Ir para o conteúdo
D1
PT

Autenticação de e-mail

Analisador DMARC

Revise registro DMARC, política, alinhamento, relatórios e alertas.

Este formulário chama o endpoint relativo: /site-api/tools/dmarc

Como usar a ferramenta

  1. Digite o domínio remetente visível no cabeçalho From, por exemplo example.com, sem protocolo, caminho ou prefixo de caixa de correio. O DN01 normaliza o nome, rejeita hosts malformados ou restritos e usa o domínio registrável como alvo da consulta. Se um subdomínio envia com infraestrutura própria, execute uma verificação separada: a política DMARC é publicada no domínio organizacional que os destinatários veem.
  2. O DN01 faz uma consulta DNS TXT ao vivo em `_dmarc.<domínio>` com timeout de cinco segundos no resolver e registra a duração. O backend seleciona a primeira string TXT que começa com `v=DMARC1`, divide tags separadas por ponto e vírgula e mapeia `p`, `sp`, `pct`, `rua`, `ruf`, `adkim` e `aspf` em campos estruturados. Ausência de registro ou falha de DNS retorna diagnóstico, não erro HTTP, para que você sempre receba um relatório legível.
  3. Revise a política analisada (`none`, `quarantine` ou `reject`), política de subdomínios, percentual `pct`, URIs de relatórios agregados `rua`, relatórios forenses `ruf`, modos de alinhamento DKIM e SPF, inventário de tags e o TXT bruto como os resolvers o veem. Observe `found` e `valid`: um registro pode existir mas ser inválido se tags obrigatórias faltarem, a política for desconhecida, `pct` estiver fora da faixa ou houver nomes de tag duplicados.
  4. Use os painéis de erros, avisos e recomendações para decidir a próxima alteração DNS. O DN01 alerta sobre `p=none` apenas de monitoramento, aplicação parcial quando `pct` é menor que 100, `rua` ausente e alinhamento relaxado por padrão. Se o relatório parecer incompleto, abra DKIM Validator e DNS Checker no mesmo domínio para confirmar que SPF e DKIM podem alinhar com o domínio From antes de `quarantine` ou `reject`.

O que o resultado mostra

O resultado separa os sinais importantes para esta verificação.

CampoFinalidadeExemplo
DomínioDomínio registrável normalizado enviado ao analisador.example.com
Nome da consultaNome DNS TXT exato consultado pelo resolver._dmarc.example.com
FoundSe um TXT começando com v=DMARC1 foi retornado.true
ValidSe o registro foi analisado sem erros de sintaxe bloqueantes.false
p=Política organizacional para e-mail que falha DMARC.quarantine
sp=Política para subdomínios quando diferente de p=.reject
pct=Percentual de mensagens com falha coberto pela política.100
rua=Destinos de relatórios agregados separados por vírgula.mailto:[email protected]
ruf=Destinos de relatórios forenses se publicados.mailto:[email protected]
adkim= / aspf=Alinhamento estrito (s) ou relaxado (r) para DKIM e SPF.adkim=r; aspf=s
Registro brutoString TXT retornada pelo DNS sem modificação.v=DMARC1; p=none; rua=mailto:[email protected]
Errors / Warnings / RecommendationsDiagnósticos acionáveis gerados a partir das tags.rua ausente; avance para quarantine após revisar relatórios

Quando esta verificação ajuda

Você prepara a transição de monitoramento para enforcement e precisa saber se o registro publicado resistirá à avaliação dos receptores. Marketing envia via CRM, produto usa provedor transacional e finanças mantém relay local. Antes de subir `p` de `none` para `quarantine`, o DN01 mostra se o TXT em `_dmarc.example.com` é sintaticamente válido, se tags duplicadas invalidariam o registro e se `pct` já limita o enforcement. Essa única publicação DNS é o que bilhões de caixas de correio avaliam; um erro em `p=` ou um segundo TXT DMARC pode enfraquecer a proteção em todos os canais.

Tickets de entregabilidade culpam DMARC mesmo quando SPF passa isoladamente. Uma mensagem pode ter SPF válido e ainda falhar DMARC quando envelope From, header From e domínio assinante DKIM não se alinham conforme `aspf` e `adkim`. O DN01 exibe modos de alinhamento: sem tags, assume relaxado (`r`) e avisa que receptores podem aceitar correspondências de domínio mais amplas. Combine o resultado com DKIM Validator e DNS Checker.

