Usuários do Gmail: se você receber mensagens de spam ou phishing no Gmail, acesse este link. Se você tiver problemas para enviar ou receber e-mails no Gmail, acesse este link.
Como administrador, depois de configurar o SPF e o DKIM, você pode configurar o protocolo DMARC (Domain-based Message Authentication, Reporting, and Conformance). Com o DMARC, você pode informar aos servidores de e-mail o que fazer quando eles receberem uma mensagem que não passou nas verificações de autenticação do SPF ou do DKIM. Você também pode receber relatórios que ajudam a identificar possíveis problemas de autenticação e atividades maliciosas nas mensagens enviadas do seu domínio.
O DMARC protege os usuários de mensagens de e-mail falsificadas
e permite que você gerencie as mensagens que não passam no SPF ou DKIM.
Nesta página
- Etapa 1: ativar o SPF e o DKIM
- Etapa 2: verificar se o DMARC já está configurado
- Etapa 3: configurar um grupo ou uma caixa de e-mails para relatórios
- Etapa 4: verificar se os serviços de terceiros estão autenticados
- Etapa 5: preparar seu registro DMARC
- Etapa 6: adicionar o registro do DMARC
- Etapa 7: verificar o registro do DMARC
- Temas relacionados
Etapa 1: ativar o SPF e o DKIM
Antes de usar o DMARC, você precisa ativar o SPF e o DKIM no seu domínio. Se você não tiver configurado o SPF e o DKIM, acesse Ajudar a evitar spoofing, phishing e spam.
os protocolos SPF, DKIM e DMARC são aplicados por domínio. Se você gerencia mais de um domínio, precisa ativar o SPF, o DKIM e o DMARC separadamente em cada um deles.
Importante:
- Se você não configurar o SPF e o DKIM antes de ativar o DMARC, provavelmente haverá problemas na entrega das mensagens do seu domínio.
- Aguarde 48 horas após a configuração do SPF e do DKIM antes de configurar o DMARC.
Etapa 2: verificar se o DMARC já está configurado
Se você estiver usando o Google Workspace, use o Google Admin Toolbox para verificar se o DMARC está configurado. Caso contrário, siga as etapas para verificar no seu provedor de domínio.
Verifique usando o Google Admin Toolbox:
- Acesse o Google Admin Toolbox.
- Acesse Verificar problemas no DNSCheck MX.
- Digite seu nome de domínio no campo Nome de domínio e clique em Executar verificações!.
- Os resultados indicam se o domínio tem um registro DMARC:
- O DMARC não está configurado: seu domínio ainda não tem um registro DMARC.
- Formatação das políticas de DMARC: seu domínio tem um registro DMARC.
Verifique no seu provedor de domínio:
- Faça login no console de gerenciamento do seu provedor de domínio.
- Acesse a página em que você atualiza os registros TXT do DNS do seu domínio.
- Se você tiver um registro DMARC, no subdomínio _dmarc.example.com (em que example é o nome do domínio), vai aparecer uma entrada de registro TXT que começa com v=DMARC.
Prossiga com base nos resultados:
- Se o DMARC já estiver configurado, analise os relatórios para garantir que ele está autenticando as mensagens e que elas estão sendo entregues como esperado.
- Se o DMARC não estiver configurado, siga para Configurar um grupo ou uma caixa de e-mails para relatórios (nesta página).
Etapa 3: configurar um grupo ou uma caixa de e-mails para relatórios
O número de relatórios do DMARC que você recebe por e-mail pode variar e depende da quantidade de e-mails enviados pelo domínio e para quantos domínios você envia. Você pode receber muitos relatórios todos os dias. As organizações de grande porte às vezes recebem centenas ou milhares de relatórios diariamente.
Os relatórios do DMARC informam quais mensagens enviadas do seu domínio são autenticadas pelo SPF e pelo DKIM e se alguma mensagem falha regularmente na autenticação. Também é possível usar os relatórios para analisar quem está enviando e-mails para seu domínio e receber alertas sobre possíveis spammers. Monitorar relatórios DMARC é especialmente útil durante a fase de lançamento. Consulte Implementação recomendada do DMARC.
O Google recomenda que você crie um grupo ou uma caixa de e-mails dedicada para receber e gerenciar relatórios do DMARC.
