Capa do Ebook gratuito Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Novo curso

23 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Validação de remetentes e domínios: cabeçalhos, URLs e reputação

Capítulo 10

Tempo estimado de leitura: 15 minutos

+ Exercício

O que significa “validar remetentes e domínios” na prática

Validar remetentes e domínios é o conjunto de verificações técnicas e operacionais que ajudam a responder duas perguntas antes de confiar em uma mensagem ou em um link: (1) quem realmente enviou isso? e (2) o domínio e a infraestrutura por trás desse envio ou desse site têm sinais de legitimidade e boa reputação? Essa validação não depende apenas do “nome exibido” no e-mail ou do texto do link; ela envolve análise de cabeçalhos, autenticação de e-mail (SPF, DKIM e DMARC), inspeção de URLs e entendimento de reputação de domínios, IPs e certificados.

O objetivo é reduzir o risco de aceitar comunicações forjadas, redirecionamentos maliciosos e páginas falsas. Em ambientes corporativos, essas validações também servem para configurar controles: políticas de DMARC, gateways de e-mail, filtros de URL, bloqueios por reputação e processos internos de verificação.

Cabeçalhos de e-mail: onde a verdade costuma aparecer

O cabeçalho (header) de um e-mail é um bloco de metadados que descreve o caminho percorrido pela mensagem, os servidores envolvidos, os resultados de autenticação e informações técnicas do remetente. Diferente do corpo do e-mail, o cabeçalho é mais difícil de “maquiar” sem deixar rastros, porque cada servidor por onde a mensagem passa adiciona suas próprias linhas Received:.

Campos que você deve saber interpretar

  • From: é o remetente exibido ao usuário. Pode ser facilmente falsificado (spoof) se não houver autenticação e políticas de rejeição.

  • Reply-To: define para onde as respostas irão. Um golpe comum é usar um From aparentemente legítimo e um Reply-To em domínio diferente.

    Continue em nosso aplicativo

    Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

    ou continue lendo abaixo...
    Download App

    Baixar o aplicativo

  • Return-Path: endereço usado para devoluções (bounces). Muitas vezes revela o domínio real usado no envio.

  • Received: lista os “saltos” (hops) do e-mail. A leitura deve ser feita de baixo para cima (o primeiro servidor aparece mais embaixo).

  • Authentication-Results: mostra o resultado de SPF, DKIM e DMARC conforme avaliado pelo servidor que recebeu a mensagem.

  • Message-ID: identificador único; padrões estranhos (domínios aleatórios, formatos incomuns) podem ser indícios de automação maliciosa, embora não sejam prova isolada.

Como obter o cabeçalho completo (passo a passo)

O caminho exato varia por cliente de e-mail, mas o procedimento é sempre semelhante: abrir a mensagem, acessar o menu de opções e escolher “ver original”, “ver fonte”, “mostrar cabeçalhos” ou “exibir detalhes”. Em seguida, copiar o bloco completo de cabeçalhos para análise. Em ambientes corporativos, é comum que o time de segurança peça o cabeçalho completo para investigar suspeitas, porque ele permite correlacionar IPs, domínios e resultados de autenticação.

Leitura prática de um trecho de cabeçalho

From: Financeiro <pagamentos@empresa-exemplo.com>  
Reply-To: contas@empresa-exempl0.com  
Return-Path: bounce@mailer-servico.com  
Received: from unknown (HELO smtp123.mailer-servico.com) (203.0.113.10)
  by mx.suaempresa.com with ESMTPS; Tue, 09 Jan 2026 10:15:22 -0300
Authentication-Results: mx.suaempresa.com;
  spf=pass (sender IP is 203.0.113.10) smtp.mailfrom=mailer-servico.com;
  dkim=pass header.d=empresa-exemplo.com;
  dmarc=fail header.from=empresa-exemplo.com

Nesse exemplo, há um ponto crítico: SPF passou para mailer-servico.com, DKIM passou para empresa-exemplo.com, mas DMARC falhou para o domínio do From. Isso pode acontecer quando o domínio do From não está alinhado com SPF ou DKIM (alinhamento é requisito do DMARC). Além disso, o Reply-To aponta para empresa-exempl0.com (com zero), um padrão típico de domínio parecido (look-alike). Mesmo que DKIM tenha passado, a combinação de Reply-To suspeito e DMARC falhando exige cautela e validação por canal alternativo.

Autenticação de e-mail: SPF, DKIM e DMARC sem mistério

Esses três mecanismos trabalham juntos para reduzir falsificação de remetente. Eles não “garantem” que o e-mail é seguro, mas ajudam a confirmar se o domínio do remetente autorizou aquele envio e se o conteúdo não foi alterado no caminho.

