*Por Daniel Ingevaldson
O Google anunciou recentemente que está intensificando seu compromisso com o DMARC (Domain-based Message Authentication, Reporting & Conformance). A partir de junho 2016, o popular serviço do Gmail irá rejeitar quaisquer mensagens que não passem pelas verificações de autenticação que fazem parte das políticas do DMARC.
A adoção do DMARC pelo Google é um enorme passo na direção certa para a implantação global destas políticas e uma “marca” da estabilidade do DMARC em geral. O Yahoo! anunciou anteriormente que iria praticar essa mesma política. E o Google, por sua vez – e como o maior provedor de e-mails do mundo –, se movendo para rejeitar estas mensagens duvidosas, também é um grande endosso para o mercado.
E o que isso significa para empresas que atuam na área de serviços financeiros e de outras organizações para garantir que elas não sejam negativamente afetadas por estas mudanças? Com base em nossa experiência, implementar plenamente o DMARC no lado do remetente, combinada com as recomendações do BITS (The Financial Services Roundtable), aqui estão os cinco passos que recomendamos para se certificar que sua organização estará em conformidade com o DMARC em conformidade antes destas mudanças efetivamente acontecerem.
1) Auditoria: criar um inventário dos domínios de e-mail da sua organização, caixas de e-mail e tipos de e-mail, incluindo todos os domínios de envio de e-mail ativos, bem como domínios inativos registrados para fins defensivos ou proteção da marca. Os domínios ativos podem conter vários fluxos de e-mail provenientes de diferentes grupos ou fornecedores. Os dados fornecidos pelo DMARC ou o chamado Trusted E-mail Registry pode aumentar a pesquisa interna e reduzir o custo de descobrir “correntes” de e-mail com problemas;
2) Detectar: comparar e contrastar dados do mundo real com a sua estratégia de implementação de autenticação de e-mails previamente indicados;
3) Remediar: resolva os problemas de implementação de autenticação de e-mail ou problemas operacionais descobertos durante a auditoria ou ainda na fase de detecção dos problemas;
4) Assegurar: implementar políticas de bloqueio para ambos os domínios ativos e inativos. A publicação de uma política de bloqueio permite ISPs (provedores de Internet) participantes a impor quarentena ou rejeitar e-mails não autenticados em seu nome;
5) Monitorar: continuar a procurar novos sinais de abuso, problemas operacionais, mudanças na topologia da rede, entre outras anomalias. Agressivamente perseguir as quedas do serviço para ganhar a reputação ao se tornar um “alvo difícil”.
O DMARC é um padrão de autenticação muito útil, que vai ajudar a reduzir a quantidade de spams entregues em todo o mundo. Enquanto muitas organizações não acreditam nesta adoção, a iniciativa do Google para ter uma rigorosa política de rejeitar e-mails “ruins” com base no DMARC significa que nenhuma empresa que pretenda se comunicar com seus clientes poderá continuar a ignorá-lo.
*Por Daniel Ingevaldson, CTO da Easy Solutions