Configurar o DMARC

O DMARC informa aos servidores de e-mail de destino o que fazer com as mensagens que você envia e que não passam na autenticação do SPF ou do DKIM. As opções de ação são rejeitar, colocar em quarentena ou entregar a mensagem. Você também pode receber relatórios que ajudam a identificar possíveis problemas de autenticação e atividades maliciosas nas mensagens enviadas do seu domínio. Configure o DMARC adicionando um registro TXT do DNS DMARC (registro DMARC) ao seu domínio.

Um registro DMARC é uma linha de texto que você adiciona ao seu domínio seguindo as instruções do provedor. Confira um exemplo de registro DMARC:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Quando os servidores de recebimento recebem mensagens de e-mail do seu domínio que não passaram no SPF ou no DKIM, eles verificam seu registro DMARC para determinar a ação a ser tomada com as mensagens: rejeitar, colocar em quarentena ou entregar normalmente.

O DMARC protege os usuários de mensagens de e-mail falsificadas
e permite que você gerencie as mensagens que não passam no SPF ou DKIM.

Nesta página

Antes de começar
Etapa 3: configurar um grupo ou uma caixa de e-mails para relatórios
Etapa 2: verificar se o e-mail de terceiros está autenticado
Etapa 3: determinar seu registro do DMARC
Etapa 4: adicionar o registro DMARC ao seu domínio
Temas relacionados

Antes de começar

Você precisa ativar o SPF e/ou o DKIM no seu domínio antes de usar o DMARC. Se você não tiver configurado o SPF e/ou o DKIM, acesse Ajudar a evitar spoofing, phishing e spam.
- Se você não configurar o SPF e/ou o DKIM antes de ativar o DMARC, provavelmente haverá problemas na entrega das mensagens do seu domínio.
- Aguarde 48 horas após a configuração do SPF e do DKIM antes de configurar o DMARC.
Para verificar se o DMARC já está configurado para seu domínio, use uma das muitas ferramentas sem custo financeiro disponíveis na Internet. Se o DMARC já estiver configurado, analise os relatórios para garantir que ele está autenticando as mensagens e que elas estão sendo entregues como esperado.
Não é preciso fazer nada no Google Admin Console para configurar o SPF. Em vez disso, determine seu registro SPF seguindo as instruções desta página. Em seguida, faça login no host de domínio e adicione o registro DMARC seguindo as instruções do host de domínio.

Etapa 3: configurar um grupo ou uma caixa de e-mails para relatórios

O número de relatórios do DMARC que você recebe por e-mail pode variar e depende da quantidade de e-mails enviados pelo domínio e para quantos domínios você envia. Você pode receber muitos relatórios todos os dias. As organizações de grande porte às vezes recebem centenas ou milhares de relatórios diariamente. O Google recomenda que você crie um grupo ou uma caixa de e-mails dedicada para receber e gerenciar relatórios do DMARC.

Importante: normalmente, o endereço de e-mail dos relatórios está no mesmo domínio que hospeda o registro DMARC. Se o endereço de e-mail tiver um domínio diferente, adicione um registro DNS no outro domínio. Consulte Enviar relatórios para um endereço de e-mail em um domínio diferente na página de relatórios do DMARC.

Etapa 2: verificar se o e-mail de terceiros está autenticado

Se você usa um serviço de terceiros para enviar e-mails para sua organização, é necessário garantir que as mensagens enviadas por esses serviços sejam autenticadas e passem nas verificações do SPF e do DKIM:

Entre em contato com seu provedor terceirizado para garantir que o SPF e o DKIM estejam configurados corretamente.
Verifique se o domínio do remetente do envelope do provedor corresponde ao seu domínio. Adicione o endereço IP dos servidores de e-mail de envio do provedor ao registro SPF do seu domínio.
Direcione os e-mails de saída do provedor pelo Google usando a configuração do serviço de redirecionamento SMTP.

Etapa 3: determinar seu registro do DMARC

Sua política do DMARC é definida em uma linha de valores de texto chamada de registro do DMARC. Esse registro define:

como o DMARC verificará as mensagens;
as ações recomendadas quando o servidor de destino receber mensagens que não passem nas verificações de autenticação.

Exemplo de um registro de política DMARC (substitua example.com pelo seu domínio):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.

