Por que todo domínio precisa de DMARC
No cenário atual de segurança de e-mail, não ter um registro DMARC é como deixar a porta aberta para os atacantes. Google, Yahoo e Apple tornaram a autenticação de e-mail obrigatória para remetentes em massa em 2024, mas mesmo para domínios com baixo volume, o DMARC se tornou um requisito fundamental para a capacidade de entrega. Sem DMARC, os e-mails enviados do seu domínio são tratados com maior desconfiança pelos servidores receptores, aumentando a probabilidade de acabarem no spam.
Nosso Gerador DMARC simplifica a criação do registro eliminando a necessidade de memorizar a sintaxe. Basta selecionar as opções desejadas — política, e-mail para relatórios, parâmetros de alinhamento — e a ferramenta gera o registro TXT pronto para copiar e colar no seu painel DNS. Mas antes de gerar o registro, é fundamental entender cada parâmetro e suas implicações.
Parâmetros DMARC explicados
O parâmetro pct é particularmente útil durante a implantação: permite aplicar a política a apenas uma porcentagem dos e-mails. Com pct=25, apenas 25% dos e-mails não autenticados são tratados conforme a política (quarantine ou reject), enquanto 75% são tratados como se fosse p=none. Isso permite uma implantação gradual e segura: comece com pct=10, monitore os relatórios, aumente para 25, 50, 75 e finalmente 100.
Fluxo de trabalho para implementar o DMARC
Antes de gerar o registro DMARC, verifique se as bases estão sólidas. Use o SPF Lookup para confirmar que o registro SPF é válido e cobre todos os serviços que enviam e-mail em seu nome. Verifique o DKIM para cada serviço que o suporte. Somente após confirmar que a autenticação funciona você pode prosseguir com o DMARC.
O fluxo de trabalho recomendado contempla quatro fases: Semana 1-2, gere um registro com p=none e rua para começar a coletar dados. Semana 3-4, analise os relatórios e corrija quaisquer problemas de autenticação. Mês 2, passe para p=quarantine com pct=25 e aumente gradualmente. Mês 3+, quando os relatórios confirmarem que todos os e-mails legítimos passam na autenticação, ative p=reject com pct=100.
Erros comuns na configuração DMARC
O erro mais frequente é pular a fase de monitoramento e ativar p=reject diretamente. Isso pode bloquear e-mails legítimos de serviços de terceiros (CRM, newsletter, faturamento) que não estão cobertos por SPF ou DKIM. Outro erro é não especificar rua: sem relatórios agregados, você navega às cegas e não consegue saber se e-mails legítimos estão sendo bloqueados pela sua política.
Preste atenção também ao alinhamento: com aspf=s (strict), o domínio no Return-Path deve coincidir exatamente com o domínio no From. Serviços de terceiros que usam seu próprio domínio no Return-Path falharão no alinhamento estrito. Use relaxed (r) a menos que tenha requisitos de segurança específicos que exijam strict. O mesmo se aplica ao adkim: relaxed permite que subdomínios se alinhem, strict exige correspondência exata.
Um erro técnico comum é inserir o registro TXT com o hostname incorreto. O registro DMARC deve estar exatamente em _dmarc.seudominio.com, não na raiz do domínio nem em dmarc.seudominio.com (sem o sublinhado). Verifique com nosso DMARC Lookup se o registro está visível e sintaticamente correto após a implantação. A propagação DNS leva tipicamente de alguns minutos a algumas horas.