DMARC, ou Domain-based Message Authentication, Reporting and Conformance, é um protocolo técnico para autenticar mensagens enviadas. O DMARC funciona como a primeira linha de defesa contra uma variedade de ameaças baseadas em correio eletrónico, incluindo phishing e spoofing.
Para configurar o DMARCé necessário criar um registo DMARC. O registo DMARC criado é um registo TXT que é depois publicado no seu DNS. Isto dá início ao seu processo de autenticação de correio eletrónico. Ao configurar um registo DMARC, permite que os proprietários de domínios dêem instruções aos destinatários sobre como devem responder a e-mails enviados de fontes não autorizadas ou ilegítimas.
Principais conclusões
- Um registo DMARC é uma entrada TXT do DNS que ajuda a autenticar os e-mails enviados e a evitar ataques de falsificação e phishing.
- A escolha da política DMARC correta é essencial para controlar o tratamento de e-mails não autorizados.
- Para implementar o DMARC, o registo deve ser publicado no Sistema de Nomes de Domínio (DNS) utilizando ferramentas como o cPanel, GoDaddy ou Cloudflare.
- Mesmo os domínios que não enviam e-mails ativamente devem ter um registo DMARC restritivo, especificamente "p=reject", para evitar potenciais abusos.
- Para obter os melhores resultados, recomenda-se a manutenção de um único registo DMARC por domínio e a implementação gradual da aplicação para evitar problemas de entrega de correio eletrónico.
- Soluções como o PowerDMARC automatizam a gestão de registos DMARC e simplificam a monitorização através da utilização de inteligência de ameaças orientada por IA.
O que é um registo DMARC?
Um registo DMARC é um registo TXT do DNS que especifica a forma como os servidores de correio eletrónico devem tratar as mensagens que não passam nas verificações de autenticação (SPF e DKIM). Ajuda os proprietários de domínios a evitar a falsificação de correio eletrónico e o phishing, dando instruções aos servidores de destinatários para rejeitarem, colocarem em quarentena ou permitirem mensagens de correio eletrónico não autorizadas.
Principais componentes de um registo DMARC
1. Modos de política DMARC
A política DMARC define a forma como os destinatários devem tratar os e-mails que falham a autenticação DMARC. É designada por "p". Pode ter um dos três valores seguintes:
- p=nenhum: Para não tomar qualquer ação contra mensagens de correio eletrónico não autorizadas.
- p=quarentena: Para assinalar mensagens de correio eletrónico suspeitas.
- p=reject: Para rejeitar mensagens de correio eletrónico não autorizadas antes de estas chegarem aos destinatários.
2. Opções de relatório DMARC
- Relatórios agregados (rua=): Estes são relatórios resumidos enviados para o endereço de correio eletrónico especificado, mostrando os resultados da autenticação para todos os e-mails do domínio.
- Relatórios forenses (ruf=): Estes são relatórios detalhados de falhas enviados quando uma mensagem de correio eletrónico falha a autenticação DMARC.
3. Modos de alinhamento DMARC
- Alinhamento SPF (aspf=): Determina se o domínio do remetente no cabeçalho From: está alinhado com o registo SPF. Existe uma opção de alinhamento estrito (s) para uma correspondência exacta ou alinhamento relaxado (r) para uma correspondência organizacional.
- Alinhamento DKIM (adkim=): Determina se o domínio da assinatura DKIM está alinhado com o domínio no cabeçalho De:. Existe uma opção para alinhamento rigoroso (s) para uma correspondência exacta ou alinhamento relaxado (r) para uma correspondência organizacional.
Como criar um registo DMARC?
Para criar um registo DNS DMARC para o seu domínio, certifique-se de que tem:
a) uma ferramenta fiável para gerar o registo
b) acesso à sua consola de gestão do DNS para publicar o registo
Siga os passos indicados abaixo para criar o seu registo:
1. Gerar o registo DMARC
Inscrever-se para aceder ao nosso portal utilizando um endereço de correio eletrónico ou inscreva-se utilizando o Gmail/Office 365. Aceda a Ferramentas de análise > PowerToolbox > Gerador de registos DMARC para começar a criar o seu registo DMARC.
3. Definir uma política DMARC para o seu registo DMARC
Decidir sobre uma política DMARC dependendo do nível de aplicação desejado (nenhum, quarentena ou rejeição). Eis como escolher a sua política de registo DMARC:
- Se não pretender que sejam tomadas medidas contra mensagens de correio eletrónico não solicitadas enviadas do seu domínio, escolha "nenhum".
- Se pretender colocar em quarentena os e-mails que falham no DMARC, selecione "quarentena".
- Se pretender rejeitar ou descartar os e-mails que falham a autenticação, o que pode minimizar os ataques de falsificação e phishing, escolha "rejeitar".
3. Configurar os campos opcionais recomendados para o registo DMARC
Embora nem todos os campos sejam obrigatórios, recomendamos que configure alguns campos opcionais úteis no seu registo DMARC. Vamos descobrir quais são eles:
- Campo de relatório agregado (rua): Se configurar o campo rua, receberá dados de autenticação DMARC diretamente no seu endereço de correio eletrónico.