SPF (Sender Policy Framework)

SPF é uma política publicada no DNS do domínio que lista quais servidores (IPs) estão autorizados a enviar e-mails em nome daquele domínio. Quando um servidor recebe um e-mail, ele compara o IP de origem com o registro SPF do domínio usado no envelope (normalmente visto em Return-Path ou smtp.mailfrom).

O que observar: spf=pass indica que o IP está autorizado para aquele domínio do envelope. Porém, SPF sozinho não impede que o campo From seja forjado, porque ele valida o domínio do envelope, não necessariamente o domínio exibido ao usuário.

DKIM (DomainKeys Identified Mail)

DKIM usa criptografia para assinar partes do e-mail. O domínio publica uma chave pública no DNS, e o servidor receptor valida a assinatura. Se a assinatura for válida, há evidência de que o e-mail foi assinado por um sistema que possui a chave privada correspondente e que o conteúdo assinado não foi alterado.

O que observar: dkim=pass e o domínio em header.d=. É importante ver qual domínio assinou. Um e-mail pode ser assinado por um domínio diferente do From (por exemplo, um provedor de disparo), o que pode ser legítimo ou não, dependendo do alinhamento e da política.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC define uma política para o domínio do From e exige alinhamento: ou SPF ou DKIM (ou ambos) precisam “bater” com o domínio do From (alinhamento estrito ou relaxado, conforme configuração). Além disso, DMARC permite ao domínio publicar uma política do que fazer quando falhar: none (monitorar), quarantine (colocar em quarentena/spam) ou reject (rejeitar).

O que observar: dmarc=pass é um bom sinal de autenticidade do domínio do From. dmarc=fail é um alerta forte, especialmente quando o e-mail tenta se passar por um domínio conhecido.

Passo a passo: como validar SPF/DKIM/DMARC a partir do cabeçalho

  • 1) Localize a linha Authentication-Results no cabeçalho.

  • 2) Anote os resultados: spf=, dkim=, dmarc=.

  • 3) Identifique os domínios avaliados: em SPF, procure smtp.mailfrom= ou envelope-from; em DKIM, procure header.d=; em DMARC, o domínio é o do header.from.

  • 4) Verifique alinhamento: o domínio do From deve alinhar com SPF ou DKIM. Se SPF passou para um domínio diferente e DKIM passou para outro, DMARC pode falhar.

  • 5) Interprete o risco: falha de DMARC em e-mails que pedem ação (pagamento, troca de dados, login) deve acionar validação adicional e, em empresas, abertura de incidente.

URLs: como inspecionar links além do texto visível

Uma URL tem componentes que ajudam a identificar enganos: protocolo, subdomínio, domínio registrável, caminho, parâmetros e fragmentos. A validação correta depende de entender qual parte realmente define “quem é o site”. Em geral, o que importa é o domínio registrável (por exemplo, exemplo.com), não o subdomínio (por exemplo, login.exemplo.com).

Anatomia de uma URL (com foco em armadilhas comuns)

https://login.seguranca.exemplo.com/conta/atualizar?ref=123

  • Protocolo: https é esperado para páginas de login e dados sensíveis. http é sinal de risco (não é prova de golpe, mas é inadequado para autenticação).

  • Host: login.seguranca.exemplo.com. O domínio registrável é exemplo.com. Subdomínios podem ser longos e enganosos, mas não mudam o domínio registrável.

  • Caminho e parâmetros: podem conter pistas (ex.: /redirect, url=, next=), mas também podem ser usados legitimamente. O foco inicial deve ser o host.

Armadilhas frequentes em URLs

  • Domínios parecidos: troca de letras, números e hífens (ex.: exemp1o.com, exemplo-secure.com). A validação deve comparar o domínio com uma lista confiável (bookmarks corporativos, portal interno, documentação oficial).

  • Subdomínios enganosos: exemplo.com.seguranca-login.net não é exemplo.com. O domínio registrável aqui é seguranca-login.net.

  • URLs encurtadas: escondem o destino final. Em ambientes corporativos, o ideal é expandir o link via ferramentas internas ou sandbox.

  • Redirecionamentos em cadeia: um link pode começar em um domínio legítimo comprometido e redirecionar para um domínio malicioso. Por isso, reputação e inspeção do destino final importam.

  • Uso de IP em vez de domínio: https://203.0.113.50/login é incomum para serviços públicos e deve ser tratado como suspeito, salvo casos internos conhecidos.

Passo a passo: validação manual de um link antes de clicar

  • 1) Revele o destino real: passe o mouse sobre o link (em desktop) e observe a URL completa exibida. Em celular, pressione e segure para pré-visualizar (quando disponível).

  • 2) Identifique o domínio registrável: procure o “final” do host (ex.: exemplo.com, exemplo.com.br). Desconfie de hosts longos que tentam esconder o domínio real no meio.

