Ir para o conteúdo principal
CaptainDNS
NOVO·Monitoramento de segurança e entregabilidade de e-mail. Receba um alerta assim que uma mudança de nota ou de registro DNS colocar seu domínio em risco.Saiba mais

DMARC Validator

Valide a sintaxe DMARC antes da publicação e corrija erros em segundos

Como corrigir erros de sintaxe DMARC? Cole o seu registo DMARC abaixo e valide a sintaxe instantaneamente. Um erro de sintaxe DMARC significa que a sua política é ignorada silenciosamente pelo Gmail, Outlook e todos os servidores destinatários.

O que verificamos

  • Sintaxe e conformidade com RFC 7489
  • Política (p, sp) e nível de proteção
  • Alinhamento DKIM e SPF
  • Cobertura (pct) e reporting (rua, ruf)

Porquê validar a sintaxe DMARC antes da publicação?

Um registo DMARC mal formatado é ignorado silenciosamente pelo Gmail, Outlook, Yahoo e todos os servidores destinatários. Nenhum alerta é emitido. Os seus emails ficam sem protecção contra spoofing e phishing.

O validador lê o seu registo antes da publicação DNS, verifica cada tag e os URIs de relatório. Corrige os erros imediatamente, sem esperar 24 a 48 horas de propagação apenas para descobrir que um detalhe impede a aplicação da política.

Tags DMARC segundo a RFC 7489

A RFC 7489 define cada tag permitida num registo DMARC. O validador verifica o nome, a posição e o valor de cada tag.

TagFunçãoExemplo
vVersão do protocolo, sempre em primeira posiçãov=DMARC1
pPolítica aplicada ao domínio principalp=quarantine
spPolítica aplicada aos subdomíniossp=reject
adkimModo de alinhamento DKIM, r (relaxado) ou s (estrito)adkim=s
aspfModo de alinhamento SPF, r ou saspf=r
pctPercentagem de mensagens sujeitas à política, 1 a 100pct=50
ruaDestinos dos relatórios agregados (URI mailto)rua=mailto:dmarc@captaindns.com
rufDestinos dos relatórios forenses (URI mailto)ruf=mailto:forensic@captaindns.com
foOpções de geração dos relatórios forensesfo=1

As tags v e p são obrigatórias. As restantes assumem valores por defeito se omissas (adkim=r, aspf=r, pct=100).

Exemplos de correção antes e depois

O validador sinaliza cada erro de sintaxe com a sua posição. A seguir três casos frequentes detectados em registos publicados.

URI rua mal formado:

- v=DMARC1; p=reject; rua=reports@captaindns.com
+ v=DMARC1; p=reject; rua=mailto:reports@captaindns.com

O prefixo mailto: é obrigatório segundo a RFC 7489.

Política p inválida:

- v=DMARC1; p=monitor; rua=mailto:dmarc@captaindns.com
+ v=DMARC1; p=none; rua=mailto:dmarc@captaindns.com

Apenas são aceites os valores none, quarantine e reject.

pct fora do intervalo:

- v=DMARC1; p=quarantine; pct=150; rua=mailto:dmarc@captaindns.com
+ v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@captaindns.com

O valor pct deve ser um inteiro entre 1 e 100.

Diagnósticos comuns do validador

O validador devolve um código curto por cada anomalia detectada. Os códigos abaixo são os mais frequentes.

CódigoCausaAção
missing_version_tagTag v=DMARC1 ausenteAdicionar v=DMARC1 em primeira posição
unsupported_versionValor de v= diferente de DMARC1Substituir por v=DMARC1
missing_policyTag p= ausenteAdicionar p=none, p=quarantine ou p=reject
invalid_policyValor de p= fora de none/quarantine/rejectCorrigir o valor
invalid_subdomain_policyValor de sp= inválidoUsar none, quarantine ou reject
invalid_alignmentValor de adkim= ou aspf= diferente de r/sAjustar para r ou s
invalid_percentpct= fora do intervalo 1-100Usar um inteiro entre 1 e 100
invalid_rua_uriURI rua mal formadoUsar mailto:endereco@dominio
invalid_ruf_uriURI ruf mal formadoUsar mailto:endereco@dominio
invalid_failure_optionValor fo= não reconhecidoUsar 0, 1, d ou s
duplicate_tagTag declarada duas vezesConservar uma única ocorrência
unknown_tagNome de tag não reconhecidoVerificar a ortografia segundo a RFC 7489
record_trailing_quoteCadeia TXT terminada por aspasRemover as aspas finais

Os códigos de aviso (policy_none, pct_less_than_100, subdomain_policy_none) indicam uma configuração válida mas parcial: a protecção permanece incompleta enquanto a política se mantém em none ou pct está abaixo de 100.

FAQ - Perguntas frequentes

Que progressão adoptar para a política p=?

Comece sempre com p=none para observar o tráfego através dos relatórios agregados (rua). Quando SPF e DKIM estiverem alinhados em todas as suas fontes legítimas, passe para p=quarantine e depois p=reject. Evite saltar directamente para p=reject: os relatórios rua da fase de observação revelam quase sempre fluxos legítimos esquecidos.

Devo configurar ruf além de rua?

Não no início. Os relatórios rua agregados (diários) são essenciais para orientar a sua implementação. Os relatórios forenses ruf (por mensagem falhada) geram um volume importante e podem conter dados pessoais. Active-os apenas se dispuser de uma pipeline de análise e de um parecer jurídico sobre a recolha desses dados.

Devo configurar a tag sp= nos subdomínios?

Por defeito, os subdomínios herdam a política p. Configure sp= apenas se a política dos subdomínios deve diferir do domínio raiz. Verifique que SPF e DKIM estão alinhados em cada subdomínio emissor antes de endurecer sp=.

O validador aplica as regras DMARCbis?

Esta versão aplica as regras da RFC 7489. Para antecipar a transição para DMARCbis (remoção de pct, ri, rf, adição de np, psd, t), use o DMARCbis Checker ou a ferramenta de migração DMARCbis.

Ferramentas complementares

FerramentaUtilidade
DMARC CheckerVerificar a publicação e resolver o registo DMARC a partir do DNS
Gerador DMARCCriar um registo DMARC conforme à especificação
Validador SPFValidar a sintaxe SPF do seu domínio
Validador DKIMValidar a sintaxe de uma chave DKIM
Migração DMARCbisMigrar um registo DMARC para o novo padrão
Monitoring DMARCReceba e analise automaticamente seus relatórios DMARC agregados

Leituras recomendadas

Referência: RFC 7489 - Domain-based Message Authentication, Reporting and Conformance.