DMARC
O que é DMARC?
DMARCNorma de autenticação de e-mail definida no RFC 7489 que permite ao titular de um domínio publicar uma política indicando aos recetores o que fazer com mensagens que falhem SPF/DKIM e o alinhamento.
O DMARC (Domain-based Message Authentication, Reporting and Conformance), especificado no RFC 7489, complementa o SPF (RFC 7208) e o DKIM (RFC 6376) exigindo alinhamento de identificadores entre o domínio do campo From: e o domínio autenticado por SPF ou DKIM. O titular publica um registo TXT em _dmarc.example.com com a política (p=none, quarantine ou reject), tratamento de subdomínios, modo de alinhamento, percentagem e URIs de relatórios (rua, ruf). Os recetores enviam relatórios agregados (RFC 7489) e forenses (RFC 6591) que os operadores analisam para autenticar fontes legítimas antes de passar para p=reject. O DMARC bloqueia a maioria das falsificações diretas de domínio, é pré-requisito do BIMI e foi exigido em 2024 pelas regras de remetentes em massa do Yahoo e da Google.
● Exemplos
- 01
Publicar v=DMARC1; p=reject; rua=mailto:dmarc@example.com para impor autenticação estrita em example.com.
- 02
Usar os relatórios agregados XML para descobrir e autenticar uma plataforma de marketing esquecida antes de passar de p=none para p=reject.
● Perguntas frequentes
O que é DMARC?
Norma de autenticação de e-mail definida no RFC 7489 que permite ao titular de um domínio publicar uma política indicando aos recetores o que fazer com mensagens que falhem SPF/DKIM e o alinhamento. Pertence à categoria Segurança de rede da cibersegurança.
O que significa DMARC?
Norma de autenticação de e-mail definida no RFC 7489 que permite ao titular de um domínio publicar uma política indicando aos recetores o que fazer com mensagens que falhem SPF/DKIM e o alinhamento.
Como funciona DMARC?
O DMARC (Domain-based Message Authentication, Reporting and Conformance), especificado no RFC 7489, complementa o SPF (RFC 7208) e o DKIM (RFC 6376) exigindo alinhamento de identificadores entre o domínio do campo From: e o domínio autenticado por SPF ou DKIM. O titular publica um registo TXT em _dmarc.example.com com a política (p=none, quarantine ou reject), tratamento de subdomínios, modo de alinhamento, percentagem e URIs de relatórios (rua, ruf). Os recetores enviam relatórios agregados (RFC 7489) e forenses (RFC 6591) que os operadores analisam para autenticar fontes legítimas antes de passar para p=reject. O DMARC bloqueia a maioria das falsificações diretas de domínio, é pré-requisito do BIMI e foi exigido em 2024 pelas regras de remetentes em massa do Yahoo e da Google.
Como se defender contra DMARC?
As defesas contra DMARC costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para DMARC?
Nomes alternativos comuns: Autenticação, relato e conformidade de mensagens por domínio.
● Termos relacionados
- network-security№ 1076
SPF (Sender Policy Framework)
Mecanismo de autenticação de e-mail definido no RFC 7208 que permite a um domínio publicar no DNS quais endereços IP ou hosts estão autorizados a enviar correio usando o seu domínio no MAIL FROM do envelope.
- network-security№ 330
DKIM
Norma de autenticação de e-mail (RFC 6376) que permite ao domínio remetente assinar criptograficamente as mensagens, para que os destinatários verifiquem que cabeçalhos e corpo não foram alterados.
- network-security№ 095
BIMI
Norma de e-mail que permite exibir um logótipo de marca verificado junto a mensagens autenticadas em clientes compatíveis, desde que o domínio aplique uma política DMARC de quarantine ou reject.
- attacks№ 375
Spoofing de e-mail
Falsificação dos cabeçalhos de um e-mail para que pareça enviado por um remetente de confiança, normalmente para phishing, fraude ou entrega de malware.
- attacks№ 135
Comprometimento de e-mail empresarial
Fraude direcionada em que o atacante se faz passar por uma caixa de correio corporativa ou a toma de assalto para induzir um colaborador a transferir dinheiro, alterar dados de pagamento ou enviar informação sensível.
- network-security№ 984
Gateway de E-mail Seguro
Serviço de perímetro ou cloud que filtra e-mail de entrada e saída em busca de spam, phishing, malware, fugas de dados e violações de política antes de chegar às caixas de correio.
● Veja também
- № 707MTA-STS
- № 058ARC (Authenticated Received Chain)
- № 452Greylisting
- № 336DNSBL (Lista Negra DNS)