Defaults.Exposed › Configuração › DMARC

Como configurar o DMARC na Cloudflare

Adicione um registo DMARC na Cloudflare para dizer aos fornecedores de email o que fazer com mensagens que falham as suas verificações.

Porque é que isto importa para o seu negócio

O DMARC junta o SPF e o DKIM e acrescenta a instrução que faltava: o que deve um fornecedor de email fazer quando uma mensagem que diz vir de si falha as verificações? Sem DMARC, cada fornecedor adivinha. Com ele, é você que decide — e pode pedir-lhes relatórios que mostram quem está a enviar email em seu nome.

Em palavras simples: o DMARC é o que realmente impede que criminosos se façam passar pelo seu domínio para enganar os seus clientes ou colaboradores. É a política que assenta sobre as fechaduras que o SPF e o DKIM fornecem — gratuita e bem merecedora dos poucos minutos que leva.

Configure primeiro o SPF e o DKIM

O DMARC funciona verificando os resultados do SPF e do DKIM. Se ainda não os adicionou, faça-o primeiro — uma política DMARC sem nada por baixo não tem nada para fazer cumprir.

Confirme que é a Cloudflare que gere o seu DNS

Como qualquer registo de DNS, isto só funciona se for a Cloudflare a responder pelo DNS do seu domínio. A Cloudflare é o seu fornecedor de DNS, não o seu fornecedor de caixas de correio, e o seu DNS só está ativo quando os nameservers do seu domínio apontam para os nameservers da Cloudflare mostrados no seu painel. Abra o seu domínio na Cloudflare e veja a página Overview para confirmar que a Cloudflare está ativa. Se os seus nameservers apontarem para outro lado, adicione o registo DMARC no fornecedor que efetivamente gere o seu DNS.

Passo a passo na Cloudflare

1. Inicie sessão na Cloudflare e selecione o seu domínio.
2. No menu da esquerda, vá às definições de DNS (procure por DNS / Records).
3. Clique em Add record.
4. Defina o Type como TXT.
5. No campo Name, introduza exatamente: _dmarc Não escreva o nome do domínio a seguir — a Cloudflare acrescenta o domínio por si.
6. No campo Content, comece com calma, com uma política só de monitorização: v=DMARC1; p=none; rua=mailto:[email protected] Substitua o endereço por uma caixa de correio que leia de facto. Isto pede aos fornecedores que lhe enviem relatórios-resumo por email, sem alterar ainda o tratamento de qualquer mensagem.
7. Deixe o TTL em Auto.
8. Clique em Save.

Escolher a sua política (a parte p=)

• p=none — só monitorizar. Nada é bloqueado; apenas recebe relatórios. Comece por aqui.
• p=quarantine — enviar as mensagens que falham para spam/lixo.
• p=reject — recusar de imediato as mensagens que falham (a proteção mais forte).

Use p=none durante algumas semanas, leia os relatórios para confirmar que todo o seu email legítimo passa e depois suba para quarantine e, por fim, reject. Saltar diretamente para reject antes de ter verificado os relatórios arrisca bloquear o seu próprio email genuíno.

Particularidades da Cloudflare em que as pessoas erram

• O Name é _dmarc, com o sublinhado. Um erro comum é deixar o sublinhado de fora, ou escrever _dmarc.seudominio.com — na Cloudflare introduz apenas _dmarc. O sublinhado inicial é obrigatório; não o omita.
• Não acrescente aspas suas. Cole o valor simples a começar por v=DMARC1;. A Cloudflare adiciona as aspas por si; aspas " manuais podem partir o registo.
• Apenas um registo DMARC. Tal como no SPF, tem de existir um único registo TXT de DMARC. Se já houver um, edite-o em vez de adicionar um segundo.
• Sem proxy num registo TXT. O DMARC vive num registo TXT, que nunca é processado por proxy — não há aqui nenhum botão de nuvem laranja/cinzenta com que se preocupar.
• Use uma caixa de correio de relatórios real. O endereço a seguir a rua=mailto: deve ser um que realmente consulte, senão os relatórios são desperdiçados. Pode estar no mesmo domínio ou noutro.
• Dê-lhe tempo. As alterações de DNS podem levar de alguns minutos até algumas horas a fazer efeito.

Confirme que resultou

Depois de guardado e propagado, faça a verificação gratuita neste site. Diz-lhe em linguagem simples se o seu registo DMARC está em vigor e que política definiu.

Já está? Analise o seu domínio gratuitamente para confirmar que funcionou — e ver a sua nota completa nas 34 verificações.