Tutorial: implementação recomendada do DMARC

Proteger contra spoofing e phishing e ajudar a impedir que mensagens sejam marcadas como spam

O DMARC foi desenvolvido para uma implantação gradual. Comece com uma política none que monitore apenas o fluxo de e-mails, depois adote uma política que rejeite todas as mensagens não autenticadas.

Com a política none, você pode começar a receber relatórios sem o risco de que suas mensagens sejam rejeitadas ou enviadas para a pasta de spam pelos servidores de recebimento. Também é possível aplicar a política do DMARC apenas a uma porcentagem das mensagens enviadas da sua organização. Esses dois recursos permitem implantar o DMARC gradualmente, mantendo o controle do fluxo de e-mails.

Importante: configure o DKIM e o SPF antes de configurar o DMARC. Esses protocolos devem autenticar mensagens por pelo menos 48 horas antes que o DMARC seja ativado. Veja as etapas detalhadas para configurar o SPF e o DKIM em Ajudar a evitar spoofing, phishing e spam.

1. Comece com uma política de DMARC não rigorosa.

Comece com um registro do DMARC com a aplicação definida como "none" e um endereço de e-mail configurado para receber relatórios diários do DMARC. Dessa forma, você pode começar a receber relatórios sem que as mensagens do seu domínio sejam rejeitadas ou marcadas como spam pelos servidores de recebimento. Recomendamos usar esse registro por pelo menos uma semana. Isso costuma ser suficiente para que os relatórios diários contenham dados representativos de todos os seus fluxos de e-mail.

Analise os relatórios do DMARC para verificar se as mensagens do seu domínio são enviadas por servidores autorizados conhecidos e aprovadas nas verificações de autenticação.

Recomendamos começar com uma política do DMARC que não seja muito restritiva ou que se aplique apenas a uma pequena porcentagem do seu tráfego de e-mail. Por exemplo:

  1. Faça login no seu host de domínio para atualizar o registro TXT do DNS do DMARC no provedor de domínio.
  2. Informe uma política que se aplique a 100% das mensagens, mas com a aplicação definida como "none:":

    v=DMARC1; p=none; rua=mailto:dmarc@solarmora.com

A política é aplicada a 100% de todas as mensagens recebidas por servidores de e-mail. No entanto, a aplicação está definida como "none". Por isso, as mensagens são entregues normalmente, mesmo quando são reprovadas na autenticação DMARC. Todos os servidores de e-mail que recebem e-mails do seu domínio enviam relatórios diários para dmarc@solarmora.com.

2. Analise os relatórios do DMARC.

Analise diariamente os relatórios recebidos para verificar o seguinte:

  • Quais servidores ou remetentes de terceiros enviam e-mails para seu domínio
  • O percentual de mensagens do seu domínio aprovadas no DMARC
  • Quais servidores ou serviços enviam mensagens reprovadas no DMARC 

Procure tendências de problemas como os seguintes:

  • Mensagens válidas do seu domínio são recebidas pelos destinatários, mas vão para a pasta de spam.
  • Você recebe mensagens de erro ou de devolução dos destinatários.

Para corrigir problemas com mensagens do seu domínio rejeitadas ou enviadas para a pasta de spam, consulte Resolver problemas no DMARC.

Verifique se o registro atualizado ainda inclui a tag "rua" com seu endereço de e-mail ou de caixa de e-mails para continuar recebendo relatórios diários. Recomendamos aguardar pelo menos sete dias antes de avançar para a fase seguinte. A duração desta fase varia de acordo com o tamanho da organização e o fluxo de e-mails. 

Saiba mais sobre Como ler seus relatórios do DMARC

3. Coloque em quarentena um pequeno percentual de mensagens.

Depois de monitorar os relatórios do DMARC por pelo menos uma semana sem resultados indesejados, atualize sua política para "quarantine " e adicione a tag "pct" para aplicar a política a um pequeno percentual do e-mail. Exemplo:

  1. Faça login no seu host de domínio para atualizar o registro TXT do DNS do DMARC no provedor de domínio.
  2. Adicione uma política que se aplique a 5% das mensagens e tenha a aplicação definida como "quarantine". As mensagens desse grupo reprovadas pelo DMARC são enviadas para a pasta de spam do destinatário:

    v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@solarmora.com

A política é aplicada a apenas 5% das mensagens recebidas por servidores de e-mail. As mensagens reprovadas pelo DMARC são entregues na pasta de spam dos destinatários. Apenas um pequeno percentual das mensagens é afetado, e os destinatários podem analisar as mensagens enviadas para a pasta de spam. Todos os servidores de e-mail que recebem e-mails do seu domínio enviam relatórios diários para dmarc@solarmora.com.

Organizações pequenas podem ter uma boa noção de todos os fluxos de e-mail e aplicar a política a um percentual maior de mensagens do que organizações de grande porte. As organizações de grande porte costumam ter vários fluxos de e-mail que podem incluir servidores legados e remetentes de terceiros.

 Recomendamos que as grandes organizações aumentem gradualmente o percentual de mensagens afetadas para reduzir o risco de que muitas mensagens sejam rejeitadas ou marcadas como spam. Organizações pequenas podem começar com 10% em quarentena, e organizações muito grandes podem começar com 1%.

4. Rejeite todas as mensagens não autenticadas.

Esta é a última etapa da implantação do DMARC. Depois de garantir que todas as mensagens enviadas do seu domínio ou a maioria delas estão alinhadas e são aprovadas na autenticação (SPF e DKIM), você pode aplicar uma política do DMARC mais rigorosa.

Caso o DMARC esteja funcionando como esperado, atualize sua política para definir a política do registro do DMARC como reject para 100% das mensagens enviadas da sua organização. Por exemplo:

  1. Faça login no seu host de domínio para atualizar o registro TXT do DNS do DMARC no provedor de domínio.
  2. Atualize o registro para que seja mais rigoroso. Exemplo:

    v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com,dmarc@solarmora.com

A política afeta todas as mensagens recebidas por servidores de e-mail. Quando o registro não inclui a tag pct, a política é aplicada a 100% das mensagens enviadas do seu domínio. Todas as mensagens reprovadas na autenticação do DMARC são rejeitadas. O remetente pode receber uma mensagem de erro na entrega para cada mensagem rejeitada. Cada servidor de e-mail que recebe e-mails do seu domínio envia relatórios diários para dois endereços de e-mail: postmaster@solarmora.com e dmarc@solarmora.com.
Isso foi útil?
Como podemos melhorá-lo?

Precisa de mais ajuda?

Faça login e veja mais opções de suporte para resolver o problema rapidamente.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Google Apps
Menu principal
Pesquisar na Central de Ajuda
true
73010
false
false