Autenticação de e-mail
Analisador DMARC
Revise registro DMARC, política, alinhamento, relatórios e alertas.
Como usar a ferramenta
- Digite o domínio remetente visível no cabeçalho From, por exemplo example.com, sem protocolo, caminho ou prefixo de caixa de correio. O DN01 normaliza o nome, rejeita hosts malformados ou restritos e usa o domínio registrável como alvo da consulta. Se um subdomínio envia com infraestrutura própria, execute uma verificação separada: a política DMARC é publicada no domínio organizacional que os destinatários veem.
- O DN01 faz uma consulta DNS TXT ao vivo em `_dmarc.<domínio>` com timeout de cinco segundos no resolver e registra a duração. O backend seleciona a primeira string TXT que começa com `v=DMARC1`, divide tags separadas por ponto e vírgula e mapeia `p`, `sp`, `pct`, `rua`, `ruf`, `adkim` e `aspf` em campos estruturados. Ausência de registro ou falha de DNS retorna diagnóstico, não erro HTTP, para que você sempre receba um relatório legível.
- Revise a política analisada (`none`, `quarantine` ou `reject`), política de subdomínios, percentual `pct`, URIs de relatórios agregados `rua`, relatórios forenses `ruf`, modos de alinhamento DKIM e SPF, inventário de tags e o TXT bruto como os resolvers o veem. Observe `found` e `valid`: um registro pode existir mas ser inválido se tags obrigatórias faltarem, a política for desconhecida, `pct` estiver fora da faixa ou houver nomes de tag duplicados.
- Use os painéis de erros, avisos e recomendações para decidir a próxima alteração DNS. O DN01 alerta sobre `p=none` apenas de monitoramento, aplicação parcial quando `pct` é menor que 100, `rua` ausente e alinhamento relaxado por padrão. Se o relatório parecer incompleto, abra DKIM Validator e DNS Checker no mesmo domínio para confirmar que SPF e DKIM podem alinhar com o domínio From antes de `quarantine` ou `reject`.
O que o resultado mostra
O resultado separa os sinais importantes para esta verificação.
| Campo | Finalidade | Exemplo |
|---|---|---|
| Domínio | Domínio registrável normalizado enviado ao analisador. | example.com |
| Nome da consulta | Nome DNS TXT exato consultado pelo resolver. | _dmarc.example.com |
| Found | Se um TXT começando com v=DMARC1 foi retornado. | true |
| Valid | Se o registro foi analisado sem erros de sintaxe bloqueantes. | false |
| p= | Política organizacional para e-mail que falha DMARC. | quarantine |
| sp= | Política para subdomínios quando diferente de p=. | reject |
| pct= | Percentual de mensagens com falha coberto pela política. | 100 |
| rua= | Destinos de relatórios agregados separados por vírgula. | mailto:[email protected] |
| ruf= | Destinos de relatórios forenses se publicados. | mailto:[email protected] |
| adkim= / aspf= | Alinhamento estrito (s) ou relaxado (r) para DKIM e SPF. | adkim=r; aspf=s |
| Registro bruto | String TXT retornada pelo DNS sem modificação. | v=DMARC1; p=none; rua=mailto:[email protected] |
| Errors / Warnings / Recommendations | Diagnósticos acionáveis gerados a partir das tags. | rua ausente; avance para quarantine após revisar relatórios |
Quando esta verificação ajuda
Você prepara a transição de monitoramento para enforcement e precisa saber se o registro publicado resistirá à avaliação dos receptores. Marketing envia via CRM, produto usa provedor transacional e finanças mantém relay local. Antes de subir `p` de `none` para `quarantine`, o DN01 mostra se o TXT em `_dmarc.example.com` é sintaticamente válido, se tags duplicadas invalidariam o registro e se `pct` já limita o enforcement. Essa única publicação DNS é o que bilhões de caixas de correio avaliam; um erro em `p=` ou um segundo TXT DMARC pode enfraquecer a proteção em todos os canais.
Tickets de entregabilidade culpam DMARC mesmo quando SPF passa isoladamente. Uma mensagem pode ter SPF válido e ainda falhar DMARC quando envelope From, header From e domínio assinante DKIM não se alinham conforme `aspf` e `adkim`. O DN01 exibe modos de alinhamento: sem tags, assume relaxado (`r`) e avisa que receptores podem aceitar correspondências de domínio mais amplas. Combine o resultado com DKIM Validator e DNS Checker.
Equipes de segurança usam DMARC como controle anti-spoofing para domínios executivos, portais de parceiros e marcas parecidas. Se `_dmarc` não existe, o DN01 retorna diagnóstico claro — `no DMARC record found at _dmarc.<domain>` — e recomenda publicar `v=DMARC1` com política inicial. Não é falha da ferramenta; é o estado que receptores veem quando phishing pode reutilizar seu domínio sem política de rejeição publicada.
MSPs revisam DMARC em dezenas de zonas de clientes no onboarding ou renovação. Consultas manuais com `dig` não escalam quando é preciso comparar `sp` com `p`, verificar caixas de relatório e detectar `pct` inválido. O DN01 retorna relatório consistente com duração, inventário de tags e recomendações para tickets.
Arquiteturas com muitos subdomínios — `news.example.com`, `billing.example.com`, `eu.example.com` — dependem de `sp=` quando zonas filhas enviam com SPF e DKIM próprios. Sem `sp`, receptores aplicam `p` a subdomínios, surpreendendo equipes que achavam a zona isolada. O DN01 mostra ambos os valores e sinaliza políticas de subdomínio inválidas.
Questionários de compliance pedem evidência de maturidade em autenticação de e-mail. Auditores querem saber se reporting agregado (`rua`) está configurado, se enforcement é parcial (`pct` menor que 100) e se o registro é válido hoje. O DN01 responde a partir do DNS ao vivo, guarda TXT bruto e separa erros duros de avisos.
Após onda de spoofing, a resposta a incidentes começa com «DMARC ausente ou errado?». Quando vários TXT em `_dmarc` incluem mais de um fragmento `v=DMARC1`, receptores podem tratar a configuração como inválida. O DN01 escolhe o primeiro registro correspondente mas informa tags duplicadas na mesma string. Reveja após TTL e valide assinaturas com DKIM Validator antes de voltar a `reject`.
O que revisar se o resultado parecer errado
Se o DN01 reporta ausência de DMARC, consulte `_dmarc.seudominio.tld` especificamente, não o TXT raiz do SPF. Muitas equipes publicam SPF no apex e assumem herança de DMARC. Confirme em todos os NS autoritativos após migração DNS.
Quando `valid` é falso com `found` true, leia primeiro o array de erros. Tags `p=` duplicadas, políticas desconhecidas, `pct` não inteiro ou fora de 0–100 invalidam o registro. Remova duplicatas, mantenha um único TXT com ponto e vírgula e aguarde TTL antes de reexecutar.
Avisos sobre `p=none`, `rua` ausente ou alinhamento relaxado descrevem exposição. `p=none` monitora sem exigir quarentena ou rejeição. Sem `rua` você não recebe relatórios XML agregados. Decida se precisa `adkim=s` ou `aspf=s` antes de `reject`.
Se DNS ao vivo difere do painel do registrador, compare o registro bruto com `dig +short TXT _dmarc.dominio`. Caches e importações parciais enganam dashboards. O DN01 consulta no momento da requisição.
Se e-mail legítimo falha após endurecer política, DMARC pode estar correto enquanto SPF ou DKIM não. Use DNS Checker para includes SPF e DKIM Validator para seletores e expiração de chaves. `pct` abaixo de 100 gera falhas aparentemente aleatórias.
Como interpretar o resultado
DMARC apoia-se em SPF e DKIM. SPF valida o caminho do envelope; DKIM a assinatura criptográfica; DMARC pergunta se algum se alinha ao domínio visível em From e o que fazer se ambos falharem. O DN01 não envia e-mail nem avalia mensagens individuais: inspeciona a política DNS que orienta receptores. Combine com DKIM Validator e DNS Checker.
