Nova Uptime
Ferramenta Grátis

Verificador de Registro DMARC Grátis

Valide o registro DMARC do seu domínio grátis — sem cadastro. Verifique a força da política, configuração de relatórios e receba recomendações de correção.

DMARC Policy Progression

1

Monitor

p=none

Collect reports without affecting delivery. Monitor for 2+ weeks.

2

Partial Quarantine

p=quarantine; pct=25

Quarantine 25% of failing emails. Watch reports for false positives.

3

Full Quarantine

p=quarantine; pct=100

All failing emails go to spam. Confirm legitimate senders pass.

4

Reject

p=reject

Block all unauthorized emails. Maximum protection against phishing.

O que é DMARC e por que isso importa em 2026

DMARC — Domain-based Message Authentication, Reporting & Conformance — é a camada de política que une SPF e DKIM. SPF informa aos servidores receptores quais IPs estão autorizados a enviar e-mail pelo seu domínio. DKIM assina criptograficamente cada mensagem para que os destinatários possam verificar que ela não foi adulterada. DMARC é o manual de instruções: ele diz ao Gmail, Outlook, Yahoo e a qualquer outro provedor de caixa de entrada o que fazer quando uma mensagem que diz vir do seu domínio falha em uma ou nas duas verificações. Sem DMARC, atacantes podem falsificar seu endereço From e usar sua reputação para chegar direto na caixa de entrada dos seus clientes.

Em 2026 isso não é mais opcional. Desde fevereiro de 2024 — e com regras cada vez mais rígidas em 2025 e 2026 — Gmail e Yahoo exigem que qualquer remetente que envie mais de 5.000 mensagens por dia tenha um registro DMARC válido. O Microsoft 365 seguiu o mesmo caminho com sua própria aplicação de regras para remetentes de alto volume. Domínios sem DMARC veem e-mails em massa rejeitados ou roteados direto para spam, e taxas de phishing por personificação de marca praticamente dobram quando o DMARC está ausente.

Anatomia de um registro DMARC

Um registro DMARC é um único registro TXT publicado em _dmarc.seudominio.com. É uma lista de tags separadas por ponto e vírgula. Veja um registro típico e o que cada parte faz:

v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com; pct=100; aspf=r; adkim=r;
  • v=DMARC1Tag de versão obrigatória. Deve ser exatamente DMARC1 (sensível a maiúsculas) ou o registro inteiro é ignorado.
  • p=A política em si. p=none significa apenas monitorar — falhas continuam sendo entregues. p=quarantine envia e-mails que falham para o spam. p=reject bloqueia diretamente na borda SMTP.
  • rua=Caixa de relatórios agregados. Receptores enviam relatórios XML diários aqui resumindo quais IPs enviaram e-mail usando seu domínio e quantas mensagens passaram ou falharam. Formato: rua=mailto:dmarc-reports@seudominio.com.
  • ruf=Caixa de relatórios forenses (de falha). Amostras por mensagem com cabeçalhos e às vezes corpo censurado. A maioria dos provedores não envia mais por questões de privacidade, então rua é muito mais útil na prática.
  • pct=Porcentagem de e-mails com falha em que aplicar a política (1–100). Permite implantação por etapas: pct=25 com p=quarantine coloca em quarentena 25% das falhas e deixa 75% serem entregues.
  • aspf= / adkim=Modo de alinhamento. aspf=s/r e adkim=s/r controlam se o casamento de domínio SPF/DKIM é estrito (correspondência exata) ou relaxado (subdomínio permitido). O padrão é relaxado, que é o que quase todo mundo quer.

5 erros DMARC comuns e como corrigi-los

Erro: nenhum registro DMARC encontrado

O modo de falha mais comum. Rode dig TXT _dmarc.seudominio.com — se não retornar nada, o registro está ausente. Verifique três coisas: (1) você publicou o registro TXT em _dmarc como subdomínio, não no domínio raiz; (2) o campo host é exatamente _dmarc com underscore inicial (algumas UIs de DNS removem); (3) você esperou a propagação. O TTL costuma ser 300–3600 segundos, mas Cloudflare e Route53 normalmente ficam ativos em menos de um minuto. Evite _DMARC em maiúsculas — labels DNS não diferenciam caixa, mas alguns validadores são rigorosos.

