proteja.meBlogDMARC e Autenticação de E-mail
E-MAIL SECURITY

DMARC: Como Proteger seu Domínio de E-mail contra Phishing

Atualizado em abril de 2026 · 9 min de leitura

Sem configuração adequada, qualquer pessoa pode enviar um e-mail parecendo vir do seu domínio — com seu nome, logotipo e assinatura. DMARC, SPF e DKIM são as três tecnologias que impedem isso. Este guia explica como cada uma funciona e como configurá-las corretamente.

Por que Alguém Pode Enviar E-mail Fingindo Ser Você?

O protocolo de e-mail (SMTP) foi criado nos anos 1970 sem mecanismos de autenticação. Por padrão, qualquer servidor pode enviar e-mails dizendo ser de qualquer endereço. Por décadas, isso foi explorado por spammers e phishers. SPF, DKIM e DMARC foram criados para corrigir essa falha — mas precisam ser configurados ativamente por você.

SPF: Sender Policy Framework

O SPF define quais servidores têm permissão para enviar e-mails em nome do seu domínio. É um registro TXT no DNS do seu domínio.

Exemplo de registro SPF:

v=spf1 include:_spf.google.com include:sendgrid.net ~all

Este exemplo autoriza o Google Workspace e o SendGrid a enviar e-mails pelo seu domínio, e marca todos os outros como suspeitos (~all) ou rejeitados (-all).

DKIM: DomainKeys Identified Mail

O DKIM adiciona uma assinatura criptográfica em cada e-mail enviado. O servidor receptor verifica essa assinatura usando a chave pública publicada no seu DNS. Se a assinatura não bater, o e-mail foi alterado ou não é legítimo.

selector._domainkey.seudominio.com.br TXT "v=DKIM1; k=rsa; p=MIIBIjANBg..."

DMARC: Domain-based Message Authentication

O DMARC é a camada de política que une SPF e DKIM. Ele define o que deve acontecer com e-mails que falham na autenticação: nada (none), quarentena (quarantine) ou rejeição (reject). Também gera relatórios sobre quem está enviando e-mails pelo seu domínio.

_dmarc.seudominio.com.br TXT "v=DMARC1; p=reject; rua=mailto:dmarc@seudominio.com.br; pct=100"

Como Implementar: Passo a Passo

  1. Configure o SPF primeiro — adicione o registro TXT no painel DNS do seu provedor de domínio
  2. Configure o DKIM no seu provedor de e-mail (Google Workspace, Microsoft 365, Zoho) — cada um tem um gerador de chave próprio
  3. Comece o DMARC com p=none para apenas monitorar sem bloquear: v=DMARC1; p=none; rua=mailto:relatorios@seudominio.com
  4. Analise os relatórios por 2-4 semanas para identificar todos os servidores legítimos que enviam e-mail pelo seu domínio
  5. Evolua para p=quarantine e depois p=reject após garantir que nenhum fluxo legítimo será bloqueado

💡 Resultado: Com DMARC em p=reject, nenhum e-mail não autorizado chegará às caixas de entrada dos seus clientes fingindo ser do seu domínio. É a medida técnica mais eficaz contra email spoofing.

⚠️ Cuidado: Implementar DMARC com p=reject sem verificar todos os fluxos de e-mail antes pode bloquear e-mails legítimos (como notificações de sistemas, ferramentas de marketing, ERPs). Sempre comece com p=none.

Seu domínio está sendo usado para enviar phishing?

Verificamos a configuração de autenticação de e-mail do seu domínio e implementamos SPF, DKIM e DMARC corretamente para proteger sua marca.

Solicitar análise gratuita →