Autenticação de e-mail

Autenticação de e-mail baseado nas tecnologias DKIM, DomainKeys, SPF e Sender ID

Os provedores de internet (ISP), em geral, tomam diversas medidas de precaução para proteger suas redes contra spams. Isso, porém, está se tornando cada vez mais difícil, porque os Spammers também usam técnicas cada vez mais sofisticadas para driblar os filtros de spam e as listas negras (Blacklists) e conseguir enviar suas propagandas.

Uma das técnicas mais usadas é a falsificação de e-mails, o chamado email forging. Com ele, os spammers tentam disfarçar a origem dos e-mails que enviam. Os provedores (ISP) enfrentam essa tática com diferentes métodos de autentificação de e-mail. Assim, eles se empenham em verificar se um e-mail recebido realmente é de proveniência do remetente que está especificado na mensagem.

Até agora, os três métodos de autentificação de e-mail que se estabeleceram no mercado são:

  • Sender Policy Framework (SPF)
  • Sender ID (Identificação do remetente)
  • DomainKeys e DomainKey Identified Mail (DKIM)

O essencial para você, cliente do KlickMail, é que, em nossos servidores, adotamos as tecnologias SPF, Sender ID e DomainKeys/DKIM. O nosso DNS contém todos os requisitos necessários para a aplicação desses métodos; e em todos os e-mails que são enviados – tanto autoresponders como newsletters – inserimos assinaturas digitais, com os quais os ISP conseguem fazer a autentificação dos nossos e-mails também com base no processo DKIM/DomainKeys. (DNS é a abreviatura de Domain Name System, e se refere a um sistema de gerenciamento de nomes na internet.)

Para os clientes interessados na parte técnica desses métodos, disponibilizamos as informações que você verá abaixo. Tentamos deixar essa seção o mais compreensível possível. Uma tarefa não tão simples, pois os métodos de autentificação de e-mail requerem um entendimento técnico que às vezes se mostra bastante exigente.

Sender Policy Framework (SPF)

Ao usar a autenticação SPF, um dispositivo chamado Resource Record é armazenado no DNS de um domínio com informações sobre quais servidores estão autorizados a enviar e-mails ao domínio em questão. O provedor (ISP) do destinatário verifica se o e-mail foi enviado de um servidor que está registrado no Resource Record do DNS do domínio do remetente. Se o Resource Record não estiver no DNS, ou se o e-mail foi enviado de um servidor que não está presente no Resource Record do DNS do domínio do rementete, a maioria dos provedores (ISP) não irá enviar a respectiva mensagem.

Dentre os provedores que utilizam SPF, os mais conhecidos são Google Mail, Hotmail, AOL, Arcor e GMX. Todos os mais novos filtros de spam usam a autentificação baseada no método SPF para avaliar os e-mails que chegam.

Sender ID (Identificação do remetente)

Sender ID é um conceito de autenticação de e-mail desenvolvido pela Microsoft e funciona basicamente como o SPF.

O Sender ID amplia o registro de DNS do domínio de envio com informações sobre os endereços IP dos servidores que estão autorizados a enviar mensagens para o domínio em questão. O servidor do destinatário consulta os servidores de DNS que são responsáveis pelo domínio do remetente. Através de um algoritmo especial, é determinado o chamado Purported Responsible Address (PRA) de um e-mail. Essa cifra é comparada ao Sender ID oficial, derivado do registro de DNS. Se o PRA não for igual ao Sender ID, o sistema toma isso como um forte indício de que se trata de um spam com um endereço de remente forjado.

O Sender ID é importante sobretudo para o envio de e-mails aos destinatários que utilizam os serviços da Microsoft, como Hotmail, MSN e Windows Live Mail. Os e-mails que não forem devidamente identificados com o Sender ID, acabam automaticamente nas pastas de spam (isso se conseguirem chegar ao destinatário).

DomainKeys e DomainKey Identified Mail (DKIM)

Os dois termos são protocolos especiais de identificação usados para autenticar remetentes de e-mail. Ambos funcionam conforme o conceito que costuma ser chamado de criptografia assimétrica.

Caso o proprietário de um site queira que os e-mails a serem enviados tenham uma assinatura digital com DomainKeys/DKIM, é necessário criar, por meio de um algoritmo de cifragem, duas chaves que se correspondam. A primeira chave é registrada no DNS do domínio (Public Key). À segunda chave somente o remetente tem acesso (Private Key). A mensagem é assim criptografada (cifrada) com base na Private Key. Ao enviar um e-mail, os resultados da criptografia são gravados em forma de assinatura digital no cabeçalho da mensagem.

Depois disso, a assinatura digital só pode ser decifrada por meio da Public Key do registro de DNS. Os valores descriptografados batem somente se a mensagem for proveniente do legítimo proprietário do domínio e não tenha sido alterada no trajeto ao destinatário (tráfego de mensagem).

O servidor do ISP, através das DomainKeys/DKIM, pode verificar com segurança se o e-mail está sendo realmente enviado de um servidor do domínio do endereço de e-mail em questão e ainda se ele foi alterado no decorrer do tráfego para o receptor. É quase impossível ocultar a origem de um e-mail que tem uma assinatura com DomainKeys/DKIM.

A Yahoo! tem contribuído bastante para a difusão desses procedimentos. Além do Yahoo! Mail, o conceito de DomainKeys/DKIM também é adotado principalmente pela AOL, Google Mail e outros provedores ISP.

* * * * *

Complicado? Os termos SPF, Sender ID e DomainKeys/DKIM ainda parecem um mistério para você? Não se preocupe. Como nosso cliente, você pode confiar no nosso sistema de disparo de e-mails – todas as mensagens que você enviar aos seus destinatários serão corretamente autenticadas pelos provedores ISP usando os protocolos SPF, Sender ID e DomainKeys/DKIM. Adotamos esses métodos em todos os nossos servidores de e-mail.

Se você tiver alguma dúvida em relação à autenticação de e-mail, faça uma consulta através do nosso Formulário de Contato. Nosso serviço de atendimento irá atender você com o maior prazer.