det0431-detection-strategy-for-email-spoofing

# DET0431 — Detection Strategy for Email Spoofing ## Descrição Email spoofing é a falsificação do endereço de remetente em mensagens de email para fazer com que pareçam originar-se de uma fonte confiável — parceiro comercial, executivo da empresa, banco ou órgão governamental. É o vetor fundamental de ataques de Business Email Compromise (BEC), phishing direcionado e campanhas de distribuição de malware. A falta de autenticação nativa no protocolo SMTP original torna o spoofing técnicamente simples na ausência de controles adicionais. Os mecanismos de defesa e detecção incluem três protocolos complementares: SPF (Sender Policy Framework), que lista os servidores autorizados a enviar email pelo domínio; DKIM (DomainKeys Identified Mail), que assina criptograficamente as mensagens; e DMARC (Domain-based Message Authentication, Reporting and Conformance), que define a política de rejeição para mensagens que falham nas verificações de SPF e DKIM. A ausência de alinhamento entre o endereço `From:` visível e o domínio autenticado é o indicador central. O Brasil é um dos países com maior incidência de BEC e phishing via spoofing, com ataques frequentes contra instituições financeiras, e-commerce e setor governamental. A detecção no gateway de email deve válidar SPF, DKIM e DMARC, além de alertar para emails de domínios visualmente similares ao domínio corporativo (typosquatting) e para mensagens com discrepância entre `From:`, `Reply-To:` e `Return-Path:`. ## Indicadores de Detecção - Email com falha em verificação SPF (`softfail` ou `fail`) de domínio que possui registro SPF configurado - Assinatura DKIM ausente ou inválida em email de domínio com política DMARC `p=reject` ou `p=quarantine` - Discrepância entre cabeçalho `From:` visível e endereço `Return-Path:` ou `Reply-To:` - Domínio remetente visualmente similar ao domínio corporativo (ex.: `empresa-sa.com` vs `empresa.com`) - Email recebido de IP não presente no registro SPF do domínio de origem declarado ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[T1566001-spearphishing-attachment|T1566.001 — Spearphishing Attachment]] - [[T1566002-spearphishing-link|T1566.002 — Spearphishing Link]] - [[t1534-internal-spearphishing|T1534 — Internal Spearphishing]] - [[t1598-phishing-for-information|T1598 — Phishing for Information]] ## Analytics Relacionadas - [[an1202-analytic-1202|AN1202 — Analytic 1202]] - [[an1203-analytic-1203|AN1203 — Analytic 1203]] - [[an1204-analytic-1204|AN1204 — Analytic 1204]] - [[an1205-analytic-1205|AN1205 — Analytic 1205]] --- *Fonte: [MITRE ATT&CK — DET0431](https://attack.mitre.org/detectionstrategies/DET0431)*