Ir para o conteudo principal

Ferramenta gratuita de monitoring DMARC

Receba, analise e atue sobre seus relatórios DMARC agregados

Você publica um registro DMARC, mas sabe realmente o que está acontecendo? Serviços legítimos falham no alinhamento SPF ou DKIM. Terceiros enviam e-mails em nome do seu domínio sem o seu consentimento. Sem monitoring DMARC, você está navegando às cegas. O CaptainDNS recebe seus relatórios DMARC agregados automaticamente, analisa os resultados de autenticação SPF e DKIM e mostra exatamente quem está enviando e-mails pelo seu domínio, e se deveria estar.

Faça login para gerenciar seus domínios de monitoramento DMARC

Faça login para gerenciar seus domínios de monitoramento DMARC
Assistente de configuração inteligente

O assistente detecta seu registro DMARC atual: sem registro, existente com rua= ou existente sem. Ele gera o registro TXT exato para criar ou atualizar, preservando sua política (reject, quarantine, none).

Verificação de domínio compartilhada

Um único registro TXT comprova a propriedade do domínio em todos os serviços do CaptainDNS: monitoring DMARC, hospedagem MTA-STS, monitoring TLS-RPT e hospedagem BIMI.

Acompanhamento de conformidade SPF/DKIM

Acompanhe as pontuações de conformidade DMARC, taxas de sucesso SPF e DKIM, alinhamento de identificadores e disposições aplicadas por fonte. Identifique remetentes legítimos mal configurados instantaneamente.

Ingestão de relatórios multiprovedores

Receba relatórios DMARC agregados do Google, Microsoft, Yahoo, Apple e qualquer provedor de e-mail compatível com DMARC via HTTPS e email. Sem restrições nas fontes de relatórios.

Gestão multidomínio

Monitore relatórios DMARC de até 5 domínios a partir de um único painel. Cada domínio possui seu próprio coletor de relatórios verificado e métricas de conformidade.

Por que monitorar os relatórios DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance, RFC 7489) é o padrão de autenticação de e-mail que unifica SPF e DKIM para proteger seu domínio contra falsificação e phishing. Mas publicar um registro DMARC é apenas o primeiro passo. Sem monitoramento contínuo, você não sabe:

  • Quais fontes enviam e-mails em nome do seu domínio
  • Se seus fluxos legítimos de e-mail passam nos controles SPF e DKIM com alinhamento correto
  • Se terceiros não autorizados estão explorando seu domínio para phishing ou spam

Problemas comuns detectados através do monitoring DMARC:

  • Remetentes terceirizados mal configurados: um CRM, plataforma de newsletter ou sistema de faturamento envia e-mails pelo seu domínio sem alinhamento SPF ou DKIM adequado. Seus e-mails vão parar no spam ou são rejeitados.
  • Falsificação de domínio e phishing: atores maliciosos forjam seu endereço From para enviar e-mails de phishing. Sem monitoring, você não tem visibilidade sobre esses ataques.
  • Migrações de e-mail incompletas: após trocar de provedor de e-mail, o serviço antigo continua enviando e-mails sem alinhamento, derrubando sua taxa de conformidade DMARC.
  • Serviços de e-mail de TI paralela: departamentos usam serviços de e-mail que você não autorizou. Os relatórios DMARC revelam esses remetentes desconhecidos.

Como funciona a autenticação DMARC

O DMARC se baseia em dois protocolos subjacentes: SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail). Cada um autentica um aspecto diferente do e-mail:

ProtocoloO que verificaComo funciona
SPFIP do remetente do envelopeO servidor receptor verifica se o IP do remetente está listado no registro DNS SPF do domínio
DKIMIntegridade da mensagemUma assinatura criptográfica no cabeçalho do e-mail é verificada contra uma chave pública no DNS
DMARCAlinhamento de identificadoresVerifica se pelo menos um entre SPF ou DKIM passa e está alinhado com o domínio do cabeçalho From

O conceito-chave é o alinhamento. SPF e DKIM podem ambos passar, mas se nenhum estiver alinhado com o domínio no cabeçalho From, o DMARC ainda falha. Esta é a causa mais comum de falhas de autenticação, e a principal razão pela qual o monitoring é importante.

O DMARC também define o que os servidores receptores devem fazer quando a autenticação falha: nada (p=none), colocar a mensagem em quarentena (p=quarantine) ou rejeitá-la (p=reject).

Como configurar o monitoring DMARC em 3 passos

Passo 1: Adicione seu domínio e verifique a propriedade

Faça login e registre o domínio que deseja monitorar. Adicione o registro TXT de verificação do CaptainDNS ao seu DNS. Esse sistema de verificação é compartilhado entre todos os serviços do CaptainDNS (hospedagem MTA-STS, monitoring TLS-RPT, hospedagem BIMI).

