Fundamentos8 min de leitura

Como configurar DMARC passo a passo

DMARC fecha o triângulo de autenticação de email. Aqui você aprende do zero: criar o registro, ler relatórios e escalar de forma segura de p=none para p=reject.

Se sua empresa ainda não configurou DMARC, está atrasada. Desde fevereiro de 2024, Gmail, Yahoo e Outlook exigem DMARC (pelo menos na forma mais suave, p=none) de qualquer remetente que dispare emails em volume. Ignorar isso significa correr o risco real de entrega em massa para spam ou rejeição pura.

Mas DMARC não é apenas cumprir exigência. É sobre proteger sua marca contra falsificações (spoofing), entender por que emails caem em spam, e construir reputação de forma legítima. Neste guia você vai aprender a configurar DMARC do zero — começando da política mais permissiva (p=none) até alcançar p=reject em produção, de forma segura e sem quebrar entregas legítimas.

Por que DMARC é obrigatório agora

Alguns anos atrás, DMARC era considerado nice-to-have — algo que grandes empresas faziam, mas PMEs podiam ignorar. Em 2024, essa conversa acabou. Os três maiores provedores do mundo deixaram claro que é mandatório. E na prática brasileira, onde Gmail (pessoal e Google Workspace) e Outlook dominam a caixa de entrada corporativa, DMARC virou não-negoziável.

Existem dois motivos poderosos:

  • Prova criptográfica: Você deixa claro que o email veio de você, não de um imitador. Falsificadores não conseguem contornar SPF + DKIM + DMARC juntos.
  • Feedback automático: Relatórios RUA (Reporting, Updating and Assessment) vêm direto de Gmail, Outlook, Yahoo, iCloud, UOL, BOL e outros. Eles te mostram quem tentou se passar por você, ou onde seus emails legítimos estão quebrando. É visibilidade que você nunca teria de outro jeito.

Os três pilares de autenticação: SPF, DKIM e DMARC

DMARC não funciona sozinho. Ele depende de SPF e DKIM já configurados. Se você não tem SPF e DKIM, DMARC não tem nada para validar.

SPFAutoriza qual IP/servidor pode enviar por seu domínioDKIMAssina o email com chave privada, prova que não foi adulteradoDMARCDefine política: rejeitar, colocar em spam, ou apenas monitorar
Os três pilares. SPF valida de onde veio. DKIM valida se foi alterado. DMARC diz o que fazer se falhar.

Cada um tem um trabalho:

  • SPF (Sender Policy Framework): TXT record que lista quais IPs ou servidores podem enviar email legitimamente usando seu domínio.
  • DKIM (DomainKeys Identified Mail): Cada email saindo do seu servidor recebe uma assinatura criptográfica. O provedor valida que a chave pertence a você e que o email não foi mexido depois de sair.
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance): A política que diz aos provedores: se SPF ou DKIM falhar, rejeite? Coloque em spam? Ou só me manda relatório sem fazer nada?

Passo 1: Verificar que SPF e DKIM já funcionam

Antes de criar DMARC, teste seus registros SPF e DKIM. A ferramenta gratuita de teste de inbox placement vai te mostrar o status de ambos:

Acesse check.live-direct-marketing.online e envie um email de teste. A ferramenta mostra se SPF está passando, se DKIM está validando, e o resultado DMARC. Se algum dos dois falhar nessa fase, DMARC não vai resolver — você precisa consertar SPF ou DKIM primeiro.

Passo 2: Criar o registro DMARC com p=none

Agora vem a parte prática. Você vai criar um novo registro TXT no DNS do seu domínio. Comece sempre com p=none — essa política faz o provedor não rejeitar email baseado em DMARC, mas mesmo assim envia relatórios detalhados. É o modo seguro.

O registro DMARC vai no subdomínio especial _dmarc:

v=DMARC1; p=none; rua=mailto:relatorios@seudominio.com.br; ruf=mailto:forense@seudominio.com.br; fo=1Versão do protocolo DMARC (sempre 1)Política: nenhuma ação, apenas monitorarEmail para relatórios agregados (dados semanais)Email para relatórios forenses (detalhes de falhas)Enviar relatório quando SPF OU DKIM falhar
Estrutura de um registro DMARC TXT. Cada tag tem uma função: versão, política, emails de relatório, comportamento em caso de falha.

Como fazer:

  1. Acesse o painel de DNS do seu provedor (GoDaddy, CloudFlare, HostGator, Locaweb, etc.)
  2. Crie um novo registro TXT
  3. Nome do registro: _dmarc.seudominio.com.br (substitua seudominio.com.br pelo seu domínio)
  4. Valor: copie a linha acima, adaptando para seus emails de relatório
  5. Salve e aguarde propagação (30 min a 2 horas típico)
Crie emails de relatório antes
Os endereços em rua= e ruf= precisam estar criados e funcionais. Se você colocar um email que não existe, os provedores vão tentar enviar relatórios e receber erro. Crie uma caixa dedicada (ex: dmarc-reports@seudominio.com.br) antes de publicar o registro.

