[HSC MailInspector] - Configurando DMARC (Domain-based Message Authentication Reporting and Conformance)
Este artigo tem por finalidade explicação de como configurar e implementar o protocolo de segurança DMARC.
Basicamente o DMARC é a verificação do funcionamento do SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail).
Premissas
Possuir acesso ao DNS;
É recomendado que no DNS do domínio já tenha entrada A ou AAAA.
Passo a Passo
Gere a string de DMARC. Pode ser manualmente ou através de um gerador (que facilita bastante a vida), seguem dois links de geradores da string de DMARC:
https://mxtoolbox.com/DMARCRecordGenerator.aspx
https://www.kitterman.com/dmarc/assistant.html?Acesse o seu DNS;
Crie uma entrada do tipo TXT no seu DNS e no registro onde normalmente você colocaria o seu domínio, você irá colocar:
_dmarc.[seu_domínio]Coloque a string gerada pelo gerador de DMARC (anteriormente citado). Se desejar fazer o registro manual, recomendamos que a string seja da seguinte forma:
v=DMARC1; p=none; fo=1; rua=mailto:[endereço de email para recebimento de rua]; ruf=mailto:[endereço de email para recebimento de ruf]
Segue exemplo:
v=DMARC1; p=none; fo=1; rua=mailto:dmarc_report@hscbrasil.com.br; ruf=mailto:dmarc_report_rf@hscbrasil.com.br
v=DMARC1
Indica a versão do protocolo.
p=none
O DMARC record sugerido acima inclui uma política de monitoramento (p=none). Isso significa que você não está instruindo os provedores de mailbox a realizar nenhuma ação com seu e-mail que falhar na autenticação.
fo=1
Avisa os provedores de caixas de e-mail de que você deseja amostras de e-mail que apresentaram falhas no SPF e/ou DKIM. Quanto ao valor:
Use 0 para receber um relatório se tanto o SPF e o DKIM falharem. (padrão)
Use 1 para receber um relatório se o SPF ou o DKIM falhar. (recomendado)
rua
Contém o endereço onde você deseja receber os relatórios agregados.
ruf
Contém o endereço onde você deseja receber relatórios de perícia.
Caso você precise enviar para mais de um endereço os relatórios, basta seguir a sintaxe do exemplo abaixo. Repare que cada destino deve ser descrito nos blocos de declaração RUA e RUF no DMARC record. Além disso, cada destino precisa ser delineado com uma vírgula dentro dos blocos RUA e RUF:
v=DMARC1; p=none; fo=1; rua=mailto:dmarc_agg@destino1.com.br,mailto:dmarc_aggdata@destino2.com.br; ruf=mailto:dmarc_afrf@destino1.com.br,mailto:dmarc_forensic@destino2.com.br
Importante salientar que deve-se evitar usar mais de dois destinos diferentes, pois muitos provedores de e-mail não enviam relatórios para mais de dois destinos.