Exclusivo: E-mail @gov.br pode ser usado por qualquer pessoa e já surge em golpes

1 curtida

Para quem mais leu o texto e achou que o governo não tinha registrado o domínio .gov.br, não é o caso, ele apenas não tem o registro DKIM do que fazer em caso de envios por um outro serviço de emails não autorizado (você pode definir para que o serviço de emails recipiente não receba eles caso não venha de um serviço autorizado nos registros do domínio). Por via de regra se você envia um email de um serviço não autorizado nos registros DMARC/DKIM, ele é automaticamente recusado ou cai direto em SPAM.

17 curtidas

Pois é. Ou é clickbait ou falta de conhecimento do autor. Misturou completamente os conceitos.

O problema é que o domínio GOV.BR aparentemente não possui registros de SPF e DKIM configurados. O Gmail geralmente manda direto pro Spam quando há alguma falha nessa verificação.

Qualquer um pode enviar um email usando @gov.br ou até mesmo @tecnoblog.net, @google.com, etc, a diferença é se o destinatário vai ACEITAR a mensagem se as verificações de SPF e/ou DKIM falharem.

11 curtidas

Também estava tentando entender o que o autor quis dizer com “governo não registrou domínio”, já que o domínio [*.]gov.br é de uso restrito à “ Instituições do governo federal”, segundo o Registro.br.

Logo, mesmo que o governo não tivesse registrado o domínio, apenas o próprio governo federal poderia registrar tal domínio.

Acho que houve confusão com a falta de configuração de registros de recurso de SPF e DKIM no DNS do gov.br.

11 curtidas

Concordo com os colegas, a análise da reportagem está errada tecnicamente. O endereço gov.br não é registrável pois ele é um TLD propriamente dito e sim algumacoisa.gov.br (ex.: www.gov.br é um domínio, não um subdomínio). A falha se encontra em quem recebeu esse e-mail de phising como demonstro a seguir:

tayub@indaiatuba:~$ host -t TXT gov.br
gov.br has no TXT record

Esse endereço qualquercoisa@gov.br não possui entrada TXT SPF e nenhum servidor de e-mail bem configurado deveria receber e-mails nessas condições. É o que a checagem mais básica de antispam faz.

Há nada que o governo poderia ter feito para evitar isso como a reportagem dá a entender. A falha encontra-se somente nos destinatários mal configurados que receberam esse e-mail sem descartá-lo para SPAM.

18 curtidas

Entrei para criticar justamente o título click-bait e o tom alarmista da matéria, porém meus nobres colegas já elucidaram competentemente a questão nos comentários acima. Acho que o Tecnoblog podia ter passado sem essa. Mas quem sou eu na fila do pão…

9 curtidas

Infelizmente já é a 2° matéria do Pedro que contém um erro crasso. Na primeira eu questionei, expliquei, mostrei por meio de links o que estava errado e a resposta foi: o texto tá certo.
Triste ver posts e atitudes como essa.

10 curtidas

Achei estranho uma matéria com tantas partes tecnicamente erradas e/ou mal explicadas, aí fui ver o autor e entendi.

O fã n⁰ 1 do Bolsonaro atacou novamente.

1 curtida

Ayub, muito obrigada pelo comentário e pela análise. Nós corrigimos a matéria com base nos seus apontamentos.

Obrigada também @Cassiano_Calegari1 @andre00 e @gusta pelo alerta.

6 curtidas

Acabei de me cadastrar só para dar os parabéns à comunidade. Muita clareza e respeito nas mensagens.
Caí no texto por culpa do clickbait maldoso. “Corrigiram” apenas colocando uma nota de rodapé, mas o título tendencioso permanece, uma pena!

4 curtidas

Oi, @Rodbr! Na verdade, o título da matéria já foi alterado para retratar de forma fiel o que acontece — e adicionamos dentro do texto os apontamentos corretos, feitos inclusive aqui na Comunidade. A nota de rodapé é apenas um adicional para fins de transparência.

3 curtidas

Olá, pessoal. Muito obrigado pelos comentários na matéria.

Como autor, queria pessoalmente me desculpar pela confusão causada pelo artigo. Ele traz um evento de segurança importante, que é o golpe de phishing, mas como vários já apontaram, vinha com um equívoco: a informação de que o governo não havia registrado o domínio. Na verdade, isso era realmente impossível de ser feito.