Erro: múltiplos registros DMARC

Se houver dois ou mais registros TXT em _dmarc, a RFC 7489 exige que receptores ignorem todos — seu domínio fica sem política. Isso costuma acontecer quando uma ferramenta de marketing ou um script de migração publica um segundo registro sem remover o primeiro. Rode dig +short TXT _dmarc.seudominio.com — se aparecer mais de uma linha v=DMARC1, exclua a mais antiga ou mais fraca. Consolide tudo em um único registro com todas as tags que você precisa (p, rua, ruf, pct, aspf, adkim).

Erro: sintaxe inválida

Os parsers DMARC são rigorosos. Os cinco erros de sintaxe mais comuns: (1) falta ponto e vírgula entre tags — todo par de tag deve terminar com ;; (2) usar = em URIs mailto sem codificação adequada; (3) usar aspas inteligentes copiadas de um documento Word em vez de aspas ASCII retas; (4) erros de digitação como p=quarentine ou p=rejct; (5) envolver o registro inteiro em aspas extras quando a UI de DNS já adiciona. Valide com nosso checker acima — ele faz parse tag por tag e diz exatamente qual token falhou.

Erro: falhas de alinhamento SPF/DKIM

DMARC só passa quando SPF ou DKIM autenticam E alinham com o domínio From. Pegadinha comum: seu ESP (ex.: Mailchimp) autentica com seu próprio return-path como bounces.mcsv.net, então SPF passa mas não alinha com seudominio.com. Resolva ativando assinatura DKIM com seu domínio no ESP — alinhamento DKIM é mais fácil que alinhamento SPF porque a tag d= na assinatura DKIM pode bater com seu domínio raiz. Para subdomínios, defina aspf=r e adkim=r (relaxado, padrão) para que e-mails de subdomínio alinhem com a raiz.

Passo a passo de configuração DMARC em 5 etapas

  1. Audite a autenticação atualAntes de publicar DMARC, conserte SPF e DKIM. Rode nosso SPF Checker e DKIM Checker em todos os domínios e subdomínios remetentes. Confirme que o SPF está abaixo do limite de 10 lookups DNS e termina em -all ou ~all. Confirme que o DKIM está assinando com chave de 2048 bits e alinhado com seu domínio From.
  2. Publique um registro de monitoramento (p=none)Adicione este registro TXT no host _dmarc: v=DMARC1; p=none; rua=mailto:dmarc@seudominio.com; pct=100; aspf=r; adkim=r. p=none significa nenhum impacto no fluxo de e-mail — receptores começarão a te enviar relatórios agregados sem colocar em quarentena ou rejeitar nada. Esta é sua fase de coleta de dados. Use uma caixa dedicada ou uma ferramenta analisadora de DMARC, porque XML bruto é ilegível em escala.
  3. Colete relatórios agregadosEm até 24 horas você deve começar a receber relatórios XML diários dos principais receptores. Faça parse para identificar todo IP e plataforma enviando e-mail como seu domínio. Remetentes esperados (Google Workspace, Mailchimp, SendGrid) devem passar. Inesperados são shadow IT ou spoofers — investigue antes de apertar a política.
  4. Mude para quarantine com pct=25Quando 95%+ do e-mail legítimo estiver passando SPF e DKIM com alinhamento, aperte para v=DMARC1; p=quarantine; pct=25; rua=...;. Agora 25% do e-mail que falha vai para spam. Acompanhe relatórios e tickets de suporte para falsos positivos. Após duas semanas limpas, suba pct para 50, depois 100.
  5. Chegue ao p=rejectEstado final: v=DMARC1; p=reject; rua=mailto:dmarc@seudominio.com; pct=100;. E-mails com falha são rejeitados na borda SMTP — phishers não conseguem mais falsificar seu domínio. Esta é a única configuração que protege totalmente sua marca. A maioria dos domínios chega ao reject em 8 semanas a partir do p=none.

