Melhores práticas de segurança de e-mail e como implementá-las

A maioria dos incidentes de segurança que têm origem em e-mails não começa com um ataque sofisticado. Eles começam com um usuário que não reconheceu uma mensagem de phishing, clicou em um link e abriu caminho para o invasor. Os controles técnicos já existiam. A falha estava na forma como eles eram configurados, mantidos e utilizados por usuários treinados.

Essa é a realidade prática que INKY, o software de segurança de e-mail da Kaseya, foi desenvolvido para resolver, e é por isso que as práticas abaixo se concentram no que realmente reduz o risco, em vez de no que fica bem em uma lista de verificação de conformidade.

Por que a segurança do e-mail exige atenção constante

Uma configuração única não constitui uma postura de segurança. As táticas das ameaças mudam mais rapidamente do que a maioria das organizações consegue atualizar suas defesas. Os invasores se adaptam a quaisquer filtros que estejam em vigor, identificam as brechas e as exploram.

O Relatório de Investigações sobre Vazamentos de Dados da Verizon de 2025 constatou que o fator humano contribuiu para 60% dos vazamentos, sendo o phishing o principal método de engenharia social utilizado. Os ataques motivados financeiramente recorrem cada vez mais ao comprometimento de e-mails corporativos (BEC), que não gera nenhum anexo ou link malicioso que possa ser detectado por um filtro. Simplesmente parece que um colega ou fornecedor de confiança está fazendo uma solicitação razoável.

Isso significa que as práticas abaixo não são etapas do tipo “instale e esqueça”. Elas exigem as ferramentas certas, execução consistente e uma base de usuários que saiba o que fazer quando algo parecer errado.

Como a falta de segurança no e-mail custa caro às empresas

O argumento financeiro a favor do investimento em segurança de e-mail é simples: o custo de uma violação de segurança sempre supera o custo da prevenção por uma margem significativa.

De acordo com o Relatório da IBM sobre o Custo de uma Violação de Dados em 2025, uma violação relacionada a phishing custa, em média, US$ 4,88 milhões a uma organização. Esse valor abrange os custos de resposta a incidentes, despesas jurídicas e de notificação, multas regulatórias, perda de negócios e danos à reputação. Para a maioria das pequenas e médias empresas, uma violação dessa magnitude é irrecuperável.

Os ataques de BEC são particularmente prejudiciais porque, muitas vezes, não há nenhum indício técnico que permita detectá-los e nenhum momento em que o usuário tenha claramente cometido um erro. Um funcionário que transferiu fundos com base em um e-mail convincente, aparentemente enviado pelo diretor financeiro, fez exatamente o que lhe foi pedido. O Relatório de Crimes na Internet de 2024 do FBI registrou US$ 2,77 bilhões em prejuízos decorrentes de ataques BEC, com mais de 21.000 denúncias. Considerando que muitos incidentes não são relatados, o número real é quase certamente maior.

Além da perda financeira direta, os custos indiretos se acumulam rapidamente. Penalidades regulatórias previstas na HIPAA, no GDPR e no PCI DSS podem surgir após uma violação que teve início com uma caixa de entrada desprotegida. Reclamações de seguro cibernético relacionadas a incidentes de e-mail podem elevar os prêmios ou desencadear disputas sobre a cobertura, caso não houvesse controles básicos em vigor. E o dano à reputação decorrente de uma violação divulgada publicamente pode custar relacionamentos com clientes que levaram anos para serem construídos.

10 práticas recomendadas para a segurança de e-mails

Uma segurança robusta para e-mails depende da implementação de camadas de controles adequados e de sua manutenção consistente. As dez práticas a seguir abordam as áreas de risco mais significativas, desde a autenticação e a filtragem até o comportamento do usuário e o monitoramento de contas.

1. Implementar a autenticação multifatorial (MFA)

A autenticação multifatorial é a medida de controle mais eficaz contra o acesso não autorizado a contas. Uma senha roubada é o vetor de ataque mais comum contra credenciais e, sem a autenticação multifatorial (MFA), é tudo o que um invasor precisa para assumir o controle de uma caixa de entrada, acessar comunicações internas e configurar regras de encaminhamento que permanecem ativas muito tempo depois que a invasão inicial é detectada.

