Defaults.Exposed › Configuração › DMARC

Como configurar o DMARC no Google Workspace

Adicione um registo DMARC no seu DNS para dizer aos recetores o que fazer com email que falha as suas verificações de SPF e DKIM.

Porque é que isto importa para o seu negócio

O DMARC é a política que junta o SPF e o DKIM. Diz aos servidores de email recetores o que fazer quando uma mensagem que diz vir do seu domínio falha essas verificações — ignorá-la, mandá-la para spam ou recusá-la de imediato — e pode enviar-lhe relatórios que mostram quem está a enviar (e a forjar) email em seu nome. Em palavras simples: o DMARC é o que realmente impede que criminosos se façam passar pelo seu domínio para enganar os seus clientes e colaboradores. É gratuito e transforma o SPF e o DKIM de «bom ter» em proteção a sério.

Faça primeiro o SPF e o DKIM

O DMARC depende do SPF e do DKIM. Configure-os antes, ou ao mesmo tempo, do DMARC. Um registo DMARC sozinho — sem SPF/DKIM a funcionar — pode levar a que o seu próprio email legítimo seja bloqueado. Comece com calma (veja a nota sobre políticas abaixo) e aperte com o tempo.

Importante: onde isto se faz

Tal como o SPF, o DMARC é um registo de DNS, não uma definição dentro da consola de administração do Google. O Google Workspace gere o seu email, mas o registo DMARC é adicionado onde quer que viva o DNS do seu domínio — o seu registador, alojamento web, Cloudflare ou quem controla os seus nameservers. Não há nada para ativar dentro do Google para o DMARC; o papel do Google é simplesmente que o SPF e o DKIM a funcionar (configurados em separado) são aquilo em que o DMARC se baseia.

Primeiro: que empresa gere o seu DNS?

Um registo DMARC só funciona se for adicionado onde os nameservers do seu domínio apontam. Se não tiver a certeza, veja a secção Nameservers na conta do seu registador, ou pergunte a quem montou o seu site. Adicione o registo nas definições de DNS dessa empresa (procure por DNS / Records / Advanced DNS).

O que vai adicionar

Um único registo TXT num nome de host especial: _dmarc.

Um valor inicial seguro, que só monitoriza e nunca bloqueia nada, é:

v=DMARC1; p=none; rua=mailto:[email protected]

• p=none = só monitorizar; nada é bloqueado ainda. Bom para as primeiras semanas.
• rua=mailto:... = para onde são enviados os relatórios-resumo. Use uma caixa de correio real que consulte.
• Depois de confirmar (através dos relatórios e da verificação gratuita) que o seu email genuíno passa, pode apertar a política para p=quarantine (manda as falhas para spam) e mais tarde p=reject (recusa as falhas de imediato).

Passos

1. Inicie sessão no seu fornecedor de DNS (o seu registador, alojamento web ou fornecedor de DNS — não a consola de administração do Google).
2. Abra as definições de DNS do seu domínio (procure por DNS / Records / Advanced DNS).
3. Adicione um novo registo e escolha TXT.
4. No campo Name / Host, introduza exatamente _dmarc (com o sublinhado inicial). Não escreva _dmarc.seudominio.com — o fornecedor de DNS acrescenta o domínio automaticamente.
5. No campo Value, cole a sua string DMARC, p. ex. v=DMARC1; p=none; rua=mailto:[email protected] (substitua o email por um endereço real que monitorize).
6. Deixe o TTL no valor predefinido.
7. Guarde.

Particularidades em que as pessoas erram

• Não está na consola de administração do Google. As pessoas vasculham as definições do Google à procura de «DMARC» — não está lá. Pertence ao seu fornecedor de DNS.
• O nome do host é _dmarc, com o sublinhado. Deixar o sublinhado de fora, ou escrever o domínio completo a seguir, põe o registo no sítio errado e o DMARC não será encontrado.
• Atenção às aspas. Cole o valor simples; a maioria dos fornecedores de DNS adiciona as aspas por si. Não o envolva você mesmo em «...».
• Apenas um registo DMARC. Deve existir exatamente um registo TXT em _dmarc. Se já houver um, edite-o em vez de adicionar um segundo.
• Comece com p=none. Saltar diretamente para p=reject antes de o SPF/DKIM estarem sólidos pode bloquear as suas próprias faturas e orçamentos. Monitorize primeiro, aperte depois.
• Use uma caixa de correio de relatórios real. O endereço rua tem de ser um onde consiga de facto receber.
• Conte com algum tempo. As alterações de DNS podem levar de minutos até algumas horas a fazer efeito em todo o lado.

Confirme que resultou

Depois de guardado, confirme que o seu registo DMARC está ativo e sensato com a verificação gratuita no Defaults.Exposed. Introduza o seu domínio e ele dir-lhe-á em linguagem simples se o DMARC está bem configurado e o que fazer a seguir. Os seus dados são processados na UE.

Já está? Analise o seu domínio gratuitamente para confirmar que funcionou — e ver a sua nota completa nas 34 verificações.