A tag `p=` é obrigatória. Políticas devem ser `none`, `quarantine` ou `reject`; qualquer outro valor é inválido. `none` serve para monitoramento inicial, mas o DN01 avisa que não bloqueia falhas. `quarantine` envia falhas para spam; `reject` pede descarte. Escale com base em relatórios `rua`.
`pct` limita a fração de mensagens com falha coberta. Valores abaixo de 100 significam enforcement parcial. O DN01 interpreta `pct` como inteiro e erro se fora de 0–100. Marcas em produção costumam terminar em `pct=100`.
Relatórios agregados vão para URIs `rua`, geralmente `mailto:` registrados no processador. O DN01 lista destinos separados por vírgula e avisa se `rua` falta. Relatórios forenses `ruf` são opcionais e sensíveis.
`adkim` e `aspf` controlam correspondência estrita (`s`) ou relaxada (`r`). Se ausentes, o DN01 assume relaxado e avisa sobre combinações apex/subdomínio indesejadas. Modos estritos são comuns antes de `reject`.
Válido no DN01 significa ausência de erros de parse bloqueantes no momento da consulta. `valid=false` deve ser tratado como defeito DNS crítico até correção.
Fluxo recomendado
- Execute DMARC Analyzer no domínio apex visível nos endereços From de clientes.
- Se houver erros, corrija sintaxe TXT, remova tags duplicadas e mantenha uma única publicação em `_dmarc`.
- Abra DKIM Validator para seletores ativos e DNS Checker para includes SPF que devem alinhar com From.
- Publique ou atualize `rua`, colete relatórios agregados e eleve a política de `none` para `quarantine` e `reject` com `pct=100`.
- Reexecute o DN01 após o TTL e anexe a página de resultado a tickets ou evidências de compliance.
Ferramenta vs verificação manual
`dig TXT _dmarc.example.com` mostra strings brutas rápido, mas a interpretação fica com o operador. O DN01 codifica regras de duplicatas, `sp` e `rua` e retorna recomendações no mesmo passo.
DNS Checker no DN01 mostra todos os TXT da zona; DMARC Analyzer foca na política em `_dmarc` e nos riscos de `pct` parcial.
Relatórios XML agregados mostram histórico, mas não provam publicação DNS atual após mudança urgente. O DN01 responde em segundos.
Consoles DMARC de fornecedores oferecem dashboards; auditores externos precisam de lookup neutro do TXT visível na internet.
Validadores TXT genéricos nem sempre aplicam regras DMARC. O DN01 usa o mesmo parser Go da API de produção.
Inventários em planilha envelhecem após edição DNS. URL de resultado DN01 dá snapshot atual com query name, registro bruto e timing.
Por que usar DN01
- Consulta TXT ao vivo em `_dmarc.<domínio>` com domínio normalizado e tempo de resolver.
- Analisa p, sp, pct, rua, ruf, adkim e aspf com validação de duplicatas e políticas.
- Erros, avisos e recomendações; registro ausente retorna diagnóstico, não falha HTTP.
- Projetado para usar com DKIM Validator e DNS Checker em revisões SPF/DKIM/DMARC.
FAQ
Perguntas frequentes sobre o analisador DMARC
TXT em _dmarc, políticas, alignment, endereços de relatórios e endurecimento seguro.
O que é um registro DNS DMARC?
DMARC é publicado como TXT em _dmarc.example.com. Informa aos receptores como tratar e-mail que falha SPF ou DKIM alignment e onde enviar relatórios aggregate (rua) ou forensic (ruf).
O que significam p=none, quarantine e reject?
p=none apenas monitora: falhas são reportadas mas não bloqueadas. quarantine envia e-mail com falha para spam. reject pede rejeição de mensagens não autenticadas. O usual é começar em none, revisar rua e depois endurecer.
Como o DN01 encontra e valida meu registro DMARC?
Consulta _dmarc.seudominio.com via DNS ao vivo, analisa tags v=DMARC1, valida sintaxe e sinaliza erros comuns como pct inválido ou endereços rua malformados.