Fases de implantação DMARC (4 a 8 semanas)

Uma implantação DMARC segura segue uma rampa baseada em porcentagem para você pegar configurações erradas antes que elas atrapalhem a entregabilidade. O cronograma viável mínimo é de quatro semanas; oito é mais seguro para organizações com muitas plataformas de envio.

  • Semana 1-2: Monitorar (p=none)Publique p=none com relatório rua=. Colete relatórios agregados, identifique todo remetente legítimo e conserte gaps de SPF/DKIM. Espere descobrir pelo menos um ESP shadow que ninguém avisou para a TI.
  • Semana 3-4: Quarantine pct=25Mude para p=quarantine; pct=25. Um quarto do e-mail não autenticado agora cai no spam. Monitore os relatórios diariamente para quedas inesperadas em e-mails legítimos. Se um remetente quebrar, volte para p=none, conserte e tente de novo.
  • Semana 5-6: Quarantine pct=100Suba para p=quarantine; pct=100. Todo e-mail que falha vai para spam. Nesse ponto seus relatórios devem mostrar 99%+ de aprovação dos remetentes conhecidos. E-mails falsificados tentando usar seu domínio agora são neutralizados na caixa de entrada do destinatário.
  • Semana 7-8: RejectVá para p=reject; pct=100. E-mails com falha são rejeitados na transação SMTP — nunca chegam ao destinatário. Este é o estado de destino. Mantenha o relatório ligado (rua=) para você detectar regressões quando um novo ESP for adicionado.

Requisitos do Gmail e Yahoo em 2026

Se você envia mais de 5.000 mensagens por dia para endereços do Gmail ou Yahoo, DMARC é obrigatório. O registro mínimo aceitável é p=none — mas o próprio guia do Google agora recomenda p=quarantine ou mais forte. Sem um registro DMARC válido, remetentes em massa veem mensagens rejeitadas com 5.7.26 'unauthenticated email is not accepted' ou roteadas direto para spam, independentemente do conteúdo. Os outros requisitos de 2026 se acumulam em cima: cabeçalho de unsubscribe em um clique, taxa de reclamação de spam abaixo de 0,3% e TLS para SMTP. DMARC é o mais barato de implementar — normalmente um único registro TXT e 30 minutos de trabalho — e é a maior alavanca de entregabilidade para e-mails transacionais e de marketing.

