O que é DMARC?
Principais Pontos do Guia
Entenda o que é DMARC e por que isso é importante
Aprenda como o DMARC funciona juntamente com SPF e DKIM
Veja como os servidores de e-mail de entrada validam mensagens usando DMARC
Entenda como é um registro DMARC e como ele é estruturado
Aprenda o que significa "alinhamento de domínio" e por que isso é importante
Entenda as três opções de políticas DMARC (nenhuma, quarentena, rejeitar)
Aprenda a diferença entre relatórios DMARC agregados e forenses
Veja como o DMARC conecta sua estratégia de autenticação para melhorar a entregabilidade
Destaques de Perguntas e Respostas
O que o DMARC realmente faz?
Ele informa os servidores de e-mail receptores como lidar com e-mails que alegam ser do seu domínio e fornece relatórios para que você possa monitorar problemas de autenticação.
O DMARC é um protocolo de autenticação?
Não. O DMARC depende do SPF e do DKIM para autenticação. Ele fornece regras de aplicação e relatórios sobre eles.
Como um servidor verifica o DMARC?
Ele verifica seu registro DMARC no DNS, checa SPF, DKIM e alinhamento de domínio, e então aplica sua política publicada.
O que é alinhamento de domínio?
É um requisito que o domínio “De” corresponda ao domínio usado no SPF e/ou DKIM.
Qual política DMARC eu devo começar?
A maioria dos remetentes começa com p=none para coletar dados, e depois muda para quarentena ou rejeição uma vez que os problemas sejam resolvidos.
O que está dentro de um registro DMARC?
Inclui a versão DMARC, a política de aplicação e endereços para relatórios agregados e forenses.
O que são relatórios agregados do DMARC?
Sumários em XML legíveis por máquina mostrando resultados de autenticação e disposição de mensagens para o seu domínio.
As empresas precisam de DMARC?
Sim. É um dos passos mais importantes para proteger seu domínio e melhorar a entrega de e-mails.
A autenticação, relatório e conformidade de mensagens baseadas em domínio, ou DMARC, é um padrão técnico que ajuda a proteger remetentes e destinatários de e-mail contra spam, falsificação e phishing. DMARC permite que uma organização publique uma política que define suas práticas de autenticação de e-mail e fornece instruções aos servidores de e-mail receptores sobre como aplicá-las. Nesta edição de “DMARC Explicado”, você aprenderá o que DMARC é e como funciona.
Especificamente, DMARC estabelece um método para um proprietário de domínio:
Publicar suas práticas de autenticação de e-mail
Declarar quais ações devem ser tomadas em e-mails que falham nas verificações de autenticação
Habilitar relatórios sobre essas ações tomadas em e-mails que alegam ser de seu domínio
DMARC em si não é um protocolo de autenticação de e-mail, mas se baseia em padrões de autenticação chave SPF e DKIM. Com eles, complementa o SMTP, o protocolo básico usado para enviar e-mails, uma vez que o SMTP não inclui mecanismos para implementar ou definir políticas de autenticação de e-mail.
O DMARC baseia-se nos padrões estabelecidos de SPF e DKIM para autenticação de e-mail. Ele também utiliza o bem-estabelecido Sistema de Nomes de Domínio (DNS). Em termos gerais, o processo de validação do DMARC funciona assim:
Um administrador de domínio publica a política que define suas práticas de autenticação de e-mail e como os servidores de e-mail receptor devem tratar e-mails que violam essa política. Essa política DMARC é listada como parte dos registros DNS gerais do domínio.
Quando um servidor de e-mail de entrada recebe um e-mail, ele usa o DNS para procurar a política DMARC do domínio contido no cabeçalho “De” (RFC 5322) da mensagem. O servidor de entrada então verifica e avalia a mensagem com base em três fatores-chave:
A assinatura DKIM da mensagem é válida?
A mensagem veio de endereços IP permitidos pelos registros SPF do domínio remetente?
Os cabeçalhos na mensagem mostram a “alinhamento de domínio” adequado?
Com essas informações, o servidor está pronto para aplicar a política DMARC do domínio remetente para decidir se aceita, rejeita ou de outra forma sinaliza a mensagem de e-mail.
Após usar a política DMARC para determinar a disposição adequada para a mensagem, o servidor de e-mail receptor irá relatar o resultado ao proprietário do domínio remetente.
Um registro DMARC é incluído no banco de dados DNS de uma organização. Um registro DMARC é uma versão formatada de um registro TXT DNS padrão com um nome específico, ou seja, “_dmarc.mydomain.com” (note o sublinhado no início). Um registro DMARC parece algo assim: _dmarc.mydomain.com. IN TXT “v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100”
Lendo da esquerda para a direita em inglês simples, este registro diz:
v=DMARC1 especifica a versão DMARC
p=none especifica o tratamento preferido, ou política DMARC
rua=mailto:dmarc-aggregate@mydomain.com é a caixa de correio para a qual os relatórios agregados devem ser enviados
ruf=mailto:dmarc-afrf@mydomain.com é a caixa de correio para a qual os relatórios forenses devem ser enviados
pct=100 é a porcentagem de e-mails para a qual o proprietário do domínio gostaria que sua política fosse aplicada
Opções adicionais de configuração estão disponíveis para um proprietário de domínio utilizar em seu registro de política DMARC também, mas estas são as básicas.
