Digital Inside

4 jun 2025 07:57

Tecnologia

Destaques de Digital Inside

Digital Inside · Tecnologia · 5 jun 2025 21:00

Quando o jogo muda as regras: e-sports, tecnologia e o futuro do desporto
Digital Inside · Tecnologia · 5 jun 2025 06:00

40 mil milhões depois, a Insurtech obriga seguradoras a repensar tudo
Digital Inside · Tecnologia · 4 jun 2025 07:57

Apenas 7,7% dos domínios de e-mail aplicam um bloqueio de autenticação eficaz

Ver mais notícias

Apenas 7,7% dos domínios de e-mail aplicam um bloqueio de autenticação eficaz

Um novo relatório da EasyDMARC revela que mais de 90% dos 1,8 milhões de domínios analisados continuam expostos a spoofing de e-mail, apesar dos avanços normativos e das exigências dos grandes fornecedores.

A empresa de autenticação de e-mail EasyDMARC acaba de publicar o seu 2025 DMARC Adoption Report, um estudo que analisa o nível de proteção dos principais domínios mundiais contra a falsificação de identidade. Este documento conclui que apenas 7,7% dos domínios analisados ativaram a política p=reject, a configuração mais rigorosa do DMARC (Domain-based Message Authentication, Reporting and Conformance), que bloqueia mensagens fraudulentas antes que elas cheguem à caixa de correio.

As consequências disso é que cerca de 90% permanecem vulneráveis a ataques de spoofing, o que dá margem aos cibercriminosos para aperfeiçoar campanhas de phishing direcionadas a funcionários e clientes.

O protocolo DMARC baseia-se nos padrões SPF e DKIM para verificar se o domínio do remetente não foi falsificado. Foi concebido para que os proprietários de domínios de e-mail possam proteger o seu domínio contra o uso não autorizado, habitualmente conhecido como spoofing.

O seu funcionamento baseia-se na publicação de uma entrada DNS de DMARC, de forma que qualquer servidor de e-mail recetor possa autenticar o e-mail recebido de acordo com as instruções publicadas pelo proprietário do domínio na entrada DNS. Se o e-mail passar na autenticação, será marcado como confiável e entregue, enquanto que, se não passar na verificação, a mensagem de e-mail poderá ser entregue, colocada em quarentena ou rejeitada, de acordo com as instruções do registo DMARC.

Embora a sua adoção tenha aumentado desde 2023, impulsionada por requisitos como PCI DSS 4.0.1 e pelas políticas do Google, Yahoo e Microsoft, a maioria das organizações limita-se à política passiva p=none, que recolhe dados, mas não bloqueia o correio malicioso.

Os países que impuseram mandatos rigorosos apresentam quedas notáveis na taxa de e-mails de phishing acedidos. Nos Estados Unidos, esta proporção caiu de 68,8% em 2023 para 14,2% em 2025. Situações semelhantes são observadas no Reino Unido e na República Checa, onde a regulamentação pública obriga as entidades a aplicar políticas de bloqueio.

Por outro lado, em jurisdições com diretrizes voluntárias — como os Países Baixos ou o Catar — os avanços são praticamente nulos desde 2023. A ausência de uma obrigação formal mantém grande parte do tecido empresarial sob o mesmo nível de risco de dois anos atrás.

Para além das regulamentações, a EasyDMARC detecta que 52,2% dos domínios nem sequer possuem um registo DMARC básico. Entre aqueles que o implementam, a política dominante continua a ser p=none, que não impede a entrega de e-mails fraudulentos.

Deficiências técnicas e falta de visibilidade

O relatório aponta outro ponto crítico: mais de 40% dos domínios com DMARC ativo não incluem etiquetas RUA para a receção de relatórios. Sem elas, as organizações não sabem quais mensagens falham no processo de autenticação e quem tenta enviar e-mails em seu nome, o que limita a capacidade de resposta a incidentes.

Conforme resume a direção da EasyDMARC, deixar a política em modo passivo equivale a instalar um sistema de segurança sem ligá-lo. À medida que o volume e a sofisticação dos ataques aumentam, as empresas que não concluem a transição para p=reject correm o risco de expor a sua comunicação e a sua reputação.

Os investigadores relacionam a falta de controlos robustos com o aumento das campanhas de spoofing de domínios; em maio de 2024, um alerta do governo dos EUA descreveu como o grupo Kimsuky, ligado à Coreia do Norte, explorava configurações laxas de DMARC para se fazer passar por académicos e jornalistas especializados em Ásia Oriental.

Um mês depois, em julho de 2024, a Guardio Labs documentou o uso de uma vulnerabilidade no serviço de proteção de e-mail da Proofpoint para falsificar marcas de grande consumo como Disney, Nike ou Coca-Cola. Ambas as campanhas se apoiavam em políticas de autenticação permissivas que permitiam aos atacantes inserir mensagens verosímeis nas caixas de entrada.

Diante da pressão regulatória e da atividade criminosa, a mensagem do setor é clara: parar no meio do caminho não é mais uma opção. Concluir a adoção do DMARC com políticas de bloqueio e mecanismos de relatório está tornar-se uma prioridade para os responsáveis por TI e compras de tecnologia que buscam proteger a cadeia de comunicação corporativa e cumprir as exigências de conformidade regulatória.