Seu protocolo Relatórios, conformidade e autenticação de mensagens com base no domínio (DMARC) é definido em uma linha de valores de texto chamada registro do DMARC. O registro define:
- como o DMARC verificará as mensagens;
- as ações recomendadas quando o servidor de destino receber mensagens que não passem nas verificações de autenticação.
Opções da política do DMARC
A política do DMARC recomenda ao servidor de e-mail de recebimento o que fazer quando uma mensagem do seu domínio é reprovada na autenticação do DMARC.
Este é um exemplo de um registro de política do DMARC. As tags v e p precisam ser listadas primeiro. Outras tags podem estar em qualquer ordem:
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
Definições e valores de tags de registro do DMARC
Tag de identificação | Descrição e valores |
v |
Versão do DMARC. Precisa ser DMARC1. Esta tag é obrigatória. |
p | Informa ao servidor de e-mail de recebimento o que fazer com as mensagens que não passam na autenticação.
Esta tag é obrigatória. Observação sobre o BIMI: se o domínio usa BIMI, a opção p do DMARC precisa ser definida como quarentine ou reject. O BIMI não é compatível com políticas DMARC que usam a opção p configurada como none. |
pct |
Especifica a porcentagem de mensagens não autenticadas que estão sujeitas à política do DMARC. Ao implantar o DMARC gradualmente, você pode começar com uma pequena porcentagem das suas mensagens. À medida que mais mensagens do seu domínio passarem na autenticação nos servidores de recebimento, atualize o registro com uma porcentagem maior até atingir 100%. Precisa ser um número inteiro de 1 a 100. Se você não usar esta opção no registro, a política do DMARC será aplicada a todas as mensagens enviadas do seu domínio. Esta tag é opcional. Observação sobre o BIMI: caso seu domínio use o BIMI, a política do DMARC precisa ter um valor pct definido como 100. O BIMI não é compatível com o uso de políticas DMARC com um valor pct inferior a 100. |
rua |
Endereço de e-mail para receber relatórios sobre a atividade do DMARC no seu domínio. O endereço de e-mail precisa incluir mailto: Para enviar relatórios do DMARC para vários e-mails, separe cada endereço de e-mail com uma vírgula e adicione o prefixo mailto: antes de cada endereço. Por exemplo: Esta opção pode resultar em um grande volume de e-mails de relatório. Não recomendamos usar seu endereço de e-mail. Você pode usar uma caixa de e-mails, um grupo ou um serviço de terceiros especializado em relatórios do DMARC. Esta tag é opcional. |
ruf |
Não permitido. O Gmail não é compatível com a tag ruf, que é usada para enviar relatórios de erros. Os relatórios de erros também são chamados de relatórios forenses. |
sp | Define a política para as mensagens de subdomínios do seu domínio principal. Use essa opção para aplicar uma política DMARC diferente aos subdomínios.
Se você não usar esta opção no registro, os subdomínios herdarão a política do DMARC do domínio pai. Esta tag é opcional. |
adkim | Define a política de alinhamento para DKIM, que especifica como as informações da mensagem precisam corresponder às assinaturas DKIM. Saiba como funciona o alinhamento.
Esta tag é opcional. |
aspf | Define a política de alinhamento para SPF, que especifica como as informações da mensagem precisam corresponder às assinaturas SPF. Saiba como funciona o alinhamento.
Esta tag é opcional. |
Ao começar a usar o DMARC, recomendamos adotar uma política com a aplicação definida como none. Depois de verificar como as mensagens do seu domínio são autenticadas pelos servidores de recebimento, atualize a política. Altere a política do receptor para quarantine e depois para reject. Para ver um exemplo de política de DMARC atualizada durante uma implementação, acesse Tutorial: implementação recomendada do DMARC.
Política de aplicação | Ação recomendada | Mais informações |
none | Nenhuma ação é executada nas mensagens reprovadas nas verificações do DMARC do servidor de recebimento. Elas são entregues normalmente ao destinatário. |
Recomendamos usar essa opção ao configurar o DMARC pela primeira vez. Com a opção none, as mensagens do seu domínio são entregues normalmente. Enquanto sua política estiver definida como none, analise regularmente os relatórios do DMARC para saber como seu e-mail está sendo autenticado e entregue. Os relatórios do DMARC enviados para você pelos servidores de recebimento contêm detalhes sobre as mensagens que não são autenticadas pelo SPF ou pelo DKIM. Se você achar que um número considerável de mensagens do seu domínio estão sendo enviadas para a pasta "Spam", verifique a configuração do SPF e do DKIM. Leia mais sobre a solução de problemas no DMARC. Não altere sua opção de aplicação da política para quarantine ou reject até saber quais mensagens não estão sendo autenticadas pelos servidores de recebimento. Observação sobre o BIMI: caso seu domínio use BIMI, a política de aplicação do DMARC (p) precisa ser definida como quarentine ou reject. O BIMI não é compatível com políticas DMARC que usam a opção p configurada como none. |
quarantine | As mensagens que não são autenticadas com o DMARC pelo servidor de recebimento são enviadas para a pasta de spam do destinatário. Se uma quarentena estiver configurada no servidor de recebimento de e-mails, as mensagens poderão ser enviadas para a quarentena, e não diretamente para a pasta "Spam" do destinatário. | Com essa opção, você continua a receber os relatórios do DMARC. |
reject | As mensagens que não são autenticadas com o DMARC pelo servidor de recebimento são rejeitadas e nunca são entregues ao destinatário. O servidor de recebimento normalmente envia uma mensagem de erro na entrega ao remetente. |
Recomendamos usar como a opção eventual e permanente para todas as políticas do DMARC. Com essa opção, você continua a receber os relatórios do DMARC. Atualize sua política para essa opção caso você veja nos relatórios do DMARC que todas as mensagens válidas estão sendo autenticadas e entregues normalmente. A rejeição de mensagens não autenticadas ajuda a proteger os destinatários contra o spam, o spoofing e o phishing. |
Opções de alinhamento do DMARC
Para aprovar ou reprovar uma mensagem, o DMARC verifica se o cabeçalho "De:" corresponde ao domínio de envio especificado pelo SPF ou pelo DKIM. Isso é chamado de alinhamento.