- Campo de relatório forense (ruf): Obtenha informações sobre incidentes forenses, como ataques informáticos, configurando o campo ruf no seu registo DMARC.
- Modos de alinhamento DKIM/SPF" Escolha se pretende optar por um alinhamento relaxado ou rigoroso para SPF e/ou DKIM.
Como publicar um registo DMARC?
Para publicar um registo DMARC, existem alguns pré-requisitos:
- É necessário ter acesso à consola de gestão do DNS
- É necessário ter permissão para editar e adicionar novos registos DNS para o seu domínio
Publicar o seu registo DMARC com o cPanel
1. Aceda à consola de gestão do DNS do cPanel
2. Na secção Domínios, clique em Editor de zonas DNS ou Editor de zonas avançado
3. Adicione um registo DMARC do tipo TXT (tex), preenchendo os detalhes como se mostra abaixo. No campo "TXT data" ou "value", é necessário colar o registo DMARC criado anteriormente.
Publicar um registo DMARC com a Godaddy
- Inicie sessão no seu Portefólio de domínios da GoDaddy para aceder à zona DNS
- Em Nome do domínio, localize e selecione o seu domínio de envio de correio eletrónico
- Sob o seu nome de domínio, clique em DNS
- Agora selecione Adicionar novo registo e comece a publicar o seu registo com os seguintes detalhes:
Tipo: TXT
Nome: _dmarc
Valor: cole o valor do seu registo DMARC
Publicando um registro DMARC com o Cloudflare
- Inicie sessão na sua conta Cloudflare.
- Selecione a conta e o domínio pretendidos.
- Navegue até DNS e clique em Adicionar registo
- Cole o registo DMARC gerado na secção Adicionar registo, como no exemplo abaixo:
Verificar o registo DMARC
Para verificar o seu registo DMARC e evitar o erro comum "Nenhum registo DMARC encontrado" comum, pode utilizar a nossa ferramenta de verificação gratuita.
1. Registe-se gratuitamente e navegue para Ferramentas de análise > PowerToolbox > Verificador de registos DMARC
2. Reveja o estado, a sintaxe e as etiquetas do seu registo DMARC para descobrir quaisquer erros que possa ter
Erros comuns de registo DMARC
| Estado | O que significa | O que se pode fazer |
|---|---|---|
| Válido | O seu registo DMARC está correto e isento de erros | Não fazer nada |
| Inválido | O seu registo DMARC tem erros. Isto pode dever-se a uma sintaxe incompleta ou incorrecta. | Reveja a sua sintaxe, consulte o nosso guia completo sobre etiquetas DMARC ou contacte-nos para obter assistência especializada. |
| Nenhum registo encontrado | Nenhum registo DMARC estava presente no seu DNS. | Crie um registo DMARC para o seu domínio e publique-o no seu DNS. |
Assim que detetar erros no seu registo, deve implementar as alterações necessárias no seu DNS e guardar as alterações. Pode voltar a verificar o seu registo assim que as alterações forem processadas.
Registo DMARC para domínios que não enviam
A maioria das pessoas limita-se a proteger os seus domínios activos, mas mal sabem que os atacantes podem falsificar até os seus domínios que não são de envio para enviar e-mails falsos em seu nome! Para evitar isto, eis os passos a seguir para implementar DMARC para os seus domínios não remetentes:
- Publicar um registo DMARC não permissivoComeça por publicar um registo DMARC para o domínio inativo com uma política imposta como p=rejeitar.
- Ignorar relatórios: Uma vez que o domínio não envia e-mails, não é necessário configurar relatórios RUA ou RUF para ele.
- Publicar um registo SPF restritivo: Definir v=spf1 -all para impedir o envio de correio eletrónico.
- Desativar os serviços de correio eletrónico integrados: Se o domínio ainda estiver ligado a servidores de correio eletrónico externos, pode ser uma boa ideia restringi-los se o domínio já não estiver a ser utilizado.
Consequências de não proteger os seus domínios inactivos
A não implementação do DMARC nos seus domínios não remetentes pode ter várias consequências, tais como
- Maior risco de ataques de spoofing e phishing
- Danos à reputação da marca e do domínio
- A utilização abusiva de um domínio passa despercebida durante longos períodos de tempo
Registo DMARC único por domínio
Ao configurar o seu registo DMARC, é importante publicar uma única entrada de registo por domínio. Vários registos DMARC para um único domínio podem causar conflitos e falhas de autenticação injustificadas!
Porque é que múltiplos registos DMARC são um problema
- Falhas de autenticação de correio eletrónico: Os receptores de correio eletrónico podem não saber qual o registo DMARC a seguir.
- Configurações incorrectas e incoerências: Políticas contraditórias (por exemplo, um registo que utiliza p=nenhum e outro que utiliza p=rejeitar) conduzem a uma aplicação imprevisível.