Aqui no Tecnoblog, sempre dou meu 100% para apurações e matérias, também com o compromisso de informar vocês — maior das responsabilidades. Mas é recíproco! Em certas ocasiões, as reportagens atraem pessoas com um conhecimento técnico, que comentam, pinçam e, claro, criticam construtivamente. Faz parte do jogo.

Escutando os posts da comunidade, a matéria foi corrigida, e tanto o título como alguns parágrafos foram alterados para esclarecer a confusão com o domínio gov.br. Novamente, sinto muito pelo transtorno. Temos uma excelente comunidade que, educadamente, conseguiu fazer coro ao erro que lhe incomodava :grin:

Abs,
Pedro

13 curtidas

Vamos lá, porque aparentemente o site corrigiu a matéria baseado nas suas colocações, mas não me parece que você entende como DNS funciona.

Em que pese o gov.br ser um TLD, dentro da infraestrutura de um servidor DNS não há diferença entre um domínio comum e um TLD, ambos podem conter qualquer record, inclusive TXT/SPF, DMARC, DKIM, etc.

Tendo em vista que gov.br passou a ser um site próprio, ao meu ver ele não deveria nem ser mais caracterizado como TLD, e sim um simples domínio dentro do ccTLD .br

Dessa forma, tudo que estiver abaixo do gov.br seria um subdomínio, mas como eu disse anteriormente, para o servidor DNS do Registro.br, não existe diferenciação entre domínios e TLDs, essa distinção só importa ao ccTLD .br, que precisa, nos servidores DNS raiz mundiais, apontar a delegação para os servidores do Registro.br

Erroneamente, também, afirma o colega que www.gov.br seria um subdomínio, mas não passa de um CNAME dentro da zona do gov.br.

Ora, como não? Bastava o governo adicionar records SPF, DMARC e DKIM à zona do gov.br, da mesma forma que eles adicionaram um A record pra apontar para o servidor que hospeda o próprio site do gov.br.

Por padrão, servidores de e-mail SÓ RECUSAM mensagens incompatíveis com esses records, se eles simplesmente não existirem, não há obrigação de serem enviados para a caixa de spam, a não ser que o servidor inclua tal domínio em uma blacklist própria.

Por fim, caro Ayubio, se você não entende o básico sobre DNS, é melhor evitar fazer esse tipo de comentário. O nosso país já está sofrendo tremendamente com fake news, não precisamos de mais!

4 curtidas

Só fazendo um adendo

Você não ter registros SPF/DMARC/DKIM é praticamente garantia de ir reto pra SPAM, e alguns serviços de SPAM não enviam para a caixa de SPAM, eles jogam um 550 ou 552 na sua cara ao enviar email.

Eu honestamente não considero uma “falha de segurança” ao ponto de ser relevante. Sem dúvidas agora que foi reportado o governo deverá incluir os registros. Mas é um tipo de phishing tão João sem braço e difícil de se explorar que é quase culpa do usuário se cair nele. Qualquer serviço de email vai te dar múltiplos avisos se você receber um email assim

2 curtidas

Esse também é o meu entendimento do ponto de vista técnico.

Concordo!

Na verdade, o www.gov.br é uma zona própria, delegada ao Ministério do Planejamento, Orçamento e Gestão e administrada pelo SERPRO, e não tem CNAME mas sim um registro de recurso (termo que chamarei de “entrada” de agora em diante) do tipo A que aponta para o IP 161.148.164.31.

O gov.br é outra zona, e também tem uma entrada A que aponta para o mesmo IP.

O problema aqui não parece ser um problema técnico, e sim burocrático. Por ser categorizado como um DPN, a zona gov.br não foi delegada ao governo, ficando restrita ao CGI.br/NIC.br, logo o governo não tem acesso direto à zona do gov.br para adicionar as entradas SPF, DKIM e DMARC.

