DMARC

Ativar o DMARC

Gerenciar e-mails suspeitos com o DMARC

Você pode adicionar uma política DMARC aos registros DNS do seu domínio para ativar o protocolo DMARC. A política tem a forma de um registro TXT do DNS e define como o domínio lida com e-mails suspeitos.

Uma política DMARC pode lidar com e-mails suspeitos de três formas:

  • Não fazer nada e registrar a mensagem em um relatório diário
  • Marcar a mensagem como spam (o Gmail coloca essas mensagens na pasta de spam do destinatário)
  • Instruir o servidor de recebimento a rejeitar a mensagem, gerando uma devolução SMTP para o remetente

Exemplo de políticas DMARC

Veja alguns exemplos de políticas. 

Importante: o domínio abaixo é apenas um exemplo. Substitua solarmora.com pelo seu domínio.

Os valores abaixo estão definidos em Valores do registro TXT DMARC.

Medidas caso as mensagens não passem na verificação do DMARC Conteúdo do registro TXT
Não fazer nada em relação às mensagens que não passaram na verificação do DMARC. Enviar um relatório diário para o e-mail dmarc@solarmora.com. v=DMARC1; p=none; rua=mailto:dmarc@solarmora.com

Colocar nas pastas de spam dos destinatários 5% das mensagens que não passaram na verificação do DMARC. Enviar um relatório diário para o e-mail dmarc@solarmora.com.

v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@solarmora.com

Rejeitar 100% das mensagens que não passaram na verificação do DMARC. Enviar um relatório diário para dois endereços de e-mail: postmaster@solarmora.com e dmarc@solarmora.com. 

As mensagens que não passaram podem gerar uma devolução SMTP para o remetente.

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com

Adicionar um registro TXT para ativar o DMARC

Para ativar o DMARC, atualize as configurações do domínio com um registro TXT do DNS.

Sobre os registros TXT

Um registro TXT é um registro DNS que contém informações de texto usadas por fontes fora do seu domínio. Adicione registros TXT às configurações do domínio no host do domínio, não no Google Admin Console.

Saiba mais sobre como usar registros TXT em Dicas para atualizar registros TXT do DNS.

Adicionar um registro TXT DMARC

Siga estas etapas para adicionar um registro TXT DMARC ao seu domínio.

Importante:

  • O domínio abaixo é apenas um exemplo. Substitua solarmora.com pelo seu domínio. 
  • Substitua os valores abaixo pelos valores da política DMARC do domínio.
  1. Faça login no console de gerenciamento do seu provedor de domínio.
  2. Localize a página onde você atualiza os registros DNS.

    Subdomínios: se seu host de domínio não permitir a atualização de registros DNS de subdomínios, adicione o registro ao domínio pai. Saiba como atualizar os registros DNS de um subdomínio.

  3. Adicione um registro DNS em _dmarc de acordo com as instruções abaixo.

    Para definir o nome do registro TXT, digite o seguinte no primeiro campo em "Nome de host do DNS":
    _dmarc.solarmora.com

    Para definir o valor do registro TXT, no segundo campo, insira os valores da sua política DMARC, por exemplo:
    v=DMARC1; rua=mailto:dmarc-reports@solarmora.com; p=quarantine; pct=90; sp=none
     

  4. Salve as alterações.

Valores do registro TXT DMARC

Observação: o Gmail não é compatível com a tag ruf do DMARC, usada para enviar relatórios (forenses) de falhas.

Nome da tag Obrigatório Descrição e valores

v

Obrigatório Versão do protocolo. Precisa ser DMARC1.

p

Obrigatório

Define como seu domínio lida com mensagens suspeitas:

  • none: não faz nada com a mensagem. Registra as mensagens suspeitas no relatório diário.
  • quarantine: marca as mensagens como spam e as move para a pasta de spam do Gmail do destinatário. O destinatário pode usar o Gmail para analisar as mensagens de spam.
  • reject: instrui os servidores de recebimento a rejeitarem a mensagem. Quando isso acontece, o servidor de recebimento devolve a mensagem para o servidor de envio.

pct

Opcional

Define o percentual de mensagens suspeitas em que a política DMARC é usada. Mensagens suspeitas são aquelas que não passaram na verificação do DMARC.

Digite um número inteiro de 1 a 100. O padrão é 100

rua

Opcional

Endereço de e-mail para receber relatórios sobre a atividade do DMARC no seu domínio. Use seu próprio endereço de e-mail ou crie um novo endereço para receber os relatórios.

O endereço de e-mail precisa incluir mailto: (por exemplo, mailto:dmarc-reports@solarmora.com).