Equipes de segurança usam DMARC como controle anti-spoofing para domínios executivos, portais de parceiros e marcas parecidas. Se `_dmarc` não existe, o DN01 retorna diagnóstico claro — `no DMARC record found at _dmarc.<domain>` — e recomenda publicar `v=DMARC1` com política inicial. Não é falha da ferramenta; é o estado que receptores veem quando phishing pode reutilizar seu domínio sem política de rejeição publicada.

MSPs revisam DMARC em dezenas de zonas de clientes no onboarding ou renovação. Consultas manuais com `dig` não escalam quando é preciso comparar `sp` com `p`, verificar caixas de relatório e detectar `pct` inválido. O DN01 retorna relatório consistente com duração, inventário de tags e recomendações para tickets.

Arquiteturas com muitos subdomínios — `news.example.com`, `billing.example.com`, `eu.example.com` — dependem de `sp=` quando zonas filhas enviam com SPF e DKIM próprios. Sem `sp`, receptores aplicam `p` a subdomínios, surpreendendo equipes que achavam a zona isolada. O DN01 mostra ambos os valores e sinaliza políticas de subdomínio inválidas.

Questionários de compliance pedem evidência de maturidade em autenticação de e-mail. Auditores querem saber se reporting agregado (`rua`) está configurado, se enforcement é parcial (`pct` menor que 100) e se o registro é válido hoje. O DN01 responde a partir do DNS ao vivo, guarda TXT bruto e separa erros duros de avisos.

Após onda de spoofing, a resposta a incidentes começa com «DMARC ausente ou errado?». Quando vários TXT em `_dmarc` incluem mais de um fragmento `v=DMARC1`, receptores podem tratar a configuração como inválida. O DN01 escolhe o primeiro registro correspondente mas informa tags duplicadas na mesma string. Reveja após TTL e valide assinaturas com DKIM Validator antes de voltar a `reject`.

O que revisar se o resultado parecer errado

Se o DN01 reporta ausência de DMARC, consulte `_dmarc.seudominio.tld` especificamente, não o TXT raiz do SPF. Muitas equipes publicam SPF no apex e assumem herança de DMARC. Confirme em todos os NS autoritativos após migração DNS.

Quando `valid` é falso com `found` true, leia primeiro o array de erros. Tags `p=` duplicadas, políticas desconhecidas, `pct` não inteiro ou fora de 0–100 invalidam o registro. Remova duplicatas, mantenha um único TXT com ponto e vírgula e aguarde TTL antes de reexecutar.

Avisos sobre `p=none`, `rua` ausente ou alinhamento relaxado descrevem exposição. `p=none` monitora sem exigir quarentena ou rejeição. Sem `rua` você não recebe relatórios XML agregados. Decida se precisa `adkim=s` ou `aspf=s` antes de `reject`.

Se DNS ao vivo difere do painel do registrador, compare o registro bruto com `dig +short TXT _dmarc.dominio`. Caches e importações parciais enganam dashboards. O DN01 consulta no momento da requisição.

Se e-mail legítimo falha após endurecer política, DMARC pode estar correto enquanto SPF ou DKIM não. Use DNS Checker para includes SPF e DKIM Validator para seletores e expiração de chaves. `pct` abaixo de 100 gera falhas aparentemente aleatórias.

Como interpretar o resultado

DMARC apoia-se em SPF e DKIM. SPF valida o caminho do envelope; DKIM a assinatura criptográfica; DMARC pergunta se algum se alinha ao domínio visível em From e o que fazer se ambos falharem. O DN01 não envia e-mail nem avalia mensagens individuais: inspeciona a política DNS que orienta receptores. Combine com DKIM Validator e DNS Checker.

A tag `p=` é obrigatória. Políticas devem ser `none`, `quarantine` ou `reject`; qualquer outro valor é inválido. `none` serve para monitoramento inicial, mas o DN01 avisa que não bloqueia falhas. `quarantine` envia falhas para spam; `reject` pede descarte. Escale com base em relatórios `rua`.

`pct` limita a fração de mensagens com falha coberta. Valores abaixo de 100 significam enforcement parcial. O DN01 interpreta `pct` como inteiro e erro se fora de 0–100. Marcas em produção costumam terminar em `pct=100`.

Relatórios agregados vão para URIs `rua`, geralmente `mailto:` registrados no processador. O DN01 lista destinos separados por vírgula e avisa se `rua` falta. Relatórios forenses `ruf` são opcionais e sensíveis.