- Relatórios inexactos: Os relatórios DMARC podem estar incompletos ou não serem fiáveis.
Melhores práticas para uma implementação correta do DMARC
Para garantir a configuração correta do registo DMARC, eis as melhores práticas de implementação:
- Publicar um único registo para DMARC por domínio.
- Evite configurar o DMARC sp a menos que queira que os seus subdomínios tenham uma política diferente.
- Utilizar uma ferramenta de verificação DMARC para validar o seu registo depois de o publicar.
- Monitorize regularmente os seus relatórios DMARC para garantir que as actividades suspeitas não passam despercebidas.
Próximos passos após a publicação de um registo DMARC
Depois de ter publicado o seu registo DMARC, o passo seguinte deve ser concentrar-se na proteção do seu domínio contra burlões e falsários. Esta é a sua principal agenda quando está a implementar protocolos de segurança e serviços de autenticação de correio eletrónico.
A simples publicação de um registo DMARC com uma política p=none não oferece qualquer proteção contra ataques de falsificação de domínio e fraude de correio eletrónico. Para isso, é necessário mudar para a aplicação do DMARC.
Para mudar para a aplicação do DMARC, uma abordagem gradual é a sua melhor aposta para obter resultados ideais sem qualquer impacto negativo na sua capacidade de entrega. Eis um processo passo-a-passo que pode seguir:
- Comece com uma política p=none, que é o seu modo de monitorização.
- Active a criação de relatórios DMARC para o seu domínio para analisar o tráfego de correio eletrónico e a capacidade de entrega.
- Passar para a quarentena, mantendo a pct (percentagem) em 10, e aumentá-la gradualmente para 100% ao longo de algumas semanas.
- Quando estiver confiante na sua configuração, passe para p=reject, mantendo pct na definição de percentagem mais baixa e aumentando gradualmente até à aplicação total para 100% do seu volume de correio.
Como o PowerDMARC simplifica o gerenciamento de registros DMARC
Para as organizações que operam vários domínios, ou simplesmente para aquelas que não querem ter o incómodo de configurar e manter manualmente os registos DMARC, existe o PowerDMARC. Uma solução simples e amiga do cliente que automatiza a gestão de registos DMARC sob um único teto. Alimentado por tecnologia de inteligência contra ameaças orientada por IA e relatórios detalhados, o PowerDMARC tem ajudado mais de 2000 clientes em todo o mundo a simplificar sua jornada DMARC.
Para começar, faça um teste gratuito de teste de 15 dias da plataforma hoje mesmo!
FAQs sobre registos DMARC
1. Porque preciso de um registo DMARC?
Os registos DMARC ajudam a evitar a falsificação de identidade do domínio, reduzindo assim o risco de várias ameaças baseadas em correio eletrónico, como phishing, spoofing e ataques de ransomware. Sem um registo DMARC, o seu domínio corre um risco maior de ser comprometido ou mal utilizado por agentes de ameaças.
2. Quais são os erros de registo DMARC mais comuns?
Algumas configurações incorrectas comuns do DMARC incluem:
- Ter vários registos DMARC, uma vez que um domínio só pode ter um registo DMARC.
- Erros de sintaxe como formatação incorrecta (por exemplo, falta de ponto e vírgula ou espaços).
- Valores de política inválidos, como a utilização de etiquetas incorrectas como p=rejected em vez de p=reject.
- Endereços de correio eletrónico de comunicação de dados danificados, tais como endereços de correio eletrónico rua ou ruf incorrectos, conduzem a relatórios não entregues.
3. Posso ter vários registos DMARC para um único domínio?
Não, um domínio só pode ter um registo DMARC. Se existirem vários registos, os fornecedores de correio eletrónico podem ignorar a configuração, conduzindo a falhas de autenticação e lacunas de segurança.
4. Quanto tempo demora a propagação de um registo DMARC?
O tempo de propagação do registo DMARC normalmente varia de alguns minutos a até 48 horas, dependendo do cache do DNS e das configurações de TTL (Time-to-Live).
5. O que acontece se o meu registo DMARC for inválido?
Se um registo DMARC for inválido, pode dar origem a uma série de problemas, como tentativas de autenticação ou verificações falhadas e problemas de entrega de correio eletrónico, e o seu domínio pode mesmo ficar vulnerável a spoofing.
6. O que acontece se o domínio não tiver publicado um registo DMARC?
Se for um remetente em massa com um registo DMARC não publicado, será confrontado com rejeições de correio eletrónico ao enviar mensagens para Google e Yahoo e Yahoo. Além disso, o seu domínio pode tornar-se um alvo privilegiado para os atacantes, uma vez que não haverá restrições à sua falsificação.
- Como criar e publicar um registo DMARC - 3 de março de 2025
- Como corrigir "Nenhum registo SPF encontrado" em 2025 - 21 de janeiro de 2025
- Como ler um relatório DMARC - 19 de janeiro de 2025