Pela rápida pesquisa na internet que eu fiz ontem, esse parece ser o consenso e, se o governo não tem intenção de usar o @gov.br para enviar e-mails, a recomendação seria que o domínio tivesse, pelo menos, uma entrada TXT SPF para evitar abuso:

gov.br.	IN	TXT	"v=spf1 -all"
5 curtidas

Nops, não é. E até entendo o porquê da sua confusão: o domínio não é gov.br e sim www.gov.br. Vá no whois.registro.br e consulte por www.gov.br e você verá que é um domínio de nome “www” registrado na TLD .gov.br. Se você for em https://registro.br, clicar no topo direito em REGISTRE e tentar registrar jplisboa.gov.br ele te dirá que é um domínio disponível para registro. Já se você consultar apenas “gov.br” ele te dirá que não é possível, afinal, trata-se da extensão de domínios em si tão quanto “com.br” e que não é registŕavel.

Se o endereço não é registrável, ele não é um FQDN. Se ele não é um FQDN, ele não tem servidores de DNS autoritativos. Se não tem endereços autoritativos, não é possível ter entradas de DNS TXT para declarar SPF, DMARC e DKIM.

Calma, amigo. Solta essa arma. Vai partir para a falácia do espantalho agora? Discordar de alguém é diferente de atacar alguém.

3 curtidas

Mas então explica pra gente como o TLD gov.br resolve para o IP 161.148.164.31 se ele não tem servidores DNS autoritativos (é uma dúvida séria).

gustavo@MacBook-Pro ~ % dig @1.1.1.1 +noall +answer a gov.br
gov.br.			21600	IN	A	161.148.164.31
1 curtida

A resposta é: ele tem servidores autoritativos.

O fato do site do registro.br não permitir o registro de um domínio não faz com que as características técnicas dele se alterem, trata-se meramente de política interna do Registro.br.

Você está misturando as coisas, FQDN não tem nada a ver com essa discussão.

E como eu disse, o problema aqui é que você não entende como o DNS funciona, mas é fácil resolver isso. Baixe o BIND no seu computador (pode utilizar no docker por exemplo) e brinque um pouquinho com ele que já vai te iluminar muito, mas vou exemplificar o funcionamento do ccTLD .br:

Servidor BIND do CGI.br:

  • Zona Master “br” (tudo dentro vai ser .br)
    ->Zona Master “gov” (tudo dentro vai ser .gov.br)
    —> Qualquer outra zona (master, também) que você quiser (ex.: bcb.gov.br), contendo apenas registros SOA e NS apontando para o DNS autoritativo correspondente, que vai, então conter os registros A, CNAME, TXT, DKIM, etc.

Acontece que, TODAS essas zonas podem ter QUALQUER tipo de registro: A, AAAA, CNAME, TXT, MX, DKIM, etc, pois os servidores são todos autoritativos, exceto àqueles cujas zonas foram delegadas para outros NSs.

Não existe nenhuma limitação técnica que impeça o governo de criar DKIM, DMARC, TXT ou qualquer outro tipo de record dentro da zona “gov”, o que existe é falta de vontade e ingerência de TI.

1 curtida

Conversei com o pessoal do Registro.br e eles me explicaram que isso foi um capricho feito inspirado no gov.co.uk, para que as pessoas ao digitassem no navegador http://gov.br fossem redirecionadas para www.gov.br. Vamos destrinchar os assuntos.

Primeiro vamos observar que o domínio “gov.br” não existe:

ayub@indaiatuba:~$ whois gov.br

% Copyright (c) Nic.br
%  The use of the data below is only permitted as described in
%  full by the terms of use at https://registro.br/termo/en.html ,
%  being prohibited its distribution, commercialization or
%  reproduction, in particular, to use it for advertising or
%  any similar purpose.
%  2022-02-03T12:53:30-03:00 - IP: 2804:14d:78b0:90e1:df9a:f3cd:e965:217b

% reserved:    trademark

% Security and mail abuse issues should also be addressed to
% cert.br, http://www.cert.br/ , respectivelly to cert@cert.br
% and mail-abuse@cert.br
%
% whois.registro.br accepts only direct match queries. Types
% of queries are: domain (.br), registrant (tax ID), ticket,
% provider, CIDR block, IP and ASN.

