Se sua empresa ainda não configurou DMARC, está atrasada. Desde fevereiro de 2024, Gmail, Yahoo e Outlook exigem DMARC (pelo menos na forma mais suave, p=none) de qualquer remetente que dispare emails em volume. Ignorar isso significa correr o risco real de entrega em massa para spam ou rejeição pura.
Mas DMARC não é apenas cumprir exigência. É sobre proteger sua marca contra falsificações (spoofing), entender por que emails caem em spam, e construir reputação de forma legítima. Neste guia você vai aprender a configurar DMARC do zero — começando da política mais permissiva (p=none) até alcançar p=reject em produção, de forma segura e sem quebrar entregas legítimas.
Por que DMARC é obrigatório agora
Alguns anos atrás, DMARC era considerado nice-to-have — algo que grandes empresas faziam, mas PMEs podiam ignorar. Em 2024, essa conversa acabou. Os três maiores provedores do mundo deixaram claro que é mandatório. E na prática brasileira, onde Gmail (pessoal e Google Workspace) e Outlook dominam a caixa de entrada corporativa, DMARC virou não-negoziável.
Existem dois motivos poderosos:
- Prova criptográfica: Você deixa claro que o email veio de você, não de um imitador. Falsificadores não conseguem contornar SPF + DKIM + DMARC juntos.
- Feedback automático: Relatórios RUA (Reporting, Updating and Assessment) vêm direto de Gmail, Outlook, Yahoo, iCloud, UOL, BOL e outros. Eles te mostram quem tentou se passar por você, ou onde seus emails legítimos estão quebrando. É visibilidade que você nunca teria de outro jeito.
Os três pilares de autenticação: SPF, DKIM e DMARC
DMARC não funciona sozinho. Ele depende de SPF e DKIM já configurados. Se você não tem SPF e DKIM, DMARC não tem nada para validar.
Cada um tem um trabalho:
- SPF (Sender Policy Framework): TXT record que lista quais IPs ou servidores podem enviar email legitimamente usando seu domínio.
- DKIM (DomainKeys Identified Mail): Cada email saindo do seu servidor recebe uma assinatura criptográfica. O provedor valida que a chave pertence a você e que o email não foi mexido depois de sair.
- DMARC (Domain-based Message Authentication, Reporting, and Conformance): A política que diz aos provedores: se SPF ou DKIM falhar, rejeite? Coloque em spam? Ou só me manda relatório sem fazer nada?
Passo 1: Verificar que SPF e DKIM já funcionam
Antes de criar DMARC, teste seus registros SPF e DKIM. A ferramenta gratuita de teste de inbox placement vai te mostrar o status de ambos:
Acesse check.live-direct-marketing.online e envie um email de teste. A ferramenta mostra se SPF está passando, se DKIM está validando, e o resultado DMARC. Se algum dos dois falhar nessa fase, DMARC não vai resolver — você precisa consertar SPF ou DKIM primeiro.
Passo 2: Criar o registro DMARC com p=none
Agora vem a parte prática. Você vai criar um novo registro TXT no DNS do seu domínio. Comece sempre com p=none — essa política faz o provedor não rejeitar email baseado em DMARC, mas mesmo assim envia relatórios detalhados. É o modo seguro.
O registro DMARC vai no subdomínio especial _dmarc:
Como fazer:
- Acesse o painel de DNS do seu provedor (GoDaddy, CloudFlare, HostGator, Locaweb, etc.)