Importante: normalmente, o endereço de e-mail dos relatórios está no mesmo domínio que hospeda o registro DMARC. Se o endereço de e-mail tiver um domínio diferente, adicione um registro DNS no outro domínio. Para mais detalhes, acesse Enviar relatórios para um endereço de e-mail em um domínio diferente na página Relatórios do DMARC.
Etapa 4: garantir que todos os serviços de terceiros estejam autenticados
Se você usa um serviço de terceiros para enviar e-mails para sua organização, é necessário garantir que as mensagens enviadas por esses serviços sejam autenticadas e passem nas verificações do SPF e do DKIM:
- Entre em contato com seu provedor terceirizado para garantir que o DKIM esteja configurado corretamente.
- Verifique se o domínio do remetente do envelope do provedor corresponde ao seu domínio. Adicione o endereço IP dos servidores de e-mail de envio do provedor ao registro SPF do seu domínio.
- Direcione os e-mails de saída do provedor pelo Google usando a configuração do serviço de redirecionamento SMTP.
Etapa 5: preparar seu registro do DMARC
Sua política do DMARC é definida em uma linha de valores de texto chamada de registro do DMARC. O registro define:
- como o DMARC verificará as mensagens;
- as ações recomendadas quando o servidor de destino receber mensagens que não passem nas verificações de autenticação.
Exemplo de um registro de política DMARC (substitua example.com pelo seu domínio):
v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.
As tags v e p precisam ser listadas primeiro. Outras tags podem estar em qualquer ordem:
Ao começar a usar o DMARC, recomendamos definir a opção de política (p) como none. Depois de verificar como as mensagens do seu domínio são autenticadas pelos servidores de recebimento, atualize a política. Altere a política do receptor para quarantine (or reject). Consulte Implementação recomendada do DMARC.
Definições e valores de tags de registro do DMARC
Tag | Descrição e valores |
v |
(Obrigatório) Versão do DMARC. Precisa ser DMARC1. |
p | (Obrigatório) Informa ao servidor de e-mail de recebimento o que fazer com as mensagens que não passam na autenticação.
Observação sobre o BIMI: se o domínio usa BIMI, a opção p do DMARC precisa ser definida como quarentine ou reject. O BIMI não é compatível com políticas DMARC que usam a opção p configurada como none. |
pct |
A tag pct é opcional, mas o Google recomenda que você a inclua no seu registro DMARC ao lançar o DMARC para gerenciar a porcentagem de e-mails em que a política do DMARC é aplicada. Especifica a porcentagem de mensagens não autenticadas que estão sujeitas à política do DMARC. Ao implantar o DMARC gradualmente, você pode começar com uma pequena porcentagem das suas mensagens. À medida que mais mensagens do seu domínio passarem na autenticação nos servidores de recebimento, atualize o registro com uma porcentagem maior até atingir 100%. Precisa ser um número inteiro de 1 a 100. Se você não usar esta opção no registro, a política do DMARC será aplicada a todas as mensagens enviadas do seu domínio. Observação sobre o BIMI: caso seu domínio use o BIMI, a política do DMARC precisa ter um valor pct definido como 100. O BIMI não é compatível com o uso de políticas DMARC com um valor pct inferior a 100. |
rua |
A tag rua é opcional, mas o Google recomenda que você sempre a inclua no seu registro DMARC. Envie relatórios do DMARC para um endereço de e-mail. O endereço de e-mail precisa incluir mailto:.
|
ruf |
(Indisponível) O Gmail não é compatível com a tag ruf, que é usada para enviar relatórios de erros. Os relatórios de erros também são chamados de relatórios forenses. |
sp | (Opcional) Define a política para as mensagens de subdomínios do seu domínio principal. Use essa opção para aplicar uma política DMARC diferente aos subdomínios.
Se você não usar esta opção no registro, os subdomínios herdarão a política do DMARC do domínio pai. |
adkim | (Opcional) Define a política de alinhamento para DKIM, que especifica como as informações da mensagem precisam corresponder às assinaturas DKIM. Saiba como funciona o alinhamento (mais adiante nesta página).
|
aspf | (Opcional) Define a política de alinhamento para SPF, que especifica como as informações da mensagem precisam corresponder às assinaturas SPF. Saiba como funciona o alinhamento (mais adiante nesta página).
|
O alinhamento do DMARC
Para aprovar ou reprovar uma mensagem, o DMARC verifica se o domínio no cabeçalho De: corresponde ao domínio de envio especificado pelo SPF ou pelo DKIM. Isso é chamado de alinhamento.