`adkim` e `aspf` controlam correspondência estrita (`s`) ou relaxada (`r`). Se ausentes, o DN01 assume relaxado e avisa sobre combinações apex/subdomínio indesejadas. Modos estritos são comuns antes de `reject`.

Válido no DN01 significa ausência de erros de parse bloqueantes no momento da consulta. `valid=false` deve ser tratado como defeito DNS crítico até correção.

Fluxo recomendado

  1. Execute DMARC Analyzer no domínio apex visível nos endereços From de clientes.
  2. Se houver erros, corrija sintaxe TXT, remova tags duplicadas e mantenha uma única publicação em `_dmarc`.
  3. Abra DKIM Validator para seletores ativos e DNS Checker para includes SPF que devem alinhar com From.
  4. Publique ou atualize `rua`, colete relatórios agregados e eleve a política de `none` para `quarantine` e `reject` com `pct=100`.
  5. Reexecute o DN01 após o TTL e anexe a página de resultado a tickets ou evidências de compliance.

Ferramenta vs verificação manual

`dig TXT _dmarc.example.com` mostra strings brutas rápido, mas a interpretação fica com o operador. O DN01 codifica regras de duplicatas, `sp` e `rua` e retorna recomendações no mesmo passo.

DNS Checker no DN01 mostra todos os TXT da zona; DMARC Analyzer foca na política em `_dmarc` e nos riscos de `pct` parcial.

Relatórios XML agregados mostram histórico, mas não provam publicação DNS atual após mudança urgente. O DN01 responde em segundos.

Consoles DMARC de fornecedores oferecem dashboards; auditores externos precisam de lookup neutro do TXT visível na internet.

Validadores TXT genéricos nem sempre aplicam regras DMARC. O DN01 usa o mesmo parser Go da API de produção.

Inventários em planilha envelhecem após edição DNS. URL de resultado DN01 dá snapshot atual com query name, registro bruto e timing.

Por que usar DN01

  • Consulta TXT ao vivo em `_dmarc.<domínio>` com domínio normalizado e tempo de resolver.
  • Analisa p, sp, pct, rua, ruf, adkim e aspf com validação de duplicatas e políticas.
  • Erros, avisos e recomendações; registro ausente retorna diagnóstico, não falha HTTP.
  • Projetado para usar com DKIM Validator e DNS Checker em revisões SPF/DKIM/DMARC.

FAQ

Perguntas frequentes sobre o analisador DMARC

TXT em _dmarc, políticas, alignment, endereços de relatórios e endurecimento seguro.

O que é um registro DNS DMARC?

DMARC é publicado como TXT em _dmarc.example.com. Informa aos receptores como tratar e-mail que falha SPF ou DKIM alignment e onde enviar relatórios aggregate (rua) ou forensic (ruf).

O que significam p=none, quarantine e reject?

p=none apenas monitora: falhas são reportadas mas não bloqueadas. quarantine envia e-mail com falha para spam. reject pede rejeição de mensagens não autenticadas. O usual é começar em none, revisar rua e depois endurecer.

Como o DN01 encontra e valida meu registro DMARC?

Consulta _dmarc.seudominio.com via DNS ao vivo, analisa tags v=DMARC1, valida sintaxe e sinaliza erros comuns como pct inválido ou endereços rua malformados.

Como DMARC se relaciona com SPF e DKIM?

SPF e DKIM provam mecanismos individuais. DMARC define se esses resultados alinham com o domínio From e o que fazer quando não alinham. Confirme TXT SPF/DKIM no DNS Checker e valide seletores no validador DKIM.

O que são as tags rua e ruf?

rua lista endereços para relatórios XML aggregate diários com volumes pass/fail. ruf solicita amostras forensic de falhas individuais. Use caixa dedicada ou parser; rua é essencial antes de endurecer a política.

DMARC basta para parar spoofing?

DMARC com p=reject e SPF/DKIM alinhados bloqueia grande parte do spoofing direto do domínio, mas domínios parecidos e contas comprometidas exigem monitoramento separado. É validação DNS, não segurança completa da caixa de entrada.

Troca de ferramenta

Escolha a próxima etapa no seu fluxo de domínio ou segurança.

Catálogo completo de ferramentas

Guias

Guias práticas para tarefas comuns com Analisador DMARC — registros DNS, passos de diagnóstico e links para nossas ferramentas gratuitas.

Voltar para Analisador DMARC