As tags v e p precisam ser listadas primeiro. Outras tags podem estar em qualquer ordem:

Ao começar a usar o DMARC, recomendamos definir a opção de política (p) como none. Depois de verificar como as mensagens do seu domínio são autenticadas pelos servidores de recebimento, atualize a política. Altere a política do receptor para quarantine (or reject). Consulte Implementação recomendada do DMARC.

Definições e valores de tags de registro do DMARC

Tag	Descrição e valores
v	(Obrigatório) Versão do DMARC. Precisa ser DMARC1.
p	(Obrigatório) Informa ao servidor de e-mail de recebimento o que fazer com as mensagens que não passam na autenticação. none: não faz nada na mensagem e a entrega ao destinatário. Registra as mensagens em um relatório diário. O relatório é enviado ao endereço de e-mail especificado com a opção rua no registro. quarantine—: marca as mensagens como spam e as envia para a pasta de spam do destinatário. Os destinatários podem analisar mensagens de spam para identificar mensagens legítimas. reject—: rejeita a mensagem. Com esta opção, o servidor de recebimento geralmente envia uma mensagem de erro na entrega ao servidor de envio. Observação sobre o BIMI: se o domínio usa BIMI, a opção p do DMARC precisa ser definida como quarentine ou reject. O BIMI não é compatível com políticas DMARC que usam a opção p configurada como none.
pct	A tag pct é opcional, mas o Google recomenda que você a inclua no seu registro DMARC ao lançar o DMARC para gerenciar a porcentagem de e-mails em que a política do DMARC é aplicada. Especifica a porcentagem de mensagens não autenticadas que estão sujeitas à política do DMARC. Ao implantar o DMARC gradualmente, você pode começar com uma pequena porcentagem das suas mensagens. À medida que mais mensagens do seu domínio passarem na autenticação nos servidores de recebimento, atualize o registro com uma porcentagem maior até atingir 100%. Precisa ser um número inteiro de 1 a 100. Se você não usar esta opção no registro, a política do DMARC será aplicada a todas as mensagens enviadas do seu domínio. Observação sobre o BIMI: caso seu domínio use o BIMI, a política do DMARC precisa ter um valor pct definido como 100. O BIMI não é compatível com o uso de políticas DMARC com um valor pct inferior a 100.
rua	A tag rua é opcional, mas o Google recomenda que você sempre a inclua no seu registro DMARC. Envie relatórios do DMARC para um endereço de e-mail. O endereço de e-mail precisa incluir mailto:. Por exemplo: mailto:dmarc-reports@example.com (substitua mailto:dmarc-reports@example.com pelo seu domínio). Para enviar relatórios do DMARC para vários e-mails, separe cada endereço de e-mail com uma vírgula e adicione o prefixo mailto: antes de cada endereço. Por exemplo: mailto:dmarc-reports@example.com, mailto:dmarc-reports@example.com (substitua mailto:dmarc-reports@example.com pelo seu domínio). Esta opção pode resultar em um grande volume de e-mails de relatório. Não recomendamos usar seu endereço de e-mail. Você pode usar uma caixa de e-mails, um grupo ou um serviço de terceiros especializado em relatórios do DMARC. Para enviar relatórios do DMARC para um endereço de e-mail que está em um domínio diferente do domínio que hospeda seu registro do DMARC, adicione um registro TXT ao DNS do domínio de e-mail. Para mais detalhes, envie relatórios para um endereço de e-mail em um domínio diferente na página Relatórios do DMARC.
ruf	(Indisponível) O Gmail não é compatível com a tag ruf, que é usada para enviar relatórios de erros. Os relatórios de erros também são chamados de relatórios forenses.
sp	(Opcional) Define a política para as mensagens de subdomínios do seu domínio principal. Use essa opção para aplicar uma política DMARC diferente aos subdomínios. none—Take no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy. quarantine: marca as mensagens como spam e as envia para a pasta de spam do destinatário. Os destinatários podem analisar mensagens de spam para identificar mensagens legítimas. reject: rejeita a mensagem. Com esta opção, o servidor de recebimento envia uma mensagem de erro na entrega ao servidor de envio. Se você não usar esta opção no registro, os subdomínios herdarão a política do DMARC do domínio pai.
adkim	(Opcional) Define a política de alinhamento para DKIM, que especifica como as informações da mensagem precisam corresponder às assinaturas DKIM. Saiba como funciona o alinhamento (mais adiante nesta página). s: alinhamento rigoroso. O nome de domínio do remetente precisa corresponder exatamente ao d=domainname nos cabeçalhos de e-mail DKIM. r—Relaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf	(Opcional) Define a política de alinhamento para SPF, que especifica como as informações da mensagem precisam corresponder às assinaturas SPF. Saiba como funciona o alinhamento (mais adiante nesta página). s—: alinhamento rigoroso. O cabeçalho from: da mensagem precisa corresponder exatamente a domain.name no comando SMTP MAIL FROM. r: alinhamento não rigoroso (padrão). Permite correspondências parciais. Qualquer subdomínio válido do nome de domínio é aceito.

