MAIL FROM (envelope) deve corresponder a um dos endereços IP ou sub-redes especificadas no registro SPF. O DMARC verifica o endereço em MAIL FROM em relação ao endereço De para confirmar que se alinhem.
  • Para DKIM, a assinatura deve ser validada e o domínio especificado no endereço De deve corresponder ao domínio usado para criar a assinatura especificada no registro DNS.

Consulte DMARC.

Anomalias no cabeçalho

A verificação de anomalias no cabeçalho o protege contra remetentes que falsificam e-mails de seu próprio domínio.

Ao comparar o cabeçalho do e-mail do remetente com o domínio do destinatário e o endereço em MAIL FROM no envelope, ela verifica os e-mails que parecem que se originaram de seu próprio domínio, mas que têm origem em um domínio externo.

  • Caso o domínio do endereço do remetente em De pertença ao mesmo cliente que o domínio do destinatário, o e-mail será considerado como falso.
  • Se o endereço do remetente no cabeçalho for diferente do endereço em MAIL FROM no envelope, o e-mail será considerado falso.

Nota

O cabeçalho precisa corresponder aos dois critérios acima para disparar a verificação de anomalias no cabeçalho.

Voltar ao topo