Implemente a autenticação multifatorial (MFA) em toda a organização, sem exceções para executivos ou contas de serviço. Esses são, muitas vezes, os alvos de maior valor, por isso precisam de proteção mais robusta, e não de menos vigilância. Sempre que possível, utilize um aplicativo de autenticação em vez de SMS, já que ataques de troca de cartão SIM podem interceptar códigos enviados por mensagem de texto.

A implementação da MFA também está se tornando cada vez mais um requisito para a elegibilidade ao seguro cibernético e para a conformidade regulatória. Implementá-la de forma proativa é muito mais fácil do que adaptá-la após uma violação, e a maioria das seguradoras cibernéticas agora a considera um controle básico, em vez de algo opcional.

2. Implementar SPF, DKIM e DMARC

Três protocolos de autenticação baseados no DNS constituem a base técnica da verificação do remetente:

• O SPF (Sender Policy Framework) especifica quais servidores de e-mail estão autorizados a enviar e-mails em nome de um domínio. Qualquer mensagem enviada a partir de um servidor não listado é rejeitada na verificação do SPF.
• O DKIM (DomainKeys Identified Mail) adiciona uma assinatura criptográfica às mensagens enviadas. Os servidores receptores verificam a assinatura por meio de uma chave pública no DNS do domínio remetente, confirmando que a mensagem não foi alterada durante o trânsito.
• O DMARC (Domain-based Message Authentication, Reporting and Conformance) indica aos servidores receptores o que fazer com as mensagens que não passam nas verificações de SPF e DKIM: aceitá-las, colocá-las em quarentena ou rejeitá-las. Ele também gera relatórios que mostram quem está enviando e-mails alegando ser do seu domínio.

A publicação desses registros é simples. O passo importante que a maioria das organizações ignora é mudar o DMARC de uma política de monitoramento (p=none) para uma política de aplicação (p=quarantine ou p=reject). Sem a aplicação, as mensagens com falha ainda chegam às caixas de entrada, e os controles de autenticação não oferecem proteção real.

Os relatórios do DMARC também revelam o uso não autorizado do seu domínio em campanhas direcionadas aos seus próprios usuários ou parceiros — informações úteis que você não obteria sem eles.

3. Adicione uma camada dedicada de segurança de e-mail

O Microsoft 365 e o Google Workspace incluem filtros integrados, o que constitui uma base razoável contra spam conhecido e algumas categorias de malware. No entanto, esses filtros não foram projetados para detectar ameaças sofisticadas e direcionadas. Os ataques de BEC não contêm nenhuma carga útil para ser analisada. As mensagens de phishing geradas por IA não apresentam nenhum dos padrões de linguagem para os quais os filtros mais antigos foram treinados a sinalizar. Domínios semelhantes passam nas verificações de autenticação porque são tecnicamente legítimos.

Uma solução dedicada ao combate ao phishing oferece a detecção comportamental que falta às ferramentas nativas: análise do relacionamento com o remetente, sinais de tom e urgência, inspeção do destino dos links, visão computacional para identificar falsificação de marcas em imagens e detecção de códigos QR usados para distribuir links de phishing. Esses recursos fazem a diferença entre identificar um e-mail de spear-phishing bem elaborado e permitir que ele chegue à caixa de entrada de um gerente sênior sem ser sinalizado.

INKY uma análise baseada em IA gerativa (GenAI) à correspondência recebida, enviada e interna, sinalizando ameaças que os sistemas baseados em assinaturas não detectam e exibindo banners de alerta diretamente na caixa de entrada dos usuários, para que eles entendam o que motivou o alerta e o que devem fazer.

4. Realize simulações de phishing regularmente

As simulações de phishing medem o que o treinamento por si só não consegue: o comportamento real dos usuários em condições realistas. Uma organização pode concluir todos os seus módulos de treinamento anuais e, mesmo assim, ter uma parcela significativa de usuários que clicarão em um link de phishing bem elaborado quando estiverem sob pressão de tempo.

Simulações regulares, realizadas pelo menos trimestralmente com cenários que reflitam as tendências atuais de ataques, identificam quem precisa de apoio adicional e criam, ao longo do tempo, o hábito do ceticismo. É fundamental ressaltar que elas funcionam melhor quando não têm caráter punitivo. Os usuários que clicarem em um link simulado de phishing devem receber uma explicação imediata e contextualizada sobre o que deixaram passar e por quê, sendo então direcionados a um breve módulo de correção.

