Nos bastidores: as configurações feitas em @gov.br para barrar emails falsos

3 curtidas

Por passar a apontar para www.gov.br no começo de 2019, um A record foi criado para o domínio gov.br naquela época. Essa simples configuração pode fazer muitos serviços “entenderem” que emails @gov.br existem, mesmo não havendo um MX record para isso.

Não tinha menor ideia que isso acontecia, bizarro. Artigo muito bom para o pessoal que manja mais do assunto.

Existe a possibilidade técnica de se criar uma rede de e-mails verificados?

É o tipo de feature bem específica (exibir o tique verificado) que poderia ser destinado a e-mails de grandes empresas e organizações governamentais. E acho fundamental o mesmo para sites.

1 curtida

O hotmail já chegou a ter isso, antigamente quando eu recebia emails do paypal ou blizzard ao lado do nome delas vinha o símbolo de um escudo verde, indicando que aquele email era verdadeiro.

2 curtidas

Ultimamente venho recebendo diversos e-mail de acesso não autorizados na minha conta do ML. Como o ML não é exatamente conhecido por sua segurança devo imaginar que o problema seja parecido com o @gov.br, mas mesmo que não seja evito clicar nesses links.

1 curtida

Tem que ver o tipo de email que é esse. Se o seu endereço de email é muito simples, pode ser de analfabetos digitais pensando possuir aquele @ e fazer o login na conta do ML deles.
Acontece comigo direto, inclusive até com um cidadão do Panamá. Todo mês eu recebo o comprovante de depósito de seguridade social dele, e não há nada o que eu possa fazer, pois é disparado automaticamente.

Não é impossível.
Como meu email tem meu nome+sobrenome+iniciais é altamente possível. Mas do ML eu troco a senha de vez em quando, visto q é um dos sites q me obriga a ficar com o cartão cadastrado

Já existe algo assim. Se chama BIMI, e usa SPF, DKIM e DMARC para verificar os e-mails de grandes empresas.

Basicamente o BIMI faz o uso de DNS, certificados digitais e SVG para mostrar o logotipo da empresa que te enviou o e-mail, como na imagem a seguir:

Bringing BIMI to Gmail in Google Workspace | Google Cloud Blog

Imagem: Google Cloud Blog.

O suporte ainda é limitado, apenas Gmail, Yahoo Mail e FastMail fazem o uso do BIMI.

3 curtidas

Poderiam fazer isso pra sites também, mostrando o :white_check_mark: em sites oficiais de empresas

Então se tiver o logo da empresa, posso confiar no e-mail? Ou isso pode ser burlado?

Já existe. Você pode mandar o e-mail assinado digitalmente com um certificado. Mas há dois problemas:

  1. O certificado é por e-mail, o que pode ficar caro e difícil de gerenciar
  2. A maioria dos aplicativos de e-mail padrão (gmail, outlook, etc.) não permitem vc configurar, e muitos deles não exibirem visualmente se o e-mail foi assinado ou não.

Porém para e-mails oficiais do governo deve ser bem factível.

Explicação (em inglês):

1 curtida

Completamente burlável

Mas não explicou como faz, né?

Eu realmente adoraria saber se o Google e o Bank of America estão fazendo papelão na internet promovendo “avançar a segurança do e-mail” com algo “completamente burlável.”

É só por um SVG como foto de perfil da conta Google: