DMARC Lookup: A Política que Bloqueia o Spoofing do Seu Domínio

DMARC: o guardião da autenticação de e-mail

DMARC (Domain-based Message Authentication, Reporting & Conformance) é o protocolo que completa o trio da autenticação de e-mail. Enquanto SPF e DKIM são mecanismos de autenticação, o DMARC é uma política: ele informa aos servidores receptores o que fazer quando um e-mail falha na autenticação. Sem DMARC, um e-mail que falha no SPF ou DKIM pode ser entregue mesmo assim — a decisão fica inteiramente nas mãos do servidor destinatário. Com DMARC, o proprietário do domínio retoma o controle.

O DMARC também verifica o alinhamento do domínio: ele confere se o domínio no cabeçalho From (o que o usuário vê) corresponde ao domínio autenticado pelo SPF ou DKIM. Isso é fundamental porque um atacante poderia configurar SPF e DKIM para seu próprio domínio, mas enviar e-mails com o seu domínio no campo From. O alinhamento DMARC impede esse cenário, fechando a brecha entre a autenticação técnica e a identidade visível.

As três políticas DMARC

# Fase 1: Monitoraggio (nessuna azione, solo report)
v=DMARC1; p=none; rua=mailto:dmarc@esempio.com

# Fase 2: Quarantena (email sospette in spam)
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@esempio.com

# Fase 3: Blocco totale (email sospette rifiutate)
v=DMARC1; p=reject; rua=mailto:dmarc@esempio.com; ruf=mailto:dmarc-forensic@esempio.com

A implementação do DMARC deve ser sempre gradual. Começar diretamente com p=reject é arriscado: você pode bloquear e-mails legítimos enviados por serviços que ainda não autenticou com SPF/DKIM. A estratégia recomendada é: começar com p=none para coletar dados (tipicamente 2-4 semanas), analisar os relatórios para identificar todas as fontes de e-mail legítimas, configurar SPF e DKIM para cada uma, depois passar para p=quarantine com um pct baixo (25-50%), aumentar gradualmente e finalmente ativar p=reject.

Relatórios DMARC: a visibilidade que faltava

Uma das vantagens mais subestimadas do DMARC são os relatórios agregados (rua). Cada servidor que recebe e-mail do seu domínio envia relatórios diários em formato XML mostrando: quantos e-mails foram recebidos, de quais IPs, se passaram ou falharam no SPF/DKIM, e qual ação foi aplicada. Esses relatórios são uma mina de informações: revelam serviços que enviam e-mail em seu nome que você pode ter esquecido, tentativas de spoofing do seu domínio e problemas de configuração.

Para analisar os relatórios DMARC (que estão em XML bruto e são difíceis de ler), existem serviços dedicados que os agregam em painéis legíveis. Alternativamente, você pode começar com uma análise manual dos relatórios mais significativos. A métrica-chave a monitorar é a proporção entre e-mails autenticados e não autenticados: se você vê muitos e-mails legítimos falhando, precisa atualizar SPF ou DKIM antes de endurecer a política.

Verificar e gerar seu registro DMARC

O nosso DMARC Lookup analisa o registro DMARC do seu domínio, mostrando a política, os parâmetros de alinhamento, os endereços para relatórios e quaisquer erros de sintaxe. Se você ainda não tem um registro DMARC, use o Gerador DMARC para criar um personalizado com as opções corretas. A ferramenta gera o registro TXT pronto para ser inserido no DNS.

Lembre-se de que o registro DMARC deve ser inserido como TXT em _dmarc.seudominio.com. Um erro comum é inseri-lo na raiz do domínio ou com um hostname incorreto. Verifique também se SPF e DKIM estão configurados corretamente antes de ativar o DMARC: sem pelo menos um dos dois protocolos de autenticação, o DMARC não tem base sobre a qual operar. Use o SPF Lookup e o DKIM Lookup para uma verificação completa.

Por fim, preste atenção à política para subdomínios (sp=). Se não especificada, os subdomínios herdam a política do domínio pai. Mas se seus subdomínios não enviam e-mail, é uma boa prática definir sp=reject para impedir que sejam usados para spoofing, mesmo que a política do domínio principal ainda esteja em fase de monitoramento com p=none.