  • 3) Compare com fontes confiáveis: use favoritos, portal interno, ou digite manualmente o endereço conhecido em vez de seguir o link.

  • 4) Verifique HTTPS e certificado: ao abrir (preferencialmente em ambiente isolado), clique no cadeado e confira para qual domínio o certificado foi emitido. Certificado válido não garante legitimidade, mas certificado inconsistente é um alerta.

  • 5) Procure sinais de redirecionamento: parâmetros como redirect=, url=, next= podem indicar salto para outro domínio. Se houver, valide o destino final.

  • 6) Em contexto corporativo: prefira usar um verificador de URL do gateway, sandbox, ou ferramenta de reputação aprovada pela empresa para checar o link sem executar scripts no seu navegador principal.

Reputação: o “histórico” técnico que ajuda a prever risco

Reputação é uma avaliação baseada em sinais observáveis: idade do domínio, histórico de abuso, presença em listas de bloqueio (blocklists), padrões de envio de e-mail, volume e consistência, infraestrutura (ASN, IPs), e indicadores de comprometimento. Sistemas de segurança usam reputação para decidir se entregam e-mails, se bloqueiam links e se exigem desafios adicionais.

Reputação de domínio e de IP: diferenças importantes

  • Domínio: pode ter boa reputação, mas ser comprometido (por exemplo, um site legítimo com uma página injetada). Também pode ser recém-registrado e ainda “sem histórico”, o que aumenta incerteza.

  • IP: reputação de IP é muito usada em e-mail. Um domínio legítimo pode enviar por IPs de terceiros (provedores), então é comum avaliar ambos: domínio e IP.

  • Infraestrutura compartilhada: serviços de hospedagem e envio podem ter IPs compartilhados; isso pode gerar falsos positivos ou negativos. Por isso, reputação deve ser um sinal entre vários.

Sinais práticos de reputação que você pode checar

  • Idade do domínio e consistência: domínios muito recentes usados para login/pagamento são suspeitos, especialmente se imitam marcas.

  • DNS e configuração: ausência de DMARC, SPF muito permissivo, ou DKIM inexistente em domínios que alegam ser grandes organizações é um sinal de maturidade baixa (ou fraude).

  • Certificado TLS: verifique o emissor e o domínio coberto. Certificados gratuitos e automatizados são comuns e legítimos, então o ponto é coerência: o certificado cobre exatamente o domínio acessado? Há troca inesperada de domínio durante redirecionamento?

  • Presença em blocklists: em times técnicos, consultar listas de reputação pode indicar abuso recente. Isso é especialmente útil para IPs de envio.

Validação combinada: como juntar cabeçalhos, URLs e reputação em um fluxo único

Uma validação eficaz não depende de um único teste. O ideal é combinar: (1) autenticidade do remetente via DMARC/alinhamento, (2) coerência do caminho de entrega via Received, (3) coerência do domínio do link e do certificado, e (4) sinais de reputação e histórico.

Checklist operacional (uso individual e corporativo)

  • Remetente: o domínio do From é exatamente o esperado? O Reply-To coincide com o domínio legítimo?

  • Autenticação: DMARC passou? Se falhou, SPF ou DKIM passaram para qual domínio? Há alinhamento com o From?

  • Rota: os Received fazem sentido (servidores e domínios coerentes com o remetente)? Há saltos estranhos ou origem incompatível com o padrão do remetente?

  • Links: o domínio registrável do link é o oficial? Há encurtador ou redirecionamento?

  • Reputação: domínio/IP têm histórico confiável? O domínio é recente? Há alertas em ferramentas internas?

  • Decisão: se qualquer ponto crítico falhar (DMARC fail, domínio look-alike, redirecionamento para domínio desconhecido), trate como suspeito e valide por canal alternativo antes de executar ações.

Passo a passo prático: triagem de um e-mail suspeito (exercício guiado)

Este exercício simula a análise de uma mensagem que solicita uma ação sensível (por exemplo, atualização de dados ou acesso a um documento). O foco aqui é a validação técnica do remetente e do destino, sem depender do conteúdo persuasivo.

Etapa 1 — Capturar evidências

  • Salve o e-mail como arquivo (quando possível) ou registre o Message-ID, data/hora e assunto.

  • Copie o cabeçalho completo.

  • Copie a URL do link (sem clicar) para um bloco de notas para inspeção.

Etapa 2 — Verificar identidade do remetente no cabeçalho

  • Compare From, Reply-To e Return-Path. Se Reply-To divergir, marque como alto risco.

  • Leia Authentication-Results e anote: SPF, DKIM, DMARC.

  • Se dmarc=pass, prossiga; se dmarc=fail, trate como suspeito e vá para validação por canal alternativo.

