Configurar o DMARC

Usuários do Gmail: se você receber mensagens de spam ou phishing no Gmail, acesse este link. Se você tiver problemas para enviar ou receber e-mails no Gmail, acesse este link.

Como administrador, depois de configurar o SPF e o DKIM, você pode configurar o protocolo DMARC (Domain-based Message Authentication, Reporting, and Conformance). Com o DMARC, você pode informar aos servidores de e-mail o que fazer quando eles receberem uma mensagem que não passou nas verificações de autenticação do SPF ou do DKIM. Você também pode receber relatórios que ajudam a identificar possíveis problemas de autenticação e atividades maliciosas nas mensagens enviadas do seu domínio.

What is DMARC?

O DMARC protege os usuários de mensagens de e-mail falsificadas
e permite que você gerencie as mensagens que não passam no SPF ou DKIM.

Nesta página

Etapa 1: ativar o SPF e o DKIM

Antes de usar o DMARC, você precisa ativar o SPF e o DKIM no seu domínio. Se você não tiver configurado o SPF e o DKIM, acesse Ajudar a evitar spoofing, phishing e spam.

os protocolos SPF, DKIM e DMARC são aplicados por domínio. Se você gerencia mais de um domínio, precisa ativar o SPF, o DKIM e o DMARC separadamente em cada um deles.

Importante:

  • Se você não configurar o SPF e o DKIM antes de ativar o DMARC, provavelmente haverá problemas na entrega das mensagens do seu domínio.
  • Aguarde 48 horas após a configuração do SPF e do DKIM antes de configurar o DMARC.

Etapa 2: verificar se o DMARC já está configurado

Se você estiver usando o Google Workspace, use o Google Admin Toolbox para verificar se o DMARC está configurado. Caso contrário, siga as etapas para verificar no seu provedor de domínio.

Verifique usando o Google Admin Toolbox:

  1. Acesse o Google Admin Toolbox.
  2. Acesse Verificar problemas no DNSe depoisCheck MX.
  3. Digite seu nome de domínio no campo Nome de domínio e clique em Executar verificações!.
  4. Os resultados indicam se o domínio tem um registro DMARC:
    • O DMARC não está configurado: seu domínio ainda não tem um registro DMARC.
    • Formatação das políticas de DMARC: seu domínio tem um registro DMARC.

Verifique no seu provedor de domínio:

  1. Faça login no console de gerenciamento do seu provedor de domínio.
  2. Acesse a página em que você atualiza os registros TXT do DNS do seu domínio.
  3. Se você tiver um registro DMARC, no subdomínio _dmarc.example.com (em que example é o nome do domínio), vai aparecer uma entrada de registro TXT que começa com v=DMARC.

Prossiga com base nos resultados:

Etapa 3: configurar um grupo ou uma caixa de e-mails para relatórios

O número de relatórios do DMARC que você recebe por e-mail pode variar e depende da quantidade de e-mails enviados pelo domínio e para quantos domínios você envia. Você pode receber muitos relatórios todos os dias. As organizações de grande porte às vezes recebem centenas ou milhares de relatórios diariamente.

Os relatórios do DMARC informam quais mensagens enviadas do seu domínio são autenticadas pelo SPF e pelo DKIM e se alguma mensagem falha regularmente na autenticação. Também é possível usar os relatórios para analisar quem está enviando e-mails para seu domínio e receber alertas sobre possíveis spammers. Monitorar relatórios DMARC é especialmente útil durante a fase de lançamento. Consulte Implementação recomendada do DMARC.

O Google recomenda que você crie um grupo ou uma caixa de e-mails dedicada para receber e gerenciar relatórios do DMARC.

Importante: normalmente, o endereço de e-mail dos relatórios está no mesmo domínio que hospeda o registro DMARC. Se o endereço de e-mail tiver um domínio diferente, adicione um registro DNS no outro domínio. Para mais detalhes, acesse Enviar relatórios para um endereço de e-mail em um domínio diferente na página Relatórios do DMARC.

Etapa 4: garantir que todos os serviços de terceiros estejam autenticados

Se você usa um serviço de terceiros para enviar e-mails para sua organização, é necessário garantir que as mensagens enviadas por esses serviços sejam autenticadas e passem nas verificações do SPF e do DKIM:

  • Entre em contato com seu provedor terceirizado para garantir que o DKIM esteja configurado corretamente.
  • Verifique se o domínio do remetente do envelope do provedor corresponde ao seu domínio. Adicione o endereço IP dos servidores de e-mail de envio do provedor ao registro SPF do seu domínio.
  • Direcione os e-mails de saída do provedor pelo Google usando a configuração do serviço de redirecionamento SMTP.

Etapa 5: preparar seu registro do DMARC

Sua política do DMARC é definida em uma linha de valores de texto chamada de registro do DMARC. O registro define:

  • como o DMARC verificará as mensagens;
  • as ações recomendadas quando o servidor de destino receber mensagens que não passem nas verificações de autenticação.

Exemplo de um registro de política DMARC (substitua example.com pelo seu domínio):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.

