A violação começou com uma única conta de e-mail comprometida. Um funcionário clicou em um link de phishing, inseriu suas credenciais, e os atacantes ganharam acesso. A partir daí, eles enviaram faturas aos clientes com detalhes de pagamento atualizados. Quando alguém percebeu, $200,000 já haviam sido redirecionados para contas controladas pelos atacantes.
A empresa tinha e-mail. Não tinha segurança de e-mail.
Segurança de e-mail não é uma única configuração—são camadas de proteção que funcionam em conjunto. Autenticação evita spoofing. Criptografia protege o conteúdo em trânsito. Controles de acesso limitam quem pode enviar e receber. Monitoramento detecta anomalias antes que se tornem violações.
Este checklist oferece uma abordagem sistemática para auditar sua postura de segurança de e-mail.
Auditoria de autenticação
O registro SPF está publicado com -all. Verifique que seu registro SPF existe, é sintaticamente válido e termina com -all (falha rígida) em vez de ~all (falha suave). Confirme que você está abaixo do limite de 10 lookups. Use MXToolbox ou similar para validar.
Todos os remetentes legítimos estão no SPF. Audite cada serviço que envia e-mail como seu domínio. Automação de marketing, e-mails transacionais, CRM, central de suporte, aplicações internas—cada um deve estar autorizado no seu registro SPF. Remetentes ausentes causam falhas de autenticação; remetentes não autorizados indicam possível comprometimento.
As chaves DKIM estão publicadas e válidas. Verifique se as chaves públicas DKIM estão no DNS para todos os domínios de envio e seletores. Cheque se as chaves têm pelo menos 1024 bits (2048 preferido). Confirme que as chaves não expiraram se você usa rotação de chaves.
A assinatura DKIM está ativa. Envie e-mails de teste e verifique se o header DKIM-Signature está presente e válido. Cheque se o domínio de assinatura se alinha com seu domínio From para fins de DMARC.
A política DMARC está em enforcement. Verifique se seu registro DMARC existe com uma política de p=quarantine ou p=reject. Se ainda estiver em p=none, crie um plano para avançar para enforcement. Cheque se as tags rua e ruf estão configuradas para receber relatórios.
Os relatórios DMARC estão sendo processados. Confirme que você está recebendo e revisando relatórios agregados DMARC. Use um serviço de analisador DMARC para tornar os relatórios legíveis. Procure falhas de autenticação de remetentes legítimos e tentativas de envio não autorizadas.
BIMI está configurado (opcional, mas recomendado). Se você atingiu enforcement de DMARC, considere implementar BIMI para exibir seu logo em clientes de e-mail compatíveis. Isso requer um Verified Mark Certificate para suporte completo.
Auditoria de criptografia
TLS é obrigatório para envio. Verifique se seus servidores de e-mail exigem TLS para conexões de saída. Cheque se você está usando TLS 1.2 ou superior—versões mais antigas têm vulnerabilidades conhecidas.
TLS é obrigatório para recebimento. Configure seus servidores de e-mail para exigir TLS para conexões de entrada, ou no mínimo preferir TLS e registrar quando as conexões voltarem para não criptografadas.
MTA-STS está publicado. MTA-STS informa aos servidores remetentes que devem exigir TLS ao entregar para seu domínio. Publique uma política MTA-STS e verifique se está sendo respeitada. Isso previne ataques de downgrade em que atacantes forçam entrega não criptografada.
Registros DANE estão publicados (se aplicável). Se você controla seu DNS e servidores de e-mail, DANE oferece certificate pinning para e-mail. É mais complexo que MTA-STS, mas fornece garantias mais fortes.
O certificado é válido e corretamente encadeado. Cheque o certificado TLS do seu servidor de e-mail quanto à validade, expiração e configuração correta da cadeia. Use SSL Labs ou CheckTLS para verificar.
Os cipher suites são seguros. Audite os cipher suites suportados pelo seu servidor de e-mail. Desative cifras fracas (RC4, DES, export ciphers) e protocolos antigos (SSLv3, TLS 1.0, TLS 1.1).
Auditoria de controle de acesso
O acesso de admin é restrito e registrado. Limite quem pode administrar os sistemas de e-mail. Exija autenticação forte (MFA) para acesso de admin. Registre todas as ações administrativas para trilhas de auditoria.
A autenticação de usuários é forte. Exija senhas fortes ou, melhor, MFA para todas as contas de e-mail. Desative protocolos de autenticação legados que não suportam MFA.
As contas de serviço estão inventariadas. Documente todas as contas de serviço que enviam e-mail. Cada uma deve ter um responsável claro, propósito definido e limites de acesso apropriados. Remova contas de serviço não utilizadas.
As chaves de API estão seguras. Se usar APIs de e-mail, audite o gerenciamento de chaves de API. As chaves devem ser rotacionadas regularmente, com escopo para as permissões mínimas necessárias, e armazenadas com segurança (não em repositórios de código).
Os limites de envio estão configurados. Defina limites de taxa no envio de e-mails para conter danos de contas comprometidas. Volume de envio incomum deve disparar alertas.