Etapa 3 — Validar rota e origem

  • Leia as linhas Received de baixo para cima e identifique o primeiro servidor que recebeu a mensagem do remetente.

  • Verifique se o domínio/host de envio é coerente com o domínio do remetente (por exemplo, um remetente corporativo enviando de um host genérico desconhecido pode ser normal se usar provedor, mas deve estar refletido em SPF/DKIM alinhados).

Etapa 4 — Inspecionar a URL com foco no domínio registrável

  • Separe o host da URL e identifique o domínio registrável.

  • Procure padrões de engano: domínio parecido, subdomínio enganoso, TLD inesperado, presença de @ na URL (raro e suspeito), ou parâmetros de redirecionamento.

  • Se houver encurtador, expanda por ferramenta corporativa ou solicite ao time de segurança.

Etapa 5 — Checar reputação (quando aplicável)

  • Em ambiente corporativo, use as ferramentas aprovadas (gateway, SIEM, threat intel interno) para consultar reputação do domínio e do IP de envio.

  • Se o domínio for recém-registrado ou sem histórico, aumente o nível de cautela e exija verificação adicional.

Configurações recomendadas para organizações (sem repetir conceitos já abordados)

Além da triagem manual, organizações podem reduzir a superfície de fraude com políticas e controles que reforçam a validação de remetentes e domínios.

DMARC com política efetiva e alinhamento

  • Publicar DMARC e evoluir de p=none (monitoramento) para p=quarantine e, quando maduro, p=reject.

  • Garantir alinhamento entre o domínio do From e os domínios usados em SPF/DKIM, especialmente quando há provedores terceiros enviando e-mails em nome da empresa.

  • Monitorar relatórios DMARC (rua/ruf quando aplicável) para identificar tentativas de spoofing e fontes não autorizadas.

Políticas de bloqueio por domínio parecido e por TLD

  • Manter listas de domínios parecidos com a marca (look-alike) e bloquear/alertar quando aparecem em e-mails internos.

  • Aplicar regras para TLDs incomuns no contexto do negócio, reduzindo risco de domínios recém-criados com terminações inesperadas.

Proteção contra redirecionamento e inspeção de links

  • Ativar reescrita e verificação de URLs no gateway de e-mail, com análise do destino final após redirecionamentos.

  • Bloquear encurtadores não autorizados em comunicações corporativas, ou exigir expansão e análise automática.

  • Integrar reputação de domínio/IP com políticas de navegação (proxy/DNS seguro) para impedir acesso a domínios recém-registrados quando não houver justificativa.

Procedimentos internos para validação de solicitações sensíveis

  • Padronizar que solicitações de mudança de dados, pagamentos, compartilhamento de arquivos ou redefinição de credenciais sejam confirmadas por um canal independente (por exemplo, telefone corporativo já cadastrado ou sistema interno).

  • Treinar equipes para coletar cabeçalhos e URLs e encaminhar ao time responsável, em vez de apenas encaminhar o e-mail (encaminhamento pode perder metadados dependendo do cliente).

Exemplos práticos de interpretação (cenários rápidos)

Cenário A: DMARC passa, mas o link é estranho

Um e-mail legítimo pode ser comprometido (conta invadida) e enviar links para domínios externos. Se dmarc=pass e o remetente é real, isso não valida o link. Nesse caso, a validação de URL e reputação do domínio do link é decisiva. A ação correta é tratar o link como suspeito e confirmar a solicitação por canal alternativo.

Cenário B: DMARC falha, mas o texto parece perfeito

Quando dmarc=fail para um domínio que deveria ter DMARC bem configurado, o risco de falsificação é alto. Mesmo que o texto e a assinatura estejam “perfeitos”, a falha técnica é um indicador forte. A resposta operacional é não interagir com links/anexos e acionar o processo interno de verificação.

Cenário C: SPF passa para um provedor, DKIM passa para outro

Isso pode ocorrer em integrações mal configuradas ou em cenários de encaminhamento. O ponto é observar o resultado de DMARC e o alinhamento com o domínio do From. Se DMARC passa, há alinhamento suficiente. Se DMARC falha, a mensagem deve ser tratada como não autenticada para aquele domínio.

Agora responda o exercício sobre o conteúdo:

Ao analisar um e-mail, você identifica que SPF e DKIM passaram, mas o resultado de DMARC falhou para o domínio do From. Qual interpretação e ação é a mais adequada?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

DMARC exige alinhamento entre o domínio do From e SPF/DKIM. Se dmarc=fail, o e-mail não está autenticado para o domínio exibido, elevando o risco de spoofing. A conduta correta é não executar ações e validar por canal alternativo.

Próximo capitúlo

Autenticação e integridade de e-mail: SPF, DKIM e DMARC

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store