O DMARC é a camada final de proteção contra spoofing de email. Junto com SPF e DKIM, ele garante que ninguém consiga enviar email "como se fosse" o seu domínio. Configurar DMARC corretamente reduz queda em spam e protege a reputação da sua marca.
O contexto: SPF, DKIM e DMARC
Os três protocolos trabalham em conjunto para autenticar email:
| Protocolo | O que faz | Quem assina |
|---|---|---|
| SPF | Lista quais servidores podem enviar email pelo seu domínio | Servidor de envio |
| DKIM | Assina o email criptograficamente, provando autoria | Servidor de envio |
| DMARC | Diz ao receptor o que fazer se SPF ou DKIM falhar | Política do domínio |
Sem DMARC, mesmo que SPF e DKIM falhem, o receptor (Gmail, Outlook) decide sozinho se entrega ou não. Com DMARC, você define a política.
O que o DMARC faz na prática
Quando o Gmail recebe um email "do seu domínio":
- Verifica se o servidor que enviou está autorizado pelo SPF
- Verifica se o email tem DKIM válido assinado pelo seu domínio
- Lê a política DMARC do seu domínio para decidir o que fazer se algo falhar
- Aplica a política: aceita, manda para spam, ou rejeita
Sem DMARC, o passo 3 não existe — o receptor decide na "sorte".
As três políticas DMARC
A política é definida no campo p= do registro DNS:
p=none — modo monitoramento
Política inicial recomendada. O DMARC não bloqueia nada — apenas monitora e gera relatórios sobre quem está enviando email "em nome do seu domínio". Útil para identificar problemas antes de aplicar política rígida.
v=DMARC1; p=none; rua=mailto:[email protected]p=quarantine — moderado
Emails que falham SPF e DKIM vão para a caixa de spam. Não são rejeitados, mas têm visibilidade reduzida.
v=DMARC1; p=quarantine; rua=mailto:[email protected]p=reject — rígido
Emails que falham são rejeitados na origem — não chegam nem ao spam. Política mais segura, mas requer que SPF e DKIM estejam 100% configurados em todos os serviços que enviam email pelo seu domínio.
v=DMARC1; p=reject; rua=mailto:[email protected]Plano de migração recomendado
- Mês 1: configure
p=none. Receba relatórios diários de DMARC. Identifique todos os serviços que enviam email pelo seu domínio (ShopIA, sua plataforma de transacional, RH, etc.). - Mês 2: configure SPF e DKIM em todos os serviços identificados. Confirme que os relatórios DMARC mostram 95%+ de pass rate.
- Mês 3: evolua para
p=quarantine. Continue monitorando. - Mês 4+: se tudo estável, evolua para
p=reject.
Não pule etapas. Aplicar p=reject direto quebra envios legítimos que ainda não estão alinhados.
Como configurar DMARC para sua loja ShopIA
Passo 1: criar o registro TXT
No painel DNS do seu domínio, adicione um registro TXT:
| Campo | Valor |
|---|---|
| Tipo | TXT |
| Nome | _dmarc |
| Valor | v=DMARC1; p=none; rua=mailto:[email protected] |
| TTL | 3600 (padrão) |
Substitua [email protected] por um email seu que você consulte regularmente — é onde os relatórios chegarão.
Passo 2: aguardar propagação
DNS demora de 1 a 48 horas para propagar globalmente. A maioria dos provedores propaga em menos de 1 hora.
Passo 3: verificar
Você pode validar em ferramentas como:
dmarcian.com/dmarc-inspector/mxtoolbox.com/dmarc.aspx
Cole seu domínio e veja se o registro DMARC está visível.
Os relatórios DMARC
Após configurar, você começará a receber relatórios diários (XML) no email definido em rua=. Cada relatório mostra:
- Quais servidores enviaram email "como" seu domínio nas últimas 24h
- Quantos emails passaram em SPF e DKIM
- Quantos falharam e por quê
Os XMLs são técnicos. Ferramentas como dmarcian.com e postmark.com/dmarc processam e exibem dashboards legíveis. Algumas têm plano gratuito.
Erros comuns
Múltiplos registros DMARC
Apenas um registro DMARC é permitido por domínio. Se você tem dois (resquício de configuração antiga, por exemplo), o protocolo falha. Verifique e remova duplicados.
Email do rua inexistente
Se o email cadastrado em rua= não existir, os relatórios são descartados. Você fica sem visibilidade.
Pular para p=reject cedo demais
Esse é o erro mais grave. Sem confirmação prévia de que todos os emails legítimos estão passando, p=reject rejeita correspondência verdadeira.
Esquecer subdomínios
Por padrão, DMARC herda política para subdomínios. Mas se você usa mail.suamarca.com.br ou similar, considere o parâmetro sp= (subdomain policy) explicitamente.
DMARC e o ShopIA
O ShopIA já garante DKIM válido em todos os emails que envia pelo seu domínio (após validação). Para DMARC funcionar bem com ShopIA, basta:
- Manter o domínio validado em Configurar > Email
- Adicionar registro DMARC conforme passo a passo acima
- Adicionar SPF (próximo artigo) que inclua
amazonses.com
Com SPF, DKIM e DMARC alinhados, os emails do ShopIA passam autenticação completa em qualquer provedor.