BullPhish ID, ferramenta de treinamento em conscientização de segurança da Kaseya, inclui uma biblioteca de kits de campanhas de simulação de phishing atualizada mensalmente para refletir as ameaças atuais. As campanhas podem ser programadas para serem enviadas em horários aleatórios dentro de um intervalo especificado, o que impede que os usuários alertem os colegas de que uma simulação está em andamento e oferece uma visão mais precisa da verdadeira vulnerabilidade.

5. Manter atualizado o treinamento de conscientização sobre segurança de e-mail

Um treinamento anual de segurança é melhor do que nada, mas não é suficiente. As técnicas de ataque mudam mais rápido do que um curso de atualização anual consegue acompanhar. Um usuário que concluiu o treinamento em janeiro já se lembra de pouca coisa em outubro e não tem nenhum contexto sobre as ameaças que surgiram depois que o treinamento foi gravado.

Sessões de treinamento curtas e frequentes, voltadas para as tendências atuais de ataques, são mais eficazes. Módulos mensais que abordam tipos recentes de ameaças, técnicas emergentes de phishing e táticas atualizadas de engenharia social mantêm a conscientização sem causar cansaço em relação ao treinamento. O objetivo é construir uma cultura de segurança em que os funcionários encarem o reconhecimento de ameaças como parte de sua rotina, e não como mais um requisito de conformidade a ser cumprido.

O Relatório Anual de Investigação sobre Violações de Dados (DBIR) da Verizon de 2025 constatou que a suscetibilidade ao phishing diminui significativamente em organizações com programas de treinamento consistentes, sendo que equipes bem treinadas atingem taxas de suscetibilidade inferiores a 5%, em comparação com a média do setor, que gira em torno de 33%.

Os módulos de vídeo curtos, os questionários on-line e os fluxos de trabalho automatizados de treinamento de reforço BullPhish IDfacilitam a realização de treinamentos regulares em toda a organização, sem sobrecarregar a equipe responsável pela gestão.

6. Criptografar comunicações confidenciais por e-mail

O Transport Layer Security (TLS) criptografa as mensagens em trânsito entre servidores de e-mail, o que oferece proteção contra interceptações na rede. Para a maioria das organizações, garantir que o TLS seja aplicado às mensagens enviadas a parceiros e clientes importantes é o ponto de partida prático.

Para comunicações que transportam regularmente dados regulamentados, informações financeiras ou materiais confidenciais de clientes, a criptografia de ponta a ponta usando S/MIME ou PGP oferece proteção mais robusta. Com o S/MIME, a mensagem é criptografada do cliente do remetente até o cliente do destinatário, o que significa que nem mesmo o provedor de e-mail pode ler o conteúdo.

Para organizações dos setores de saúde, serviços financeiros ou serviços jurídicos, a criptografia costuma ser um requisito de conformidade, e não apenas uma recomendação de segurança. Identificar quais comunicações transportam regularmente dados regulamentados e garantir que a criptografia adequada esteja em vigor é uma maneira simples de reduzir tanto o risco de violação quanto a exposição a riscos regulatórios.

7. Implementar a prevenção contra perda de dados (DLP)

A maior parte da atenção dedicada à segurança de e-mails concentra-se nas ameaças recebidas, mas os e-mails enviados também representam uma área de risco significativa. A exposição acidental de dados confidenciais, o encaminhamento de informações confidenciais por um funcionário para uma conta pessoal ou o uso de uma caixa de correio comprometida por um invasor para extrair dados podem causar sérios problemas de conformidade e de reputação.

As ferramentas DLP analisam e-mails de saída em busca de padrões associados a dados regulamentados ou confidenciais: números de cartão de crédito, números de Seguro Social, identificadores de prontuários médicos e tipos específicos de documentos. Quando uma mensagem corresponde a uma política definida, ela pode ser sinalizada, colocada em quarentena ou bloqueada antes de sair do ambiente.

Para empresas sujeitas às normas HIPAA, PCI DSS, GDPR ou regulamentações semelhantes, o DLP (Delivery Learning Protection) em e-mails enviados é, normalmente, um requisito de conformidade. Mesmo fora dos setores regulamentados, as políticas de DLP oferecem uma proteção significativa contra a exposição acidental de dados e as consequências legais e para a reputação que daí decorrem.

