Opções de política DMARC None, Quarantine e Reject em um fundo de herói azul; mascote de papagaio à esquerda e um envelope de notificação à direita.

Política DMARC Explicada: None, Quarantine e Reject

Resumir:ChatGPTPerplexity

Uma política DMARC é a instrução em seu registro DMARC que diz aos servidores de e-mail receptores o que fazer com e-mails que falham na autenticação. Existem três opções: none (apenas monitorar), quarantine (enviar para spam) e reject (bloquear totalmente). Essa única tag, escrita como p= em seu registro DNS, é a diferença entre um DMARC que apenas observa seu tráfego de e-mail e um DMARC que realmente impede que mensagens falsificadas cheguem a uma caixa de entrada.

Se você já tem um registro DMARC, a política é fácil de encontrar. Ela fica logo após p= no registro:

v=DMARC1; p=quarantine; rua=mailto:[email protected]

Neste exemplo, a política é quarantine. Abaixo, detalharei o que cada uma das três políticas faz, mostrarei a sintaxe exata do registro para cada uma e apresentarei um cronograma realista para a transição do monitoramento para a aplicação total.

Você já tem uma política DMARC definida?

Se você não tem certeza se o seu domínio tem um registro DMARC ou qual política ele está usando, essa é a primeira coisa a verificar antes que qualquer um desses pontos seja relevante.

A maneira mais fácil é usar uma ferramenta gratuita de consulta DMARC como MXToolbox. Insira seu domínio e ele mostrará o registro completo, incluindo o valor p=, se existir. Você verá uma das três coisas:

  • Nenhum registro DMARC encontrado. Seu domínio não tem nenhuma política, o que significa que qualquer pessoa pode falsificar seu domínio em e-mails sem consequências.
  • Um registro com p=none. O DMARC está configurado no modo de monitoramento, mas ainda não está aplicando nada.
  • Um registro com p=quarantine ou p=reject. O DMARC está aplicando ativamente uma política.

Se nada aparecer, você precisará criar um registro DMARC antes que uma política se aplique a você. Escrevi um guia completo, com capturas de tela para adicionar o registro através do seu provedor de DNS, em como criar um registro DMARC. Esse guia cobre onde os registros DNS residem (seu host, registrador ou CDN), os campos exatos a serem preenchidos e como confirmar que o registro está ativo assim que você o publicar.

Enquanto você verifica, também vale a pena confirmar se o e-mail de saída do seu site WordPress está configurado para passar no SPF e DKIM em primeiro lugar. WP Mail SMTP mostra o status de autenticação de cada e-mail que seu site envia, para que você não fique adivinhando se o seu próprio site é uma das fontes que o DMARC está prestes a sinalizar.

Corrija seus e-mails do WordPress agora

Verificar registro DMARC

O restante deste post assume que você já tem um registro ou acabou de criar um, e deseja entender qual política escolher e quando alterá-la.

None vs. quarantine vs. reject em resumo

p=nonep=quarantinep=reject
O que acontece com e-mails com falhaEntregue normalmenteEnviado para spam/lixo eletrônicoBloqueado antes da entrega
Nível de proteçãoNenhum (apenas monitoramento)ParcialCompleto
Risco de entregabilidade se mal configuradoNenhumE-mails legítimos podem ir para o spamE-mails legítimos podem ser devolvidos
Melhor usado quandoComeçando, mapeando remetentesRemetentes majoritariamente verificados, testando a aplicaçãoTodos os remetentes confirmados como aprovados
Relatórios ainda são enviados?SimSimSim

p=none: monitoramento sem aplicação

p=none é a política inicial para todo domínio que publica DMARC pela primeira vez. Ela informa aos servidores de recebimento para não tomar nenhuma ação em e-mails que falham na autenticação. Mensagens falhas ainda são entregues exatamente como seriam sem DMARC. A única coisa que muda é que você começa a receber relatórios agregados mostrando quais fontes estão enviando e-mails como seu domínio e se eles estão passando em SPF e DKIM.

v=DMARC1; p=none; rua=mailto:[email protected]

O que p=none faz:

  • Gera visibilidade de todos os servidores que enviam e-mails em nome do seu domínio
  • Não tem impacto na entregabilidade, já que nenhuma ação de aplicação é tomada
  • Não requer configuração prévia de SPF ou DKIM para ser publicado

O que p=none não faz:

  • Interromper tentativas de phishing ou spoofing usando seu domínio
  • Proteger sua marca ou seus destinatários de qualquer forma
  • Servir como uma política válida de longo prazo

Um domínio que permanece indefinidamente em p=none tem um registro DMARC, mas nenhuma proteção real. Este é o erro mais comum em implantações de DMARC: tratar o monitoramento como a linha de chegada em vez do primeiro passo.

p=quarantine: a política de aplicação transitória

p=quarantine instrui os servidores de recebimento a tratar mensagens falhas com suspeita, geralmente roteando-as para a pasta de spam ou lixo eletrônico do destinatário em vez da caixa de entrada. O e-mail não é bloqueado completamente. Ele ainda chega, apenas não onde normalmente chegaria.

v=DMARC1; p=quarantine; rua=mailto:[email protected]

Exatamente como "quarantine" é tratado varia ligeiramente por provedor de e-mail. Alguns marcam a mensagem como suspeita em vez de movê-la. A maioria, incluindo Gmail e Outlook, envia para o spam. De qualquer forma, o efeito prático é o mesmo: e-mails legítimos que falham na autenticação se tornam mais difíceis para o destinatário ver, e é por isso que a quarentena só deve ser definida quando você tiver certeza de que todos os seus remetentes conhecidos estão configurados corretamente.

