DMARC (Autenticação, Relatórios e Conformidade de Mensagens Baseadas em Domínio) é um protocolo de autenticação de e-mail que ajuda os ISPs a verificar a identidade do remetente e evita a falsificação de domínio.

Com que frequência devo gerar um novo registro DMARC?

Você só precisa gerar um registro DMARC uma vez por domínio. Atualize-o se você alterar seus provedores de envio de e-mail ou quiser ajustar suas políticas de autenticação.

Qual é a diferença entre a política principal e a política de subdomínio?

A política principal se aplica ao seu domínio raiz, enquanto a política de subdomínio se aplica a subdomínios como 'mail.example.com'. Você pode definir políticas diferentes para cada um.

Devo usar 'nenhum', 'quarentena' ou 'rejeitar'?

Comece com 'nenhum' para monitorar os resultados, passe para 'quarentena' para aplicação moderada e use 'rejeitar' somente quando estiver confiante em sua configuração de SPF e DKIM.

Gerador de Registro DMARC

Gere registros DNS DMARC para seu domínio com nosso assistente passo a passo gratuito.

Insira seu Domínio

Comece inserindo o domínio para o qual deseja criar um registro DMARC.

Nome do Domínio *

O que é DMARC?

O DMARC (Domain-based Message Authentication, Reporting & Conformance) é definido no RFC 7489. Ele se baseia no SPF e DKIM adicionando duas capacidades essenciais: uma política que diz aos receptores como lidar com e-mails não autenticados (monitorar, quarentena ou rejeitar) e um mecanismo de relatório que envia relatórios XML sobre quem está enviando e-mails do seu domínio e se eles estão passando na autenticação.

Crucialmente, o DMARC adiciona o conceito de **alinhamento** — o domínio no cabeçalho visível "From" do e-mail deve corresponder ao domínio autenticado pelo SPF ou DKIM. Isso impede que invasores passem no SPF/DKIM em um domínio diferente enquanto falsificam o seu domínio no cabeçalho From.

Por que você precisa de DMARC?

1Proteção do Header From

SPF e DKIM sozinhos não protegem o endereço From visível — o DMARC fecha essa lacuna com o alinhamento

2Política de aplicação

Você decide o que acontece com e-mails que falham: monitorar, enviar para spam ou rejeitar sumariamente

3Relatórios agregados

Relatórios XML diários (RUA) mostram cada IP enviando e-mail com seu domínio e as taxas de sucesso/falha

4Relatórios forenses

Relatórios de falha (RUF) enviam uma cópia redigida de mensagens individuais que falharam para investigação

5Exigido pelo Google/Yahoo

Desde fevereiro de 2024, remetentes em massa devem ter DMARC no mínimo em p=none para alcançar as caixas de entrada do Gmail/Yahoo

6Proteção da marca

Evita que e-mails de phishing que personificam sua marca cheguem aos seus clientes

Como o DMARC funciona — passo a passo

Você publica um registro DNS TXT em `_dmarc.seudominio.com` especificando sua política e endereços de relatório.

Uma mensagem chega ao servidor receptor. Ele executa verificações SPF e DKIM independentemente.

O alinhamento DMARC é testado: o domínio autenticado (via SPF ou DKIM) corresponde ao domínio do cabeçalho From?

Se SPF+alinhamento OU DKIM+alinhamento passar, o DMARC passa para a mensagem.

Se ambos falharem, o receptor aplica sua política: none (entregar), quarantine (pasta de spam) ou reject (devolver/bounce).

O receptor coleta dados de autenticação para seu domínio e envia relatórios agregados (RUA) ou forenses (RUF) para os endereços especificados.

Sintaxe do registro DMARC

Registro DNS TXT em _dmarc.seudominio.com

v=DMARC1; p=quarantine; pct=100; sp=reject;
            rua=mailto:dmarc-reports@seudominio.com;
            ruf=mailto:dmarc-failures@seudominio.com;
            adkim=s; aspf=s; fo=1

Referência de tags

v=DMARC1— versão, obrigatória

p=— política para o domínio

sp=— política para subdomínios

pct=— % de e-mails falhos aos quais a política se aplica

rua=— destinatários de relatórios agregados (mailto:)

ruf=— destinatários de relatórios forenses (mailto:)

adkim=— alinhamento DKIM: r=relaxed, s=strict

aspf=— alinhamento SPF: r=relaxed, s=strict

fo=— opções de relatório de falha (0,1,d,s)

ri=— intervalo de relatório em segundos (padrão 86400)

As três políticas DMARC

p=none

Apenas monitoramento. E-mails que falham são entregues normalmente. Use no início para coletar relatórios antes de aplicar restrições.

p=quarantine

E-mails que falham vão para a pasta de spam/lixo eletrônico. Um passo intermediário antes da rejeição total.

p=reject

E-mails que falham são rejeitados no nível SMTP e nunca entregues. A proteção mais forte.

Alinhamento DMARC explicado

Alinhamento Relaxado (padrão)

O domínio autenticado pode ser um pai organizacional. Ex: mail.seudominio.com passa para seudominio.com

Alinhamento Estrito

O domínio autenticado deve corresponder exatamente ao domínio From. mail.seudominio.com NÃO passa para seudominio.com

Falhas comuns de DMARC e correções

Falha de alinhamento SPF

O domínio do envelope From (return-path) não coincide com o cabeçalho From — comum em ESPs que usam seu próprio return-path

Falha de alinhamento DKIM

O domínio d= na assinatura DKIM não coincide com o domínio From visível — configure seu ESP para assinar com seu domínio

Endereço RUA ausente

Sem rua= você não recebe relatórios e não tem visibilidade — sempre inclua ao menos um endereço de relatório

Subdomínios não cobertos

Adicione sp=reject para estender sua política aos subdomínios ou publique registros DMARC separados por subdomínio

FAQs

Perguntas Frequentes

Comece com p=none para monitorar. Após validar as fontes legítimas, mude para p=quarantine e depois p=reject.

'rua' é para relatórios agregados e 'ruf' para relatórios forenses de falhas individuais.

Use a tag 'sp' no domínio raiz para definir uma política para todos os subdomínios.

A tag de porcentagem permite aplicar a política a apenas uma parte dos e-mails, facilitando a transição gradual.

Define o rigor da correspondência do domínio: 'r' (relaxado) permite subdomínios, 's' (estrito) exige domínio exato.