
DMARCbis: Tag 'np' e os riscos com NSEC Black Lies no DNSSEC
Especialista em LLMs, AI Agents e Infraestrutura de IA

Especialista em LLMs, AI Agents e Infraestrutura de IA
A nova tag 'np' do DMARCbis foi criada para proteger contra spoofing em subdomínios inexistentes ao rejeitar e-mails fraudulentos. No entanto, sua integração com DNSSEC enfrenta desafios técnicos, como a incompatibilidade com a técnica NSEC Black Lies, que pode gerar vulnerabilidades na autenticação de e-mails.
A nova tag 'np' (non-existent subdomain policy) foi introduzida pelo protocolo DMARCbis, formalizado no RFC 9989, com o objetivo de resolver uma vulnerabilidade específica: ataques de spoofing através de subdomínios inexistentes. A tag permite que os administradores de sistemas configurem políticas exclusivas para lidar com e-mails enviados desses subdomínios.
Por padrão, a configuração de np=reject instrui os servidores de e-mail a rejeitarem mensagens originadas de subdomínios que não existem. Essa funcionalidade complementa a já existente tag 'sp', que gerencia políticas de subdomínios existentes, mas não cobria lacunas relacionadas a subdomínios fictícios.
Embora a tag 'np' represente um avanço em termos de segurança contra spoofing, sua interação com o DNSSEC (Domain Name System Security Extensions) revelou sérios desafios de compatibilidade. O DNSSEC é amplamente utilizado para garantir a autenticidade das respostas DNS, mas a técnica conhecida como NSEC Black Lies pode interferir no funcionamento esperado da tag 'np'.
A técnica NSEC Black Lies, descrita no RFC 9824, é usada para gerar respostas DNS mais eficientes ao indicar a inexistência de subdomínios. No entanto, ela pode produzir respostas compactadas que não são interpretadas corretamente pelos servidores que seguem as regras do DMARCbis. Isso gera dois potenciais problemas:
A introdução da tag 'np' no DMARCbis representa um avanço importante na proteção contra ataques de e-mail, mas a sua implementação em ambientes DNSSEC exige atenção especial. A comunidade técnica continuará monitorando os impactos da nova especificação, especialmente em relação à técnica NSEC Black Lies. Atualizações futuras do RFC 9989 podem trazer soluções para mitigar as incompatibilidades e fortalecer ainda mais a segurança.
A tag 'np' permite definir políticas específicas para lidar com e-mails enviados de subdomínios inexistentes, ajudando a prevenir ataques de spoofing.
Devido à técnica NSEC Black Lies, usada em DNSSEC, que pode gerar respostas DNS incompatíveis com as regras de autenticação do DMARCbis.
Realize testes rigorosos de compatibilidade e revise as configurações do DNSSEC para garantir que as respostas DNS sejam interpretadas corretamente.
💡 Dica Pro: Ao implementar a tag 'np' do DMARCbis, valide o comportamento dos servidores DNS com ferramentas como o 'dnsdiag' e simule diferentes cenários de negação de subdomínios inexistentes para garantir a compatibilidade com DNSSEC.