Passo 2: Configure seu registro DNS DMARC

O assistente de configuração analisa o estado DNS atual e propõe o registro exato a publicar:

  • Sem registro DMARC existente: um registro completo é gerado com p=none e nosso endereço rua=
  • Registro DMARC existente: sua política, configurações de alinhamento e endereços rua= existentes são preservados; nosso endereço é adicionado automaticamente
  • Registro existente inválido: o problema é sinalizado e uma substituição limpa é proposta

Basta copiar o host (_dmarc.seudominio.com) e o valor, depois colá-los no seu provedor DNS.

Passo 3: Os relatórios são recebidos e analisados automaticamente

Os provedores de e-mail começam a enviar relatórios agregados em 24 a 48 horas. O CaptainDNS os recebe, descomprime o XML, analisa os resultados de autenticação e exibe os resultados no seu painel: pontuações de conformidade, IPs de origem, taxas de sucesso/falha e disposições aplicadas.

Entendendo os relatórios DMARC agregados

Os relatórios DMARC agregados (rua) são arquivos XML enviados periodicamente (geralmente a cada 24 horas) por provedores de e-mail como Google, Microsoft, Yahoo e Apple. Eles descrevem os resultados de autenticação para cada fonte que enviou e-mails usando seu domínio durante o período de relatório.

RUA vs RUF: relatórios agregados vs relatórios de falha

O DMARC define dois tipos de relatórios:

Tipo de relatórioTagFrequênciaConteúdoSuporte dos provedores
Agregado (RUA)rua=Diário (geralmente a cada 24h)Dados de autenticação resumidos por IP de origemAmplamente suportado por todos os principais provedores
Forense (RUF)ruf=Por falhaDetalhes de mensagens individuais incluindo cabeçalhosMuito limitado (a maioria dos provedores não envia relatórios RUF por questões de privacidade)

O CaptainDNS foca nos relatórios agregados (RUA), que fornecem os dados necessários para acompanhamento de conformidade e identificação de fontes. Relatórios forenses raramente estão disponíveis na prática.

O que contém um relatório DMARC agregado?

CampoDescrição
Organização remetenteO provedor de e-mail que gerou o relatório (Google, Microsoft, Yahoo, etc.)
Intervalo de datasTimestamps de início e fim da janela de relatório
Política publicadaSua política DMARC (none, quarantine, reject) e porcentagens aplicadas
Resultados por IP de origemPara cada IP de envio: contagem de mensagens, resultado SPF, resultado DKIM, status de alinhamento, disposição aplicada
Identificadores de cabeçalhoDomínio do cabeçalho From e domínios usados para avaliação SPF e DKIM

Exemplo de relatório DMARC agregado

Aqui está um extrato simplificado de um relatório DMARC agregado em formato XML:

<?xml version="1.0" encoding="UTF-8"?>
<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <date_range>
      <begin>1710201600</begin>
      <end>1710288000</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>example.com</domain>
    <p>none</p>
    <sp>none</sp>
    <pct>100</pct>
  </policy_published>
  <record>
    <row>
      <source_ip>203.0.113.1</source_ip>
      <count>1547</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <row>
      <source_ip>198.51.100.42</source_ip>
      <count>23</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>
</feedback>

A primeira linha mostra 1.547 mensagens de uma fonte legítima passando em ambos os controles. A segunda linha revela 23 mensagens de um IP desconhecido falhando tanto em SPF quanto em DKIM, uma potencial tentativa de falsificação. O CaptainDNS analisa esses relatórios automaticamente e apresenta os dados no seu painel.

Referência das tags do registro DMARC

Um registro DMARC TXT é publicado em _dmarc.seudominio.com. Aqui estão as tags disponíveis:

TagObrigatóriaExemploDescrição
vSimv=DMARC1Versão do protocolo (sempre DMARC1)
pSimp=nonePolítica para o domínio: none, quarantine ou reject
spNãosp=rejectPolítica para subdomínios (herda de p se não definida)
ruaNãorua=mailto:reports@example.comOnde enviar os relatórios agregados
rufNãoruf=mailto:forensics@example.comOnde enviar os relatórios de falha
adkimNãoadkim=sModo de alinhamento DKIM: r (relaxado, padrão) ou s (estrito)
aspfNãoaspf=rModo de alinhamento SPF: r (relaxado, padrão) ou s (estrito)
pctNãopct=50Porcentagem de mensagens sujeitas à política (padrão 100)
foNãofo=1Opções de relatório forense: 0 (padrão), 1, d, s
riNãori=86400Intervalo de relatórios em segundos (padrão 86400 = 24h)

Use nosso Gerador DMARC para criar um registro válido, ou o Verificador de sintaxe DMARC para validar um existente.

