Para atender as principais especificações de serviços de e-mail, tais normativas devem ser seguidas, recomenda-se que todo serviço de e-mail apresente as seguintes configurações:
- Uma chave TXT no DNS para SPF, que irá permitir o envio de mensagens a partir de determinados servidores, exemplos:
"v=spf1 include:_spf.google.com -all"
"v=spf1 include:spf.protection.outlook.com -all"
- Uma configuração DKIM, utilizada pelo servidor de e-mail que autenticará as mensagens que serão enviadas, que pode variar em uma chave TXT ou CNAME de acordo com a estratégia do serviço de e-mail
- Uma configuração DMARC, que irá declarar a regra adotada para os registros SPF e DKIM, recomenda-se o valor a seguir, alterando-se o endereço de e-mail que irá receber os reports dos resultados DKIM:
"v=DMARC1; p=reject; sp=reject; fo=1; adkim=r; aspf=r; pct=100; rua=mailto:dmarc@example.com; ruf=mailto:dmarc@example.com; rf=afrf; ri=86400;"
- Caso os e-mails apresentados para receber os reports do DMARC não sejam do mesmo domínio da regra, é requerida uma chave do tipo TXT no subdomínio
*._report._dmarcou (ou o domínio do e-mai no lugar o wildcard *, exemplo:example.com._report._dmarc):
"v=DMARC1;"
- Grupos de e-mail ou listas de distribuição com os seguintes IDs:
abuse (contato sobre abuso do serviço de e-mail) admin (contato do administrador - não documentada em RFC) administrator (contato do administrador - não documentada em RFC) hostmaster (contato sobre problemas da zona de domínio) noc (contato sobre problemas da infraestrutura de rede) postmaster (contato sobre problemas da infraestrutura de e-mail) security (contato sobre problemas à segurança) webmaster (contato sobre websites)
Estratégia para Google Workspace: Recomenda-se redirecionar todas as demais caixas administrativas para um grupo de nome security@ utilizando-se do recurso de redirecionamento presente em Apps > Google Workspace > Settings for Gmail > Routing (link). O Google permite que endereços e grupos externos sejam membros de grupos locais, caso necessário, pode adicionar o contato externo diretamente ao grupo.
Estratégia para Microsoft 365: Recomenda-se redirecionar todas as demais caixas administrativas para um grupo de nome security@ através de alias no próprio grupo. A Microsoft permite que endereços e grupos externos sejam membros de grupos locais desde que adicionados como contato, caso necessário, adicione o contato externo na plataforma em Users > Contacts (link) e adicione este contato como membro do grupo.
Estratégia para Locaweb: O provedor é inconsistente sobre o envio de mensagens a partir de grupos, recomenda-se criar uma caixa de correio com o nome security@, adicionar alias (apelidos) com as demais alternativas, e adicionar uma regra através do webmail para redirecionar mensagens ao contato desejado, que pode ser interno ou externo.
Recomenda-se o uso de registros diferentes ou de caixas com subaddressing ao utilizá-los em registros de contato como CAA, DMARC, security.txt, SOA, como por exemplo:
caa@ ou security+caa@ para registro tipo CAA dmarc@ ou security+dmarc@ para registro TXT de host "_dmarc" security.txt@ ou security+security.txt@ para registro de contato do security.txt soa@ ou security+soa@ para registro tipo SOA
Serviços de monitoramento e reputação de domínios também são recomendados, como o Postmaster Tools, oferecido pela plataforma Gmail do Google.
Domínios sem serviço de e-mail devem utilizar MX com hostname inválido 0 . e SPF sem aprovações "v=spf1 -all", além das devidas regras de DMARC para evitar ataques de spoofing utilizando esses domínios.