Porquê inspeccionar o seu registo DMARC?
Um registo DMARC mal configurado no DNS pode:
- Ser ignorado pelos servidores destinatários (Gmail, Outlook, Yahoo)
- Bloquear os seus emails legítimos se a política for demasiado rigorosa demasiado cedo
- Deixar o seu domínio vulnerável a spoofing e phishing se a política estiver ausente
O inspector DMARC (DMARC record checker, DMARC lookup) consulta o DNS em tempo real para mostrar exactamente o que vêem os servidores destinatários. Detecta erros de publicação antes que impactem a sua entregabilidade.
Casos de uso comuns:
- Após publicação → Verificar que o registo está correctamente propagado
- Problemas de entregabilidade → Diagnosticar uma configuração DMARC defeituosa
- Auditoria de segurança → Validar a protecção contra spoofing de um domínio
Como usar o inspector DMARC em 3 passos
Passo 1: Introduzir o domínio a analisar
Introduza o domínio exactamente como aparece nos seus endereços de email:
captaindns.com(domínio principal)marketing.captaindns.com(subdomínio se enviar a partir de um subdomínio)
A ferramenta consulta automaticamente _dmarc.dominio e recupera o registo TXT publicado.
Passo 2: Analisar os resultados
O inspector mostra:
| Elemento | Descrição |
|---|---|
| Política (p=) | none, quarantine ou reject - tratamento de emails não autenticados |
| Política subdomínios (sp=) | Política específica para subdomínios se diferente |
| Alinhamento DKIM (adkim=) | strict (s) ou relaxed (r) - correspondência domínio DKIM/From |
| Alinhamento SPF (aspf=) | strict (s) ou relaxed (r) - correspondência domínio SPF/From |
| Percentagem (pct=) | Parte do tráfego sujeita à política |
| Relatórios agregados (rua=) | Destinos dos relatórios XML diários |
| Relatórios forenses (ruf=) | Destinos dos relatórios por mensagem |
Passo 3: Corrigir os alertas
Os resultados são classificados por nível de gravidade:
- ❌ Erro → Problema bloqueante, o registo é ignorado
- ⚠️ Aviso → Funcional mas melhoria recomendada
- ✅ Válido → Configuração correcta
Corrija os erros no seu DNS, aguarde a propagação, depois execute a inspeção novamente.
O que é DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance) é um protocolo que:
- Liga SPF e DKIM ao domínio visível no endereço From
- Define uma política de tratamento de emails não autenticados
- Gera relatórios para acompanhar a autenticação dos seus emails
O registo DMARC é publicado como um registo TXT em _dmarc.seudominio.com.
Exemplo de registo DMARC:
v=DMARC1; p=quarantine; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r; pct=100
Este registo indica:
- Colocar em quarentena (spam) os emails não autenticados
- Enviar os relatórios para dmarc@captaindns.com
- Usar alinhamento relaxed para DKIM e SPF
- Aplicar a política a 100% das mensagens
O que verifica o inspector DMARC
Resolução DNS
| Verificação | Erro se... |
|---|---|
| Registo TXT existe | Nenhum TXT em _dmarc.dominio |
| Registo DMARC presente | TXT existe mas não começa com v=DMARC1 |
| Registo único | Múltiplos registos DMARC (conflito) |
| Sem CNAME | _dmarc aponta para um CNAME (proibido por RFC) |
Tags obrigatórias
| Tag | Verificação |
|---|---|
| v= | Deve ser DMARC1 na primeira posição |
| p= | Deve ser none, quarantine ou reject |
Política e alinhamento
| Tag | Valores aceites | Verificação |
|---|---|---|
| p | none, quarantine, reject | Política coerente com o nível de maturidade |
| sp | none, quarantine, reject | Se presente, política de subdomínios válida |
| adkim | r (relaxed), s (strict) | Modo de alinhamento DKIM válido |
| aspf | r (relaxed), s (strict) | Modo de alinhamento SPF válido |
| pct | 1-100 | Percentagem dentro dos limites |
Destinos de relatórios
| Tag | Verificação |
|---|---|
| rua | Formato mailto: válido, domínio externo autorizado |
| ruf | Formato mailto: válido, domínio externo autorizado |
Autorização externa: Se rua ou ruf aponta para um domínio diferente (ex: rua=mailto:reports@outrodominio.com), o domínio destinatário deve publicar _report._dmarc.seudominio.com para autorizar a recepção.