Do monitoring à aplicação: o caminho até p=reject

O DMARC é mais eficaz com p=reject, onde mensagens falsificadas são descartadas completamente. Mas passar diretamente para reject sem monitoring é perigoso: remetentes legítimos com autenticação mal configurada terão seus e-mails bloqueados.

Progressão recomendada:

  1. p=none (apenas monitoring): colete relatórios por 2 a 4 semanas. Identifique todas as fontes legítimas e corrija qualquer problema de alinhamento SPF/DKIM. Meta: taxa de conformidade acima de 95%.

  2. p=quarantine (aplicação parcial): mensagens com falha são enviadas para spam em vez da caixa de entrada. Use pct=25 inicialmente, depois aumente para 50% e 100% ao longo de 2 a 4 semanas. Monitore se e-mails legítimos estão sendo colocados em quarentena.

  3. p=reject (aplicação total): mensagens com falha são descartadas. A falsificação de domínio é totalmente bloqueada. Comece com pct=25, depois aumente até 100%.

Cronograma: A maioria das organizações completa essa jornada em 4 a 8 semanas. Não tenha pressa. Cada etapa deve confirmar que nenhum fluxo legítimo de e-mail é impactado.

Atingir p=reject também desbloqueia o BIMI (Brand Indicators for Message Identification), que exibe o logotipo da sua marca ao lado dos seus e-mails em caixas de entrada compatíveis.

Requisitos DMARC do Google e Yahoo

Desde fevereiro de 2024, o Google e o Yahoo aplicam requisitos mais rigorosos de autenticação de e-mail para remetentes em massa (5.000+ mensagens por dia para endereços Gmail ou Yahoo):

  • Registro DMARC obrigatório: remetentes em massa devem publicar um registro DMARC com pelo menos p=none
  • SPF e DKIM obrigatórios: ambos os protocolos devem ser configurados, não apenas um
  • Alinhamento obrigatório: o domínio do cabeçalho From deve estar alinhado com SPF ou DKIM
  • Cancelamento de inscrição com um clique: e-mails de marketing devem suportar o cancelamento de inscrição com um clique conforme RFC 8058

O monitoring DMARC é essencial para atender a esses requisitos. Sem ele, você não pode verificar se suas fontes de e-mail passam nos controles de autenticação ou manter a taxa de conformidade exigida. Remetentes não conformes correm o risco de ter seus e-mails limitados ou rejeitados pelo Google e Yahoo.

Falhas DMARC comuns e como corrigi-las

FalhaCausaCorreção
Alinhamento SPF falhaO domínio do remetente do envelope difere do domínio do cabeçalho FromConfigure o serviço terceirizado para usar seu domínio como remetente do envelope, ou adicione os IPs de envio ao seu registro SPF
Alinhamento DKIM falhaA assinatura DKIM usa um domínio diferente do cabeçalho FromConfigure a assinatura DKIM com seu domínio (não o domínio padrão do provedor)
SPF excede o limite de consultas DNSO registro SPF tem mais de 10 consultas DNSSimplifique seu registro SPF ou remova includes não utilizados. Use nosso Verificador de sintaxe SPF
Remetente terceirizado falha em ambosO serviço envia em seu nome sem SPF ou DKIMAdicione os IPs do serviço ao seu registro SPF e configure a assinatura DKIM
Falsificação de subdomínioAtacantes usam subdomínios que você não protegeuAdicione sp=reject ao seu registro DMARC para aplicar a política de rejeição a todos os subdomínios
E-mail encaminhado falhaO encaminhamento de e-mail quebra o SPF; o DKIM sobrevive se o corpo não for alteradoCertifique-se de que o DKIM está configurado, ele sobrevive ao encaminhamento. Considere o suporte a ARC (Authenticated Received Chain)

Casos de uso reais

Caso 1: Identificando um serviço terceirizado mal configurado

Sintoma: A taxa de conformidade DMARC cai de 98% para 72% em uma semana.

Diagnóstico: O painel mostra um novo IP de origem enviando volume significativo sem alinhamento DKIM. Trata-se do novo CRM de marketing, configurado sem assinatura DKIM para seu domínio.

Ação: Configure a assinatura DKIM no CRM. A taxa de conformidade se recupera nos relatórios seguintes.

Caso 2: Detectando falsificação de domínio

Sintoma: IPs de origem desconhecidos aparecem nos relatórios, enviando e-mails em nome do seu domínio com falha total em SPF e DKIM.

Diagnóstico: Os relatórios DMARC revelam tentativas de phishing a partir de servidores em jurisdições suspeitas. Sua política p=none permite que essas mensagens passem.

Ação: Passe progressivamente sua política de p=none para p=quarantine e depois para p=reject. Os relatórios seguintes confirmam que as mensagens fraudulentas estão sendo rejeitadas.

