Quando o SPF e o DKIM estiverem implementados, configure o DMARC adicionando políticas para os registros DNS do seu domínio na forma de registros TXT (como feito com o SPF ou o ADSP).
Siga as instruções para criar um registro TXT com o nome e o valor apropriados utilizando as instruções específicas para hosts de domínios conhecidos. O nome de registro TXT deve ser “_dmarc.seu_dominio.com”, onde “seu_dominio.com” é substituído pelo nome de seu domínio. Você também pode consultar as limitações de determinados hosts de domínios.
Veja algumas tags de uso comum em registros TXT DMARC:
| Nome da tag | Obrigatório | Objetivo | Exemplo |
|---|---|---|---|
|
v |
obrigatório | Versão do protocolo | v=DMARC1 |
|
p |
obrigatório | Política para o domínio | p=quarentena |
|
pct |
opcional | % de mensagens sujeitas a filtragem | pct=20 |
|
rua |
opcional | URI de relatórios agregados | rua=mailto:[email protected] |
|
sp |
opcional | Política para os subdomínios do domínio | sp=reject |
|
aspf |
opcional | Modo de alinhamento do SPF | aspf=r |
Consulte o Registro de tags DMARC para informações sobre outras tags disponíveis.
Somente as tags v (versão) e p (política) são obrigatórias. Estão disponíveis três possíveis configurações de política ou disposições de mensagens:
- nenhuma: não execute uma ação. Registre as mensagens afetadas apenas no relatório diário.
- em quarentena: as mensagens afetadas são marcadas como spam.
- rejeitar: a mensagem é cancelada na camada SMTP.
O modo de alinhamento está relacionado à precisão com a qual os registros do emissor são comparados às assinaturas SPF e DKIM, com variação dos valores possíveis para maior ou menor precisão. Representado por “r” e “s”, respectivamente. Resumindo, os valores menos precisos permitem criar correspondências parciais, como subdomínios de um determinado domínio, e os mais precisos exigem uma correspondência exata.
Não se esqueça de incluir seu endereço de e-mail, juntamente com a tag “rua”, para receber os relatórios diários.
Veja alguns exemplos de registros DMARC TXT (_dmarc.seu_domínio.com IN TXT) que você pode modificar para uso próprio. Observe que é necessário substituir “seu_domínio.com” e “postmaster@seu_domínio.com” por seu domínio e endereço de e-mail reais.
No exemplo de registro TXT abaixo, se uma mensagem parece vir de seu_domínio.com e não passa pelas verificações de DMARC, nenhuma ação é efetuada. Em vez disso, todas essas mensagens são exibidas no relatório diário agregado enviado a “postmaster@seu_domínio.com”.
"v=DMARC1; p=none; rua=mailto:postmaster@seu_dominio.com"No próximo registro TXT de exemplo, se uma mensagem alegar ser proveniente de seu_domínio.com e não for aprovada nas verificações do DMARC, coloque-a em quarentena 5% do tempo. Em seguida, envie por e-mail os relatórios diários agregados para “postmaster@seu_dominio.com”.
"v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@seu_dominio.com"No exemplo final, se uma mensagem alegar ser proveniente de “seu_domínio.com” e não for aprovada nas verificações do DMARC, rejeite-a 100% do tempo. Em seguida, envie por e-mail os relatórios diários agregados para “postmaster@seu_dominio.com” e “dmarc@seu_dominio.com”.
"v=DMARC1; p=reject; rua=mailto:postmaster@seu_dominio.com, mailto:dmarc@seu_dominio.com"
Implantar lentamente
Recomendamos aumentar o uso do DMARC lentamente e aplicar essas políticas na ordem indicada a seguir. Primeiro, monitore seu tráfego e procure anomalias nos relatórios, como mensagens que ainda não estão sendo assinadas ou que talvez estejam sendo falsificadas. Em seguida, quando você estiver satisfeito com os resultados, altere a configuração da política dos registros TXT de “nenhuma” para “quarentena”. Examine os resultados novamente, desta vez no spam coletado e nos relatórios diários de DMARC. Por fim, quando você tiver certeza de que todas as suas mensagens estejam assinadas, altere a configuração da política para “rejeitar”, a fim de usar o DMARC da melhor maneira possível. Verifique os relatórios mais de uma vez para garantir que seus resultados sejam aceitáveis.
Assim, a tag pct opcional pode ser utilizada para efetuar e testar a implantação do DMARC. Como 100% é o padrão, transmitir “pct=20” no registro TXT DMARC faz com que um quinto de todas as mensagens afetadas pela política recebam a disposição, em vez de todas elas. Essa configuração é particularmente útil quando você opta por colocar os e-mails em quarentena ou rejeitá-los. Comece com um percentual mais baixo e aumente-o a cada três ou quatro dias.
Assim, um ciclo de implantação conservador teria o seguinte aspecto:
- Monitorar tudo.
- Colocar em quarentena 1%.
- Colocar em quarentena 5%.
- Colocar em quarentena 10%.
- Colocar em quarentena 25%.
- Colocar em quarentena 50%.
- Colocar tudo em quarentena.
- Rejeitar 1%.
- Rejeitar 5%.
- Rejeitar 10%.
- Rejeitar 25%.
- Rejeitar 50%.
- Rejeitar tudo.
Tente remover os percentuais o mais rápido possível para concluir a implantação.
Como sempre, examine os relatórios diários.
