DMARC (Domain-based Message Authentication, Reporting & Conformance)

O que é DMARC?

DMARC é uma política de autenticação de e-mail que se apoia em SPF e DKIM para dizer aos servidores destinatários como lidar com mensagens que falham na autenticação. Ele também oferece um canal de relatórios para que os donos do domínio vejam quem está enviando e-mail em seu nome, incluindo tentativas de spoofing.

Por que isso importa

Sem DMARC, você não tem visibilidade sobre e-mails forjados usando seu domínio e nem como forçar a rejeição de mensagens falsificadas. Gmail e Yahoo agora exigem DMARC para remetentes em massa, então ignorá-lo pode fazer com que seu e-mail de marketing seja bloqueado por completo. Times de segurança ganham defesa contra phishing, marketers ganham inbox placement e donos da marca protegem a reputação.

Como funciona

O dono do domínio publica um registro TXT em _dmarc que especifica uma política e endereços de relatório.

_dmarc.acme.io IN TXT "v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100; aspf=s; adkim=s"

Quando um destinatário recebe uma mensagem, ele verifica SPF e DKIM e confere se pelo menos um alinha com o domínio do From. Se nenhum alinhar, a política DMARC (none, quarantine ou reject) decide o destino. Relatórios agregados são enviados por e-mail ao endereço rua em formato XML.

Exemplos

• Começar em p=none e coletar relatórios por quatro semanas antes de endurecer a política
• Migrar para p=quarantine; pct=25 para mandar 25 por cento do e-mail reprovado para o spam como teste
• Chegar ao p=reject completo depois de eliminar todas as origens legítimas sem autenticação

Boas práticas

• Comece em p=none para coletar dados antes de aplicar
• Use uma ferramenta de agregação de relatórios para que o XML seja de fato legível
• Aumente o pct gradualmente de 0 a 100 em vez de pular direto para reject
• Garanta que SPF e DKIM passem nas checagens de alinhamento, não só na validação bruta

Perguntas frequentes

O que é alinhamento no DMARC?

Alinhamento significa que o domínio usado em SPF ou DKIM precisa coincidir com o domínio do header From visível. Passar no SPF ou DKIM "cru" não basta; o DMARC se importa se eles batem com o que o usuário vê.

Preciso de SPF e DKIM para o DMARC?

Apenas um precisa passar e alinhar, mas publicar os dois dá redundância. Se um falhar por causa de forwarding, o outro ainda pode carregar a mensagem.

Quanto tempo até eu poder migrar para p=reject?

A maioria dos domínios precisa de 4 a 12 semanas em p=none para descobrir todas as origens legítimas de envio e corrigir problemas de configuração antes de endurecer a política.