Se você quiser enviar o relatório para vários endereços de e-mail, separe-os com uma vírgula.

sp

Opcional

Define a política para mensagens de subdomínios do seu domínio principal. Use essa opção para aplicar uma política DMARC diferente aos subdomínios.

  • none: não faz nada com a mensagem. Registra as mensagens suspeitas no relatório diário.
  • quarantine: marca as mensagens como spam e as retém para processamento adicional.
  • reject: instrui os servidores de recebimento a rejeitar a mensagem.
adkim Opcional

Define o modo de alinhamento para DKIM, que determina como as informações da mensagem precisam corresponder exatamente às assinaturas DKIM.

  • s: rigoroso. O nome de domínio do remetente precisa corresponder exatamente ao d=name correspondente nos cabeçalhos de e-mail DKIM.
  • r: flexível (padrão). Permite correspondências parciais. Qualquer subdomínio válido em d=domain nos cabeçalhos de e-mail DKIM é aceito.

aspf

Opcional

Define o modo de alinhamento SPF (ASPF), que determina como as informações da mensagem precisam corresponder exatamente às assinaturas SPF.

  • s: rigoroso. O cabeçalho from: da mensagem precisa corresponder exatamente a domain.name no comando SMTP MAIL FROM.
  • r: flexível (padrão). Permite correspondências parciais. Qualquer subdomínio válido em domain.name é aceito.

Implantar o DMARC lentamente

Use as opções de política (p) e percentual (pct) juntas para implantar o DMARC de forma lenta e gradual no Gmail.

Usar a opção de política (p): defina e altere a opção de política usando o valor da tag p no registro TXT. Comece com uma política de quarentena para inspecionar mensagens suspeitas. Em seguida, modifique gradualmente a política com base nas mensagens colocadas em quarentena e nos relatórios diários.

  1. p=none: monitora o tráfego de e-mail e procura problemas nos relatórios diários, mas deixa passar todas as mensagens. Fique atento a spoofing e mensagens não assinadas com DKIM ou SPF.
  2. p=quarantine: quando você estiver familiarizado com os padrões de e-mail nos relatórios diários, altere a política para "quarantine". Continue analisando os relatórios diários e vendo as mensagens que estão sendo retidas (colocadas em quarentena) por serem spam.
  3. p=reject: quando você tiver certeza de que todas as mensagens do seu domínio estão assinadas, altere a política "reject" para começar a filtrar spam. Continue analisando os relatórios diários para verificar se você está filtrando spam e enviando e-mails válidos para os destinatários.

Usar a opção de percentual (pct): a opção de percentual especifica o percentual de mensagens suspeitas em que a política DMARC é usada. Mensagens suspeitas são aquelas que não passaram na verificação do DMARC. O padrão é 100% (todas as mensagens suspeitas). Defina a opção de percentual para menos mensagens primeiro, aumentando o percentual aos poucos à medida que você refina sua política DMARC. Por exemplo, defina a opção de percentual como 20 para filtrar inicialmente 20% de mensagens rejeitadas ou em quarentena. Na semana seguinte, altere o valor de 20 para 50 para filtrar 50% das mensagens.

Exemplo de implantação: este é um exemplo de como usar as opções p e pct para implantar uma política DMARC gradualmente. Atualize sua política DMARC ao longo do tempo com estes valores:

  1. p=none pct=100
  2. p=quarantine pct=1
  3. p=quarantine pct=5
  4. p=quarantine pct=10
  5. p=quarantine pct=25
  6. p=quarantine pct=50
  7. p=quarantine pct=100
  8. p=reject pct=1
  9. p=reject pct=5
  10. p=reject pct=10
  11. p=reject pct=25
  12. p=reject pct=50
  13. p=reject pct=100

Relatórios diários do DMARC

Os relatórios diários do DMARC estão no formato XML e incluem informações sobre o fluxo de e-mail. Use-os para:

  • verificar se as origens dos e-mail enviados estão autenticadas;
  • verificar se os servidores de e-mail que enviam mensagens do seu domínio são legítimos;
  • responder se um novo servidor estiver on-line ou um servidor tiver problemas de configuração.
Exemplo de relatório DMARC

O relatório abaixo mostra os resultados de mensagens enviadas de dois endereços IP. Uma mensagem foi enviada diretamente, e a outra foi encaminhada. As duas mensagens passaram nas verificações do DMARC.


<record>
<row>
<source_ip>207.126.144.129</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>207.126.144.131</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<reason>
<type>forwarded</type>
<comment></comment>
</reason>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>

Isso foi útil?
Como podemos melhorá-lo?