As tags v e p precisam ser listadas primeiro. Outras tags podem estar em qualquer ordem:

Ao começar a usar o DMARC, recomendamos definir a opção de política (p) como none. Depois de verificar como as mensagens do seu domínio são autenticadas pelos servidores de recebimento, atualize a política. Altere a política do receptor para quarantine (or reject). Consulte Implementação recomendada do DMARC.

Definições e valores de tags de registro do DMARC

Tag Descrição e valores
v

(Obrigatório) Versão do DMARC. Precisa ser DMARC1.

p (Obrigatório) Informa ao servidor de e-mail de recebimento o que fazer com as mensagens que não passam na autenticação.
  • none: não faz nada na mensagem e a entrega ao destinatário. Registra as mensagens em um relatório diário. O relatório é enviado ao endereço de e-mail especificado com a opção rua no registro.
  • quarantine—: marca as mensagens como spam e as envia para a pasta de spam do destinatário. Os destinatários podem analisar mensagens de spam para identificar mensagens legítimas.
  • reject—: rejeita a mensagem. Com esta opção, o servidor de recebimento geralmente envia uma mensagem de erro na entrega ao servidor de envio.

Observação sobre o BIMI: se o domínio usa BIMI, a opção p do DMARC precisa ser definida como quarentine ou reject. O BIMI não é compatível com políticas DMARC que usam a opção p configurada como none.

pct

A tag pct é opcional, mas o Google recomenda que você a inclua no seu registro DMARC ao lançar o DMARC para gerenciar a porcentagem de e-mails em que a política do DMARC é aplicada.

Especifica a porcentagem de mensagens não autenticadas que estão sujeitas à política do DMARC. Ao implantar o DMARC gradualmente, você pode começar com uma pequena porcentagem das suas mensagens. À medida que mais mensagens do seu domínio passarem na autenticação nos servidores de recebimento, atualize o registro com uma porcentagem maior até atingir 100%.

Precisa ser um número inteiro de 1 a 100. Se você não usar esta opção no registro, a política do DMARC será aplicada a todas as mensagens enviadas do seu domínio.

Observação sobre o BIMI: caso seu domínio use o BIMI, a política do DMARC precisa ter um valor pct definido como 100. O BIMI não é compatível com o uso de políticas DMARC com um valor pct inferior a 100.

rua

A tag rua é opcional, mas o Google recomenda que você sempre a inclua no seu registro DMARC.

Envie relatórios do DMARC para um endereço de e-mail. O endereço de e-mail precisa incluir mailto:.
Por exemplo: mailto:dmarc-reports@example.com (substitua mailto:dmarc-reports@example.com pelo seu domínio).

  • Para enviar relatórios do DMARC para vários e-mails, separe cada endereço de e-mail com uma vírgula e adicione o prefixo mailto: antes de cada endereço. Por exemplo: mailto:dmarc-reports@example.com, mailto:dmarc-reports@example.com (substitua mailto:dmarc-reports@example.com pelo seu domínio).
  • Esta opção pode resultar em um grande volume de e-mails de relatório. Não recomendamos usar seu endereço de e-mail. Você pode usar uma caixa de e-mails, um grupo ou um serviço de terceiros especializado em relatórios do DMARC.
  • Para enviar relatórios do DMARC para um endereço de e-mail que está em um domínio diferente do domínio que hospeda seu registro do DMARC, adicione um registro TXT ao DNS do domínio de e-mail. Para mais detalhes, envie relatórios para um endereço de e-mail em um domínio diferente na página Relatórios do DMARC.
ruf

(Indisponível) O Gmail não é compatível com a tag ruf, que é usada para enviar relatórios de erros. Os relatórios de erros também são chamados de relatórios forenses.

sp (Opcional) Define a política para as mensagens de subdomínios do seu domínio principal. Use essa opção para aplicar uma política DMARC diferente aos subdomínios.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantine: marca as mensagens como spam e as envia para a pasta de spam do destinatário. Os destinatários podem analisar mensagens de spam para identificar mensagens legítimas.
  • reject: rejeita a mensagem. Com esta opção, o servidor de recebimento envia uma mensagem de erro na entrega ao servidor de envio.

Se você não usar esta opção no registro, os subdomínios herdarão a política do DMARC do domínio pai.

adkim (Opcional) Define a política de alinhamento para DKIM, que especifica como as informações da mensagem precisam corresponder às assinaturas DKIM. Saiba como funciona o alinhamento (mais adiante nesta página).
  • s: alinhamento rigoroso. O nome de domínio do remetente precisa corresponder exatamente ao d=domainname nos cabeçalhos de e-mail DKIM.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (Opcional) Define a política de alinhamento para SPF, que especifica como as informações da mensagem precisam corresponder às assinaturas SPF. Saiba como funciona o alinhamento (mais adiante nesta página).
  • s: alinhamento rigoroso. O cabeçalho from: da mensagem precisa corresponder exatamente a domain.name no comando SMTP MAIL FROM.
  • r: alinhamento não rigoroso (padrão). Permite correspondências parciais. Qualquer subdomínio válido do nome de domínio é aceito.

