O DMARC é a camada que une SPF e DKIM sob uma política comum, e adiciona um mecanismo crítico que os dois sozinhos não oferecem: o alinhamento de domínio.

Sem alinhamento, um atacante poderia passar no SPF usando seu próprio domínio enquanto exibe o seu no campo Header From — o "De:" visível para o destinatário. O DMARC exige que o domínio autenticado via SPF ou DKIM corresponda ao domínio do Header From. Somente assim um e-mail é considerado autenticado pelo DMARC.

As três políticas DMARC

p=none — Modo monitoramento. Nenhum e-mail é bloqueado ou redirecionado. O propósito é coletar relatórios agregados e entender quais servidores enviam e-mail pelo domínio antes de tomar qualquer ação.

p=quarantine — E-mails que falham no DMARC são colocados na pasta de spam ou lixo eletrônico do destinatário, mas ainda são entregues. É um bom passo intermediário para detectar falsos positivos antes de adotar a política mais rígida.

p=reject — Proteção máxima. E-mails que falham no DMARC são recusados pelo servidor receptor durante a transmissão SMTP — eles nunca chegam à caixa de entrada nem ao spam. Ideal após confirmar que SPF e DKIM estão 100% configurados para todas as fontes de envio.

Relatórios: a inteligência do DMARC

O que diferencia o DMARC do SPF e DKIM isolados é a capacidade de receber relatórios. O tag rua=mailto: configura o destino dos relatórios agregados — arquivos XML enviados diariamente pelos servidores receptores com estatísticas de autenticação. Eles mostram: quais IPs enviaram e-mail pelo seu domínio, quantos passaram no SPF/DKIM, e quais falharam.

Com ruf=mailto: você recebe relatórios forenses — cópias (geralmente parciais) dos e-mails que falharam, enviadas em tempo real. São úteis para depuração, mas com implicações de privacidade que devem ser avaliadas, especialmente em ambientes regulados.

A jornada recomendada de implantação

Semana 1–4: Publique p=none com rua=mailto:[email protected]. Analise os relatórios para identificar todos os servidores que enviam e-mail pelo domínio. Ajuste SPF e DKIM conforme necessário.

Mês 2: Mude para p=quarantine pct=10. O tag pct= aplica a política a apenas 10% dos e-mails inicialmente, reduzindo o risco de bloquear e-mails legítimos enquanto a configuração é validada. Aumente gradualmente para 100%.

Mês 3+: Com 100% dos e-mails legítimos passando na autenticação, migre para p=reject. Monitore os relatórios continuamente — novos serviços ou configurações de e-mail podem quebrar o alinhamento a qualquer momento.

Alinhamento estrito vs. relaxado

Por padrão, o alinhamento é relaxado: subdomínios são aceitos. Por exemplo, um e-mail enviado de mail.seudominio.com alinha com seudominio.com. Com alinhamento estrito (aspf=s ou adkim=s), o domínio precisa ser exatamente o mesmo. O estrito é mais seguro, mas pode causar falhas em configurações legítimas com subdomínios.