arrobaMail
Entregabilidade · Política

DMARCsua política contra o spoofing

Domain-based Message Authentication, Reporting & Conformance

Domain-based Message Authentication, Reporting & Conformance pega o SPF e o DKIM e os une a uma política: o que fazer quando alguém envia usando seu domínio sem autorização. É o que fecha o ciclo da autenticação.

arrobaMail · EntregabilidadeDMARC
Conceito

O que é DMARC e como ele se diferencia do SPF/DKIM?

O DMARC (RFC 7489) não autentica por si só. O que ele faz é dizer ao destinatário "quando um e-mail não passa nem no SPF nem no DKIM alinhados ao meu domínio, faça X". Esse X é a política.

As três políticas possíveis: p=none (não faça nada, apenas me reporte), p=quarantine (mande para o spam) e p=reject (rejeite diretamente).

Além da política, o DMARC habilita relatórios: o destinatário te envia XMLs com todas as tentativas de envio usando seu domínio. Isso mostra spoofing real, includes que você precisa adicionar e subdomínios que você não controla.

Anatomia

Anatomia de um registro DMARC

Exemplo real

_dmarc.tudominio.com  TXT  "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100; sp=quarantine; adkim=s; aspf=s"
v=DMARC1

Versão

Indica que é um registro DMARC versão 1.

p=quarantine

Política principal

p=none (monitoramento), p=quarantine (para o spam) ou p=reject (rejeição). Você sempre começa em none.

Aggregate reports

E-mail onde você recebe os relatórios agregados diários dos destinatários (XMLs).

pct=100

Porcentagem

Qual porcentagem de e-mails aplica a política. Você começa em pct=10 se quiser ir gradualmente.

sp=quarantine

Política de subdomínios

Política para subdomínios. Se não especificada, eles herdam a principal.

adkim=s · aspf=s

Alinhamento estrito

s = strict (correspondência exata). r = relaxed (correspondência flexível, padrão). Comece em relaxed.

Passo a passo

Como configurar corretamente

Etapas em ordem. Pular uma costuma gerar problemas que levam dias para diagnosticar.

  1. 01

    Garanta que SPF e DKIM estejam OK

    O DMARC exige que pelo menos um dos dois esteja alinhado ao seu domínio. Se o SPF estiver quebrado e o DKIM também, o DMARC falhará em tudo.

  2. 02

    Publique o DMARC com p=none no início

    Comece com monitoramento puro: v=DMARC1; p=none; rua=mailto:[email protected]. Você não bloqueia nada, só recebe relatórios.

    Dica: Isso é crucial. Pular essa etapa e ir direto para quarantine é a causa nº 1 de perda de e-mails legítimos.

  3. 03

    Analise os relatórios por 2 a 4 semanas

    Os relatórios XML que chegam em rua= mostram quais servidores enviam em seu nome, quais passam no SPF/DKIM e quais não passam. Você detecta includes que estão faltando e possíveis spoofers.

    Dica: Existem ferramentas que fazem o parsing dos XMLs automaticamente (Postmark DMARC, Dmarcian, Valimail).

  4. 04

    Corrija as lacunas no SPF e no DKIM

    Se você vir servidores legítimos que não estão passando, adicione-os ao SPF e configure o DKIM para eles. Se vir spoofers, você já tem os dados para escalar depois.

  5. 05

    Suba para p=quarantine com pct gradual

    Quando os relatórios mostrarem que 95%+ dos seus e-mails estão autenticados, suba para p=quarantine pct=10. Depois pct=25, 50, 100. Só vá para p=reject quando tudo estiver limpo.

Erros comuns

O que quebra com frequência (e como consertar)

Pular de p=none para p=reject

Ir direto para reject sem monitorar é garantia de perder e-mails legítimos.

Como consertar: Respeite o caminho: none → quarantine com pct gradual → reject. Mínimo 1 mês em cada etapa.

Não processar os relatórios RUA

Os relatórios são XMLs que chegam no seu e-mail. Sem analisá-los, você não aprende nada e o DMARC não agrega valor além do bloqueio.

Como consertar: Use Dmarcian, Postmark DMARC, Valimail ou um parser próprio. Os relatórios são ouro.

Esquecer os subdomínios

Se você não especificar sp=, os subdomínios herdam p=. Mas se você tem subdomínios que não usa, é melhor definir sp=reject explicitamente.

Como consertar: Defina sp= explicitamente de acordo com o uso real. Subdomínios sem uso vão direto para sp=reject.

Alinhamento estrito com SPF/DKIM relaxado

Se você configurar adkim=s ou aspf=s, mas sua plataforma usa subdomínios para tracking, o alinhamento falha e o DMARC bloqueia.

Como consertar: Comece com adkim=r e aspf=r (relaxed). Suba para strict somente depois de confirmar que não quebra nada.

Verificação

Como confirmar que ficou certo

Três formas de verificar — pelo terminal ou por ferramentas online. Se todas retornarem OK, está pronto.

01

Terminal Linux/Mac

dig TXT _dmarc.tudominio.com +short

Retorna o registro DMARC publicado.

02

E-mail de teste para o Gmail

Headers > Show original > DMARC

Aparece "dmarc=pass action=none header.from=seudominio.com".

03

Online

mxtoolbox.com/dmarc.aspx

Validação do registro + diagnóstico do SPF/DKIM relacionados.

Como a arrobaMail faz isso

Na arrobaMail, ajudamos você a montar o registro DMARC, interpretar os primeiros relatórios e migrar de forma escalonada de p=none para p=reject sem quebrar seus envios legítimos.

Perguntas frequentes

O que mais se pergunta sobre DMARC

Sim, são coisas diferentes. SPF e DKIM autenticam. O DMARC aplica uma política sobre o que acontece quando eles falham. Sem DMARC, cada destinatário decide por conta própria o que fazer com um e-mail que não passa na autenticação.

Quando os relatórios mostrarem que 99%+ dos seus e-mails legítimos estão autenticando OK e você monitorou sem surpresas por várias semanas. Não há pressa: o p=quarantine já protege contra phishing.

Significa que o domínio do Header-From visível (o que o usuário vê) coincide com o domínio autenticado pelo SPF/DKIM. Sem alinhamento, o DMARC falha mesmo que o SPF e o DKIM passem individualmente.

Não. Os relatórios agregados são estatísticas: quantos e-mails, de quais IPs, com quais resultados. Não incluem conteúdo. Os relatórios forenses (RUF) sim, mas quase ninguém os envia por questões de privacidade.

Gmail, Yahoo e Microsoft estão endurecendo os requisitos para remetentes em massa (mais de 5.000 e-mails/dia). Sem DMARC, você será cada vez mais enviado para o spam ou bloqueado diretamente. O que era opcional hoje é praticamente obrigatório.

Comece com o arrobaMail
em menos de 5 minutos.

Plano Gratuito, gerações de IA incluídas, sem cartão de crédito e suporte real em português.

Testar grátis agora
WhatsAppA equipe responde