O alinhamento do DMARC

Para aprovar ou reprovar uma mensagem, o DMARC verifica se o domínio no cabeçalho De: corresponde ao domínio de envio especificado pelo SPF ou pelo DKIM. Isso é chamado de alinhamento.

Você pode escolher entre dois modos de alinhamento: rigoroso e flexível. Defina o modo de alinhamento para o SPF e o DKIM no registro do DMARC usando as tags de registro do DMARC aspf e adkim.

Método de autenticação Alinhamento rigoroso Alinhamento flexível
SPF Uma correspondência exata entre o domínio no endereço do remetente do envelope (também chamado de caminho de retorno ou endereço de devolução) e o domínio no endereço De: do cabeçalho. O domínio no endereço De: do cabeçalho precisa ser ou corresponder a um subdomínio do domínio no endereço do remetente do envelope (também chamado de caminho de retorno ou devolução).
DKIM Uma correspondência exata entre o domínio do DKIM relevante e o domínio no endereço De: .

Em alguns casos, o Google recomenda mudar para o alinhamento rigoroso para aumentar a proteção contra spoofing:

  • Os e-mails enviados para seu domínio vêm de um subdomínio que você não controla.
  • Você tem subdomínios gerenciados por outra entidade.
Importante: normalmente o alinhamento flexível garante proteção suficiente contra o spoofing. O alinhamento rigoroso pode fazer as mensagens de domínios associados serem rejeitadas ou enviadas para a pasta "Spam".

Para ser aprovada no DMARC, a mensagem precisa ser aprovada em pelo menos uma das seguintes verificações:

  • Autenticação do SPF e alinhamento do SPF 
  • Autenticação do DKIM e alinhamento do DKIM

A mensagem é reprovada na verificação do DMARC quando é reprovada em ambas as seguintes verificações:

  • SPF ou no alinhamento do SPF
  • DKIM ou alinhamento do DKIM

Etapa 6: adicionar o registro DMARC

Após preparar o texto do seu registro do DMARC, adicione ou atualize o registro TXT do DNS DMARC no provedor de domínio. Sempre que você alterar a política do DMARC e atualizar o registro, também será necessário atualizar o registro TXT do DMARC no provedor de domínio.

Adicionar ou atualizar seu registro

Importante: configure o DKIM e o SPF antes de configurar o DMARC. Esses protocolos devem autenticar mensagens por pelo menos 48 horas antes da ativação do DMARC.

  1. Acesse o arquivo ou a linha de texto do registro DMARC.
  2. Faça login no host de domínio, normalmente o site onde você comprou o nome de domínio. Se você não souber qual é o host de domínio, consulte identificar seu registrador de domínio.
  3. Acesse a página em que você atualiza os registros TXT do DNS do seu domínio. Se precisar de ajuda para encontrar essa página, consulte a documentação do seu domínio.
  4. Adicione ou atualize o registro TXT com estas informações (consulte a documentação do seu domínio): 

    Nome do campo Valor a ser digitado
    Tipo O tipo de registro é TXT.
    Host (nome, nome de host, alias) O valor deve ser _dmarc.example.com (substitua example.com pelo nome do seu domínio).
    Valor A string que compõe o registro TXT. Por exemplo: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Para mais detalhes, consulte Preparar seu registro do DMARC (mais acima nesta página).
    Observação: alguns hosts de domínio adicionam o nome do domínio automaticamente. Depois de adicionar ou atualizar o registro TXT, verifique o nome de domínio no registro DMARC para garantir que ele esteja formatado corretamente.
  5. Salve as alterações.
  6.  Se você estiver configurando o DMARC para mais de um domínio, siga estas etapas para cada um deles. Cada domínio pode ter uma política diferente e diversas opções de relatório (definidas no registro).

Etapa 7: verificar seu registro do DMARC

Importante: os domínios usados nas etapas abaixo são apenas exemplos. Substitua os domínios de exemplo pelos seus próprios domínios.

Alguns hosts de domínio adicionam automaticamente seu nome de domínio ao final do nome do registro TXT. Isso pode causar um erro na formatação do nome do registro TXT do DMARC.Por exemplo, se você digitar _dmarc.example.com; e o host de domínio adicionar seu nome de domínio de forma automática, o nome do registro TXT será formatado incorretamente como _dmarc.example.com.example.com;.

Após adicionar o registro TXT do DMARC conforme as etapas em Adicionar ou atualizar o registro, verifique se o nome do registro TXT está no formato correto.

No Google Admin Toolbox, você pode usar o recurso Dig para conferir e verificar o registro TXT do DMARC:

  1. Acesse o Google Admin Toolbox e selecione o recurso Dig.
  2. No campo Nome, digite _dmarc. seguido do nome de domínio completo. Por exemplo, se o nome de domínio for example.com, digite _dmarc.example.com.
  3. Abaixo do campo Nome, clique em TXT.
  4. Verifique o nome do registro TXT do DMARC nos resultados. Procure a linha de texto que começa com _dmarc.

Temas relacionados


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.

Isso foi útil?

Como podemos melhorá-lo?
Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
2704641139451620733
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010
false
false