Ir para o conteúdo principal
CaptainDNS
NOVO·Monitoramento de segurança e entregabilidade de e-mail. Receba um alerta assim que uma mudança de nota ou de registro DNS colocar seu domínio em risco.Saiba mais

DMARC Generator

Crie um registro DMARC e pare o spoofing de email em 30 segundos

Quer parar o spoofing de email no seu domínio? Crie um registro DMARC em 30 segundos. Configure política, alinhamento, relatórios - copie o registro e publique. Sem sintaxe para memorizar.

1O seu domínio

O registo será publicado em _dmarc.seudominio. Verificamos se já existe um.

Este domínio envia emails?
2Aonde quer chegar?

Escolha o seu objetivo. A ferramenta indicará por onde começar para o alcançar sem quebrar os seus emails.

Sem relatórios, o DMARC está cego: não consegue saber se pode endurecer a política. É o combustível da transição.

3Opções avançadasOpcional
Subdomínios, alinhamento, relatórios forenses, modo de teste

Sem sp, os subdomínios herdam a política principal. Force sp=reject nos subdomínios que não enviam.

np (DMARCbis) protege os subdomínios que não existem. np=reject é um ganho rápido contra a falsificação sem risco: nenhuma mensagem legítima sai jamais de um subdomínio inexistente.

Modo de teste (t)

Monitoramento DMARC automático

Receba automaticamente relatórios DMARC e monitore a conformidade de autenticação de e-mail dos seus domínios em tempo real.

Configurar monitoramento DMARC

Política configurável

Escolha none (observar), quarantine (spam) ou reject (bloquear). Defina uma política diferente para subdomínios se necessário.

Alinhamento SPF e DKIM

Configure alinhamento relaxed ou strict para SPF e DKIM. O alinhamento strict reforça a proteção depois que os seus fluxos estiverem estabilizados.

Relatórios agregados (RUA)

Receba relatórios diários sobre fontes de envio, taxas de sucesso/falha e erros. Essencial para mapear os seus fluxos antes de endurecer a política.

Relatórios forenses (RUF)

Obtenha detalhes de cada falha individual. Útil para diagnosticar problemas específicos (poucos provedores os enviam).

Implementação progressiva

Avance por fases DMARCbis: none para observar, quarantine em modo de teste (t=y), quarantine aplicado (t=n), depois reject. Limite os falsos positivos.

Por que gerar um registro DMARC?

O DMARC (Domain-based Message Authentication, Reporting and Conformance) é o protocolo que completa o SPF e o DKIM para proteger o seu domínio contra spoofing de email e phishing. Sem uma política DMARC, qualquer pessoa pode enviar emails se passando pelo seu domínio.

Três razões para ter DMARC:

  • Proteção de marca → Impeça fraudadores de usar o seu domínio para phishing (verifique com o Phishing URL Checker)
  • Visibilidade completa → Receba relatórios sobre quem envia emails do seu domínio
  • Melhor entregabilidade → Provedores (Gmail, Microsoft) priorizam domínios com DMARC

Como usar o gerador em 3 passos

Passo 1: Digite o seu domínio

Digite o seu domínio organizacional exatamente como aparece nos seus endereços de email (ex: captaindns.com). A ferramenta gera automaticamente o nome DNS completo: _dmarc.captaindns.com.

Passo 2: Configure as opções

Política principal (p): O que fazer com emails que falham?

  • none: Observar sem bloquear (recomendado para começar)
  • quarantine: Enviar para spam
  • reject: Bloquear completamente

Alinhamento (adkim, aspf): Como verificar a correspondência de domínios?

  • relaxed (r): Subdomínios aceitos (recomendado)
  • strict (s): Correspondência exata requerida

Relatórios (rua, ruf): Onde receber estatísticas?

  • Adicione mailto:dmarc@seudominio.com para relatórios agregados

Passo 3: Copie e publique

O gerador produz o registro DNS completo. Copie-o para a sua interface de gerenciamento DNS:

  • Nome: _dmarc.seudominio.com
  • Tipo: TXT
  • Valor: O registro gerado

A abordagem recomendada continua sendo "observar antes de bloquear": comece em modo de observação para mapear os seus fluxos, depois endureça a política sem arriscar bloquear emails legítimos. A ferramenta detecta um registro DMARC já presente no seu domínio e indica se você deve adicioná-lo, substituí-lo ou se ele já está correto (add, replace ou no_change).

