A auditoria de segurança era rotineira até verificarem a infraestrutura de e-mail. Registro SPF com um erro de sintaxe que vinha falhando silenciosamente há meses. Chave DKIM que nunca foi rotacionada desde a configuração inicial, três anos atrás. Política DMARC ainda definida como p=none, fornecendo monitoramento, mas nenhuma proteção. O domínio esteve suscetível a spoofing o tempo todo.
Segurança de e-mail não é glamourosa, mas é crítica. Um domínio de e-mail mal configurado é um convite aberto para ataques de phishing que se passam pela sua marca. As verificações técnicas são simples — SPF, DKIM, DMARC, configuração de TLS — mas é fácil errar e mais fácil ainda esquecer.
Ferramentas de varredura de segurança automatizam essas verificações, detectando configurações incorretas antes que virem incidentes.
Scanners de autenticação
MXToolbox é o canivete suíço dos diagnósticos de e-mail. O SuperTool deles executa verificações abrangentes no seu domínio: validação de registro SPF, verificação de chave DKIM, análise de política DMARC, configuração de registros MX e status em blacklists. Digite seu domínio e receba um relatório do que está corretamente configurado e do que precisa de atenção.
O plano gratuito cobre verificações básicas; os planos pagos adicionam monitoramento e alertas. Para auditorias de segurança periódicas, as verificações gratuitas são suficientes. Para monitoramento contínuo, os alertas dos planos pagos capturam problemas conforme surgem.
DMARC Analyzer foca especificamente em autenticação de e-mail. Além de verificar sua configuração atual, eles analisam relatórios de DMARC para mostrar quem está enviando e-mails como seu domínio — tanto serviços legítimos quanto possíveis falsificadores. A visualização facilita identificar remetentes não autorizados.
As ferramentas deles ajudam você a evoluir de p=none (monitoramento) para p=reject (imposição) com segurança, identificando remetentes legítimos que precisam ser autorizados antes de apertar a política.
Dmarcian oferece análise semelhante focada em DMARC com excelente documentação. O verificador de domínio fornece feedback instantâneo sobre sua configuração de autenticação, e a plataforma processa relatórios de DMARC em insights acionáveis. O conteúdo educacional ajuda você a entender não apenas o que está errado, mas por que isso importa.
Mail Tester verifica seus e-mails reais, não apenas a configuração do domínio. Envie um e-mail para o endereço de teste deles e eles o analisarão quanto à autenticação, sinais de spam e fatores de entregabilidade. A pontuação de 1 a 10 fornece um cheque de saúde rápido, com feedback detalhado sobre problemas específicos.
É particularmente útil para testar se os e-mails da sua aplicação estão devidamente autenticados — a configuração pode estar correta, mas se sua aplicação não estiver assinando os e-mails corretamente, a autenticação ainda falha.
Scanners de TLS e criptografia
CheckTLS testa a configuração de TLS do seu servidor de e-mail. Ele tenta conexões com várias versões de TLS e suites de cifras, informando o que seu servidor suporta e o que deveria suportar. Cifras fracas, protocolos desatualizados e problemas de certificado aparecem no relatório.
A configuração de TLS evolui à medida que vulnerabilidades são descobertas. O que era seguro três anos atrás pode estar vulnerável hoje. Varreduras regulares capturam a deriva de configuração antes que se torne explorável.
SSL Labs, embora projetado para servidores web, pode testar certificados de servidores de e-mail. A análise detalhada mostra problemas na cadeia de certificados, suporte a protocolos e força das cifras. O sistema de notas (de A até F) fornece uma avaliação rápida da sua postura de segurança de TLS.
Hardenize oferece varredura de segurança abrangente, incluindo verificações específicas de e-mail. O scan gratuito cobre configuração de TLS, registros de autenticação e security headers. O dashboard mostra sua postura de segurança ao longo do tempo, acompanhando melhorias e regressões.
Scanners de vulnerabilidades
Para avaliação de segurança mais profunda, scanners de vulnerabilidades de propósito geral podem focar na infraestrutura de e-mail.
Nmap com scripts apropriados pode sondar servidores de e-mail em busca de vulnerabilidades conhecidas, relays abertos e configurações incorretas. Os scripts smtp-commands e smtp-enum-users miram especificamente servidores de e-mail. É mais técnico do que as ferramentas baseadas na web, mas fornece visão mais profunda.