DMARC FAQ

What is DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) is an email authentication policy that builds on SPF and DKIM. It tells receiving servers what to do when emails fail authentication — monitor (none), quarantine, or reject them.
What do the DMARC policies mean?
Policy "none" means monitor only (no action on failures). "Quarantine" sends failing emails to spam. "Reject" blocks them entirely. Start with "none" to monitor, then gradually increase to "reject" after confirming legitimate emails pass.
What is DMARC alignment?
DMARC alignment checks that the domain in the From header matches the domains used in SPF and DKIM. "Relaxed" alignment (aspf=r, adkim=r) allows subdomains; "strict" (aspf=s, adkim=s) requires exact matches.
What are DMARC aggregate reports (rua)?
The rua tag specifies where to send daily aggregate XML reports showing who's sending email using your domain, pass/fail rates, and source IPs. Set it to "mailto:dmarc@yourdomain.com" to receive these reports.
How long does DMARC take to work?
DMARC records propagate via DNS (1-48 hours). However, the full rollout to "reject" policy should take 4-8 weeks: start with p=none to collect data, then move to p=quarantine with pct=25, increase percentage, and finally switch to p=reject.
Posso usar DMARC com vários serviços de envio (ex.: Mailchimp + SendGrid + transacional)?
Sim — e a maioria dos domínios faz isso. Para o DMARC, não importa quantas plataformas enviam por você, importa que cada uma passe SPF ou DKIM com alinhamento de domínio. Configure assinatura DKIM customizada para cada ESP usando a configuração de autenticação de domínio dele (Mailchimp, SendGrid, Postmark e Amazon SES suportam). Para SPF, inclua o mecanismo de cada ESP no seu registro mas fique de olho no limite de 10 lookups DNS — achate com uma ferramenta se passar. Depois confirme nos seus relatórios agregados que todo remetente legítimo aparece como DMARC-aligned antes de apertar para reject.
Qual a diferença entre relatórios rua e ruf?
Relatórios rua (agregados) são resumos XML diários: quais IPs enviaram, quantas mensagens, contagem de aprovação/falha. Não contêm conteúdo de mensagem e são seguros para qualquer caixa. Relatórios ruf (forenses/falha) são amostras por mensagem com cabeçalhos e às vezes corpo censurado — úteis para resposta a incidente, mas raramente enviados hoje por questões de GDPR. Defina rua=, ignore ruf= a não ser que tenha uma necessidade específica.
Como verifico se meu DMARC está funcionando antes de ir para reject?
Três checagens. Primeiro, o checker acima precisa mostrar um registro válido sem erros de sintaxe. Segundo, seus relatórios agregados precisam mostrar 99%+ de aprovação DMARC de todo remetente legítimo por pelo menos duas semanas em p=quarantine; pct=100. Terceiro, envie um e-mail de teste de cada uma das suas plataformas para um endereço Gmail e inspecione os cabeçalhos — Authentication-Results deve mostrar dmarc=pass com alinhamento spf e dkim. Se qualquer uma das três falhar, conserte o gap de SPF ou DKIM antes de avançar a política. Ir para reject com alinhamento quebrado vai rejeitar e-mail real.
Subdomínios podem ter uma política DMARC diferente?
Sim. A tag sp= (subdomain policy) permite definir uma política diferente para subdomínios. Exemplo: v=DMARC1; p=reject; sp=quarantine; rua=...; rejeita e-mails falsificando seudominio.com mas só coloca em quarentena e-mails falsificando subdomínios arbitrários. Útil quando você ainda não sabe quais subdomínios enviam e-mail legítimo. Para mais segurança, defina sp=reject assim que tiver inventariado os remetentes de subdomínio.
DMARC vai afetar encaminhamento legítimo de e-mail (ex.: aliases)?
Pode. Quando o e-mail é encaminhado — digamos de contato@seudominio.com para um Gmail pessoal — SPF quebra porque o servidor que está encaminhando não está no seu registro SPF. DKIM normalmente sobrevive porque a assinatura viaja com a mensagem, mas listas de discussão que modificam assuntos ou rodapés também podem quebrar DKIM. A solução é ARC (Authenticated Received Chain), que a maioria dos grandes provedores (Gmail, Outlook, Office 365) implementa automaticamente. Encaminhadores que suportam ARC preservam o resultado de autenticação original. Aliases configurados dentro do Gmail ou Microsoft 365 não são afetados porque usam ARC por padrão.

Ferramentas Grátis Relacionadas

Verificador de SPF de domínio Verificador de DKIM de domínio Verificador de blacklist de e-mail Verificador de expiração de domínio Verificador de expiração de SSL Checagem Completa de Saúde de E-mail

Monitore Seu Registro DMARC 24/7

Receba alertas instantâneos se seu registro DMARC mudar, quebrar ou for removido.

Comece o Monitoramento Grátis

Related Guides

More Free Tools

Check your domain and email health with our complete toolkit — no sign-up required.

Email Health Checker
Domain SPF Checker
Domain DKIM Checker
Email Blacklist Checker
Email Inbox Risk Checker
Domain Age Checker
Domain Expiry Checker
Domain SSL Expiry Checker
Cold Email Simulator