search

SES: Endereços de Email SES Não Utilizando Assinatura DKIM

Esta regra identifica identidades do Amazon Simple Email Service (SES) que:

  • Estão com verificação de identidade concluída com sucesso.

  • Possuem verificação DKIM concluída com sucesso.

  • Porém estão com a assinatura DKIM desabilitada (DkimEnabled = False).

O objetivo é detectar configurações inconsistentes onde o domínio ou e-mail está tecnicamente apto a assinar mensagens via DKIM, mas a assinatura está desativada.

Contexto da regra e impacto no negócio

O DKIM (DomainKeys Identified Mail) é um mecanismo de autenticação de e-mail que valida a integridade e a origem das mensagens enviadas.

Quando o DKIM está corretamente configurado e habilitado:

  • Reduz risco de spoofing.

  • Aumenta entregabilidade.

  • Melhora reputação do domínio.

  • Reduz probabilidade de cair em spam.

Nesta regra, o cenário identificado é particularmente crítico porque:

  • A identidade está validada.

  • O DKIM está corretamente verificado.

  • Mas a assinatura está desativada.

Isso indica falha de governança ou configuração inconsistente.

Impactos possíveis:

  • Redução de taxa de entrega.

  • Impacto em campanhas transacionais ou marketing.

  • Risco reputacional.

  • Aumento de bloqueios por provedores como Gmail e Outlook.

  • Não conformidade com boas práticas de segurança de e-mail (SPF + DKIM + DMARC).

Detalhamento técnico da regra

A regra executa uma varredura regional nas contas AWS conectadas e analisa o status das identidades configuradas no Amazon SES.

Como a regra é executada

A regra autentica na conta AWS e percorre todas as regiões ativas. Para cada região:

  1. Lista todas as identidades SES utilizando ses:ListIdentities.

  2. Para cada identidade:

    • Consulta get_identity_verification_attributes.

    • Consulta get_identity_dkim_attributes.

  3. Avalia as três condições simultaneamente:

    • VerificationStatus == "Success"

    • DkimVerificationStatus == "Success"

    • DkimEnabled == False

  4. Apenas quando as três condições são verdadeiras, a identidade é sinalizada.

Lógica aplicada

A violação ocorre exclusivamente quando:

Qualquer outro cenário é desconsiderado.

Campos analisados

A regra analisa:

  • VerificationStatus

  • DkimVerificationStatus

  • DkimEnabled

  • Identity

  • Region

Parâmetros considerados na busca

  • API: ses:ListIdentities

  • API: ses:GetIdentityVerificationAttributes

  • API: ses:GetIdentityDkimAttributes

  • Escopo: Regional

  • Tipo de identidade: Domínio ou endereço de e-mail configurado no SES

Período Avaliado (Filtro Temporal)

Esta regra não utiliza filtro baseado em data de criação ou idade do recurso.

Período Avaliado (Filtro Temporal): A regra avalia o estado atual da identidade no momento da execução. O intervalo de análise corresponde ao operador do período do filtro combinado com os dias do período do filtro definidos na configuração da regra. Como a lógica é baseada em configuração atual e não em data de criação, o filtro temporal não altera a análise funcional. Exemplo: Independentemente da idade da identidade, se ela estiver verificada com DKIM verificado e assinatura desabilitada no momento da execução, ela será sinalizada.

Os parâmetros de operador e dias podem ser customizados conforme necessidade do cliente, porém não impactam a lógica de detecção baseada em estado atual.

Intervalo de Análise

Execução padrão: a cada 8 horas.

Essa periodicidade garante monitoramento contínuo de conformidade da configuração de autenticação de e-mail.

Aderência às melhores práticas

Esta regra não é da categoria ECONOMIA. Trata-se de uma regra de Segurança e Governança.

Está alinhada com:

  • AWS Well-Architected Framework – Security Pillar.

  • Boas práticas de autenticação de e-mail (SPF, DKIM, DMARC).

  • Princípios de proteção contra spoofing e phishing.

  • Governança de comunicação transacional e institucional.

Benefícios da aplicação:

  • Melhoria da reputação do domínio.

  • Redução de bloqueios e blacklist.

  • Aumento da confiabilidade em comunicações críticas.

  • Redução de risco de fraude.

Riscos evitados:

  • Comprometimento de marca.

  • Falhas em campanhas críticas.

  • Problemas de compliance em ambientes regulados.

Dicas de uso e boas práticas para o usuário

  • Sempre manter DKIM habilitado para identidades verificadas.

  • Implementar DMARC para reforçar política de autenticação.

  • Monitorar métricas de entregabilidade no SES.

  • Revisar identidades antigas ou ambientes descontinuados.

  • Padronizar configuração via Infrastructure as Code.

  • Priorizar correção em domínios utilizados para:

    • E-mails transacionais.

    • Comunicação com clientes.

    • Alertas críticos de sistema.

Possíveis falsos positivos:

  • Ambientes de teste onde envio externo não é necessário.

  • Domínios internos utilizados apenas para simulação.

Recomenda-se validação antes da correção em ambientes não produtivos.

PreviousS3: Upload multipart do S3 incompletoNextSNS: Atingindo 80% das cotas para a criação de tópicos SNS.

Last updated