8. Aplicar o princípio do privilégio mínimo ao acesso ao e-mail

Nem todo funcionário precisa ter acesso a todas as caixas de correio compartilhadas, listas de distribuição ou funções de administração de e-mail. O acesso excessivo aumenta desnecessariamente o alcance do impacto caso qualquer conta seja comprometida.

Revise e audite regularmente as permissões de acesso ao e-mail. As caixas de correio compartilhadas devem conter apenas os usuários que realmente precisam delas. O acesso administrativo à configuração do e-mail deve ser restrito às pessoas responsáveis pela gestão da infraestrutura de e-mail. As listas de distribuição devem ser bloqueadas para que apenas remetentes autorizados possam enviar e-mails para elas.

Quando um funcionário se desliga da empresa ou muda de função, o acesso ao e-mail deve ser atualizado como parte do processo de desligamento ou de mudança de função, e não deve permanecer ativo indefinidamente. Permissões desatualizadas são uma das formas mais comuns pelas quais os invasores mantêm o acesso muito tempo depois que uma invasão inicial é detectada.

9. Criar um processo para denunciar mensagens suspeitas

Os usuários que perceberem algo incomum precisam de uma maneira rápida e descomplicada de relatar o problema. Se relatar o problema significar passar por um processo de abertura de ticket com várias etapas ou enviar um e-mail para um endereço que leva dias para responder, os usuários deixarão de se dar ao trabalho. Isso retira um sinal de detecção valioso da equipe de TI e deixa outros usuários expostos à mesma mensagem.

Um processo de denúncia bem elaborado inclui um mecanismo de denúncia com um único clique, disponível diretamente no cliente de e-mail, uma confirmação de recebimento enviada ao usuário para que ele saiba que a denúncia foi recebida e um prazo definido para a análise das mensagens sinalizadas. Quando uma mensagem denunciada for confirmada como maliciosa, a equipe de TI deve ser capaz de extrair mensagens semelhantes de outras caixas de entrada e atualizar rapidamente as regras de detecção.

Esse ciclo de feedback entre os usuários e a equipe de TI é um dos aspectos mais negligenciados na maioria das configurações de segurança de e-mail. Banners de aviso que explicam por que uma mensagem parece suspeita e solicitam que os usuários a denunciem aumentam significativamente o volume e a qualidade dos relatórios de ameaças que a equipe de segurança recebe.

10. Monitorar sinais de violação de contas de e-mail

Os controles técnicos e o treinamento dos usuários reduzem a probabilidade de comprometimento de contas, mas não a eliminam. Quando uma conta é invadida, o intervalo de tempo entre o comprometimento inicial e a detecção determina a extensão dos danos que o invasor pode causar.

Vários sinais comportamentais costumam preceder ou ocorrer imediatamente após o comprometimento da conta:

• Foram criadas novas regras de encaminhamento de e-mails, especialmente regras que encaminham para endereços externos
• Atividade incomum de login: novas localizações geográficas, sessões simultâneas de diferentes países, logins em horários incomuns
• Envio em massa de e-mails a partir de uma conta que normalmente não é utilizada para envios em massa
• Alterações na delegação ou nas permissões da caixa de correio
• Alterações de senha não iniciadas pelo titular da conta

Monitorar esses sinais e contar com um processo de resposta definido — incluindo forçar a redefinição da senha e revogar sessões ativas quando for detectada uma atividade suspeita — limita significativamente o período de exposição. Muitos ataques de apropriação de conta passam despercebidos por semanas porque ninguém está atento a esses sinais até que o invasor faça algo visível.

Como essas práticas funcionam em conjunto

Cada prática aborda uma parte diferente da superfície de risco, e nenhuma delas funciona isoladamente. A autenticação multifatorial (MFA) impede que o roubo de credenciais resulte na invasão de contas. Os protocolos de autenticação impedem a falsificação de domínios. A segurança dedicada ao e-mail detecta as ameaças que passam pela autenticação. As simulações de phishing medem e fortalecem a resiliência dos usuários. O DLP (Prevenção contra Perda de Dados) e os controles de acesso limitam o que um invasor pode fazer com uma conta comprometida. Os processos de geração de relatórios e o monitoramento de comprometimentos completam o ciclo.

