Configurar o DMARC

Com o DMARC, você pode informar aos servidores de e-mail o que fazer quando eles receberem uma mensagem que não passou nas verificações de autenticação do SPF ou do DKIM, como rejeitar, colocar em quarentena ou entregar a mensagem. Você também pode receber relatórios que ajudam a identificar possíveis problemas de autenticação e atividades maliciosas nas mensagens enviadas do seu domínio. Configure o DMARC adicionando um registro TXT do DNS DMARC (registro DMARC) ao seu domínio.

Um registro DMARC é uma linha de texto que você adiciona ao seu domínio seguindo as instruções do provedor. A linha de texto usa uma sintaxe especial e lista todos os servidores que enviam e-mails para seu domínio. Confira um exemplo de registro DMARC:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

What is DMARC?

O DMARC protege os usuários de mensagens de e-mail falsificadas
e permite que você gerencie as mensagens que não passam no SPF ou DKIM.

Nesta página

Antes de começar

  • Você precisa ativar o SPF e/ou o DKIM no seu domínio antes de usar o DMARC. Se você não tiver configurado o SPF e/ou o DKIM, acesse Ajudar a evitar spoofing, phishing e spam.
    • Se você não configurar o SPF e/ou o DKIM antes de ativar o DMARC, provavelmente haverá problemas na entrega das mensagens do seu domínio.
    • Aguarde 48 horas após a configuração do SPF e do DKIM antes de configurar o DMARC.
  • Para verificar se o DMARC já está configurado para seu domínio, use uma das muitas ferramentas sem custo financeiro disponíveis na Internet. Se o DMARC já estiver configurado, analise os relatórios para garantir que ele está autenticando as mensagens e que elas estão sendo entregues como esperado.
  • Não é preciso fazer nada no Google Admin Console para configurar o SPF. Em vez disso, determine seu registro SPF seguindo as instruções desta página. Em seguida, faça login no host de domínio e adicione o registro DMARC seguindo as instruções do host de domínio.

Etapa 3: configurar um grupo ou uma caixa de e-mails para relatórios

O número de relatórios do DMARC que você recebe por e-mail pode variar e depende da quantidade de e-mails enviados pelo domínio e para quantos domínios você envia. Você pode receber muitos relatórios todos os dias. As organizações de grande porte às vezes recebem centenas ou milhares de relatórios diariamente. O Google recomenda que você crie um grupo ou uma caixa de e-mails dedicada para receber e gerenciar relatórios do DMARC.

Importante: normalmente, o endereço de e-mail dos relatórios está no mesmo domínio que hospeda o registro DMARC. Se o endereço de e-mail tiver um domínio diferente, adicione um registro DNS no outro domínio. Consulte Enviar relatórios para um endereço de e-mail em um domínio diferente na página de relatórios do DMARC.

Etapa 2: verificar se o e-mail de terceiros está autenticado

Se você usa um serviço de terceiros para enviar e-mails para sua organização, é necessário garantir que as mensagens enviadas por esses serviços sejam autenticadas e passem nas verificações do SPF e do DKIM:

  • Entre em contato com seu provedor terceirizado para garantir que o SPF e o DKIM estejam configurados corretamente.
  • Verifique se o domínio do remetente do envelope do provedor corresponde ao seu domínio. Adicione o endereço IP dos servidores de e-mail de envio do provedor ao registro SPF do seu domínio.
  • Direcione os e-mails de saída do provedor pelo Google usando a configuração do serviço de redirecionamento SMTP.

Etapa 3: determinar seu registro do DMARC

Sua política do DMARC é definida em uma linha de valores de texto chamada de registro do DMARC. Esse registro define:

  • como o DMARC verificará as mensagens;
  • as ações recomendadas quando o servidor de destino receber mensagens que não passem nas verificações de autenticação.

Exemplo de um registro de política DMARC (substitua example.com pelo seu domínio):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.

As tags v e p precisam ser listadas primeiro. Outras tags podem estar em qualquer ordem:

Ao começar a usar o DMARC, recomendamos definir a opção de política (p) como none. Depois de verificar como as mensagens do seu domínio são autenticadas pelos servidores de recebimento, atualize a política. Altere a política do receptor para quarantine (or reject). Consulte Implementação recomendada do DMARC.

