Configuração de Política DMARC: Previna o Spoofing de E-mail

O que é DMARC e por que você precisa dele agora#

DMARC (Domain-based Message Authentication, Reporting, and Conformance) é a camada de enforcement da autenticação de e-mail.

SPF e DKIM existem para prevenir spoofing, mas têm lacunas. O DMARC preenche essas lacunas ao:

1. Exigir que SPF e DKIM estejam alinhados (ambos passam E o domínio do remetente coincide)
2. Aplicar uma política (rejeitar e-mails falsificados)
3. Fornecer reporting (relatórios diários sobre tentativas de autenticação)

Em fevereiro de 2026: Gmail e Yahoo exigem DMARC com p=quarantine ou p=reject. E-mails sem DMARC adequado vão para spam ou são rejeitados.

Como o DMARC previne spoofing#

Sem DMARC:

From: you@yourcompany.com
Mail-From: attacker.com
SPF-From: attacker.com

O e-mail passa no SPF (autorizado em attacker.com), mas parece vir de yourcompany.com. O spoofing funciona. ❌

Com DMARC:

DMARC policy: p=reject
From: you@yourcompany.com
Mail-From: attacker.com
Result: REJECT (domains don't align)

O e-mail é rejeitado porque o domínio "From" visível não coincide com o domínio autenticado. ✅

Formato do registro DMARC#

O registro DMARC fica em: _dmarc.yourdomain.com

Formato básico:

v=DMARC1; p=none; rua=mailto:admin@yourdomain.com

O que cada parte significa:

• v=DMARC1: Versão (sempre essa)
• p=none: Política (none/quarantine/reject)
• rua=mailto:...: Para onde enviar os relatórios

Políticas DMARC explicadas#

Política	O que acontece	E-mail é	Use quando
p=none	Apenas monitora	Entregue	Fase de aprendizado (semanas 1-2)
p=quarantine	E-mails suspeitos vão para spam	Entregue na pasta spam	Teste (semanas 2-4)
p=reject	E-mails falsificados são bloqueados	Rejeitado completamente	Produção (semana 4+)

p=none (Apenas monitoramento)#

v=DMARC1; p=none; rua=mailto:admin@yourdomain.com; ruf=mailto:forensics@yourdomain.com

O que acontece:

• E-mails falsificados continuam sendo entregues
• Você recebe relatórios diários sobre o que seria rejeitado
• Use isso por 1-2 semanas enquanto verifica se e-mails legítimos não são afetados

Conteúdo do relatório:

• Quantos e-mails passaram/falharam no SPF
• Quantos e-mails passaram/falharam no DKIM
• IPs de origem dos e-mails que falharam
• Quais serviços são legítimos versus suspeitos

p=quarantine (Política de quarentena)#

v=DMARC1; p=quarantine; rua=mailto:admin@yourdomain.com

O que acontece:

• E-mails falsificados vão para a pasta de spam em vez da caixa de entrada
• Os usuários ainda podem vê-los (com algum esforço)
• Você recebe relatórios

Use isso por 1-2 semanas enquanto testa se e-mails legítimos continuam passando.

p=reject (Política rígida)#

v=DMARC1; p=reject; rua=mailto:admin@yourdomain.com

O que acontece:

• E-mails falsificados são totalmente rejeitados
• Os destinatários nunca os veem
• O atacante não recebe sinal de que o spoofing falhou

Use isso em produção depois de validar com p=quarantine.

Configuração de DMARC passo a passo#

Passo 1: Garanta que SPF e DKIM estão funcionando#

O DMARC exige que SPF e DKIM estejam configurados primeiro.

Verifique ambos com: Nova Uptime Email Health Checker

Se algum falhar, configure-o primeiro antes de adicionar o DMARC.

Passo 2: Crie um endereço de e-mail para relatórios#

O DMARC envia relatórios diários (podem ser centenas de e-mails por dia em domínios grandes).

Crie um e-mail dedicado:

dmarc-reports@yourdomain.com

Ou use seu e-mail principal de admin se preferir receber os relatórios lá.

Passo 3: Publique o registro DMARC#

Acesse seu provedor de DNS (Cloudflare, Route 53, GoDaddy, etc.)

Adicione o registro TXT:

• Nome: _dmarc (exato)
• Valor: v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com
• TTL: 3600

Salve e aguarde de 5 a 15 minutos para a propagação do DNS.

Passo 4: Teste a política DMARC#

Opção 1: Envie um e-mail de teste

1. Envie um e-mail do seu domínio
2. Verifique os cabeçalhos do e-mail em busca de DMARC: PASS ou DMARC: FAIL
3. Procure por dmarc-reports@yourdomain.com (pode levar 24 horas)

Opção 2: Use uma ferramenta de verificação

• Nova Uptime Email Health Checker
• Insira seu domínio
• Verifique o status do DMARC

Passo 5: Monitore relatórios por 1-2 semanas#

Os relatórios DMARC chegam diariamente (ou agregados semanalmente, dependendo da política).

O que observar:

• Todos os seus e-mails legítimos estão passando?
• Algum e-mail inesperado está falhando?
• Há tentativas de spoofing contra seu domínio?

Se tudo passar: Mude para p=quarantine

Passo 6: Mude para p=quarantine (semana 3)#

Após confirmar que nenhum e-mail legítimo está falhando:

Atualize o registro TXT do DNS:

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@yourdomain.com

Monitore por mais 1-2 semanas.