O que é exatamente o DMARC?

O DMARC é uma política DNS que indica aos servidores de email:

  1. O que verificar: SPF ou DKIM passam E estão alinhados com o domínio visível?
  2. O que fazer em caso de falha: Observar (none), spam (quarantine), ou bloquear (reject)
  3. Onde reportar: Endereços de email para receber estatísticas

Exemplo de registro DMARC:

_dmarc.captaindns.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r"

Descodificado:

  • v=DMARC1: Versão do protocolo (obrigatório)
  • p=quarantine: Política = enviar para spam
  • rua=mailto:...: Endereço para relatórios agregados
  • adkim=r: Alinhamento DKIM relaxed
  • aspf=r: Alinhamento SPF relaxed

Todas as tags DMARC explicadas

Tags obrigatórias

TagValoresDescrição
vDMARC1Versão do protocolo. Sempre DMARC1.
pnone / quarantine / rejectPolítica para o domínio principal.

Tags opcionais comuns

TagValoresDescrição
spnone / quarantine / rejectPolítica para subdomínios existentes. Herda de p se ausente.
npnone / quarantine / rejectPolítica para subdomínios inexistentes (DMARCbis). Sem valor padrão, a definir explicitamente.
ruamailto:endereçoEndereços para relatórios agregados (diários).
rufmailto:endereçoEndereços para relatórios forenses (por falha).
adkimr (relaxed) / s (strict)Modo de alinhamento DKIM. Padrão r.
aspfr (relaxed) / s (strict)Modo de alinhamento SPF. Padrão r.

Tags avançadas

TagValoresDescrição
fo0 / 1 / d / sOpções de geração de relatórios forenses. Padrão 0.
ty / nModo de teste DMARCbis. t=y indica aos destinatários para não aplicarem a política durante a observação. Padrão n.

Tags obsoletas/depreciadas pelo DMARCbis

Estas tags são removidas pelo DMARCbis e não devem mais ser configuradas em um novo registro:

TagEstadoSubstituição
pctDepreciadaUse a transição por fases (none, quarantine com t=y, quarantine, reject).
riDepreciadaIntervalo de relatórios fixado em 24h, sem ajuste possível.
rfDepreciadaFormato de relatório forense, sem uso prático atualmente.

Casos de uso práticos

Caso 1: Domínio novo sem histórico

Objetivo: Proteger um domínio que começa a enviar emails.

Configuração recomendada:

v=DMARC1; p=none; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r

Próximos passos:

  1. Monitore os relatórios durante 2-4 semanas
  2. Identifique todas as fontes legítimas
  3. Passe para p=quarantine; t=y (teste, não aplicado), depois retire t=y quando os relatórios estiverem limpos
  4. Termine com p=reject

Caso 2: Domínio com múltiplos serviços (CRM, newsletter, transacional)

Objetivo: Proteger sem interromper fluxos existentes.

Configuração inicial:

v=DMARC1; p=none; sp=none; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r

Diagnóstico via relatórios RUA:

  • Liste todos os IPs/domínios que enviam
  • Verifique se cada fonte tem SPF e DKIM configurados
  • Identifique fontes não autorizadas (spoofing potencial)

Implementação progressiva:

v=DMARC1; p=quarantine; t=y; rua=mailto:dmarc@captaindns.com

Quando os relatórios deixarem de mostrar falhas legítimas, retire t=y para aplicar a quarentena, depois passe para p=reject.

Caso 3: Domínio que não envia emails

Objetivo: Prevenir qualquer uso fraudulento de um domínio "estacionado".

Configuração strict direta:

v=DMARC1; p=reject; sp=reject; np=reject; adkim=s; aspf=s

Nenhuma fase de observação é necessária se o domínio nunca deve enviar emails legítimos. np=reject bloqueia também qualquer subdomínio inexistente.