Definições e valores de tags de registro do DMARC

Tag Descrição e valores
v

(Obrigatório) Versão do DMARC. Precisa ser DMARC1.
p (Obrigatório) Informa ao servidor de e-mail de recebimento o que fazer com as mensagens que não passam na autenticação.
  • none: não faz nada na mensagem e a entrega ao destinatário. Registra as mensagens em um relatório diário. O relatório é enviado ao endereço de e-mail especificado com a opção rua no registro.
  • quarantine—: marca as mensagens como spam e as envia para a pasta de spam do destinatário. Os destinatários podem analisar mensagens de spam para identificar mensagens legítimas.
  • reject—: rejeita a mensagem. Com esta opção, o servidor de recebimento geralmente envia uma mensagem de erro na entrega ao servidor de envio.

Observação sobre o BIMI: se o domínio usa BIMI, a opção p do DMARC precisa ser definida como quarentine ou reject. O BIMI não é compatível com políticas DMARC que usam a opção p configurada como none.
pct

A tag pct é opcional, mas o Google recomenda que você a inclua no seu registro DMARC ao lançar o DMARC para gerenciar a porcentagem de e-mails em que a política do DMARC é aplicada.

Especifica a porcentagem de mensagens não autenticadas que estão sujeitas à política do DMARC. Ao implantar o DMARC gradualmente, você pode começar com uma pequena porcentagem das suas mensagens. À medida que mais mensagens do seu domínio passarem na autenticação nos servidores de recebimento, atualize o registro com uma porcentagem maior até atingir 100%.

Precisa ser um número inteiro de 1 a 100. Se você não usar esta opção no registro, a política do DMARC será aplicada a todas as mensagens enviadas do seu domínio.

Observação sobre o BIMI: caso seu domínio use o BIMI, a política do DMARC precisa ter um valor pct definido como 100. O BIMI não é compatível com o uso de políticas DMARC com um valor pct inferior a 100.
rua

A tag rua é opcional, mas o Google recomenda que você sempre a inclua no seu registro DMARC.

Envie relatórios do DMARC para um endereço de e-mail. O endereço de e-mail precisa incluir mailto:.
Por exemplo: mailto:dmarc-reports@example.com (substitua mailto:dmarc-reports@example.com pelo seu domínio).

  • Para enviar relatórios do DMARC para vários e-mails, separe cada endereço de e-mail com uma vírgula e adicione o prefixo mailto: antes de cada endereço. Por exemplo: mailto:dmarc-reports@example.com, mailto:dmarc-reports@example.com (substitua mailto:dmarc-reports@example.com pelo seu domínio).
  • Esta opção pode resultar em um grande volume de e-mails de relatório. Não recomendamos usar seu endereço de e-mail. Você pode usar uma caixa de e-mails, um grupo ou um serviço de terceiros especializado em relatórios do DMARC.
  • Para enviar relatórios do DMARC para um endereço de e-mail que está em um domínio diferente do domínio que hospeda seu registro do DMARC, adicione um registro TXT ao DNS do domínio de e-mail. Para mais detalhes, envie relatórios para um endereço de e-mail em um domínio diferente na página Relatórios do DMARC.
ruf

(Indisponível) O Gmail não é compatível com a tag ruf, que é usada para enviar relatórios de erros. Os relatórios de erros também são chamados de relatórios forenses.
sp (Opcional) Define a política para as mensagens de subdomínios do seu domínio principal. Use essa opção para aplicar uma política DMARC diferente aos subdomínios.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantine: marca as mensagens como spam e as envia para a pasta de spam do destinatário. Os destinatários podem analisar mensagens de spam para identificar mensagens legítimas.
  • reject: rejeita a mensagem. Com esta opção, o servidor de recebimento envia uma mensagem de erro na entrega ao servidor de envio.

Se você não usar esta opção no registro, os subdomínios herdarão a política do DMARC do domínio pai.
adkim (Opcional) Define a política de alinhamento para DKIM, que especifica como as informações da mensagem precisam corresponder às assinaturas DKIM. Saiba como funciona o alinhamento (mais adiante nesta página).
  • s: alinhamento rigoroso. O nome de domínio do remetente precisa corresponder exatamente ao d=domainname nos cabeçalhos de e-mail DKIM.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (Opcional) Define a política de alinhamento para SPF, que especifica como as informações da mensagem precisam corresponder às assinaturas SPF. Saiba como funciona o alinhamento (mais adiante nesta página).
  • s: alinhamento rigoroso. O cabeçalho from: da mensagem precisa corresponder exatamente a domain.name no comando SMTP MAIL FROM.
  • r: alinhamento não rigoroso (padrão). Permite correspondências parciais. Qualquer subdomínio válido do nome de domínio é aceito.