- Crie um novo registro TXT
- Nome do registro:
_dmarc.seudominio.com.br(substitua seudominio.com.br pelo seu domínio) - Valor: copie a linha acima, adaptando para seus emails de relatório
- Salve e aguarde propagação (30 min a 2 horas típico)
rua= e ruf= precisam estar criados e funcionais. Se você colocar um email que não existe, os provedores vão tentar enviar relatórios e receber erro. Crie uma caixa dedicada (ex: dmarc-reports@seudominio.com.br) antes de publicar o registro.Passo 3: Analisar relatórios RUA e ajustar
Depois de 24 a 48 horas, começam a chegar os primeiros relatórios de provedores como Gmail, Yahoo, Outlook, iCloud, UOL, BOL e outros. Cada relatório é um arquivo XML contendo:
- Quantas mensagens passaram em SPF/DKIM (em percentual)
- Quantas falharam, e qual foi o motivo (falha de alinhamento, IP não autorizado, etc.)
- Qual IP ou domínio tentou enviar email usando seu domínio
- De qual país/operadora veio
Deixe DMARC com p=none por 2 a 4 semanas coletando dados. O que procurar:
- Acima de 95% de sucesso: Seus emails legítimos estão passando. Você está pronto para escalar para p=quarantine.
- 85-95% de sucesso: Estude os 5-15% que falham. Pode ser um serviço legítimo (ESP, plataforma de ecommerce) que ainda não configurou SPF/DKIM corretamente, ou um subdomínio seu que você esqueceu.
- Abaixo de 85%: Não escale ainda. Tem algo errado — provável é um problema de alinhamento de domínios (veja a seção de erros comuns abaixo).
Passo 4: Escalar gradualmente para p=reject
Quando seus relatórios mostram consistentemente 95% ou mais de sucesso durante semanas, você está pronto para escalar. Mas não pule direto para p=reject. Faça em dois passos:
- Mude para p=quarantine: Ao invés de rejeitar, o provedor coloca emails que falham DMARC na pasta de spam. Monitore por mais 2-4 semanas.
- Mude para p=reject: Agora qualquer email que falhe SPF/DKIM alignment é rejeitado completamente. Não chega em spam, não é entregue — ponto final.
Cada mudança é fácil — basta atualizar o registro TXT no DNS:
v=DMARC1; p=quarantine; rua=mailto:relatorios@seudominio.com.br; ruf=mailto:forense@seudominio.com.br; fo=1E depois:
v=DMARC1; p=reject; rua=mailto:relatorios@seudominio.com.br; ruf=mailto:forense@seudominio.com.br; fo=1Erros de alinhamento: por que DMARC falha
Alinhamento é quando o domínio que aparece no cabeçalho From é o mesmo domínio que você usa em SPF e DKIM. Parece fácil? É — mas é a causa #1 de falha em DMARC. Aqui estão as armadilhas:
- Subdomínio mismatch: Você envia de
noreply@newsletter.seudominio.com.br, mas criou DMARC apenas em_dmarc.seudominio.com.br. O subdomínio newsletter não herda a política automaticamente. Solução: crie_dmarc.newsletter.seudominio.com.brcom uma política própria, ou usesp=nonena política principal para criar uma subdomain policy. - ESP reescreve o From: Plataformas como RD Station, Brevo, Mailchimp, ou provedores de hosting como Locaweb às vezes mudam o From para seu próprio domínio, mas mantêm a assinatura DKIM deles. DMARC vê uma assinatura de domínio que não bate com o From — falha. Solução: peça à ESP/provedor para usar seu domínio customizado em From, ou aceite que DMARC vai falhar para esses emails.
- Serviços de terceiros: Você usa Shopify, WooCommerce, ou outro serviço que envia notificações de pedido. Esses serviços enviam de seus próprios domínios, não do seu. Solução: configure o serviço para usar seu domínio customizado (se suportar), ou crie uma política DMARC separada para esse subdomínio.
Qual é a diferença prática entre p=none, p=quarantine e p=reject?
p=none: O provedor não faz nada com o email — entrega normalmente. Só envia relatórios. p=quarantine: Emails que falham DMARC vão para spam ao invés de inbox. p=reject: Email é rejeitado completamente — o servidor do provedor não aceita nem entrega. Comece com none, escale para quarantine após 2-4 semanas, depois para reject.