Como DMARC se relaciona com SPF e DKIM?
SPF e DKIM provam mecanismos individuais. DMARC define se esses resultados alinham com o domínio From e o que fazer quando não alinham. Confirme TXT SPF/DKIM no DNS Checker e valide seletores no validador DKIM.
O que são as tags rua e ruf?
rua lista endereços para relatórios XML aggregate diários com volumes pass/fail. ruf solicita amostras forensic de falhas individuais. Use caixa dedicada ou parser; rua é essencial antes de endurecer a política.
DMARC basta para parar spoofing?
DMARC com p=reject e SPF/DKIM alinhados bloqueia grande parte do spoofing direto do domínio, mas domínios parecidos e contas comprometidas exigem monitoramento separado. É validação DNS, não segurança completa da caixa de entrada.
Troca de ferramenta
Continue com outra verificação
Escolha a próxima etapa no seu fluxo de domínio ou segurança.
- Validador DKIMConsulta de seletor DKIM e validação do registroAbrir
- Verificador DNSTodos os tipos de registro em uma passagemAbrir
- DIGUm tipo de registro, resposta estilo resolverAbrir
- Encontrar IP do domínioIPs A e AAAA de um domínioAbrir
- Verificador de idade do domínioCriação, idade, registrador e expiraçãoAbrir
- WHOISRegistrador, expiração e status do domínioAbrir
- Verificador de Cabeçalhos HTTPCabeçalhos de resposta, redirecionamentos e cacheAbrir
- Testador HTTP/2Suporte HTTP/2, ALPN e TLSAbrir
- Verificador de Certificado SSLCadeia de certificados, SAN e versão TLSAbrir
- Verificador de Lista NegraReputação DNSBL para IP e domínioAbrir
- Conversor PunycodeUnicode ↔ Punycode para domínios IDNAbrir
- Separador de URLSepara URL em partes e parâmetrosAbrir
- Codec Base64Codificar e decodificar texto Base64Abrir
- Gerador de SenhasSenhas aleatórias fortes para trabalho operacionalAbrir
- Verificador de força da senhaEntropia, tempo de quebra e dicasAbrir
- Gerador de frases-senhaFrases aleatórias memoráveis para testes segurosAbrir
- BIN CheckerBandeira, banco e país do cartão pelo BIN/IINAbrir
- Calculadora IPCálculos de sub-rede para CIDR IPv4 e IPv6Abrir
- Verificador de atualização do navegadorVersão do navegador, atualização e Client HintsAbrir
Artigos relacionados
Guias práticas para tarefas comuns com Analisador DMARC — registros DNS, passos de diagnóstico e links para nossas ferramentas gratuitas.
dmarc policy, p=reject, email authentication
DMARC Policy Explained: none, quarantine, reject
Understand p=, sp=, pct=, and how policy changes affect spoofed mail before you move from monitoring to enforcement.
Ler artigo →dmarc alignment, spf dkim dmarc, email deliverability
DMARC Alignment with SPF and DKIM
Why valid SPF or DKIM can still fail DMARC when envelope, header From, and signing domains do not align.
Ler artigo →dmarc record tags, dmarc syntax, v=DMARC1
DMARC Record Tags and Syntax Operators Should Know
Decode v=DMARC1, p=, sp=, pct=, rua, ruf, fo, aspf, adkim, and common formatting mistakes in TXT records.
Ler artigo →dmarc rua, dmarc ruf, aggregate reports
DMARC Aggregate and Forensic Reports: rua and ruf
How to publish rua and ruf mailto targets, what reports contain, and why forensic reports are often disabled.
Ler artigo →dmarc sp tag, subdomain dmarc policy, sp=reject
DMARC Subdomain Policy sp= for Marketing and Product Hosts
When sp= matters for mail.example.com, how it inherits from p=, and why separate subdomain senders need explicit alignment.
Ler artigo →dmarc reject migration, dmarc enforcement, dmarc rollout
Moving DMARC from p=none to quarantine or reject Safely
A staged rollout using reports, pct= sampling, and alignment fixes before full spoofing protection.
Ler artigo →