Você pode escolher entre dois modos de alinhamento: rigoroso e flexível. Defina o modo de alinhamento para o SPF e o DKIM no registro do DMARC. As tags de registro do DMARC aspf e adkim definem o modo de alinhamento.
Nos casos a seguir, recomendamos adotar o alinhamento rigoroso para aumentar a proteção contra o spoofing:
- Os e-mails enviados para seu domínio vêm de um subdomínio que você não controla.
- Você tem subdomínios gerenciados por outra entidade.
Para ser aprovada no DMARC, a mensagem precisa ser aprovada em pelo menos uma das seguintes verificações:
- Autenticação do SPF e alinhamento do SPF
- Autenticação do DKIM e alinhamento do DKIM
A mensagem é reprovada na verificação do DMARC quando é reprovada em ambas as seguintes verificações:
- SPF ou no alinhamento do SPF
- DKIM ou alinhamento do DKIM
Entender os endereços "De:" e de remetente do envelope
As mensagens de e-mail têm dois tipos de endereços que indicam o remetente. É importante entender a diferença entre esses endereços ao configurar o SPF, o DKIM e o DMARC.
O endereço "De" e o endereço do remetente do envelope de uma mensagem podem ou não ser diferentes.
Endereço do remetente do envelope: o endereço de e-mail que indica a origem da mensagem. Os avisos de mensagem não entregue (devoluções) são enviados para esse endereço. O endereço do remetente do envelope também é conhecido como o endereço de caminho de retorno ou o endereço de devolução. Os destinatários não veem esse endereço.
O SPF normalmente usa o endereço do remetente do envelope da mensagem para a autenticação.
Endereço "De:": o endereço de e-mail que aparece no cabeçalho da mensagem. As mensagens têm duas partes: o cabeçalho e o corpo. O cabeçalho contém informações sobre a mensagem, como o nome e o endereço de e-mail do remetente, o assunto da mensagem e a data de envio. O cabeçalho "De:" inclui o endereço de e-mail e, normalmente, o nome da pessoa que enviou a mensagem.
O DKIM usa o endereço "De:" da mensagem para a autenticação.
Exemplo de alinhamento do SPF
No SPF, o alinhamento compara o domínio autenticado pelo SPF (geralmente o endereço do remetente do envelope) com o domínio no endereço De: do cabeçalho da mensagem. Veja alguns exemplos de alinhamento com os resultados da verificação do SPF.
Endereço do remetente do envelope | Endereço "De:" do cabeçalho | Alinhamento rigoroso | Alinhamento flexível |
jon@solarmora.com |
jon@solarmora.com |
Pass | Pass |
jon@mail.solarmora.com |
jon@solarmora.com |
Fail | Pass |
jon@solarmora.org |
jon@solarmora.com |
Fail | Fail |
Exemplo de alinhamento do DKIM
No DKIM, o alinhamento compara o valor no campo de domínio da assinatura DKIM (d=) no cabeçalho da mensagem com o domínio no cabeçalho "De:" da mensagem.
Veja alguns exemplos de alinhamento com os resultados da verificação do DKIM:
Cabeçalho "De:" | DKIM d=domain | Alinhamento rigoroso | Alinhamento flexível |
jon@solarmora.com |
solarmora.com |
Pass | Pass |
jon@mail.solarmora.com |
solarmora.com |
Fail | Pass |
jon@solarmora.org |
solarmora.com |
Fail | Fail |
Opções de relatório do DMARC
Você pode configurar o DMARC para sempre solicitar relatórios dos servidores de e-mail que recebem e-mails do seu domínio.
Os relatórios DMARC informam o seguinte:
- Quais servidores ou remetentes de terceiros enviam e-mails para seu domínio
- A porcentagem das mensagens do seu domínio que passam no DMARC
- Quais servidores ou serviços enviam mensagens que não passam no DMARC
- Quais ações do DMARC o servidor de recebimento realiza nas mensagens não autenticadas do seu domínio: none, quarantine ou reject
Para começar a receber os relatórios, use a rua tag de registro do DMARC no seu registro DMARC.
Saiba mais sobre os relatórios do DMARC.