DMARC E O DTMAIL


DMARC E O DTMAIL

Remetentes de spam podem às vezes forjar o endereço “De” em mensagens de e-mail para que um Spam pareça vir de um usuário do seu domínio. Para prevenir esse tipo de abuso, o DMARC permite que os proprietários de domínios tenham mais controle de spam em seu domínio.

Abordaremos o RECEBIMENTO e o ENVIO, e para facilitar o entendimento utilizaremos a seguinte nomenclatura:

Cliente da DT: Cliente que contratou a Direct Talk e utiliza a solução DTMAIL.
Consumidor: O consumidor que envia um e-mail para Empresa que utiliza o DTMAIL.

RECEBIMENTO DE EMAILS NO DTMAIL E O DMARC

A validação de DMARC para recebimento só fará parte do processo de validação do email se o Provedor do Consumidor tiver habilitado a validação do recurso.

Uma vez habilitado, o DMARC pode assumir as seguintes políticas:

  • Report – o domínio que habilitou o recurso receberá um e-mail informativo sobre o caso, mas permite que o email prossiga;
  • Quarantine – o domínio que habilitou o recurso aceita que o email seja armazenado em Quarentena no provedor que o detém;
  • Reject – o domínio que habilitou autoriza o descarte do email no Provedor que o detém.
Servidores da DT baixam direto no Servidor MTA do Cliente da DT

Se o provedor de email do Consumidor respeitar DMARC (quem valida DMARC normalmente respeita) e o Consumidor estiver fazendo uso correto de email (não tentando enviar SPAM, por exemplo), tudo funcionará normalmente.

Cliente da DT que redireciona para caixas postais da DT (@dtmail.com.br)

Vai funcionar se as seguintes premissas forem verdade:

  • Provedor de email do Consumidor respeitar DMARC e assinar mensagens utilizando DKIM (é o esperado)
  • Cliente da DT não forjar os emails (alterar o conteúdo do email do consumidor) durante o redirecionamento. Alguns exemplos:
    • Adicionar informações de confidencialidade do próprio cliente (disclaimer);
    • Adicionar imagens ou logotipos de quaisquer tipos;
    • Alterar cabeçalhos de email que possam ser utilizados na validação de DKIM.

IMPORTANTE: O email é do Consumidor e não do Cliente da DT. Portanto, não deve ser alterado. O DMARC é implementado para garantir que a mensagem original será entregue ao destino final com integridade.

Exemplos:
1 – Recebimento de emails de Consumidor com Provedor que não valida DMARC. [sucesso]

recebimento-1

 

  1. Consumidor acessa seu Provedor de Emails;
  2. Consumidor envia email para @Empresa que ele é cliente (Cliente da DT);
  3. Direct Talk acessa caixa postal da @Empresa (Cliente da DT) para coletar os emails;
  4. Operador recebe email do Consumidor através da ferramenta da Direct Talk.

2 – Recebimento de emails de Consumidor com Provedor que valida DMARC.

a) Direct Talk coleta emails diretamente no MAIL SERVER (MTA) do Cliente da DT. [sucesso]

recebimento-2a

 

  1. Consumidor acessa seu Provedor de Emails;
  2. Consumidor envia email para @Empresa que ele é Cliente (Cliente da DT);
  3. Direct Talk acessa caixa postal da @Empresa (Cliente da DT) para coletar os emails;
  4. Operador recebe email do Consumidor através da ferramenta da Direct Talk.

b) Cliente da DT redireciona emails para caixas postais DT sem alterar o conteúdo do email. [sucesso]

recebimento-2b

 

  1. Consumidor acessa seu Provedor de Emails;
  2. Consumidor envia email para @Empresa que ele é Cliente (Cliente da DT);
  3. @Empresa (Cliente da DT) encaminha(forward) o email do seu Consumidor para uma caixa postal @DTMAIL da Direct Talk;
  4. Email do Consumidor tem a flag DMARC, então @DTMAIL valida a integridade do email;
  5. Direct Talk acessa caixa postal @DTMAIL para coletar os emails;
  6. Operador recebe email do Consumidor através da ferramenta da Direct Talk.

c) Cliente da DT redireciona emails para caixas postais DT alterando o conteúdo do email. [sujeito à restrições]

recebimento-2c

 

  1. Consumidor acessa seu Provedor de Emails;
  2. Consumidor envia email para @Empresa que ele é Cliente (Cliente da DT);
  3. @Empresa (Cliente da DT) altera o email original do Consumidor, adicionando Disclaimer, Advertising, Security Policies, etc;
  4. @Empresa (Cliente da DT) encaminha(forward) o email do seu Consumidor para uma caixa postal @DTMAIL da Direct Talk;
  5. Email do Consumidor tem a flag DMARC habilitada, então @DTMAIL valida a integridade do email;
  6. Como o email original do Consumidor foi modificado no percurso, o email está sujeito às políticas DMARC e pode não ser entregue.

