Inspetor de registos DMARC

Como usar corretamente o inspetor DMARC

Verifique a política que os destinatários realmente leem antes de endurecer a aplicação. A ferramenta consulta _dmarc.<domínio>, interpreta cada etiqueta e destaca os alertas devolvidos pela API.

Prepare o domínio

Indique o domínio organizacional exatamente como aparece nos endereços de email. O inspetor adiciona automaticamente _dmarc, segue eventuais CNAME e recolhe todas as respostas TXT.

Leia os badges

Cada política recebe um badge com o estado, modos de alinhamento, percentagem aplicada e endereços rua/ruf. Erros significam que a política é ignorada; avisos apontam configurações arriscadas.

Compare as respostas

Resolvedor, latência e eventual ponto DoH permitem confirmar a propagação ou identificar um problema DNS local. Guarde instantâneos antes/depois para documentar as suas alterações.

Depois da verificação

Arquive a análise com o seu registo de mudanças. Complete com o validador de sintaxe DMARC e os inspetores SPF e DKIM para validar toda a cadeia de autenticação antes de ativar a rejeição.

Porque usar este inspetor DMARC?

Verifique antes do envio se o seu registo DMARC é legível e utilizável.
A ferramenta consulta _dmarc.domínio, lê o TXT devolvido, destaca etiquetas ausentes ou inválidas e explica o efeito real da política. Poupa tempo e evita iterações durante a implementação em produção.

DMARC em resumo

DMARC vincula os resultados de SPF e DKIM ao domínio visível em From. Se SPF ou DKIM passa e está alinhado com From, a mensagem está em conformidade. A etiqueta p= dita o que fazer caso contrário: observação (none), quarantine ou reject. As etiquetas rua e ruf enviam relatórios para orientar o endurecimento progressivo.

Instruções

Indique o domínio a testar.
Clique em Inspecionar DMARC.
Leia o resumo e as secções detalhadas. Erros bloqueiam a aplicação; avisos apontam riscos ou práticas a melhorar.
Publique uma versão corrigida e execute nova verificação.

O que o inspetor verifica

TXT DMARC

Existência de um único registo TXT em _dmarc.domínio.
Presença e ordem das etiquetas essenciais v=DMARC1 e p=.
Ausência de CNAME. DMARC deve ser um TXT direto.
Tamanho razoável e TTL legível.

Política e subdomínios

p= none, quarantine ou reject e impacto operacional.
sp= se presente, política aplicada a subdomínios; caso contrário herda de p.
pct= percentagem de aplicação da política.

Alinhamentos

adkim= e aspf= em r para relaxed por defeito ou s para strict.
Explicação do alinhamento com From para SPF e DKIM.

Relatórios

rua= endereços mailto: válidos, múltiplos permitidos separados por vírgulas.
ruf= opcional, raramente distribuído por operadores.
Detecção de endereços externos e lembrete de autorização necessária via _report._dmarc no domínio destinatário.
ri= intervalo de relatórios agregados.

Opções de falha

fo= 0 por defeito, variantes 1, d, s explicadas e uso recomendado.

Erros comuns

Dois registos DMARC no mesmo nome.
rua ou ruf sem prefixo mailto:.
Política p=none deixada em produção durante demasiado tempo.
Alinhamento strict ativado enquanto fluxos legítimos não estão prontos.
Endereço de relatório externo sem autorização _report._dmarc.
Confusão entre pct (aplicação) e ri (frequência de relatórios).

Melhores práticas

Comece com p=none e rua ativo para observar.
Avance para p=quarantine com pct progressivo e, por fim, para p=reject assim que eliminar falsos positivos.
Mantenha adkim e aspf em r inicialmente e considere s quando tudo estiver estabilizado.
Defina sp se os subdomínios enviam de forma diferente.
Mantenha um registo de mudanças com data, valor anterior e novo, motivo e TTL.

Solução rápida de problemas

Sem registo em _dmarc.domínio: publique um TXT mínimo com v e p.
Sem relatórios recebidos: verifique rua, autorizações externas quando aplicáveis e filtros da caixa de entrada.
Rejeições inesperadas: reduza pct ou volte temporariamente a p=quarantine, corrija o alinhamento do fluxo e volte a testar.
Diferenças regionais: considere TTL e caches.