“Alinhamento de domínio” é um conceito no DMARC que expande a validação de domínio intrínseca ao SPF e ao DKIM. O alinhamento de domínio DMARC compara o domínio “de” de uma mensagem com informações relevantes a esses outros padrões:
Para SPF, o domínio “De” da mensagem e o domínio Return-Path devem corresponder
Para DKIM, o domínio “De” da mensagem e o domínio DKIM d= devem corresponder
O alinhamento pode ser relaxado (correspondendo domínios básicos, mas permitindo subdomínios diferentes) ou estrito (correspondendo precisamente ao domínio inteiro). Essa escolha é especificada na política DMARC publicada do domínio de envio.
Componente | O que é | Por que é importante |
|---|---|---|
SPF | Valida os IPs de envio autorizados para o domínio | Previne falsificação verificando as fontes de envio |
DKIM | Assinatura criptográfica provando a integridade da mensagem | Confirma que a mensagem não foi alterada durante o envio |
Alinhamento de Domínio | O domínio “De” deve corresponder ao Return-Path (SPF) ou ao domínio DKIM d= | Garante que domínios autenticados realmente correspondam ao remetente visível |
Política DMARC (p=) | Regra para lidar com autenticação falhada (nenhuma, quarentena, rejeitar) | Informa aos servidores receptores quão estritamente tratar e-mails não autenticados |
Registro DMARC | Registro TXT DNS definindo políticas + configurações de relatório | Controla a aplicação, relatórios e a estratégia geral de autenticação |
Relatórios Agregados | Resumos em XML dos resultados de autenticação | Ajudam a monitorar abusos de domínio ou problemas de configuração |
Relatórios Forenses | Cópias completas de mensagens falhadas | Permitem a investigação de ataques ou problemas de autenticação |
A especificação DMARC fornece três opções para os proprietários de domínios usarem para especificar seu tratamento preferido de e-mails que falham nas verificações de validação DMARC. Essas políticas “p=” são:
nenhum: tratar o e-mail da mesma forma que seria sem nenhuma validação DMARC
quarentena: aceitar o e-mail, mas colocá-lo em algum lugar que não na caixa de entrada do destinatário (tipicamente na pasta de spam)
rejeitar: rejeitar a mensagem diretamente
Lembre-se de que o proprietário do domínio pode apenas solicitar, não forçar, a aplicação de seu registro DMARC; cabe ao servidor de e-mail de entrada decidir se irá ou não honrar a política solicitada.
Relatórios DMARC são gerados por servidores de e-mail recebidos como parte do processo de validação DMARC. Existem dois formatos de relatórios DMARC:
Relatórios agregados, que são documentos XML mostrando dados estatísticos sobre as mensagens recebidas que afirmaram ser de um determinado domínio. A data reportada inclui resultados de autenticação e disposição da mensagem. Relatórios agregados são projetados para serem legíveis por máquina.
Relatórios forenses, que são cópias individuais de mensagens que falharam na autenticação, cada uma encerrada em uma mensagem de e-mail completa usando um formato especial chamado AFRF. Relatórios forenses podem ser úteis tanto para solucionar problemas de autenticação de um domínio quanto para identificar domínios e sites maliciosos.
DKIM, SPF e DMARC são todos padrões que habilitam diferentes aspectos da autenticação de e-mail. Eles abordam questões complementares.
SPF permite que os remetentes definam quais endereços IP estão autorizados a enviar e-mails para um determinado domínio.
DKIM fornece uma chave de criptografia e uma assinatura digital que verifica se uma mensagem de e-mail não foi falsificada ou alterada.
DMARC unifica os mecanismos de autenticação SPF e DKIM em uma estrutura comum e permite que os proprietários de domínio declarem como gostariam que os e-mails desse domínio fossem tratados caso falhem em um teste de autorização.
Se você é uma empresa enviando e-mails comerciais ou transacionais, definitivamente precisa implementar uma ou mais formas de autenticação de e-mail para verificar se um e-mail é realmente seu ou da sua empresa. Configurar corretamente o DMARC ajuda os servidores de e-mail que recebem a determinar como avaliar as mensagens que afirmam ser do seu domínio, e é um dos passos mais importantes que você pode dar para melhorar sua entregabilidade.
No entanto, padrões como o DMARC vão apenas até certo ponto; a MessageBird e outros especialistas em e-mail recomendam a implementação de uma política de autenticação de e-mail DMARC no contexto de uma estratégia de mensagens completa.