ENVIO DE EMAILS NO DTMAIL E O DMARC

Neste caso estaremos falando apenas do Cliente da DT, caso o domínio do Cliente da DT valide DMARC para rejeitar emails.

A ferramenta DTMAIL terá compatibilidade parcial com o padrão DMARC caso o Cliente da DT tome as seguintes ações:

  • Utilize seu próprio servidor SMTP e este assine com DKIM os emails;
  • Utilize seu próprio servidor SMTP e não assine DKIM (compatibilidade parcial);
  • Utilize o SMTP da DT e configure corretamente o SPF (compatibilidade parcial);
  • Utilize o SMTP da DT e configure a chave para assinatura DKIM através da ferramenta.

compatibilidade parcial = cliente pode receber ou não dependendo das regras do seu provedor.

A ferramenta DTMAIL possui uma validação para identificar se o SPF está configurado corretamente.

  • SPF da Direct Talk: _spf.directtalk.com.br

Exemplos:

1 – Envio através do SMTP do Cliente da DT:

a) SMTP do Cliente da DT assina os emails com DKIM

i) Entrega direta para o Consumidor [sucesso]

envio-1ai

 

  1. Operador responde email com a ferramenta DTMAIL;
  2. DTMAIL entrega o email respondido para o MAIL SERVER (MTA) da @Empresa (Cliente da DT);
  3. MAIL SERVER (MTA) do Cliente da DT assina o email com DKIM;
  4. MAIL SERVER (MTA) do Cliente da DT envia o email para o Provedor do Consumidor;
  5. Consumidor recebe a mensagem da @Empresa (Cliente da DT).

ii) Entrega indireta / Consumidor redirecionou email [sucesso]

envio-1aii

 

  1. Operador responde email com a ferramenta DTMAIL;
  2. DTMAIL entrega o email respondido para o MAIL SERVER (MTA) da @Empresa (Cliente da DT);
  3. MAIL SERVER (MTA) do Cliente da DT assina o email com DKIM;
  4. MAIL SERVER (MTA) do Cliente da DT envia o email para o Provedor do Consumidor;
  5. Consumidor recebe a mensagem da @Empresa (Cliente da DT);
  6. Eventualmente, Consumidor pode encaminhar esse email para outro email, que chamaremos de Consumidor 2;
  7. O provedor do Consumidor 2 valida a assinatura DKIM que acompanha o email;
  8. Consumidor 2 também recebe a mensagem.

b) SMTP não assina os emails com DKIM

i) Entrega direta para o Consumidor [sucesso]

envio-1bi

 

  1. Operador responde email com a ferramenta DTMAIL;
  2. DTMAIL entrega o email respondido para o MAIL SERVER (MTA) da @Empresa (Cliente da DT);
  3. MAIL SERVER (MTA) do Cliente da DT envia o email para o Provedor do Consumidor;
  4. Consumidor recebe a mensagem da @Empresa (Cliente da DT).

ii) Entrega indireta / Consumidor redirecionou email [sujeito à restrições]

envio-1bii

 

  1. Operador responde email com a ferramenta DTMAIL;
  2. DTMAIL entrega o email respondido para o MAIL SERVER (MTA) da @Empresa (Cliente da DT);
  3. MAIL SERVER (MTA) do Cliente da DT envia o email para o Provedor do Consumidor;
  4. Consumidor recebe a mensagem da @Empresa (Cliente da DT);
  5. Eventualmente, Consumidor pode encaminhar esse email para outro email, que chamaremos de Consumidor 2;
  6. O provedor do Consumidor 2 valida DMARC;
  7. Como o email enviado originalmente não foi assinado com DKIM e foi encaminhado pelo Provedor do Consumidor, e não pelo Servidor da @Empresa (Cliente da DT), o email está sujeito às políticas DMARC e o Consumidor 2 pode não recebê-lo.

