É importante compreender que o remetente de cabeçalho de um email, denominado "From" do cabeçalho ou "De" do cabeçalho, pode ser qualquer coisa e pode ser facilmente forjado. Em um e-mail, temos 2 remetentes, o real, que consta nos logs/registros do servidor/dentro do cabeçalho do email e o que aparece no cabeçalho, que você vê logo de cara.
Alguns recebem e-mail forjado vindo do seu próprio endereço de e-mail, mas isso tem um lado negativo, você não consegue encaminhar e-mails de você para você mesmo, bem como, ainda assim, estaria sujeito a receber e-mails forjados se passando por outras contas do seu domínio.
Trata-se de uma explicação bem técnica, idealmente vista por por um profissional da área de TI. No caso de desejar realizar estes procedimentos, o ideal é que seja visto por um profissional de TI da sua empresa ou que contrate um especialista, sendo que poderemos indicar alternativas.
Rejeitar emails forjados pode significar rejeitar e-mails também legítimos, ou seja, há o risco de falsos positivos e por isso, no caso de uma regra, a necessidade de ajustes da mesma.
Citaremos duas possibilidades. Uma, envolve algo também complexo, que ainda tem limitações técnicas, chamado DMARC ("Domain-based Message Authentication, Reporting & Conformance").
A outra é a criação de regras para tentar detectar o "From" forjado, com base no fato de que todos os usuários do seu domínio deveriam enviar emails autenticando no SMTP.
Solução 1 (DMARC)
Caso queira, nos solicite e enviaremos uma mensagem padrão com dicas referentes ao DMARC. Mecanismo que tenta criar ações para falhas de SPF/DKIM, incluindo a comparação do remetente de cabeçalho com o remetente real de um email. Ele ainda tem limitações, mas usando-o na sua configuração menos rígida (sem ação de rejeição), já deve ajudar nosso anti-spam a entender que um e-mail, usando seu domínio no cabeçalho "From" e não tendo autenticado, é spam.
Claro, exceções precisam ser criadas alocando IPs no seu registro SPF e, sempre que possível, tendo registro DKIM criado (assinatura digital através de entrada criada no DNS e configurações no servidor de correio).
A priori, uma entrada txt chamada _dmarc.seudominio.com.br com o seguinte valor, deve ajudar:
v=DMARC1; p=none; pct=100; aspf=s; adkim=s
Importante: Estamos levando em conta que tem um registro TXT de SPF já devidamente criado e, em todos sistemas através dos quais envia e-mails, procure criar registro DKIM (em nosso ambiente, poderá buscar, na base de conhecimento, por este termo, para detalhes).
Links úteis:
https://postmarkapp.com/guides/dmarc
https://mxtoolbox.com/dmarc/details/what-is-a-dmarc-record
https://dmarc.postmarkapp.com (relatórios gratuitos por email, para ajustar seu DMARC)
Solução 2 (Regra)
O painel do usuário pode ser acessado de duas formas.
1) Pelo painel de emails do administração, personificando a conta, conforme tela abaixo, clicando no ícone de seta, do lado direito da conta.
2) Na parte superior direita do Webmail, clicando em "Painel do usuário".
Em ambos os casos, o painel do usuário será aberto em nova aba do seu navegador. Atenção, o navegador deve bloquear esta nova janela no primeiro, bastando escolher para "liberá-la sempre".
Como citamos antes, o "From" do cabeçalho (campo "De"), pode ser qualquer coisa e pode ser forjado.
Importante entender que, normalmente, um email forjado será corretamente detectado e cairá em seu spam. Isso pode não ocorrer em alguns casos, e um email forjado entrar em sua caixa de entrada. Caso ocorra, nos encaminhe este e-mail ou nos diga onde podemos obtê-lo, a fim de melhorarmos o sistema.
O que faremos é incluir uma regra, que precisa ser alocada em cada conta ou, em lote através de programação, para tentar interceptar e mover para o spam todos
No painel do usuário, clique em "Filtragem", na barra superior.
Altere a opção "Detectar From Forjado", a partir de menu pull-down, para "Sim" e clique em "Atualizar configurações".
Em seguida, clique em "Início", na barra superior, seguido pelo ícone "Regras de recebimento".
Você notará uma nova regra intitulada "DetectForgedFrom". Clique no ícone de lápis ao lado dela, para editá-la. Isto é o que parece:
Para imagem ampliada, clique com o botão da direita e escolha para "Abrir imagem em nova guia/aba".Note que a regra está "Habilitada". A cada mudança dela, ela fica "Desabilitada", sendo necessário clicar neste botão, para reabilitá-la.O que esta regra faz é verifica, se não ocorreu autenticou SMTP (note a Negação = Sim, na primeira condição), ou seja, se não oi enviada de uma conta devidamente autenticada, pelo nosso servidor e, ao mesmo tempo, o "De" do cabeçalho é o seu email, então mova para o spam. Quer dizer, um email contendo seu endereço de email, no cabeçalho, foi enviado, vindo de um local que não autenticou. Deve ser forjado, mas pode não ser, pode ser algum sistema legítimo, que envie emails usando seu endereço de e-mail no "De".
Você pode eliminar falsos positivos editando a regra, adicionando condições. Novamente, algo que precisa ser feito com cautela, idealmente por um profissional de TI.
Por exemplo, recebo email que gera falso positivo e vejo, pelo cabeçalho, que vem de host123.dominio.com. clico em "Nova condição E" e adiciona uma condição assim:
Negar: Sim
Combinar campo: Received
Condição: Contém
Termo: host123.dominio.com
Quer dizer, os emails vindo desse host, não serão considerados forjados e os emails vindos de lá não serão enviados para o spam.
Lembre-se de reabilitar a regra, após feita a alteração, conforme explicado anteriormente.