Erros frequentes a evitar

ErroProblemaSolução
Dois registros DMARCConflito, política ignoradaApenas um registro por domínio
Esquecer o mailto:Relatórios não enviadosrua=mailto:endereco@dominio.com
Pular diretamente para rejectBloqueio de emails legítimosComeçar com p=none, depois quarantine
Ignorar relatóriosSem visibilidade dos problemasAnalisar o RUA semanalmente
Alinhamento strict muito cedoFalhas com subdomínios ou serviços terceirosManter r (relaxed) até o inventário completo

Melhores práticas de implementação

Fase 1: Observação (2-4 semanas)

v=DMARC1; p=none; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r
  • Colete os relatórios
  • Identifique todas as fontes legítimas
  • Corrija o SPF/DKIM das fontes não alinhadas

Fase 2: Quarentena em modo de teste

v=DMARC1; p=quarantine; t=y; rua=mailto:dmarc@captaindns.com
  • t=y pede aos destinatários para não aplicarem a política, mas continuarem reportando
  • Verifique nos relatórios RUA que nenhuma fonte legítima falha
  • Quando os relatórios estiverem limpos, retire t=y para aplicar de fato a quarentena

Fase 3: Reject

v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r
  • Proteção máxima
  • Opcionalmente passe para alinhamento strict (adkim=s; aspf=s)

FAQ - Perguntas frequentes

P: O que é um registro DMARC?

R: O DMARC (Domain-based Message Authentication, Reporting and Conformance) é um registro DNS TXT que indica aos servidores de email como tratar emails que falham nas verificações SPF e DKIM. Protege o seu domínio contra spoofing e phishing.

P: Qual política DMARC devo usar para começar?

R: Comece sempre com p=none. Esta política não afeta a entrega, mas envia relatórios para você. Analise esses relatórios durante 2-4 semanas para identificar todos os fluxos legítimos antes de passar para quarantine e depois reject.

P: Qual é a diferença entre RUA e RUF?

R:

  • RUA (Reporting URI for Aggregate): Relatórios agregados diários com estatísticas globais
  • RUF (Reporting URI for Forensic): Relatórios detalhados por falha individual

RUA é essencial e suportado por todos. RUF é opcional e raramente suportado por provedores.

P: Como funciona o alinhamento DMARC?

R: O alinhamento verifica se o domínio visível (From:) corresponde ao domínio autenticado por SPF ou DKIM:

  • Relaxed (r): mail.exemplo.com alinha com exemplo.com
  • Strict (s): Correspondência exata requerida

P: Posso ter múltiplos registros DMARC?

R: Não. Só é permitido um registro DMARC por domínio. Múltiplos registros causam erros. Edite o existente em vez de adicionar um novo.

P: Quanto tempo até o DMARC estar ativo?

R: O registro fica ativo assim que o DNS propaga (de minutos a 48h). Os primeiros relatórios RUA chegam dentro de 24-48h após emails serem enviados do seu domínio.

P: Como recebo relatórios para um domínio externo?

R: Se o seu endereço RUA está em outro domínio, esse domínio deve autorizá-lo com:

seudominio._report._dmarc.dominio-relatorio.com TXT "v=DMARC1"

Prepare-se para o DMARCbis

O DMARCbis é o próximo Proposed Standard IETF que substitui o RFC 7489. Introduz novas tags (np, t, psd), remove as tags obsoletas (pct, rf, ri) e substitui a Public Suffix List por um algoritmo tree walk DNS. Verifique a compatibilidade do seu domínio com o DMARCbis Checker ou gere um registro compatível com a ferramenta de migração DMARCbis.

Ferramentas complementares

FerramentaPropósito
DMARC Record CheckVerifique seu registro DMARC existente
DMARC ValidatorValidar a sintaxe de um registro DMARC antes da publicação
Analisador de relatórios DMARCAnalise os relatórios DMARC agregados recebidos por email
Monitoring DMARCMonitoramento DMARC automatizado e contínuo para seus domínios
DMARCbis CheckerVerifique a compatibilidade do seu domínio com DMARCbis
Migração DMARCbisGere um registro DMARC compatível com o DMARCbis
SPF GeneratorCrie um registro SPF válido
DKIM GeneratorCrie suas chaves DKIM (RSA/Ed25519)
DKIM Record CheckVerifique sua assinatura DKIM
Mail TesterTeste a entregabilidade dos seus emails
Phishing URL CheckerVerifique se uma URL é usada em campanhas de phishing

Recursos úteis