Diagnósticos comuns e soluções
DMARC_NOT_FOUND - Registo ausente
Causa: Não existe nenhum registo TXT em _dmarc.seudominio.com
Solução:
- Crie um registo TXT em
_dmarc.seudominio.com - Conteúdo mínimo:
v=DMARC1; p=none; rua=mailto:dmarc@seudominio.com - Publique e aguarde a propagação DNS
DMARC_MULTIPLE_RECORDS - Múltiplos registos
Causa: Existe mais de um registo TXT DMARC em _dmarc.seudominio.com
Solução:
- Identifique todos os registos DMARC no seu DNS
- Conserve apenas o que deseja aplicar
- Elimine os duplicados
MISSING_POLICY - Tag p= ausente
Causa: O registo contém v=DMARC1 mas não tem a tag p=
Solução: Adicione uma política: v=DMARC1; p=none; ...
Progressão para uma política DMARC rigorosa
Fase 1: Observação (p=none)
v=DMARC1; p=none; rua=mailto:dmarc@captaindns.com
- Sem impacto na entregabilidade
- Recolha relatórios durante 2-4 semanas
- Identifique todas as fontes de envio legítimas
- Configure SPF e DKIM para cada fonte
Fase 2: Quarentena progressiva
v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc@captaindns.com
- Comece com 10% do tráfego
- Monitorize os relatórios para detectar falsos positivos
- Aumente progressivamente: 10% → 25% → 50% → 100%
Fase 3: Rejeição (protecção máxima)
v=DMARC1; p=reject; rua=mailto:dmarc@captaindns.com
- Os emails não autenticados são rejeitados
- Protecção completa contra spoofing
- Mantenha a monitorização de relatórios
FAQ - Perguntas frequentes
P: Qual é a diferença entre o inspector DMARC e o validador de sintaxe?
R: O inspector DMARC consulta o DNS para verificar o registo publicado no seu domínio. O validador de sintaxe analisa um registo que cola antes de o publicar. Workflow recomendado: validador → publicação → inspector.
P: O que significa "registo DMARC não encontrado"?
R: Não existe nenhum registo TXT em _dmarc.seudominio.com. Crie um registo TXT com pelo menos:
v=DMARC1; p=none; rua=mailto:reports@seudominio.com
P: Porquê o inspector detecta múltiplos registos DMARC?
R: A especificação RFC 7489 requer um único registo DMARC por domínio. Múltiplos registos criam um conflito: os servidores destinatários ignoram todos os registos. Elimine os duplicados imediatamente.
P: Que política DMARC escolher?
R: Progressão recomendada:
- p=none → Observar sem impacto (mínimo 2-4 semanas)
- p=quarantine → Marcar como spam (aumentar pct progressivamente)
- p=reject → Rejeitar emails não autenticados
Nunca passe directamente para p=reject sem análise de relatórios.
P: Quanto tempo para ver as alterações DMARC?
R: A propagação DNS depende do TTL (Time To Live) do registo:
- TTL 3600 (1h) → 1-4 horas
- TTL 86400 (24h) → 24-48 horas
Reduza o TTL antes da modificação para acelerar as propagações futuras.
P: O inspector também verifica SPF e DKIM?
R: Não, o inspector DMARC foca-se no registo _dmarc. Para uma verificação completa da autenticação de email:
- Inspector SPF → Registo SPF
- Inspector DKIM → Chave pública DKIM
- Testador de email → Teste completo em condições reais
Ferramentas complementares
| Ferramenta | Utilidade |
|---|---|
| Validador sintaxe DMARC | Validar sintaxe ANTES da publicação DNS |
| Gerador DMARC | Criar um registo DMARC conforme às especificações |
| Inspector SPF | Verificar o registo SPF do domínio |
| Inspector DKIM | Verificar a chave pública DKIM |
| Testador de email | Testar autenticação completa com um email real |
| Propagação DNS | Verificar propagação mundial do registo |
Recursos úteis
- RFC 7489 - Domain-based Message Authentication, Reporting and Conformance (DMARC) (especificação oficial)
- Google - Configurar DMARC (guia Gmail/Workspace)
- Microsoft - DMARC no Microsoft 365 (guia Outlook/M365)
- dmarc.org - Overview (documentação do consórcio DMARC)