Pular de p=none para p=reject
Ir direto para reject sem monitorar é garantia de perder e-mails legítimos.
Como consertar: Respeite o caminho: none → quarantine com pct gradual → reject. Mínimo 1 mês em cada etapa.
Domain-based Message Authentication, Reporting & Conformance
Domain-based Message Authentication, Reporting & Conformance pega o SPF e o DKIM e os une a uma política: o que fazer quando alguém envia usando seu domínio sem autorização. É o que fecha o ciclo da autenticação.
O DMARC (RFC 7489) não autentica por si só. O que ele faz é dizer ao destinatário "quando um e-mail não passa nem no SPF nem no DKIM alinhados ao meu domínio, faça X". Esse X é a política.
As três políticas possíveis: p=none (não faça nada, apenas me reporte), p=quarantine (mande para o spam) e p=reject (rejeite diretamente).
Além da política, o DMARC habilita relatórios: o destinatário te envia XMLs com todas as tentativas de envio usando seu domínio. Isso mostra spoofing real, includes que você precisa adicionar e subdomínios que você não controla.
Exemplo real
_dmarc.tudominio.com TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100; sp=quarantine; adkim=s; aspf=s"
v=DMARC1Versão
Indica que é um registro DMARC versão 1.
p=quarantinePolítica principal
p=none (monitoramento), p=quarantine (para o spam) ou p=reject (rejeição). Você sempre começa em none.
rua=mailto:[email protected]Aggregate reports
E-mail onde você recebe os relatórios agregados diários dos destinatários (XMLs).
pct=100Porcentagem
Qual porcentagem de e-mails aplica a política. Você começa em pct=10 se quiser ir gradualmente.
sp=quarantinePolítica de subdomínios
Política para subdomínios. Se não especificada, eles herdam a principal.
adkim=s · aspf=sAlinhamento estrito
s = strict (correspondência exata). r = relaxed (correspondência flexível, padrão). Comece em relaxed.
Etapas em ordem. Pular uma costuma gerar problemas que levam dias para diagnosticar.
O DMARC exige que pelo menos um dos dois esteja alinhado ao seu domínio. Se o SPF estiver quebrado e o DKIM também, o DMARC falhará em tudo.
Comece com monitoramento puro: v=DMARC1; p=none; rua=mailto:[email protected]. Você não bloqueia nada, só recebe relatórios.
Dica: Isso é crucial. Pular essa etapa e ir direto para quarantine é a causa nº 1 de perda de e-mails legítimos.
Os relatórios XML que chegam em rua= mostram quais servidores enviam em seu nome, quais passam no SPF/DKIM e quais não passam. Você detecta includes que estão faltando e possíveis spoofers.
Dica: Existem ferramentas que fazem o parsing dos XMLs automaticamente (Postmark DMARC, Dmarcian, Valimail).
Se você vir servidores legítimos que não estão passando, adicione-os ao SPF e configure o DKIM para eles. Se vir spoofers, você já tem os dados para escalar depois.
Quando os relatórios mostrarem que 95%+ dos seus e-mails estão autenticados, suba para p=quarantine pct=10. Depois pct=25, 50, 100. Só vá para p=reject quando tudo estiver limpo.
Ir direto para reject sem monitorar é garantia de perder e-mails legítimos.
Como consertar: Respeite o caminho: none → quarantine com pct gradual → reject. Mínimo 1 mês em cada etapa.
Os relatórios são XMLs que chegam no seu e-mail. Sem analisá-los, você não aprende nada e o DMARC não agrega valor além do bloqueio.
Como consertar: Use Dmarcian, Postmark DMARC, Valimail ou um parser próprio. Os relatórios são ouro.
Se você não especificar sp=, os subdomínios herdam p=. Mas se você tem subdomínios que não usa, é melhor definir sp=reject explicitamente.
Como consertar: Defina sp= explicitamente de acordo com o uso real. Subdomínios sem uso vão direto para sp=reject.
Se você configurar adkim=s ou aspf=s, mas sua plataforma usa subdomínios para tracking, o alinhamento falha e o DMARC bloqueia.
Como consertar: Comece com adkim=r e aspf=r (relaxed). Suba para strict somente depois de confirmar que não quebra nada.
Três formas de verificar — pelo terminal ou por ferramentas online. Se todas retornarem OK, está pronto.
Terminal Linux/Mac
dig TXT _dmarc.tudominio.com +short
Retorna o registro DMARC publicado.
E-mail de teste para o Gmail
Headers > Show original > DMARC
Aparece "dmarc=pass action=none header.from=seudominio.com".
Online
mxtoolbox.com/dmarc.aspx
Validação do registro + diagnóstico do SPF/DKIM relacionados.
Como a arrobaMail faz isso
Na arrobaMail, ajudamos você a montar o registro DMARC, interpretar os primeiros relatórios e migrar de forma escalonada de p=none para p=reject sem quebrar seus envios legítimos.
Sim, são coisas diferentes. SPF e DKIM autenticam. O DMARC aplica uma política sobre o que acontece quando eles falham. Sem DMARC, cada destinatário decide por conta própria o que fazer com um e-mail que não passa na autenticação.
Quando os relatórios mostrarem que 99%+ dos seus e-mails legítimos estão autenticando OK e você monitorou sem surpresas por várias semanas. Não há pressa: o p=quarantine já protege contra phishing.
Significa que o domínio do Header-From visível (o que o usuário vê) coincide com o domínio autenticado pelo SPF/DKIM. Sem alinhamento, o DMARC falha mesmo que o SPF e o DKIM passem individualmente.
Não. Os relatórios agregados são estatísticas: quantos e-mails, de quais IPs, com quais resultados. Não incluem conteúdo. Os relatórios forenses (RUF) sim, mas quase ninguém os envia por questões de privacidade.
Gmail, Yahoo e Microsoft estão endurecendo os requisitos para remetentes em massa (mais de 5.000 e-mails/dia). Sem DMARC, você será cada vez mais enviado para o spam ou bloqueado diretamente. O que era opcional hoje é praticamente obrigatório.
Sender Policy Framework
Lista blanca de servidores autorizados a enviar mail con tu dominio.
Ler guiaDomainKeys Identified Mail
Firma criptográfica que prueba autenticidad e integridad del mensaje.
Ler guiaCalentamiento de dominio e IP
Aumento gradual del volumen para construir reputación buena.
Ler guiaPlano Gratuito, gerações de IA incluídas, sem cartão de crédito e suporte real em português.