Ir para o conteúdo
D1
PT
Guias

DMARC alignment with SPF and DKIM

dmarc alignment · spf dkim dmarc · email deliverability

Why valid SPF or DKIM can still fail DMARC when envelope, header From, and signing domains do not align.

Por DN01 Network Team

DMARC asks whether the identity that passed SPF or DKIM aligns with the domain visible to the recipient, not merely whether a check returned pass. O analisador DMARC DN01 busca o TXT _dmarc, analisa tags e destaca política e alinhamento antes do enforcement. Operadores usam em migrações, triagem de incidentes e onboarding de fornecedores quando precisam de evidência repetível em vez de capturas isoladas.

Forwarding breaks SPF on many paths, which is why teams rely on DKIM alignment with the customer From domain.

Use DN01 to read aspf, adkim, and alignment modes, then fix signing domains or envelope senders before raising policy to quarantine or reject. Combine a saída DMARC com validadores SPF e DKIM do mesmo domínio para corrigir autenticação em conjunto. Salve o permalink do resultado no ticket, registre a hora da verificação e compare a saída antes e depois de mudanças de configuração ou atualizações do cliente.

Repita a verificação após cada mudança relevante e mantenha o link do guia no runbook da equipe para novos operadores seguirem a mesma ordem de diagnóstico.

Tags que o DN01 destaca

A política p= e o subdomínio sp= definem ações do receptor; pct= limita quanto e-mail a política cobre durante o rollout.

Os modos aspf e adkim controlam correspondência relaxed ou strict entre domínios autenticados e o From visível.

Erros de rollout

Publicar reject enquanto marketing ou ticketing enviam com DKIM do fornecedor quebra e-mail legítimo em spam.

Ignorar relatórios agregados faz descobrir fontes desalinhadas só quando clientes reclamam de recibos perdidos.

Caminho seguro de enforcement

Comece em p=none com rua, corrija alinhamento para cada remetente aprovado, depois quarantine antes de reject.

Use pct<100 apenas como ponte temporária; documente a data alvo de enforcement completo no runbook de e-mail.

Documentação e próximos passos

Arquive a saída do verificador em tickets de mudança, revisões de fornecedores e incidentes para o próximo operador ver a mesma evidência analisada.

Vincule este guia e a página da ferramenta nos wikis da equipe e combine resultados com outras utilidades DN01 quando o problema cruzar DNS, e-mail, TLS ou camadas de segurança. Registre quem executou a verificação, qual entrada foi usada e se o permalink foi compartilhado com o solicitante.

Quando escalar ou combinar verificações

Se a saída do Analisador DMARC ainda divergir do relato do usuário após reinício ou limpeza de cache, capture timestamps, entradas brutas e o permalink DN01 antes de alterar DNS, e-mail, TLS ou auth de produção.

Escale para donos de plataforma ou identidade quando a política corporativa bloquear a correção; caso contrário combine este guia com utilidades DN01 de DNS, e-mail, TLS ou segurança para fechar o ciclo em um ticket.

Estágios da política DMARC
PolíticaUso típico
p=noneMonitorar e coletar rua
p=quarantineSuavizar falhas para spam
p=rejectBloquear spoof após alinhamento limpo
pct<100Apenas enforcement gradual

Perguntas frequentes

DMARC substitui SPF ou DKIM?

Não. DMARC depende de SPF e DKIM mais alinhamento com o domínio From.

Todo domínio deve usar p=reject?

Muitos domínios remetentes deveriam, mas só após relatórios com e-mail legítimo alinhado e sem fontes surpresa.

Por que mostrar pct separado?

reject com pct=20 não é enforcement completo. DN01 mostra pct para não superestimar a proteção.

Posso compartilhar resultados com a equipe?

Sim. Copie a saída DN01 ou o permalink nos tickets de mudança para que todos revisem a mesma evidência analisada em vez de capturas soltas.