As regras de encaminhamento são auditadas. Atacantes frequentemente criam regras de encaminhamento para exfiltrar e-mails. Audite regularmente regras de encaminhamento em todas as contas. Alerta na criação de novas regras de encaminhamento.
Auditoria de infraestrutura
Os servidores de e-mail estão com patches. Verifique se o software do servidor de e-mail está atualizado com patches de segurança. Assine os avisos de segurança do seu software de servidor de e-mail.
Os servidores de e-mail estão hardenizados. Desative serviços desnecessários. Configure firewalls para permitir apenas as portas requeridas. Siga guias de hardening para seu software de servidor de e-mail específico.
Open relay está desativado. Teste se seu servidor de e-mail não faz relay de e-mails de fontes não autorizadas. Open relays são rapidamente explorados para spam.
O MX de backup está seguro. Se você tiver servidores MX de backup, garanta que tenham a mesma configuração de segurança dos servidores primários. Atacantes às vezes visam infraestrutura de backup menos segura.
O DNS está seguro. Use DNSSEC para prevenir ataques de spoofing de DNS. Proteja a conta do seu provedor de DNS com autenticação forte.
Auditoria de monitoramento
Falhas de autenticação são monitoradas. Acompanhe falhas de SPF, DKIM e DMARC. Investigue padrões—falhas de remetentes legítimos precisam de correção; falhas de fontes desconhecidas podem indicar tentativas de spoofing.
Padrões de envio incomuns disparam alertas. Monitore picos de volume de envio, envio em horários incomuns ou para destinatários incomuns. Esses padrões podem indicar comprometimento.
Anomalias de login são detectadas. Monitore logins de locais incomuns, múltiplas tentativas de login fracassadas e logins bem-sucedidos após falhas. Esses padrões sugerem ataques a credenciais.
Status em blacklists é monitorado. Cheque as principais blacklists regularmente. Estar listado indica um problema—comprometimento, má configuração ou questões de reputação.
Taxas de bounce são acompanhadas. Aumentos súbitos nas taxas de bounce podem indicar envenenamento de listas, envio comprometido ou problemas de entregabilidade.
Preparação de resposta a incidentes
Existe um plano de resposta a incidentes. Documente o que fazer quando ocorrerem incidentes de segurança de e-mail. Quem é notificado? Quais sistemas são isolados? Como a comunicação é tratada?
Indicadores de comprometimento estão definidos. Saiba quais sinais indicam comprometimento de e-mail: regras de encaminhamento incomuns, itens enviados inesperados, autenticação de locais desconhecidos, relatos de e-mails falsificados.
Procedimentos de recuperação estão documentados. Saiba como revogar credenciais comprometidas, remover regras maliciosas e restaurar operações normais. Teste esses procedimentos antes de precisar deles.
Modelos de comunicação estão preparados. Se você precisar notificar clientes ou parceiros sobre incidentes relacionados a e-mail, tenha modelos prontos. Comunicação de crise é difícil; preparação ajuda.
Conduzindo a auditoria
Percorra este checklist de forma sistemática, documentando as descobertas conforme avança. Para cada item:
- —Aprovado: Configuração correta e verificada
- —Falha: Configuração ausente ou incorreta—precisa de remediação
- —Parcial: Alguns aspectos estão corretos, outros precisam de trabalho
- —N/A: Não aplicável ao seu ambiente
Priorize a remediação com base no risco. Questões de autenticação (SPF, DKIM, DMARC) são fundamentais—corrija estas primeiro. Problemas de controle de acesso que podem permitir comprometimento são alta prioridade. Lacunas de monitoramento são importantes, mas menos urgentes que vulnerabilidades ativas.
Agende auditorias regulares—trimestralmente no mínimo, mensalmente para ambientes de alta segurança. Segurança de e-mail não é uma configuração única; requer atenção contínua.
Frequently asked questions
Com que frequência devo realizar auditorias de segurança de e-mail?
Trimestralmente para a maioria das organizações. Mensalmente para ambientes de alta segurança ou após mudanças significativas. Além disso, audite após qualquer incidente de segurança, mudança de infraestrutura, ou ao adicionar novos serviços de envio de e-mails.
Qual é o item mais crítico neste checklist?
DMARC enforcement (p=reject) é, sem dúvida, o controle único de maior impacto—ele previne spoofing de domínio, que é a base da maioria dos ataques via e-mail. Mas requer que SPF e DKIM estejam corretos primeiro.
Devo contratar um terceiro para auditorias de segurança de e-mail?
Auditorias externas trazem uma perspectiva fresca e identificam pontos cegos. Para requisitos de conformidade (SOC 2, HIPAA, etc.), auditorias de terceiros podem ser necessárias. Para verificações de rotina, auditorias internas usando este checklist são suficientes.
Quais ferramentas eu preciso para esta auditoria?
MXToolbox para verificações de autenticação e DNS. A interface de administração do seu servidor de e-mail para revisão de configurações. Serviço de analisador DMARC para processamento de relatórios. Scanner de vulnerabilidades para avaliação de infraestrutura. A maioria das verificações pode ser feita com ferramentas gratuitas.