As organizações que cometem esse erro geralmente possuem alguns controles em vigor, mas há lacunas entre eles. A autenticação multifatorial (MFA) está implementada na maioria das caixas de correio, mas não nas contas de serviço. O DMARC está configurado com p=none e nunca passou para a fase de aplicação. O treinamento é realizado uma vez por ano, mas não é reforçado com simulações. Basta um único ponto fraco nessa cadeia para que um invasor consiga entrar.

Manter essa postura de forma consistente, entre usuários, dispositivos e ao longo do tempo, é o que mais causa dificuldades para a maioria das organizações. Não se trata tanto de quais ferramentas você possui, mas sim se elas estão configuradas corretamente, atualizadas e contam com o apoio de usuários que sabem o que fazer quando algo parece estar errado.

Erros comuns que comprometem a segurança do e-mail

Entender o que não se deve fazer é tão útil quanto a própria lista de melhores práticas. Estas são as falhas que mais frequentemente surgem em ambientes que sofreram um incidente de segurança cuja origem remonta a um e-mail:

• Considerar a autenticação multifatorial (MFA) como opcional para usuários sênior: os executivos são alvos prioritários dos ataques de BEC. Remover ou contornar a MFA por conveniência é uma das formas mais comuns pelas quais as organizações criam suas contas de maior risco.
• Manter o DMARC em p=none indefinidamente: publicar registros DMARC sem mudar para uma política de rejeição ou quarentena não oferece proteção alguma. Isso apenas demonstra que você está monitorando. Um invasor que falsificar seu domínio terá sucesso enquanto a aplicação da política estiver desativada.
• Confiar apenas na filtragem nativa do Microsoft 365 ou do Google Workspace: a filtragem nativa lida bem com ameaças conhecidas e de alto volume. Ela não foi projetada para ataques de phishing gerados por IA, BEC direcionado ou ataques com domínios semelhantes. Considerá-la suficiente deixa uma lacuna significativa na detecção.
• Realizar simulações de phishing sem acompanhamento: uma simulação que identifica os usuários que clicam, mas não oferece orientação imediata, tem valor limitado. O aprendizado ocorre no momento, não em um relatório de fim de mês.
• Ignorar os e-mails enviados: concentrar-se exclusivamente nas ameaças recebidas faz com que se deixem passar casos de exfiltração de dados, atividades em contas comprometidas e exposição acidental de dados confidenciais por meio de e-mails enviados.
• Não revisar as permissões de acesso após mudanças de função: os funcionários que mudam de função ou deixam a empresa muitas vezes mantêm acesso ao e-mail por meses. Verifique o acesso como parte do processo de desligamento, e não como uma tarefa periódica de segurança.

Reforce a segurança do e-mail com a Kaseya

INKY é o software de segurança de e-mail da Kaseya. Ele utiliza análise baseada em IA de última geração para detectar phishing e outras ameaças em e-mails recebidos, enviados e internos, além de exibir banners de alerta interativos na caixa de entrada que explicam aos usuários por que uma mensagem foi sinalizada e quais medidas devem ser tomadas. Esse orientação em tempo real reforça a conscientização sobre segurança sem a necessidade de sessões de treinamento separadas.

BullPhish ID é o software de treinamento em conscientização de segurança e simulação de phishing da Kaseya. Ele combina módulos de treinamento envolventes e concisos com uma biblioteca atualizada regularmente de kits de simulação de phishing e treinamento corretivo automatizado para usuários que precisam de suporte adicional.

Ambos estão disponíveis como parte do Kaseya 365 , que oferece um conjunto completo de ferramentas para proteção, resposta e recuperação contra ameaças direcionadas aos usuários. O pacote inclui INKY, BullPhish ID, Dark Web ID monitoramento de credenciais, SaaS Alerts detecção e resposta em nuvem e SaaS Protection Datto SaaS Protection backup do Microsoft 365 e do Google Workspace.

Para empresas que gerenciam a segurança de e-mail internamente, Kaseya 365 reúne os principais controles em um único local, reduzindo a complexidade do gerenciamento de várias soluções pontuais. Para os MSPs, a arquitetura multilocatária significa que as mesmas ferramentas podem ser implantadas e gerenciadas em toda a base de clientes a partir de uma única interface, com políticas e relatórios consistentes em todos os ambientes.