Adicionar um registro DMARC

Quando o SPF e o DKIM estiverem implementados, configure o DMARC adicionando políticas para os registros DNS do seu domínio na forma de registros TXT (como feito com o SPF ou o ADSP).

Importante: antes de criar um registro DMARC para seu domínio do G Suite, configure a autenticação DKIM. Se você não configurar o DKIM, e-mails de serviços como o Google Agenda não passarão na autenticação de e-mails e não serão entregues aos usuários.

Siga as instruções para criar um registro TXT com o nome e o valor apropriados utilizando as instruções específicas para hosts de domínios conhecidos. O nome de registro TXT deve ser “_dmarc.seu_dominio.com”, onde “seu_dominio.com” é substituído pelo nome de seu domínio. Você também pode consultar as limitações de determinados hosts de domínios.

Veja algumas tags de uso comum em registros TXT DMARC:

Nome da tag Obrigatório Objetivo Exemplo

v

obrigatório Versão do protocolo v=DMARC1

p

obrigatório Política para o domínio p=quarentena

pct

opcional % de mensagens sujeitas a filtragem pct=20

rua

opcional URI de relatórios agregados rua=mailto:[email protected]

sp

opcional Política para os subdomínios do domínio sp=reject

aspf

opcional Modo de alinhamento do SPF aspf=r

Consulte o Registro de tags DMARC para informações sobre outras tags disponíveis.

O Google não oferece suporte para a tag ruf DMARC para a distribuição de relatórios forenses.

Somente as tags v (versão) e p (política) são obrigatórias. Estão disponíveis três possíveis configurações de política ou disposições de mensagens:

  • nenhuma: não execute uma ação. Registre as mensagens afetadas apenas no relatório diário.
  • em quarentena: as mensagens afetadas são marcadas como spam.
  • rejeitar: a mensagem é cancelada na camada SMTP.

O modo de alinhamento está relacionado à precisão com a qual os registros do emissor são comparados às assinaturas SPF e DKIM, com variação dos valores possíveis para maior ou menor precisão. Representado por “r” e “s”, respectivamente. Resumindo, os valores menos precisos permitem criar correspondências parciais, como subdomínios de um determinado domínio, e os mais precisos exigem uma correspondência exata.

Não se esqueça de incluir seu endereço de e-mail, juntamente com a tag “rua”, para receber os relatórios diários.

Veja alguns exemplos de registros DMARC TXT (_dmarc.seu_domínio.com IN TXT) que você pode modificar para uso próprio. Observe que é necessário substituir “seu_domínio.com” e “postmaster@seu_domínio.com” por seu domínio e endereço de e-mail reais.

No exemplo de registro TXT abaixo, se uma mensagem parece vir de seu_domínio.com e não passa pelas verificações de DMARC, nenhuma ação é efetuada. Em vez disso, todas essas mensagens são exibidas no relatório diário agregado enviado a “postmaster@seu_domínio.com”.

"v=DMARC1; p=none; rua=mailto:postmaster@seu_dominio.com"No próximo registro TXT de exemplo, se uma mensagem alegar ser proveniente de seu_domínio.com e não for aprovada nas verificações do DMARC, coloque-a em quarentena 5% do tempo. Em seguida, envie por e-mail os relatórios diários agregados para “postmaster@seu_dominio.com”.

"v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@seu_dominio.com"No exemplo final, se uma mensagem alegar ser proveniente de “seu_domínio.com” e não for aprovada nas verificações do DMARC, rejeite-a 100% do tempo. Em seguida, envie por e-mail os relatórios diários agregados para “postmaster@seu_dominio.com” e “dmarc@seu_dominio.com”.

"v=DMARC1; p=reject; rua=mailto:postmaster@seu_dominio.com, mailto:dmarc@seu_dominio.com"

Implantar lentamente

Recomendamos aumentar o uso do DMARC lentamente e aplicar essas políticas na ordem indicada a seguir. Primeiro, monitore seu tráfego e procure anomalias nos relatórios, como mensagens que ainda não estão sendo assinadas ou que talvez estejam sendo falsificadas. Em seguida, quando você estiver satisfeito com os resultados, altere a configuração da política dos registros TXT de “nenhuma” para “quarentena”. Examine os resultados novamente, desta vez no spam coletado e nos relatórios diários de DMARC. Por fim, quando você tiver certeza de que todas as suas mensagens estejam assinadas, altere a configuração da política para “rejeitar”, a fim de usar o DMARC da melhor maneira possível. Verifique os relatórios mais de uma vez para garantir que seus resultados sejam aceitáveis.

Assim, a tag pct opcional pode ser utilizada para efetuar e testar a implantação do DMARC. Como 100% é o padrão, transmitir “pct=20” no registro TXT DMARC faz com que um quinto de todas as mensagens afetadas pela política recebam a disposição, em vez de todas elas. Essa configuração é particularmente útil quando você opta por colocar os e-mails em quarentena ou rejeitá-los. Comece com um percentual mais baixo e aumente-o a cada três ou quatro dias.

Assim, um ciclo de implantação conservador teria o seguinte aspecto:

  1. Monitorar tudo.
  2. Colocar em quarentena 1%.
  3. Colocar em quarentena 5%.
  4. Colocar em quarentena 10%.
  5. Colocar em quarentena 25%.
  6. Colocar em quarentena 50%.
  7. Colocar tudo em quarentena.
  8. Rejeitar 1%.
  9. Rejeitar 5%.
  10. Rejeitar 10%.
  11. Rejeitar 25%.
  12. Rejeitar 50%.
  13. Rejeitar tudo.

Tente remover os percentuais o mais rápido possível para concluir a implantação.

Como sempre, examine os relatórios diários.

Rolar para cima