Passo 3: Analisar relatórios RUA e ajustar

Depois de 24 a 48 horas, começam a chegar os primeiros relatórios de provedores como Gmail, Yahoo, Outlook, iCloud, UOL, BOL e outros. Cada relatório é um arquivo XML contendo:

  • Quantas mensagens passaram em SPF/DKIM (em percentual)
  • Quantas falharam, e qual foi o motivo (falha de alinhamento, IP não autorizado, etc.)
  • Qual IP ou domínio tentou enviar email usando seu domínio
  • De qual país/operadora veio

Deixe DMARC com p=none por 2 a 4 semanas coletando dados. O que procurar:

  • Acima de 95% de sucesso: Seus emails legítimos estão passando. Você está pronto para escalar para p=quarantine.
  • 85-95% de sucesso: Estude os 5-15% que falham. Pode ser um serviço legítimo (ESP, plataforma de ecommerce) que ainda não configurou SPF/DKIM corretamente, ou um subdomínio seu que você esqueceu.
  • Abaixo de 85%: Não escale ainda. Tem algo errado — provável é um problema de alinhamento de domínios (veja a seção de erros comuns abaixo).

Passo 4: Escalar gradualmente para p=reject

Quando seus relatórios mostram consistentemente 95% ou mais de sucesso durante semanas, você está pronto para escalar. Mas não pule direto para p=reject. Faça em dois passos:

  1. Mude para p=quarantine: Ao invés de rejeitar, o provedor coloca emails que falham DMARC na pasta de spam. Monitore por mais 2-4 semanas.
  2. Mude para p=reject: Agora qualquer email que falhe SPF/DKIM alignment é rejeitado completamente. Não chega em spam, não é entregue — ponto final.

Cada mudança é fácil — basta atualizar o registro TXT no DNS:

v=DMARC1; p=quarantine; rua=mailto:relatorios@seudominio.com.br; ruf=mailto:forense@seudominio.com.br; fo=1

E depois:

v=DMARC1; p=reject; rua=mailto:relatorios@seudominio.com.br; ruf=mailto:forense@seudominio.com.br; fo=1

Erros de alinhamento: por que DMARC falha

Alinhamento é quando o domínio que aparece no cabeçalho From é o mesmo domínio que você usa em SPF e DKIM. Parece fácil? É — mas é a causa #1 de falha em DMARC. Aqui estão as armadilhas:

  • Subdomínio mismatch: Você envia de noreply@newsletter.seudominio.com.br, mas criou DMARC apenas em _dmarc.seudominio.com.br. O subdomínio newsletter não herda a política automaticamente. Solução: crie _dmarc.newsletter.seudominio.com.br com uma política própria, ou use sp=none na política principal para criar uma subdomain policy.
  • ESP reescreve o From: Plataformas como RD Station, Brevo, Mailchimp, ou provedores de hosting como Locaweb às vezes mudam o From para seu próprio domínio, mas mantêm a assinatura DKIM deles. DMARC vê uma assinatura de domínio que não bate com o From — falha. Solução: peça à ESP/provedor para usar seu domínio customizado em From, ou aceite que DMARC vai falhar para esses emails.
  • Serviços de terceiros: Você usa Shopify, WooCommerce, ou outro serviço que envia notificações de pedido. Esses serviços enviam de seus próprios domínios, não do seu. Solução: configure o serviço para usar seu domínio customizado (se suportar), ou crie uma política DMARC separada para esse subdomínio.

Qual é a diferença prática entre p=none, p=quarantine e p=reject?

p=none: O provedor não faz nada com o email — entrega normalmente. Só envia relatórios. p=quarantine: Emails que falham DMARC vão para spam ao invés de inbox. p=reject: Email é rejeitado completamente — o servidor do provedor não aceita nem entrega. Comece com none, escale para quarantine após 2-4 semanas, depois para reject.

Quanto tempo demora para DMARC propagar e começar a funcionar?

O DNS típico tem TTL de 3600 segundos, então propagação é 30 minutos a 2 horas. Os primeiros relatórios RUA chegam em 24-48 horas depois que o registro está vivo. Mas dados úteis aparecem depois de 1-2 semanas de coleta — com base nisso você vai tomar decisões sobre escalar.

Se estou em uma blacklist, DMARC resolve meu problema?

Não diretamente. DMARC é autenticação, não lida com reputação de IP/domínio. Se você está em uma blacklist, veja nosso guia sobre como sair de blacklists. Mas com DMARC p=reject você ao menos bloqueia que terceiros abusem do seu domínio — que é um problema separado de estar em lista negra.
Leituras relacionadas
Found this useful? Share it
AB
Sobre o autor
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Verifique sua entregabilidade em mais de 20 provedores

Gmail, Outlook, Yahoo, GMX, ProtonMail e outros. Capturas reais da caixa de entrada, SPF/DKIM/DMARC, veredictos de filtros de spam. Grátis, sem cadastro.

Fazer teste grátis →

Testes ilimitados · Mais de 20 caixas · Resultados ao vivo · Sem conta