OpenVAS (agora Greenbone) inclui verificações para vulnerabilidades de servidores de e-mail em sua varredura abrangente. Se você opera infraestrutura de e-mail self-hosted, varreduras regulares de vulnerabilidade são essenciais. OpenVAS é open source e minucioso, embora a curva de aprendizado seja significativa.
O que escanear
A configuração de autenticação é a base. SPF deve listar todas as fontes legítimas de envio e terminar com -all (hard fail). Chaves DKIM devem estar presentes e corretamente configuradas para todos os domínios de envio. DMARC deve ser publicado com uma política que corresponde à sua tolerância a risco — idealmente p=reject depois que você tiver verificado todos os remetentes legítimos.
A configuração de TLS deve suportar protocolos modernos (TLS 1.2 mínimo, TLS 1.3 preferido) e suites de cifras fortes. Certificados devem ser válidos, encadeados corretamente e não prestes a expirar. Registros DANE, se implementados, devem corresponder aos seus certificados.
Registros MX devem apontar para servidores que você controla ou confia. Registros MX órfãos apontando para servidores descomissionados representam risco de tomada de controle — atacantes podem reivindicar o IP do servidor antigo e receber seus e-mails.
Status em blacklists indica problemas de reputação. Estar listado nas principais blacklists (Spamhaus, Barracuda, etc.) afeta a entregabilidade e pode indicar comprometimento. Verificações regulares identificam listagens cedo.
Testes de relay aberto verificam se seu servidor não aceita e encaminha e-mails de remetentes não autorizados. Relays abertos são rapidamente explorados para spam, arruinando sua reputação e podendo colocar você em blacklists.
Construindo uma rotina de varredura
Varreduras pontuais capturam problemas atuais; varreduras regulares capturam deriva e novas questões.
Semanalmente: Verifique o status em blacklists. Listagens podem acontecer rapidamente após um comprometimento ou reclamação de spam. Detecção precoce limita o dano.
Mensalmente: Execute verificações de autenticação (MXToolbox, DMARC Analyzer). Verifique se SPF, DKIM e DMARC ainda estão corretamente configurados. Cheque se nenhum novo serviço de envio foi adicionado sem atualização dos registros de autenticação.
Trimestralmente: Varredura completa de segurança, incluindo configuração de TLS, expiração de certificados e avaliação de vulnerabilidades. Revise relatórios de DMARC em busca de tentativas de envio não autorizadas.
Após mudanças: Sempre que você modificar a infraestrutura de e-mail — novo serviço de envio, migração de servidor, mudanças em DNS — execute uma varredura completa para verificar se nada quebrou.
Automatize o que puder. Muitos serviços de varredura oferecem APIs ou varreduras agendadas com alertas. Monitoramento automatizado detecta problemas mais rápido do que verificações manuais periódicas.
Frequently asked questions
Com que frequência devo rotacionar chaves DKIM?
As melhores práticas do setor sugerem rotacionar chaves DKIM a cada 6–12 meses. Chaves mais longas (2048 bits) podem ser rotacionadas com menos frequência do que chaves mais curtas. O processo de rotação exige publicar a nova chave, atualizar sua configuração de assinatura e manter a chave antiga publicada até que os e-mails em trânsito sejam entregues.
Qual política DMARC devo usar?
Comece com p=none para coletar relatórios sem afetar a entrega. Depois de identificar todos os remetentes legítimos e configurar sua autenticação, avance para p=quarantine. Após confirmar que nenhum e-mail legítimo está sendo colocado em quarentena, avance para p=reject para proteção total. Essa abordagem gradual evita bloquear e-mails legítimos.
Meu servidor de e-mail é um relay aberto?
Teste: tente enviar e-mail pelo seu servidor a partir de uma fonte não autorizada para um endereço externo. MXToolbox e ferramentas semelhantes incluem testes de relay aberto. Se seu servidor aceitar e encaminhar o e-mail, ele é um relay aberto e precisa de remediação imediata.
O que faço se eu estiver em uma blacklist?
Primeiro, identifique e corrija a causa — conta comprometida, reclamações de spam ou má configuração. Depois, solicite remoção da blacklist (cada uma tem seu próprio processo). Monitore para garantir que você não seja listado novamente. Algumas blacklists removem listagens automaticamente após a resolução do problema; outras exigem solicitações manuais.