Por que domínios usam quarentena como etapa intermediária:

  • Ele captura más configurações antes que se tornem devoluções. Se um remetente legítimo começar a falhar no DMARC, o e-mail vai para o spam em vez de desaparecer completamente. Você pode identificar o problema e corrigi-lo.
  • Ele gera confiança para o reject. Observar a quarentena funcionar sem problemas por algumas semanas é o sinal mais claro de que você está pronto para a aplicação total.
  • Ele pode ser aplicado gradualmente. A tag pct permite que você coloque apenas uma porcentagem de e-mails falhos em quarentena no início (mais sobre isso abaixo).

p=reject: aplicação total

p=reject é a política mais rigorosa. Ela instrui os servidores de recebimento a bloquear e-mails que falham na autenticação DMARC antes mesmo de serem entregues. Sem caixa de entrada, sem pasta de spam. A mensagem é recusada.

v=DMARC1; p=reject; rua=mailto:[email protected]

Existem duas maneiras comuns pelas quais os servidores de recebimento implementam o reject:

  • Recusando na conexão SMTP. O servidor de recebimento rejeita a mensagem durante a conexão inicial, antes que ela seja totalmente aceita. Este é o método mais amplamente utilizado e o recomendado pela maioria dos provedores de e-mail.
  • Aceitando e depois descartando. O servidor aceita a mensagem e depois a descarta silenciosamente ou a devolve ao remetente. Isso acontece com menos frequência, mas ainda é válido de acordo com a especificação DMARC.

Rejeitar é o objetivo final de qualquer implantação DMARC séria. É também a política em que os erros são mais visíveis. Se um remetente legítimo não foi autenticado corretamente, seu e-mail não chegará ao spam onde pode ser encontrado. Ele simplesmente não chegará, e não haverá falha temporária para alertá-lo.

As tags pct e sp

Duas tags adicionais permitem controlar como uma política é aplicada, e ambas valem a pena conhecer antes de ir além de p=none.

pct controla qual porcentagem de e-mails com falha recebe a política. Em vez de pular direto para 100% de aplicação, você pode aplicar quarentena ou rejeição a uma fatia menor do tráfego com falha primeiro.

v=DMARC1; p=quarantine; pct=25; rua=mailto:[email protected]

Mensagens fora dessa porcentagem são tratadas como se a política ainda fosse p=none. Isso oferece uma progressão gradual em vez de uma mudança de tudo ou nada, e é a maneira mais segura de avançar para a aplicação se você não tiver certeza absoluta de que todos os remetentes foram considerados.

sp define uma política separada para subdomínios. Sem ela, os subdomínios herdam qualquer política que você definir para o domínio principal.

v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected]

Este exemplo aplica rejeição ao domínio raiz, enquanto dá aos subdomínios uma política de quarentena mais branda, útil se um subdomínio for gerenciado por uma equipe diferente ou ainda não tiver sido totalmente autenticado. Ignorar essa tag é uma falha comum: um domínio pode estar totalmente bloqueado em p=reject, enquanto um subdomínio não monitorado permanece totalmente aberto à falsificação.

Quanto tempo leva a transição de none para reject

Não há um cronograma fixo na especificação DMARC, mas apressar a implementação é a maneira mais comum de e-mails legítimos serem bloqueados. Um ritmo defensável e comumente recomendado se parece com isto:

  • Mantenha p=none por pelo menos 2 a 4 semanas, e mais tempo se o seu domínio envia através de várias ferramentas de terceiros (plataformas de marketing, CRMs, software de helpdesk, ferramentas de faturamento). Use esta janela para revisar relatórios agregados e confirmar que todos os remetentes legítimos estão passando no SPF ou DKIM.
  • Mude para p=quarantine assim que os remetentes conhecidos estiverem limpos, começando com um valor baixo de pct como 25 e aumentando-o à medida que os relatórios permanecem livres de tráfego legítimo sendo capturado.
  • Avance para p=reject somente depois que a quarentena tiver sido executada em 100% sem e-mails legítimos afetados. A maioria dos domínios atinge esta fase em qualquer lugar de alguns meses a cerca de um ano após o início, dependendo de quantas fontes de envio eles precisam autenticar.
Diagrama de política DMARC mostrando três estágios: p=none (monitoramento), p=quarantine (aplicação parcial), p=reject (aplicação total).

