Com o crescente volume de spam, phishing e seus derivados, novas tecnologias vão surgindo dia-a-dia a fim de proporcionar maior segurança e menores prejuízos para nossas empresas e usuários finais em todo o mundo. De fato, nenhuma tecnologia até hoje se mostrou completamente eficiente no combate a estas pragas, mas com certeza muitas apontam reais benefícios em cenários distintos entre elas.

É por esta razão que, em geral, as tecnologias de combate ao spam e phishing se complementam, e devemos entender como e quando cada uma delas se aplica.

O certificado digital para e-mail pode ser utilizado somente para assinar ou também para criptografar mensagens enviadas. Ambos os formatos garantem a autenticidade do remetente.

E falando em garantia da autenticidade do remetente, um fator importante para solidificação da reputação de empresas que utilizam o e-mail marketing é a utilização do SPF (Sender Policy Framework). Porém, muitos podem perguntar: Por que utilizar certificação digital, o uso de SPF já não basta? Eu explico. Validando o SPF de uma mensagem recebida, é possível garantir que a mesma foi enviada por um servidor de e-mail autorizado e não necessariamente por um usuário autorizado.

Quando enviamos uma mensagem assinada com uma certificação digital, na prática, a identificação do proprietário é integrada ao e-mail. Logo, se o webmail ou o programa de e-mail (Outlook, Thunderbird, entre outros), utilizado pelos leitores, possuir suporte à certificação digital, irá comparar o remetente da mensagem com o proprietário do certificado, informando se a mensagem possui uma certificação válida. Além disso, também compara o atual conteúdo da mensagem com o que foi originalmente enviado, informando se o mesmo foi alterado ou não.

No caso de envio de e-mail marketing, não é viável criptografar a mensagem, pois seria necessário o conhecimento da chave pública de cada destinatário. A mensagem criptografada somente pode ser lida pelo proprietário da certificação digital associada ao destinatário. Vale ressaltar que um e-mail assinado e criptografado pode ser reencaminhado sem assinatura e criptografia a outros contatos.

As tecnologias para garantia da autenticidade do remetente, DKIM, DomainKeys, SPF e SenderID, são utilizadas pelos servidores de e-mail responsáveis pelo recebimento de tais mensagens. Cabe aos servidores de destino a responsabilidade de tomar uma ação positiva ou negativa, dependendo do resultado da validação de cada e-mail, com base nestas tecnologias.

Já a certificação digital não é utilizada pelos servidores de e-mail responsáveis pelo recebimento de tais mensagens. Contendo uma certificação, válida ou inválida, cada mensagem será recebida pelo servidor e submetida aos filtros de spam antes de chegar à caixa postal do destinatário. Nesse caso, o próprio destinatário decide se confia ou não na autenticidade do e-mail com base no resultado da validação realizada por seu webmail ou programa de e-mail utilizado.