Logo do Guia de Autenticação de E-mails

Tudo sobre DMARC

Domain-based Message Authentication, Reporting, and Conformance

Breve Apresentação

O que é DMARC?

O DMARC (Domain-based Message Authentication, Reporting, and Conformance) é um método de autenticação de e-mails que informa aos servidores de e-mail de destino o que fazer com as mensagens que você envia e que não passam nas verificações de autenticação do SPF ou do DKIM. Ele oferece opções para rejeitar, colocar em quarentena ou entregar a mensagem. Além disso, o DMARC permite receber relatórios que ajudam a identificar possíveis problemas de autenticação e atividades maliciosas nas mensagens enviadas do seu domínio.

Por que configurar o DMARC?

  • Proteção contra falsificação (spoofing) e phishing: O DMARC protege os usuários de mensagens de e-mail falsificadas, impedindo que spammers e invasores enviem e-mails que parecem ser da sua organização. Um exemplo prático mostrou que a implementação do DMARC reduziu em 70% as mensagens falsificadas em uma semana, eliminando-as completamente em algumas semanas.
  • Gerenciamento de mensagens não autenticadas: Ele permite que você gerencie o que acontece com as mensagens que não passam nas verificações de SPF ou DKIM.
  • Relatórios de autenticação: Você recebe relatórios que fornecem visibilidade sobre a autenticação das suas mensagens, ajudando a identificar e corrigir problemas.
  • Recomendação para remetentes em massa: É obrigatório para remetentes de e-mails em massa (mais de 5.000 mensagens por dia) configurar SPF, DKIM e DMARC para garantir a entrega das mensagens. O Google recomenda a configuração dos três para uma autenticação robusta.

Como o DMARC funciona?

A configuração do DMARC é feita adicionando um registro TXT do DNS DMARC (registro DMARC) ao seu domínio. Este registro é uma linha de texto que você adiciona ao seu domínio e que define sua política DMARC.

Quando um servidor de e-mail de recebimento recebe uma mensagem do seu domínio que não passou nas verificações de SPF ou DKIM, ele consulta seu registro DMARC para:

  1. Verificar a política DMARC definida.
  2. Determinar a ação a ser tomada com a mensagem: rejeitar, colocar em quarentena ou entregar normalmente.

Pré-requisitos para o DMARC

É crucial que você ative o SPF e/ou o DKIM no seu domínio antes de configurar o DMARC. Sem SPF e/ou DKIM, é provável que você enfrente problemas na entrega das mensagens do seu domínio. Recomenda-se aguardar 48 horas após a configuração do SPF e do DKIM antes de configurar o DMARC.

Etapas para configurar o DMARC

  1. Configurar um grupo ou caixa de e-mails para relatórios: Os relatórios DMARC podem ser numerosos (centenas ou milhares por dia para grandes organizações), então é aconselhável criar um grupo ou uma caixa de e-mails dedicada para recebê-los e gerenciá-los. O endereço de e-mail dos relatórios geralmente deve estar no mesmo domínio do registro DMARC.
  2. Verificar e-mails de terceiros: Se você usa serviços de terceiros para enviar e-mails (como Mailchimp, Salesforce, etc.), é fundamental garantir que as mensagens enviadas por esses serviços sejam autenticadas e passem nas verificações de SPF e DKIM do seu domínio. Você pode precisar entrar em contato com o provedor, verificar o alinhamento do domínio do remetente do envelope, adicionar IPs ao seu registro SPF ou direcionar e-mails de saída pelo Google SMTP.
  3. Determinar seu registro DMARC: Sua política DMARC é definida em uma linha de valores de texto. Esta linha define como o DMARC verificará as mensagens e as ações recomendadas.
    • Um exemplo de registro DMARC é: v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s
    • As tags v (versão) e p (política) precisam ser as primeiras.
    • Recomendação inicial: Ao começar, o Google recomenda definir a opção de política p como none (apenas monitoramento). Depois de verificar como as mensagens são autenticadas, você pode atualizar a política para p=quarantine (colocar em quarentena) ou p=reject (rejeitar). A tag rua especifica os endereços para onde os relatórios devem ser enviados.
  4. Adicionar o registro DMARC ao seu domínio: Esta etapa é feita no host do seu domínio (onde você comprou o nome do domínio), não no Google Admin Console.
    • Faça login no seu host de domínio e acesse a página de atualização dos registros TXT do DNS.
    • Adicione ou atualize um registro TXT com as seguintes informações:
      • Tipo: TXT
      • Host (nome, nome de host, alias): O valor deve ser _dmarc.example.com (substitua example.com pelo nome do seu domínio). Alguns hosts adicionam o nome do domínio automaticamente, então verifique o formato.
      • Valor: Insira a string do registro DMARC que você determinou.
    • Salve as alterações. Cada domínio que você possui pode ter uma política DMARC e opções de relatório diferentes.

Você pode usar ferramentas online gratuitas para verificar se o DMARC já está configurado para seu domínio e analisar os relatórios para garantir que as mensagens estão sendo autenticadas e entregues como esperado.