Caso 3: Atendendo aos requisitos de remetentes em massa do Google

Sintoma: O Gmail começa a adiar seus e-mails de marketing com erros temporários 4xx. As taxas de entrega caem.

Diagnóstico: O monitoring DMARC mostra que sua plataforma de newsletter envia e-mails sem alinhamento DKIM ao domínio do cabeçalho From. A política de remetentes em massa do Google exige conformidade de autenticação.

Ação: Configure a assinatura DKIM para seu domínio na plataforma de newsletter e verifique o alinhamento através dos relatórios DMARC. As taxas de entrega voltam ao normal em poucos dias.

FAQ - Perguntas frequentes

P: O que é monitoring DMARC?

R: Monitoring DMARC significa receber e analisar os relatórios agregados (rua) enviados pelos provedores de e-mail. Esses relatórios mostram quais fontes enviam e-mails em nome do seu domínio e se passam nos controles SPF e DKIM com o alinhamento correto.

P: Qual é a diferença entre relatórios DMARC agregados (RUA) e relatórios de falha (RUF)?

R: Os relatórios agregados (rua) são enviados diariamente e contêm dados de autenticação resumidos por IP de origem. Os relatórios de falha (ruf) são enviados para falhas individuais de mensagens e contêm mais detalhes, incluindo cabeçalhos de mensagens. A maioria dos provedores envia apenas relatórios agregados. O CaptainDNS foca na análise de relatórios agregados.

P: Como o DMARC funciona com SPF e DKIM?

R: O DMARC se baseia no SPF e DKIM adicionando o alinhamento de identificadores. O SPF valida o IP do remetente do envelope, o DKIM valida uma assinatura criptográfica e o DMARC verifica se pelo menos um passa com alinhamento ao domínio do cabeçalho From. O monitoring revela quando o alinhamento falha.

P: Com qual política DMARC devo começar?

R: Comece com p=none para monitorar sem afetar a entrega de e-mails. Quando sua taxa de conformidade DMARC estiver consistentemente acima de 95%, passe para p=quarantine. Após confirmar que nenhum e-mail legítimo é impactado, defina p=reject para proteção total contra falsificação.

P: Como configuro o monitoring DMARC?

R: Adicione seu domínio no CaptainDNS, verifique a propriedade pelo registro TXT e depois siga o assistente de configuração que detecta seu registro DMARC atual e propõe a atualização exata necessária. Os relatórios começam a chegar em 24 a 48 horas.

P: O monitoring DMARC é gratuito com o CaptainDNS?

R: Sim, completamente gratuito para até 5 domínios. Sem taxas ocultas, sem período de teste. Todo domínio deveria poder monitorar seus relatórios DMARC agregados independentemente do orçamento.

P: O Google e o Yahoo exigem DMARC?

R: Sim. Desde fevereiro de 2024, o Google e o Yahoo exigem que remetentes em massa (5.000+ mensagens por dia) publiquem um registro DMARC. O monitoring ajuda você a atender e manter esses requisitos acompanhando a conformidade de autenticação.

P: O que acontece se eu definir minha política DMARC como reject?

R: Com p=reject, os servidores receptores descartam mensagens que falham tanto no alinhamento SPF quanto DKIM. Isso previne completamente a falsificação de domínio, mas pode bloquear e-mails legítimos se os remetentes terceirizados não estiverem configurados corretamente. Sempre monitore primeiro com p=none.

P: Quanto tempo leva para receber relatórios DMARC?

R: A maioria dos provedores de e-mail envia relatórios agregados a cada 24 horas. Após publicar seu endereço rua=, espere os primeiros relatórios em 24 a 48 horas, dependendo do seu volume de e-mails.

P: Qual é a relação entre monitoring DMARC e registro DMARC?

R: O registro DMARC define sua política de autenticação (none, quarantine, reject) e a tag rua= especifica onde enviar os relatórios. O monitoring DMARC analisa esses relatórios para mostrar quem está usando seu domínio e se a autenticação está funcionando corretamente.

Ferramentas complementares

FerramentaUtilidade
Verificação de registro DMARCVerificar o registro DMARC DNS do seu domínio
Gerador DMARCGerar um registro DNS DMARC
Verificação de sintaxe DMARCValidar a sintaxe de um registro DMARC
Verificação de registro SPFVerificar seu registro DNS SPF
Verificação de registro DKIMVerificar seu registro DNS DKIM
Hospedagem MTA-STSHospedar gratuitamente sua política MTA-STS
Monitoring TLS-RPTMonitorar os relatórios SMTP TLS
Hospedagem BIMIHospedar gratuitamente seu logotipo e certificado BIMI

Recursos úteis