Você pode escolher entre dois modos de alinhamento: rigoroso e flexível. Defina o modo de alinhamento para o SPF e o DKIM no registro do DMARC usando as tags de registro do DMARC aspf e adkim.
Em alguns casos, o Google recomenda mudar para o alinhamento rigoroso para aumentar a proteção contra spoofing:
- Os e-mails enviados para seu domínio vêm de um subdomínio que você não controla.
- Você tem subdomínios gerenciados por outra entidade.
Para ser aprovada no DMARC, a mensagem precisa ser aprovada em pelo menos uma das seguintes verificações:
- Autenticação do SPF e alinhamento do SPF
- Autenticação do DKIM e alinhamento do DKIM
A mensagem é reprovada na verificação do DMARC quando é reprovada em ambas as seguintes verificações:
- SPF ou no alinhamento do SPF
- DKIM ou alinhamento do DKIM
Etapa 6: adicionar o registro DMARC
Após preparar o texto do seu registro do DMARC, adicione ou atualize o registro TXT do DNS DMARC no provedor de domínio. Sempre que você alterar a política do DMARC e atualizar o registro, também será necessário atualizar o registro TXT do DMARC no provedor de domínio.
Adicionar ou atualizar seu registro
Importante: configure o DKIM e o SPF antes de configurar o DMARC. Esses protocolos devem autenticar mensagens por pelo menos 48 horas antes da ativação do DMARC.
- Acesse o arquivo ou a linha de texto do registro DMARC.
- Faça login no host de domínio, normalmente o site onde você comprou o nome de domínio. Se você não souber qual é o host de domínio, consulte identificar seu registrador de domínio.
- Acesse a página em que você atualiza os registros TXT do DNS do seu domínio. Se precisar de ajuda para encontrar essa página, consulte a documentação do seu domínio.
-
Adicione ou atualize o registro TXT com estas informações (consulte a documentação do seu domínio):
Nome do campo Valor a ser digitado Tipo O tipo de registro é TXT. Host (nome, nome de host, alias) O valor deve ser _dmarc.example.com (substitua example.com pelo nome do seu domínio). Valor A string que compõe o registro TXT. Por exemplo: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Para mais detalhes, consulte Preparar seu registro do DMARC (mais acima nesta página). Observação: alguns hosts de domínio adicionam o nome do domínio automaticamente. Depois de adicionar ou atualizar o registro TXT, verifique o nome de domínio no registro DMARC para garantir que ele esteja formatado corretamente. - Salve as alterações.
- Se você estiver configurando o DMARC para mais de um domínio, siga estas etapas para cada um deles. Cada domínio pode ter uma política diferente e diversas opções de relatório (definidas no registro).
Etapa 7: verificar seu registro do DMARC
Importante: os domínios usados nas etapas abaixo são apenas exemplos. Substitua os domínios de exemplo pelos seus próprios domínios.
Alguns hosts de domínio adicionam automaticamente seu nome de domínio ao final do nome do registro TXT. Isso pode causar um erro na formatação do nome do registro TXT do DMARC.Por exemplo, se você digitar _dmarc.example.com; e o host de domínio adicionar seu nome de domínio de forma automática, o nome do registro TXT será formatado incorretamente como _dmarc.example.com.example.com;.
Após adicionar o registro TXT do DMARC conforme as etapas em Adicionar ou atualizar o registro, verifique se o nome do registro TXT está no formato correto.
No Google Admin Toolbox, você pode usar o recurso Dig para conferir e verificar o registro TXT do DMARC:
- Acesse o Google Admin Toolbox e selecione o recurso Dig.
- No campo Nome, digite _dmarc. seguido do nome de domínio completo. Por exemplo, se o nome de domínio for example.com, digite _dmarc.example.com.
- Abaixo do campo Nome, clique em TXT.
- Verifique o nome do registro TXT do DMARC nos resultados. Procure a linha de texto que começa com _dmarc.
Temas relacionados
- Resolver problemas do DMARC
- Implementação recomendada do DMARC
- Desativar o DMARC
- Sobre os relatórios do DMARC
- Sobre registros TXT
- DMARC RFC 7489 (em inglês)
Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.