Logo da CarameloSec - Plataforma de análise de segurança automatizada

DMARC Policy

Checker ID: #30

v1.0.0-alpha

DMARC Policy

Descrição

Verifica se o seu domínio instrui os servidores de e-mail do mundo inteiro sobre o que fazer com mensagens fraudulentas. Pense no DMARC como a política do porteiro do prédio — o SPF é a lista de moradores autorizados, o DKIM é o crachá de identificação, e o DMARC é a instrução que diz ao porteiro: 'Se alguém não estiver na lista E não tiver crachá, não deixe entrar de jeito nenhum'. Sem DMARC, mesmo que SPF e DKIM detectem uma fraude, o servidor de destino pode aceitar o e-mail mesmo assim.

Importância

DMARC é a peça que fecha o ciclo de proteção de e-mail. Sem ele, mesmo com SPF e DKIM configurados, servidores de e-mail podem optar por entregar mensagens fraudulentas porque não há uma instrução explícita do dono do domínio dizendo para rejeitá-las. Com DMARC configurado com p=reject, você garante que e-mails que falham na autenticação sejam rejeitados automaticamente — o destinatário nunca sequer vê a mensagem falsa. Isso protege tanto a reputação do seu domínio quanto os seus clientes e parceiros que poderiam ser vítimas de phishing.

Requisitos de Sucesso

  • • O domínio deve ter um registro DMARC configurado no DNS (no subdomínio _dmarc.seudomínio.com).

  • • A política deve ser p=reject — e-mails que falham na verificação devem ser rejeitados automaticamente.

  • • Política p=quarantine é reprovada — oferece proteção parcial, mas e-mails fraudulentos ainda chegam ao spam do destinatário.

  • • Política p=none é reprovada — equivale a não ter DMARC, pois nenhuma ação é tomada contra fraudes.

  • • Ausência de registro DMARC é reprovada automaticamente.

Cenários de Teste
Cenário Aprovado: Política restritiva — e-mails fraudulentos são rejeitados automaticamente: 
Consulta DNS: _dmarc.seusite.com → TXT
Resposta: "v=DMARC1; p=reject; rua=mailto:dmarc-reports@seusite.com"
Resultado: Proteção máxima ✓
Cenário Reprovado: Política p=none — DMARC existe mas não faz nada contra fraudes: 
Consulta DNS: _dmarc.seusite.com → TXT
Resposta: "v=DMARC1; p=none; rua=mailto:dmarc-reports@seusite.com"
Resultado: Nenhuma ação contra e-mails fraudulentos
Cenário Reprovado: Política p=quarantine — e-mails suspeitos vão para o spam mas ainda chegam: 
Consulta DNS: _dmarc.seusite.com → TXT
Resposta: "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@seusite.com"
Resultado: Proteção parcial — e-mails fraudulentos ainda chegam ao destinatário
Cenário Reprovado: Nenhum registro DMARC encontrado — zero proteção contra spoofing: 
Consulta DNS: _dmarc.seusite.com → Nenhum registro TXT encontrado
Resultado: Domínio sem política DMARC