2 – Envio através do SMTP da Direct Talk e Cliente da DT com DMARC habilitado

a) Cliente da DT não configurou o SPF e não assina o DKIM [sujeito à restrições]

envio-2a

 

  1. Operador responde email com a ferramenta DTMAIL;
  2. DTMAIL entrega o email pronto para ser enviado para o SMTP da DT;
  3. SMTP da DT envia o email em nome da @Empresa (Cliente da DT) até o Provedor do Consumidor;
  4. Provedor do Consumidor valida o SPF no DNS da @Empresa (Cliente da DT), para aferir se SMTP da DT tem autorização para entregar o email em nome da @Empresa (Cliente da DT);
  5. Não havendo registro SPF no DNS da @Empresa (Cliente da DT) credenciando o SMTP da DT, o email está sujeito às políticas DMARC e pode não ser entregue.

b) Cliente da DT configurou o SPF

i) Entrega direta, no exemplo com configuração de SPF [sucesso]

envio-2bi

 

  1. Operador responde email com a ferramenta DTMAIL;
  2. DTMAIL entrega o email pronto para ser enviado para o SMTP da DT;
  3. SMTP da DT envia o email em nome da @Empresa (Cliente da DT) até o Provedor do Consumidor;
  4. Provedor do Consumidor valida o SPF no DNS da @Empresa (Cliente da DT), para aferir se SMTP da DT tem autorização para entregar o email em nome da @Empresa (Cliente da DT);
  5. Havendo registro SPF no DNS da @Empresa (Cliente da DT) credenciando o SMTP da DT, o email é validado e o Consumidor pode acessá-lo.

ii) Entrega indireta apenas com configuração de SPF / Consumidor redirecionou email [sujeito à restrições]

envio-2bii

 

  1. Operador responde email com a ferramenta DTMAIL;
  2. DTMAIL entrega o email pronto para ser enviado para o SMTP da DT;
  3. SMTP da DT envia o email em nome da @Empresa (Cliente da DT) até o Provedor do Consumidor;
  4. Provedor do Consumidor valida o SPF no DNS da @Empresa (Cliente da DT), para aferir se SMTP da DT tem autorização para entregar o email em nome da @Empresa (Cliente da DT);
  5. Havendo registro SPF no DNS da @Empresa (Cliente da DT) credenciando o SMTP da DT, o email é validado e o Consumidor pode acessá-lo;
  6. Eventualmente, Consumidor pode encaminhar esse email para outro email, que chamaremos de Consumidor 2;
  7. O provedor do Consumidor 2 valida a assinatura SPF que acompanha o email;
  8. Como o email foi enviado por remetente não autorizado no SPF da @Empresa (Cliente da DT), o email está sujeito às políticas DMARC e o Consumidor 2 pode não recebê-lo.

iii) Entrega indireta com configuração DKIM / Consumidor redirecionou email [sucesso]

envio-2biii

  1. Operador responde email com a ferramenta DTMAIL;
  2. A ferramenta DTMAIL assina o email com a chave DKIM do Cliente da DT;
  3. DTMAIL entrega o email pronto para ser enviado para o SMTP da DT;
  4. SMTP da DT envia o email em nome da @Empresa (Cliente da DT) até o Provedor do Consumidor;
  5. Provedor do Consumidor valida a chave DKIM no DNS da @Empresa (Cliente da DT);
  6. Validada a Chave DKIM no DNS da @Empresa (Cliente da DT), o email é validado e o Consumidor pode acessá-lo.
  7. Eventualmente, Consumidor pode encaminhar esse email para outro email, que chamaremos de Consumidor 2;
  8. O provedor do Consumidor 2 também valida a Chave DKIM que acompanha o email;
  9. Como a Chave DKIM está corretamente desde seu envio na origem, ele também recebe a mensagem.

REFERÊNCIAS

FAQ DMARC: https://dmarc.org/wiki/FAQ
Especificação DMARC: https://dmarc.org/overview/
Especificação DKIM: https://tools.ietf.org/html/rfc7208
Especificação SPF: https://tools.ietf.org/html/rfc6376
Explicação complementar sobre DMARC: https://support.google.com/a/answer/2466580?hl=pt-BR