O alinhamento do DMARC

Para aprovar ou reprovar uma mensagem, o DMARC verifica se o domínio no cabeçalho De: corresponde ao domínio de envio especificado pelo SPF ou pelo DKIM. Isso é chamado de alinhamento.

Você pode escolher entre dois modos de alinhamento: rigoroso e flexível. Defina o modo de alinhamento para o SPF e o DKIM no registro do DMARC usando as tags de registro do DMARC aspf e adkim.

Método de autenticação	Alinhamento rigoroso	Alinhamento flexível
SPF	Uma correspondência exata entre o domínio no endereço do remetente do envelope (também chamado de caminho de retorno ou endereço de devolução) e o domínio no endereço De: do cabeçalho.	O domínio no endereço De: do cabeçalho precisa ser ou corresponder a um subdomínio do domínio no endereço do remetente do envelope (também chamado de caminho de retorno ou devolução).
DKIM	Uma correspondência exata entre o domínio do DKIM relevante e o domínio no endereço De: .	O domínio no endereço De: do cabeçalho precisa ser ou corresponder a um subdomínio do domínio especificado na tag d= da assinatura DKIM.

Em alguns casos, o Google recomenda mudar para o alinhamento rigoroso para aumentar a proteção contra spoofing:

Os e-mails enviados para seu domínio vêm de um subdomínio que você não controla.
Você tem subdomínios gerenciados por outra entidade.

Importante: normalmente o alinhamento flexível garante proteção suficiente contra o spoofing. O alinhamento rigoroso pode fazer as mensagens de domínios associados serem rejeitadas ou enviadas para a pasta "Spam".

Para ser aprovada no DMARC, a mensagem precisa ser aprovada em pelo menos uma das seguintes verificações:

Autenticação do SPF e alinhamento do SPF
Autenticação do DKIM e alinhamento do DKIM

A mensagem é reprovada na verificação do DMARC quando é reprovada em ambas as seguintes verificações:

SPF ou no alinhamento do SPF
DKIM ou alinhamento do DKIM

Etapa 4: adicionar o registro DMARC ao seu domínio

Importante: use a documentação de ajuda do DMARC do host do domínio para esta etapa. As etapas para adicionar um registro DMARC variam de acordo com o host de domínio.

Adicionar ou atualizar seu registro

Importante: configure o DKIM e o SPF antes de configurar o DMARC. Esses protocolos devem autenticar mensagens por pelo menos 48 horas antes da ativação do DMARC.

Acesse o arquivo ou a linha de texto do registro DMARC.
Faça login no host de domínio, normalmente o site onde você comprou o nome de domínio. Se você não souber qual é o host de domínio, consulte identificar seu registrador de domínio.
Acesse a página em que você atualiza os registros TXT do DNS do seu domínio. Se precisar de ajuda para encontrar essa página, consulte a documentação do seu domínio.

Adicione ou atualize o registro TXT com estas informações (consulte a documentação do seu domínio):

Nome do campo	Valor a ser digitado
Tipo	O tipo de registro é TXT.
Host (nome, nome de host, alias)	O valor deve ser _dmarc.example.com (substitua example.com pelo nome do seu domínio).
Valor	A string que compõe o registro TXT. Por exemplo: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Para mais detalhes, consulte Preparar seu registro do DMARC (mais acima nesta página).

Observação: alguns hosts de domínio adicionam o nome do domínio automaticamente. Depois de adicionar ou atualizar o registro TXT, verifique o nome de domínio no registro DMARC para garantir que ele esteja formatado corretamente.

Salve as alterações.
Se você estiver configurando o DMARC para mais de um domínio, siga estas etapas para cada um deles. Cada domínio pode ter uma política diferente e diversas opções de relatório (definidas no registro).
Para verificar se o DMARC está configurado para seu domínio, use uma das muitas ferramentas sem custo financeiro disponíveis na Internet.

Temas relacionados

_{Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.}

Escolha uma seção para enviar feedback

Isso foi útil?

Como podemos melhorá-lo?