[HSC MailInspector] - Configurando DMARC (Domain-based Message Authentication Reporting and Conformance)

Owned by HSC - Suporte, created
Jan 06, 2022
2 min read

Este artigo tem por finalidade explicação de como configurar e implementar o protocolo de segurança DMARC.

Basicamente o DMARC é a verificação do funcionamento do SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail).

 Premissas

  1. Possuir acesso ao DNS;

É recomendado que no DNS do domínio já tenha entrada A ou AAAA.

Passo a Passo

  1. Gere a string de DMARC. Pode ser manualmente ou através de um gerador (que facilita bastante a vida), seguem dois links de geradores da string de DMARC:
    https://mxtoolbox.com/DMARCRecordGenerator.aspx
    https://www.kitterman.com/dmarc/assistant.html?

  2. Acesse o seu DNS;

  3. Crie uma entrada do tipo TXT no seu DNS e no registro onde normalmente você colocaria o seu domínio, você irá colocar:
    _dmarc.[seu_domínio]

  4. Coloque a string gerada pelo gerador de DMARC (anteriormente citado). Se desejar fazer o registro manual, recomendamos que a string seja da seguinte forma:

    v=DMARC1; p=none; fo=1; rua=mailto:[endereço de email para recebimento de rua]; ruf=mailto:[endereço de email para recebimento de ruf]

    Segue exemplo:

v=DMARC1; p=none; fo=1; rua=mailto:dmarc_report@hscbrasil.com.br; ruf=mailto:dmarc_report_rf@hscbrasil.com.br

v=DMARC1
Indica a versão do protocolo.
p=none
O DMARC record sugerido acima inclui uma política de monitoramento (p=none). Isso significa que você não está instruindo os provedores de mailbox a realizar nenhuma ação com seu e-mail que falhar na autenticação.
fo=1
Avisa os provedores de caixas de e-mail de que você deseja amostras de e-mail que apresentaram falhas no SPF e/ou DKIM. Quanto ao valor:
Use 0 para receber um relatório se tanto o SPF e o DKIM falharem. (padrão)
Use 1 para receber um relatório se o SPF ou o DKIM falhar. (recomendado)
rua
Contém o endereço onde você deseja receber os relatórios agregados.
ruf
Contém o endereço onde você deseja receber relatórios de perícia.

Caso você precise enviar para mais de um endereço os relatórios, basta seguir a sintaxe do exemplo abaixo. Repare que cada destino deve ser descrito nos blocos de declaração RUA e RUF no DMARC record. Além disso, cada destino precisa ser delineado com uma vírgula dentro dos blocos RUA e RUF:

v=DMARC1; p=none; fo=1; rua=mailto:dmarc_agg@destino1.com.br,mailto:dmarc_aggdata@destino2.com.br; ruf=mailto:dmarc_afrf@destino1.com.br,mailto:dmarc_forensic@destino2.com.br

Importante salientar que deve-se evitar usar mais de dois destinos diferentes, pois muitos provedores de e-mail não enviam relatórios para mais de dois destinos.