Guias de Segurança
Um e-mail de phishing falsificou seu próprio domínio? Spoofing vs invasão, e como impedir
Um e-mail suspeito que parece vir do seu próprio domínio — geralmente não é uma invasão do servidor, mas um remetente (From) falsificado. Como distinguir invasão de falsificação lendo os headers do e-mail, por que ele chega à caixa de entrada e a correção em fases SPF / DKIM / DMARC que detém o spoofing.
Um dia, um e-mail suspeito que parece vir do domínio da sua própria empresa cai na sua própria caixa de entrada. Primeiro — respire. Na maioria dos casos isto não é uma intrusão; é um remetente falsificado. Eis como distinguir e como impedir (sem passos de ataque).
Primeiro, tranquilidade: spoofing ≠ tomada de controle
Este é o equívoco-chave. O "remetente" no envelope de um e-mail pode ser escrito livremente por quem envia. Então um único e-mail com o nome do seu domínio escrito nele não significa que invadiram sua casa.
Dito isso, uma caixa de e-mail genuinamente comprometida não é impossível. A forma de distinguir as duas é ler os headers.
Use os headers para distinguir "invasão" de "falsificação"
Por trás do corpo, todo e-mail carrega um "header" — seu registro de entrega (no Gmail: "Mostrar original"). Cinco campos importam mais.
| Header | O que olhar | Como ler |
|---|---|---|
| Authentication-Results | os resultados de spf= / dkim= / dmarc= | dmarc=fail significa "a autenticação real não passou = provável falsificação" |
| Received (uma pilha) | a linha de baixo = a verdadeira origem | se saiu de algum lugar que não o seu próprio host, é uma falsificação externa |
| Return-Path (remetente do envelope) | bate com o From visível? | uma divergência é um sinal de falsificação |
| Reply-To (destino da resposta) | para onde uma resposta de fato vai | o From parece interno mas o Reply-To é um endereço externo sem relação → uma armadilha para te fazer responder |
| X-Mailer (software de envio) | um nome sensato? | algo aleatório e ilegível = a impressão digital de uma ferramenta de spam automatizada |
O Reply-To é o que as pessoas deixam passar. O From pode parecer exatamente um colega, mas uma resposta voa para um endereço externo completamente diferente — onde vão te fazer devolver segredos ou um contato (um QR code de chat, etc.) para sequestrar seu canal de comunicação. Não confiar no From só pela aparência é sua defesa humana mais forte (→ o que é phishing).
Por que ele chega à sua caixa de entrada
Um e-mail falsificado se infiltra — nem mesmo no spam — porque o receptor não tem base para rejeitar a falsificação.
Nenhuma política DMARC
Sem política DMARC no seu domínio, o receptor consegue detectar a falsificação do From mas não pode ser forçado a rejeitá-la. Esta é a maior razão isolada de ele chegar à caixa de entrada.
Uma configuração SPF 'frouxa'
Se o SPF termina em ~all (softfail = "suspeito mas não rejeite"), o receptor não tem motivo decisivo para descartá-lo.
O encaminhamento quebra o SPF
Encaminhar uma mensagem recebida para outro endereço faz o SPF parecer "pass" contra o servidor de encaminhamento, enquanto o From continua sendo um domínio diferente. O DMARC é o que finalmente julga essa divergência.
É aqui que o DKIM prova seu valor. O SPF quebra no encaminhamento, mas uma assinatura DKIM sobrevive a ele. Então o salva-vidas que mantém o e-mail legítimo de ser descartado por engano depois que você chega ao reject é o DKIM — exatamente por isso você configura o DKIM primeiro, como a fundação.
A correção: SPF → DKIM → DMARC, em etapas
A mecânica está em o que são SPF / DKIM / DMARC; aqui está só a ordem segura. A regra de ouro: nunca pule direto para reject.
Um registro SPF correto
Ative a assinatura DKIM (a fundação)
Comece o DMARC em p=none (só monitorar)
p=none mais coleta de relatórios e observe por 1–2 semanas que o e-mail legítimo não é descartado.Eleve até reject
p=quarantine → p=reject. Só quando "falsificações são rejeitadas no receptor" é alcançado é que um e-mail como este some antes de chegar à caixa de entrada do alvo.A "peça faltante" é oposta por domínio
Verifique vários domínios e você notará que as lacunas costumam ser imagens espelhadas — porque a configuração de envio difere, então difere também a parte que o serviço preenche por você.
Configuração de serviço de e-mail
- ex.: e-mail transacional enviado por um serviço de entrega externo
- DKIM / DMARC tendem a ser configurados automaticamente no onboarding
- mas o SPF precisa ser adicionado ao DNS por você → essa é a lacuna
Configuração padrão de hospedagem
- ex.: e-mail enviado diretamente de um servidor de hospedagem
- o SPF geralmente já está presente desde o início
- mas o DKIM é um botão manual e o DMARC é seu para publicar → esses dois são a lacuna
Ambos são "nem todos os três presentes" — as lacunas são só imagens espelhadas. O primeiro passo é saber qual padrão é o seu domínio.
A visão deste site: configurar não é deter — só funciona depois que você verifica
Neste site tratamos a autenticação de e-mail como algo que só funciona depois que você verifica, não "configurar e esquecer". Você pode checar o estado atual do seu próprio domínio de uma vez com o verificador de SPF / DKIM / DMARC ou a auditoria de segurança do site. Até um único valor tem armadilhas — por exemplo, colocar fo num registro sem endereço de relatório de falha (ruf) o torna, por especificação, uma tag morta que é simplesmente ignorada. Esses ajustes "inofensivos mas inúteis", pegos só na revisão, são comuns. E o objetivo real são duas camadas: fazer o receptor rejeitar a falsificação (DMARC) e fazer as pessoas não responderem à armadilha. Antes da detecção ou das configurações, coloque o design que detém por mecanismo em primeiro lugar.
Leia a seguir
- Glossário: O que são SPF / DKIM / DMARC (a mecânica)
- Glossário: O que é phishing
- Ferramentas: Verificador de SPF / DKIM / DMARC / Auditoria de segurança do site
- Relacionado: Guia de autenticação multifator (MFA)
FAQ
QChegou um e-mail usando o meu próprio domínio — isso significa que meu servidor foi invadido?
Normalmente não. O transporte de e-mail (SMTP) deixa o remetente escrever a linha From livremente. Como escrever o endereço de outra pessoa no verso de um envelope, qualquer um pode enviar e-mail 'como o seu domínio' sem nunca tocar no seu servidor. Então receber um e-mail desses não significa invasão. Se você foi de fato comprometido ou apenas teve o domínio falsificado é algo que dá para distinguir lendo os headers da mensagem.
QPor que um e-mail falsificado chega à caixa de entrada sem nem ser marcado como spam?
Porque o receptor não tem base para rejeitar a falsificação. Se o seu domínio não tem política DMARC, o receptor consegue detectar a falsificação do From mas não pode ser forçado a rejeitá-la. O encaminhamento embaralha ainda mais o resultado. A correção é configurar SPF, DKIM e DMARC e elevar o DMARC em etapas até p=reject.
QPor onde eu começo?
Primeiro verifique o estado atual do seu domínio (um verificador de SPF/DKIM/DMARC mostra de uma vez). Depois, sem pular para reject, comece o DMARC em p=none (só monitoramento), confirme pelos relatórios que e-mail legítimo não é descartado, e só então passe para p=quarantine → p=reject. Ative o DKIM primeiro, porque uma assinatura DKIM é o salva-vidas que mantém o e-mail legítimo passando através do encaminhamento depois que você chega ao reject.