Pular etapas é onde a maioria das implementações DMARC dá errado. Um domínio com um único provedor de e-mail pode avançar rapidamente. Um domínio que envia através de uma dúzia de ferramentas de marketing, suporte e transacionais precisa de mais tempo, porque cada uma dessas fontes precisa passar pela autenticação antes que a aplicação seja segura.

Erros comuns a evitar

  • Pular direto para rejeitar. Publicar p=reject antes de confirmar que todos os remetentes legítimos estão autenticados irá rejeitar e-mails reais, às vezes sem nenhum aviso.
  • Nunca saindo de p=none. Um registro DMARC sem política de imposição fornece visibilidade, mas nenhuma proteção real contra falsificação.
  • Esquecendo subdomínios. Se sp não estiver definido, um invasor pode direcionar um subdomínio que não foi bloqueado, mesmo que o domínio principal esteja totalmente imposto.
  • Pulando a rampa. Ir de p=none para 100% de rejeição em uma única etapa é mais arriscado do que passar gradualmente pelos valores de pct.
  • Não verificar novamente após adicionar novos remetentes. Uma nova ferramenta de marketing ou serviço de e-mail transacional precisa passar pelo SPF ou DKIM antes de ser adicionada ao seu mix de envio, ou começará a falhar no DMARC no momento em que a imposição estiver ativa.

Pular etapas é onde a maioria das implementações DMARC dá errado. Um domínio com um único provedor de e-mail pode avançar rapidamente. Um domínio que envia através de uma dúzia de ferramentas de marketing, suporte e transacionais precisa de mais tempo, porque cada uma dessas fontes precisa passar pela autenticação antes que a aplicação seja segura.

Se o seu site WordPress for uma dessas fontes de envio, vale a pena verificar cedo. A função de e-mail padrão do WordPress envia através do PHP mail() ou do que quer que o servidor esteja configurado para usar, o que muitas vezes falha no alinhamento SPF e DKIM, mesmo quando o restante do seu domínio está configurado corretamente. O WP Mail SMTP roteia o e-mail do WordPress através de uma conexão SMTP autenticada, para que os próprios e-mails do seu site não se tornem o único remetente que impede sua mudança para quarentena ou rejeição.

Corrija seus e-mails do WordPress agora

Perguntas Frequentes

O que significa DMARC p=none? p=none significa que o DMARC está em modo de monitoramento. E-mails que falham na autenticação ainda são entregues normalmente, mas você recebe relatórios mostrando quais fontes estão enviando e-mails como seu domínio e se eles estão passando nas verificações.

Qual é a diferença entre quarentena e rejeição DMARC? Quarentena envia e-mails com falha para a pasta de spam do destinatário, então eles ainda são entregues, mas mais difíceis de ver. Rejeitar bloqueia e-mails com falha antes da entrega, então eles nunca chegam, nem mesmo no spam.

Quanto tempo você deve ficar em p=none? Pelo menos de 2 a 4 semanas, embora domínios com vários remetentes de terceiros geralmente precisem de mais tempo para confirmar que todas as fontes estão autenticadas corretamente antes de passar para a imposição.

Uma política DMARC afeta a entregabilidade? p=none não tem efeito na entregabilidade. p=quarantine e p=reject podem afetar a entregabilidade se algum remetente legítimo não foi autenticado corretamente, e é por isso que ambos devem ser aplicados gradualmente e após o monitoramento confirmar que seus remetentes estão limpos.

Em seguida, Crie um Registro DMARC

Depois de saber qual política se encaixa onde você está no lançamento, publicar o registro corretamente importa tanto quanto escolher o certo. Meu guia sobre como criar um registro DMARC detalha a adição da sintaxe exata ao seu DNS, passo a passo, para que não haja risco de um erro de digitação quebrar sua imposição.

Pronto para corrigir seus e-mails? Comece hoje mesmo com o melhor plugin SMTP para WordPress. Se você não tem tempo para corrigir seus e-mails, pode obter assistência completa de Configuração White Glove como uma compra adicional, e há uma garantia de devolução do dinheiro em 14 dias para todos os planos pagos.

Se este artigo ajudou você, por favor, siga-nos no Facebook e Twitter para mais dicas e tutoriais do WordPress.

Aviso: Nosso conteúdo é sustentado pelos leitores. Isso significa que, se você clicar em alguns de nossos links, poderemos ganhar uma comissão. Veja como o WPForms é financiado, por que isso importa e como você pode nos apoiar.

Rachel Adnyana

Rachel escreve sobre WordPress há uma década e constrói sites há muito mais tempo. Além do desenvolvimento web, ela é fascinada pela arte e ciência de SEO e marketing digital. Saiba Mais

Experimente nosso plugin gratuito WP Mail SMTP

Use seu provedor SMTP favorito para enviar seus e-mails do WordPress de forma confiável.