DMARCbis: o que muda para o seu domínio
O DMARCbis (também chamado DMARC v2) não é uma simples atualização. É uma reformulação completa do protocolo DMARC, dividida em três RFC distintos. Um DMARCbis checker revela exatamente quais ajustes são necessários:
- Mecanismo principal (draft-ietf-dmarc-dmarcbis): descoberta de política, alignment, avaliação
- Relatórios agregados (draft-ietf-dmarc-aggregate-reporting): formato XML, esquema, distribuição
- Relatórios de falha (draft-ietf-dmarc-failure-reporting): relatórios ARF, privacidade, rate limiting
Novas tags
| Tag | Função | Valores | Predefinido |
|---|---|---|---|
np | Política para subdomínios inexistentes (NXDOMAIN) | none, quarantine, reject | Herda de sp, depois p |
t | Modo de teste (substitui pct) | y, n | n (aplicação completa) |
psd | Declaração Public Suffix Domain | y, n, u | u (indeterminado) |
Tags removidas
| Tag | Razão |
|---|---|
pct | Aplicação inconsistente entre recetores. Substituída pela tag binária t. |
rf | Apenas o formato afrf era suportado. Tag desnecessária. |
ri | Raramente respeitada pelos recetores. Os relatórios são agora enviados diariamente. |
Tree walk DNS
A alteração mais significativa do DMARCbis é a substituição da Public Suffix List (PSL) por um algoritmo de percurso DNS nativo.
Porquê? A PSL é uma lista comunitária mantida por voluntários da Mozilla. Sofre de atrasos nas atualizações, inconsistências entre implementações e a ausência de uma especificação IETF sobre a versão a utilizar. O tree walk DNS resolve estes problemas baseando-se unicamente nos dados DNS reais.
Como funciona: o recetor consulta _dmarc.<domínio>, depois sobe um label de cada vez. Se um registo contiver psd=n, esse é o domínio organizacional. Se psd=y for encontrado, o domínio um nível abaixo é o domínio organizacional.
Quem adota o DMARCbis hoje?
Em março de 2026, apenas o GMX, mail.com e WEB.DE (grupo United Internet) enviam relatórios no formato DMARCbis. A adoção em massa é esperada após a publicação oficial dos RFC. Os registos DMARCbis são retrocompatíveis: os recetores que não compreendem as novas tags simplesmente ignoram-nas.
Prepare-se agora
Mesmo que a migração não seja urgente, preparar o seu domínio agora permite:
- Identificar as tags obsoletas a remover antes que gerem avisos
- Adicionar a tag
nppara proteger subdomínios inexistentes - Compreender o tree walk e verificar que o seu domínio organizacional é corretamente determinado
- Antecipar as alterações no reporting nas suas ferramentas de análise DMARC
DMARC vs DMARCbis: tabela comparativa
| Aspeto | DMARC (RFC 7489) | DMARCbis |
|---|---|---|
| Tag de versão | v=DMARC1 | v=DMARC1 (inalterado) |
| Descoberta de política | Public Suffix List (PSL) | Tree walk DNS nativo |
| Domínio organizacional | Determinado via PSL externa | Determinado dinamicamente via psd=y / psd=n |
| Tag pct | Valor de 0 a 100 | Removida, substituída por t |
| Modo de teste | pct=0 (comportamento inconsistente) | t=y (semântica binária clara) |
| Política NP | Ausente | np=none|quarantine|reject |
| Suporte PSD | RFC 9091 experimental | Integrado nativamente no tree walk |
| Formato dos relatórios | Documento único | Três RFC separados (mecanismo, agregados, falha) |
| Âmbito SPF | MAIL FROM e HELO | Apenas MAIL FROM |
| Tags obsoletas | Nenhuma | pct, rf, ri |
Esta tabela resume as diferenças estruturais entre as duas versões do protocolo. Se o seu registo contiver tags da coluna DMARC que já não existem no DMARCbis, o checker assinala-as automaticamente.
Como funciona o tree walk DNS?
O tree walk DNS é a inovação central do DMARCbis. Substitui as consultas à Public Suffix List por um percurso hierárquico no DNS. Eis um exemplo detalhado para compreender cada etapa.
Exemplo: um email recebido de user@sub.mail.captaindns.com
O recetor precisa de encontrar a política DMARC aplicável. Com o DMARCbis, executa as seguintes consultas por ordem:
- Consulta
_dmarc.sub.mail.captaindns.com: o servidor DNS responde NXDOMAIN (nenhum registo encontrado). O recetor sobe um label. - Consulta
_dmarc.mail.captaindns.com: o servidor DNS responde NXDOMAIN. O recetor sobe novamente. - Consulta
_dmarc.captaindns.com: é encontrado um registo TXT, por exemplov=DMARC1; p=reject; psd=n.
A tag psd=n indica que captaindns.com é um domínio organizacional (não um public suffix). O tree walk termina. Resultado: domínio organizacional = captaindns.com, método de descoberta = tree walk.
O que acontece com psd=y? Se _dmarc.captaindns.com contivesse psd=y, significaria que captaindns.com é um public suffix (como .co.uk). Nesse caso, o domínio organizacional seria mail.captaindns.com, o domínio um nível abaixo do suffix.
Limite de segurança: o tree walk executa no máximo 8 consultas DNS para prevenir a amplificação. Além de 8 níveis sem resultado, a descoberta falha e o domínio é tratado como se não tivesse uma política DMARC publicada.
Vantagem principal: ao contrário da PSL, que requer atualizações manuais e varia entre implementações, o tree walk baseia-se nos dados DNS em tempo real. Os administradores DNS mantêm o controlo total sobre os limites da sua organização.