E por sua vez, o domínio (não subdomínio) www.gov.br existe:

ayub@indaiatuba:~$ whois www.gov.br

% Copyright (c) Nic.br
%  The use of the data below is only permitted as described in
%  full by the terms of use at https://registro.br/termo/en.html ,
%  being prohibited its distribution, commercialization or
%  reproduction, in particular, to use it for advertising or
%  any similar purpose.
%  2022-02-03T12:53:33-03:00 - IP: 2804:14d:78b0:90e1:df9a:f3cd:e965:217b

domain:      www.gov.br
owner:       Ministerio do Planejamento, Orcamento e Gestao
ownerid:     00.489.828/0001-55
responsible: Merched Cheheb Oliveira
country:     BR
owner-c:     CGSTM2
tech-c:      GSISE
nserver:     bsa1.serpro.gov.br
nsstat:      20220202 AA
nslastaa:    20220202
nserver:     bsa2.serpro.gov.br
nsstat:      20220202 AA
nslastaa:    20220202
nserver:     spo1.serpro.gov.br
nsstat:      20220202 AA
nslastaa:    20220202
nserver:     spo2.serpro.gov.br

Ambas as informações acima podem ser validadas pelo navegador consultando https://registro.br.

Então quem te respondeu que gov.br possui uma entrada DNS do tipo A ADDRESS com o valor 161.148.164.31? Já consultou o type NS? Vejamos a seguir:

ayub@indaiatuba:~$ host -t NS gov.br
gov.br name server a.dns.br.
gov.br name server b.dns.br.
gov.br name server c.dns.br.
gov.br name server d.dns.br.
gov.br name server e.dns.br.
gov.br name server f.dns.br.

Esses servidores de DNS pertencem ao próprio Registro.br na gentileza que fizeram ao governo que citei mais cedo. Note que os endereços acimas e os respectivos IPs que resolvem não são do SERPRO, não pertencem e não são controlados pelo governo. São entradas A ADDRESS na zona raiz do próprio .br.

E como isso funciona? Vejamos em detalhes. Vamos ver que resposta HTTP que o IP 161.148.164.31 (quando acionado via http://gov.br) nos dá:

ayub@indaiatuba:~$ curl --head --insecure http://gov.br
HTTP/1.1 302 Found
Date: Thu, 03 Feb 2022 16:04:05 GMT
Server: Apache
Location: https://gov.br/
Content-Type: text/html; charset=iso-8859-1

Ele nos dá um redirecionamento HTTP 302 para a versão em HTTPS do mesmo endereço, https://gov.br. Observe o cabeçalho Location acima Vamos ver que resposta esse endereço por sua vez nos dá?

ayub@indaiatuba:~$ curl --head https://gov.br
HTTP/1.1 302 Found
Date: Thu, 03 Feb 2022 16:05:36 GMT
Server: Apache
Location: https://www.gov.br/
Content-Type: text/html; charset=iso-8859-1

Está aí, finalmente o domínio (e não subdomínio) devidamente registrado www.gov.br que contém o conteúdo do site em questão. Tudo até aqui era mero redirecionamento. E cá está os servidores NS dele:

ayub@indaiatuba:~$ host -t NS www.gov.br
www.gov.br name server bsa1.serpro.gov.br.
www.gov.br name server bsa2.serpro.gov.br.
www.gov.br name server spo1.serpro.gov.br.
www.gov.br name server spo2.serpro.gov.br.

E como www.gov.br é um domínio válido (FQDN), ele possui sim entrada TXT SPF:

ayub@indaiatuba:~$ host -t TXT www.gov.br
www.gov.br descriptive text "bE6LcxVH1400jsb9rg2yrTP0r6mdQlD21g2PKwPPO4s="
www.gov.br descriptive text "v=spf1 ip4:161.148.21.192/26 ip4:161.148.50.192/26 -all"

Consegui esclarecer a sua dúvida?

Então reforço meu ponto de vista: a falha não está na gestão de domínios do governo, está no servidor de e-mail de quem recebeu esse phising. Servidores de e-mail bem configurados não deveriam receber e-mails de endereços sem TXT SPF ou minimamente colocá-lo na caixa de SPAM. Observemos o seguinte:

ayub@indaiatuba:~$ host -t TXT gov.br
gov.br has no TXT record
ayub@indaiatuba:~$ host -t TXT gates.com
gates.com has no TXT record

Tanto o endereço gov.br como gates.com não possuem entrada TXT SPF. Então se eu configurar meu SMTP para te enviar um e-mail tendo como remetente (From:) o endereço bill@gates.com você deveria recebê-lo como um e-mail normal? Certamente não.

4 curtidas