O alinhamento do DMARC

Para aprovar ou reprovar uma mensagem, o DMARC verifica se o domínio no cabeçalho De: corresponde ao domínio de envio especificado pelo SPF ou pelo DKIM. Isso é chamado de alinhamento.

Você pode escolher entre dois modos de alinhamento: rigoroso e flexível. Defina o modo de alinhamento para o SPF e o DKIM no registro do DMARC usando as tags de registro do DMARC aspf e adkim.

Método de autenticação Alinhamento rigoroso Alinhamento flexível
SPF Uma correspondência exata entre o domínio no endereço do remetente do envelope (também chamado de caminho de retorno ou endereço de devolução) e o domínio no endereço De: do cabeçalho. O domínio no endereço De: do cabeçalho precisa ser ou corresponder a um subdomínio do domínio no endereço do remetente do envelope (também chamado de caminho de retorno ou devolução).
DKIM Uma correspondência exata entre o domínio do DKIM relevante e o domínio no endereço De: . O domínio no endereço De: do cabeçalho precisa ser ou corresponder a um subdomínio do domínio especificado na tag d= da assinatura DKIM.

Em alguns casos, o Google recomenda mudar para o alinhamento rigoroso para aumentar a proteção contra spoofing:

  • Os e-mails enviados para seu domínio vêm de um subdomínio que você não controla.
  • Você tem subdomínios gerenciados por outra entidade.
Importante: normalmente o alinhamento flexível garante proteção suficiente contra o spoofing. O alinhamento rigoroso pode fazer as mensagens de domínios associados serem rejeitadas ou enviadas para a pasta "Spam".

Para ser aprovada no DMARC, a mensagem precisa ser aprovada em pelo menos uma das seguintes verificações:

  • Autenticação do SPF e alinhamento do SPF 
  • Autenticação do DKIM e alinhamento do DKIM

A mensagem é reprovada na verificação do DMARC quando é reprovada em ambas as seguintes verificações:

  • SPF ou no alinhamento do SPF
  • DKIM ou alinhamento do DKIM

Etapa 4: adicionar o registro DMARC ao seu domínio

Importante:use a documentação de ajuda do DMARC do host do domínio para esta etapa. As etapas para adicionar um registro DMARC variam de acordo com o host de domínio.

Adicionar ou atualizar seu registro

Importante: configure o DKIM e o SPF antes de configurar o DMARC. Esses protocolos devem autenticar mensagens por pelo menos 48 horas antes da ativação do DMARC.

  1. Acesse o arquivo ou a linha de texto do registro DMARC.
  2. Faça login no host de domínio, normalmente o site onde você comprou o nome de domínio. Se você não souber qual é o host de domínio, consulte identificar seu registrador de domínio.
  3. Acesse a página em que você atualiza os registros TXT do DNS do seu domínio. Se precisar de ajuda para encontrar essa página, consulte a documentação do seu domínio.

  4. Adicione ou atualize o registro TXT com estas informações (consulte a documentação do seu domínio): 

    Nome do campo Valor a ser digitado
    Tipo O tipo de registro é TXT.
    Host (nome, nome de host, alias) O valor deve ser _dmarc.example.com (substitua example.com pelo nome do seu domínio).
    Valor A string que compõe o registro TXT. Por exemplo: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Para mais detalhes, consulte Preparar seu registro do DMARC (mais acima nesta página).
    Observação: alguns hosts de domínio adicionam o nome do domínio automaticamente. Depois de adicionar ou atualizar o registro TXT, verifique o nome de domínio no registro DMARC para garantir que ele esteja formatado corretamente.
  5. Salve as alterações.
  6.  Se você estiver configurando o DMARC para mais de um domínio, siga estas etapas para cada um deles. Cada domínio pode ter uma política diferente e diversas opções de relatório (definidas no registro).
  7. Para verificar se o DMARC está configurado para seu domínio, use uma das muitas ferramentas sem custo financeiro disponíveis na Internet.

Temas relacionados


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.

Isso foi útil?

Como podemos melhorá-lo?

Precisa de mais ajuda?

Siga as próximas etapas:

Postar na Comunidade de Ajuda Receber respostas dos membros da comunidade
Fale conosco Conte mais sobre o problema para podermos ajudar você
true
Comece hoje mesmo sua avaliação gratuita de 14 dias

E-mail profissional, armazenamento on-line, agendas compartilhadas, reuniões com vídeo e muito mais. Comece hoje mesmo sua avaliação gratuita do G Suite.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
8314684901476101850
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010
false
false
false