O que é e como implementar o DMARC?
- 30/12/2020 18:26
O que é DMARC?
DMARC, que significa "Domain-based Message Authentication, Reporting, and Conformance", é um registo DNS que contém as regras de autenticação de e-mail que ajudam a proteger os domínios de e-mail contra phishing, spoofing e ataques de spam. Este registo DNS permite que os remetentes especifiquem políticas para autenticação de e-mail, fornecendo aos destinatários instruções especificas de como lidar com os e-mails que falham a autenticação.
Passos para Implementar um Registo DNS DMARC:
-
Entenda o DMARC: Antes de começar, é importante compreender os conceitos básicos do DMARC. Certifique-se que entende os três principais componentes: SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC.
-
Crie Registos SPF e DKIM: Antes de implementar o DMARC, é necessário ter registos SPF e DKIM configurados para o seu domínio. Esses registos ajudam a autenticar os e-mails enviados através do seu domínio.
-
SPF: Adicione um registo SPF ao seu DNS para especificar quais os servidores que são autorizados a enviar e-mails utilizando o seu domínio. Exemplo de um registo SPF:
v=spf1 include:spf.redewt.net -all
-
DKIM: Configure assinaturas DKIM para os seus e-mails. Será necessário gerar pares de chaves (pública e privada) e configurar as chaves DKIM nos servidores de e-mail. O registo DNS DKIM deve apontar para a chave pública. Exemplo de um registo DKIM:
chave._domainkey.oseudominio.pt. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3nQIDAQAB"
-
-
Crie um Registo DMARC: Agora, pode criar o registo DMARC na zona DNS do seu domínio. Este registo informa aos destinatários como lidar com e-mails que não passam pela autenticação SPF e/ou DKIM.
- Exemplo de um registo DMARC:
_dmarc.oseudominio.pt. IN TXT "v=DMARC1; p=quarantine; rua=mailto:relatorios@oseudominio.pt; ruf=mailto:relatorios-falhas@oseudominio.pt; sp=quarantine"
v=DMARC1
: Versão do DMARC.p=quarantine
: Instrui os destinatários a colocarem em quarentena os e-mails que falham nas autenticações.rua
eruf
: Especificam os endereços de e-mail para relatórios de atividades e falhas, respetivamente.sp=quarantine
: Instrui os servidores a aplicarem a política de quarentena também aos subdomínios (opcional).- Poderá através do seguinte quadro, consultar os campos mais comuns configuráveis no DMARC:
Campo: Descrição: Exemplo: v
Versão do protocolo DMARC. v=DMARC1
p
Política de ação em caso de falha de autenticação. Pode ser none
,quarantine
oureject
.p=quarantine
sp
Política de ação para subdomínios. Define como os subdomínios devem ser tratados em relação à política do domínio principal. sp=quarantine
rua
Endereço de e-mail para relatórios de atividade. Indica o endereço para onde os relatórios devem ser enviados. rua=mailto:relatorios@oseudominio.pt
ruf
Endereço de e-mail para relatórios de falhas. Indica o endereço para onde os relatórios de falhas devem ser enviados. ruf=mailto:relatorios-falhas@oseudominio.pt
fo
Opções de relatório. Especifica quais tipos de falhas devem ser relatados. fo=1
adkim
Indica como o algoritmo DKIM deve ser tratado. r
(relaxed) ous
(strict).adkim=r
aspf
Indica como o algoritmo SPF deve ser tratado. r
(relaxed) ous
(strict).aspf=s
pct
Percentagem de mensagens a serem submetidas aos relatórios de políticas. pct=100
ri
Intervalo de relatório em segundos. ri=86400
rf
Formato de relatório. Pode ser afrf
ouiodef
.rf=afrf
- Poderá através do seguinte quadro, consultar os campos mais comuns configuráveis no DMARC:
- Exemplo de um registo DMARC:
-
Faça a monitorização e ajuste o registo DMARC: Após implementar o DMARC, faça a monitorização dos relatórios enviados para os endereços de e-mail especificados no registo DMARC. Desta forma, poderá ir ajustando as configurações conforme necessário.
-
Implemente gradualmente: Em vez de definir uma política rígida inicialmente, considere começar com uma política menos restritiva (como
p=none
) e, gradualmente, ir ajustando esta política conforme o resultado dos relatórios.
Alerta: Uma incorreta configuração do DMARC, poderá comprometer a entrega dos emails do domínio, sendo recomendado que verifique bem a implementação a realizar, e caso não tenha conhecimentos técnicos, efetue uma implementação não restritiva inicialmente.