Ir para o conteúdo principal
Segurança Web na UE: 10 Passos Para uma Melhor Classificação · Parte 2

DMARC: De "none" a "reject" — em Três Passos

46,8% dos websites da UE possuem DMARC, mas 63% definem a política como "none". Porque isso não protege ninguém, e como fazer corretamente.

· SiteGuardian

Parte 2 da série "Segurança Web na UE: 10 Passos Para uma Melhor Classificação"

O Problema

Alguém envia um e-mail a partir de ceo@o-seu-dominio.pt para o seu cliente. O e-mail contém um pedido de pagamento. Não veio de si.

Sem DMARC: O servidor de e-mail do destinatário não tem como verificar se o domínio do remetente é legítimo. O e-mail chega à caixa de entrada.

Com DMARC definido como reject: O servidor de e-mail verifica SPF e DKIM, determina que o e-mail não está autorizado e rejeita-o. Nunca é entregue.

46,8% dos websites europeus possuem um registo DMARC. Mas 63% desses definem a política como none — ou seja, sem aplicação. O domínio permanece vulnerável a spoofing, como se o DMARC não estivesse configurado de todo.

O Que Vemos no Benchmark

De mais de 700 000 websites europeus:

  • SPF: 75,7% — a maioria tem a base implementada
  • DKIM: 31,1% — menos de um em três assina os seus e-mails
  • DMARC: 46,8% — mas desses:
  • policy=none: 63% (apenas monitorização, não bloqueia nada)
  • policy=quarantine: 17% (encaminha para spam)
  • policy=reject: 20% (rejeita diretamente — a única proteção eficaz)

E depois as configurações incorretas: quarantaine, rejet, keiner, brak, beleidsnaam — erros ortográficos que fazem com que o registo seja totalmente ignorado. A norma DMARC é rigorosa: um único erro ortográfico no campo da política e toda a configuração é descartada.

O Que É o DMARC?

O DMARC (Domain-based Message Authentication, Reporting & Conformance) baseia-se no SPF e no DKIM:

  1. SPF verifica: Este servidor de e-mail está autorizado a enviar em nome do meu domínio?
  2. DKIM verifica: A mensagem foi alterada em trânsito?
  3. DMARC define: O que deve acontecer quando tanto o SPF como o DKIM falham?

Sem DMARC, cada servidor de e-mail do destinatário decide por si próprio. Com DMARC, é você quem decide.

Os Três Passos

Passo 1: Definir DMARC como none (Dia 1)

Crie um registo TXT para _dmarc.o-seu-dominio.pt:

v=DMARC1; p=none; rua=mailto:dmarc-reports@o-seu-dominio.pt
  • p=none — sem aplicação, apenas monitorização
  • rua=mailto:... — os servidores destinatários enviam relatórios agregados para aqui

Os relatórios mostram quem está a enviar e-mails em seu nome. Frequentemente descobrirá ferramentas de newsletter, sistemas CRM ou serviços de terceiros que tinha esquecido.

Aguarde 2 a 4 semanas. Analise os relatórios. Certifique-se de que todos os remetentes legítimos estão alinhados com SPF ou DKIM.

Passo 2: Escalar para quarantine (Semana 3-4)

v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc-reports@o-seu-dominio.pt
  • p=quarantine — e-mails não autenticados vão para a pasta de spam
  • pct=10 — apenas 10% dos e-mails são tratados desta forma (implementação gradual)

Monitorize os relatórios. Sem reclamações? Aumente pct para 50 e depois para 100.

Passo 3: Escalar para reject (Semana 5-6)

v=DMARC1; p=reject; rua=mailto:dmarc-reports@o-seu-dominio.pt

Agora os e-mails falsificados são rejeitados diretamente. O seu domínio está protegido.

SPF e DKIM Devem Estar Corretos

O DMARC só funciona se pelo menos o SPF ou o DKIM estiver corretamente configurado:

SPF: Um registo TXT para o-seu-dominio.pt com a lista de todos os servidores de e-mail autorizados:

v=spf1 include:_spf.google.com include:spf.brevo.com -all

O -all no final é crítico — significa "rejeitar todos os outros". ~all (til) é um softfail e é frequentemente ignorado.

DKIM: O seu fornecedor de e-mail gera um par de chaves. A chave pública é publicada como registo TXT sob seletor._domainkey.o-seu-dominio.pt. Pergunte ao seu fornecedor — a maioria tem um guia de configuração.

Erros Comuns

1. Esquecer remetentes de terceiros. Plataformas de newsletter (Mailchimp, Brevo), sistemas de ticketing (Zendesk, Freshdesk), CRMs (HubSpot) — todos enviam e-mails em seu nome. Todos devem ser incluídos no registo SPF ou assinar com DKIM.

2. Ignorar subdomínios. O DMARC aplica-se a subdomínios por defeito. Se marketing.o-seu-dominio.pt envia e-mails, também deve estar abrangido. Utilize sp=reject para uma política de subdomínios separada.

3. Não ler os relatórios. Os relatórios agregados DMARC em XML não são fáceis de interpretar. Utilize um analisador de relatórios gratuito (dmarcian, Postmark DMARC Tool) para compreender o que está a acontecer.

Contexto Regulamentar

  • NIS2, art. 21.o, n.o 2, alínea j) exige medidas para a "segurança da cadeia de abastecimento" — isto inclui a proteção da comunicação por e-mail com parceiros e fornecedores.
  • RGPD, art. 32.o exige "medidas técnicas adequadas" — o spoofing de e-mail possibilita o phishing, que conduz a violações de dados.
  • DORA, art. 7.o exige que o setor financeiro identifique e classifique todos os riscos de TIC — os ataques baseados em e-mail estão entre os mais comuns.

Verifique o Seu Domínio

O SiteGuardian verifica SPF, DKIM, DMARC, STARTTLS e MTA-STS numa única análise — e mostra-lhe não apenas se os registos existem, mas se realmente funcionam:

https://siteguardian.io/scan

Na próxima semana na Parte 3: Content Security Policy — a defesa mais eficaz contra XSS, ausente em 89% dos websites da UE.

Este artigo faz parte da série "Segurança Web na UE: 10 Passos Para uma Melhor Classificação". Dados do SiteGuardian EU Web Security Benchmark com mais de 700 000 websites europeus.

Como se compara o seu site?

O SiteGuardian analisa o seu domínio em seis dimensões de segurança — gratuito, instantâneo, sem registo.

Analisar o seu site

Segurança Web na UE: 10 Passos Para uma Melhor Classificação

Este artigo faz parte de uma série semanal sobre boas práticas de segurança web na UE.

SiteGuardian

2026-04-20

RSS