Porque é que a tag np é essencial
A tag np (non-existent domain policy) colmata uma lacuna de segurança que o DMARC v1 não conseguia resolver: a usurpação de subdomínios inexistentes.
O vetor de ataque: um atacante envia um email de fake123.captaindns.com. Este subdomínio não existe na sua zona DNS. Com o DMARC v1, o recetor aplica a política sp (se presente) ou recorre a p. Se a sua configuração for p=reject; sp=none (uma configuração comum para permitir subdomínios legítimos), o atacante contorna a sua proteção.
A solução DMARCbis: a tag np=reject aplica-se exclusivamente aos subdomínios para os quais o DNS responde NXDOMAIN. Pode manter uma política flexível nos seus subdomínios existentes (sp=none ou sp=quarantine para subdomínios com fluxos de email legítimos) enquanto bloqueia subdomínios inventados por atacantes.
Configuração recomendada:
- Se
p=reject: adicionenp=rejectpara cobertura máxima - Se
p=quarantine: adicionenp=reject(subdomínios fictícios merecem bloqueio rigoroso) - Se
p=none: adicionenp=quarantinecomo primeiro passo para o endurecimento
A tag np é particularmente eficaz contra ataques de CEO fraud, em que os atacantes inventam subdomínios credíveis como secure-payment.captaindns.com ou internal-hr.captaindns.com para enganar os destinatários.
Cronologia de adoção do DMARCbis
A transição para o DMARCbis segue uma cronologia gradual orientada pela IETF e pelos principais fornecedores de email.
| Data | Evento |
|---|---|
| 2015 | Publicação do RFC 7489 (DMARC original) |
| 2021 | Publicação do RFC 9091 (PSD DMARC, experimental) |
| 2024 | GMX, mail.com e WEB.DE (grupo United Internet) tornam-se os primeiros recetores a enviar relatórios no formato DMARCbis |
| Abril de 2025 | Aprovação IESG do documento principal (draft-ietf-dmarc-dmarcbis) e dos relatórios agregados (draft-ietf-dmarc-aggregate-reporting) |
| Novembro de 2025 | Documento de relatórios de falha (draft-ietf-dmarc-failure-reporting) submetido para publicação |
| 2025 / 2026 | Os três documentos na fila do editor RFC |
| 2026 (previsto) | Publicação oficial como Proposed Standard |
Os registos DMARCbis são retrocompatíveis: pode adicionar as novas tags já hoje sem esperar pela publicação oficial. Os recetores que não compreendem np, t ou psd ignoram-nas silenciosamente.
Ferramentas complementares
| Ferramenta | Descrição |
|---|---|
| Migração DMARC para DMARCbis | Gerar automaticamente um registo DMARCbis conforme |
| Validador DMARC | Validar a sintaxe do seu registo DMARC |
| Inspetor DMARC | Consultar e analisar o registo DMARC publicado no seu domínio |
| Gerador DMARC | Criar um novo registo DMARC |
| Leitor de relatórios DMARC | Descodificar relatórios agregados XML |
Recursos úteis
- RFC 7489 - DMARC
- draft-ietf-dmarc-dmarcbis
- RFC 9091 - PSD DMARC
- DMARCbis: todas as alterações e como se preparar
FAQ - Perguntas frequentes
P: O que é o DMARCbis?
R: O DMARCbis é a nova versão do protocolo DMARC, em fase de finalização na IETF como Proposed Standard. Substitui o RFC 7489 (2015) e o RFC 9091 (PSD DMARC). Os três documentos (mecanismo principal, relatórios agregados, relatórios de falha) estão na fila do editor RFC desde 2025.
P: Quais são as diferenças entre DMARC e DMARCbis?
R: O DMARCbis adiciona três novas tags (np, t, psd), remove três tags (pct, rf, ri), substitui a descoberta via Public Suffix List por um algoritmo tree walk DNS e restringe a validação SPF unicamente ao MAIL FROM.
P: Devo migrar para o DMARCbis imediatamente?
R: Não há urgência. Os registos DMARC atuais continuam a funcionar porque a versão permanece v=DMARC1. No entanto, recomenda-se auditar os seus registos agora para remover as tags obsoletas e adicionar as novas tags np e psd.
P: A tag pct é realmente removida?
R: Sim. A experiência operacional mostrou que a tag pct era aplicada de forma inconsistente pelos recetores. Apenas os valores 0 e 100 eram fiáveis. É substituída pela tag binária t (t=y para modo de teste, t=n para aplicação completa).
P: O que é o tree walk DNS?
R: O tree walk DNS é o algoritmo de descoberta de política DMARC no DMARCbis. Em vez de consultar uma Public Suffix List externa, o recetor percorre a hierarquia DNS consultando _dmarc em cada nível até encontrar um registo válido. Isto elimina a dependência da PSL.
P: A tag fo é removida no DMARCbis?
R: Não. A tag fo (failure reporting options) é mantida no DMARCbis. Apenas as tags pct, rf e ri são removidas.
P: Como sei se o meu domínio está pronto para o DMARCbis?
R: Execute uma análise com o nosso DMARCbis checker. A ferramenta executa um tree walk DNS completo, deteta tags obsoletas (pct, rf, ri), verifica a presença da tag np e mostra o domínio organizacional descoberto. O resultado indica um estado claro: conforme, compatível ou não conforme com o DMARCbis.
P: O tree walk DNS atrasa a entrega de email?
R: Não. O tree walk executa no máximo 8 consultas DNS e os recetores armazenam os resultados em cache com base no TTL de cada registo. Na prática, para a maioria dos domínios, o tree walk resolve-se em 2 ou 3 consultas. O impacto no tempo de entrega é negligenciável.