Passo 7: Mude para p=reject (semana 5+)#

Quando estiver satisfeito com os resultados da quarentena:

Atualize o registro TXT do DNS:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:forensics@yourdomain.com

Agora você está totalmente protegido.

Política de subdomínio DMARC#

Por padrão, o DMARC se aplica somente a yourdomain.com. Se você envia a partir de subdomínios como mail.yourdomain.com, precisa de uma política de subdomínio:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; sp=none

• sp=none: Subdomínios são apenas monitorados, não rejeitados
• Ou defina sp=quarantine ou sp=reject conforme suas necessidades

Erros comuns de DMARC#

Erro 1: SPF/DKIM não alinhados#

Exemplo:

• From: you@yourdomain.com
• SPF passa para: mail.yourdomain.com (subdomínio diferente)
• Resultado: DMARC falha (não alinhado)

Correção: Use alinhamento relaxado no DMARC:

aspf=r; adkim=r

Isso permite que subdomínios passem. (Não é recomendado por questões de segurança, mas às vezes é necessário.)

Erro 2: Nunca recebe relatórios#

O endereço de e-mail em rua= não existe ou os e-mails caem em spam.

Correção:

• Verifique se o endereço de e-mail existe
• Confira a pasta de spam por relatórios de dmarc@yourdomain.com
• Adicione o remetente do relatório à lista de permitidos no e-mail

Erro 3: Pular direto para p=reject#

Pular de p=none para p=reject faz com que e-mails legítimos falhem.

Correção: Use a progressão: p=none → p=quarantine → p=reject ao longo de 4-6 semanas.

Erro 4: Não acompanhar mudanças#

Você adiciona um novo serviço de e-mail (Zapier, CRM, etc.) que envia e-mails, mas esquece de atualizar SPF/DKIM. O DMARC rejeita.

Correção: Monitore os relatórios DMARC mensalmente. Adicione novos serviços conforme eles forem incorporados à sua infraestrutura.

Monitorando DMARC#

Semanalmente:

• Verifique relatórios DMARC em busca de falhas inesperadas
• Adicione novos serviços de envio ao SPF/DKIM conforme necessário

Mensalmente:

• Revise as tendências dos relatórios
• Identifique tentativas de spoofing contra seu domínio
• Verifique se a política ainda é apropriada

Relatórios DMARC: como entendê-los#

Os relatórios DMARC incluem:

• Domínio: Qual domínio está sendo reportado
• IP de origem: De onde vieram os e-mails
• Contagens de pass/fail: Taxas de aprovação/falha de SPF/DKIM
• Política avaliada: O que aconteceria com p=reject

Use isso para validar que:

1. Seus serviços legítimos estão passando
2. Nenhum IP inesperado está enviando e-mail
3. Tentativas de spoofing estão sendo detectadas

A pilha completa de autenticação#

SPF: "O servidor está autorizado?" DKIM: "A mensagem é autêntica?" DMARC: "Os dois passam E o domínio está alinhado?"

Os três juntos = autenticação de e-mail adequada.

Verifique os três automaticamente: Nova Uptime Email Health Checker. Grátis. 🚀

Resumo#

1. Verifique se SPF e DKIM funcionam primeiro
2. Publique o DMARC com p=none (semanas 1-2)
3. Mude para p=quarantine (semanas 3-4)
4. Mude para p=reject (semana 5+)
5. Monitore os relatórios continuamente
6. Atualize ao adicionar novos serviços de e-mail

O DMARC é obrigatório em 2026. Seus concorrentes já estão configurados. Não fique para trás.

Perguntas frequentes#

Como faço para testar meu registro DMARC?#

Use uma ferramenta gratuita de verificação DMARC para validar seu registro. Ela confere a sintaxe, verifica as configurações de política, confirma os endereços de relatório e identifica erros comuns de configuração. Você também pode testar enviando um e-mail e verificando o cabeçalho DMARC na mensagem recebida.

Qual é a diferença entre p=quarantine e p=reject?#

Com p=quarantine, e-mails que falham no DMARC são entregues na pasta de spam. Com p=reject, eles são bloqueados por completo e nunca são entregues. Comece com quarantine para identificar problemas antes de migrar para reject e obter proteção máxima contra spoofing.

Preciso de DMARC se já tenho SPF e DKIM?#

Sim. SPF e DKIM autenticam e-mails, mas não dizem aos servidores receptores o que fazer quando a autenticação falha. O DMARC fornece a política de enforcement e habilita o reporting para que você possa monitorar os resultados de autenticação em todos os seus e-mails.

O DMARC pode quebrar meu e-mail?#

Apenas se mal configurado. Uma política p=reject aplicada antes de todos os remetentes legítimos estarem autenticados vai bloquear seu próprio e-mail. Comece sempre com p=none, revise os relatórios por 2-4 semanas, corrija qualquer falha de autenticação e então aumente o enforcement gradualmente.

Leituras relacionadas#

• Configuração de DMARC: De None a Reject — Implementação passo a passo de DMARC
• Como configurar registros SPF — Configuração de SPF que o DMARC exige
• Guia de verificação e configuração DKIM — Configuração de DKIM para alinhamento DMARC
• Guia do Email Health Checker — Análise abrangente de autenticação de e-mail
• Verificador DMARC gratuito — Valide seu registro DMARC instantaneamente