Pular para o conteúdo
tech

Configurei o DMARC e Descobri que Estavam se Passando por Mim

·5 min de leitura·19 visualizações

Eu recebia relatórios que não pedi — e eles contavam uma história preocupante

Há umas semanas, comecei a receber emails de provedores como Google e Yahoo. Relatórios automáticos, com nomes tipo "Report domain: hubnews.ai". Minha primeira reação foi ignorar. Parecia spam técnico.

Até que abri um deles.

O relatório dizia, em resumo: alguém estava enviando emails usando meu domínio. Não era eu. Não era meu servidor. Eram IPs que eu nunca vi na vida.

E eu só descobri isso porque, semanas antes, tinha configurado uma coisa chamada DMARC. Algo que eu nem sabia que existia.

O que diabos é DMARC

Se você é dev e nunca ouviu falar de DMARC, relaxa — eu também não conhecia.

DMARC é uma política de autenticação de email. Funciona assim: você publica um registro DNS dizendo ao mundo como os provedores devem tratar emails que dizem vir do seu domínio, mas que falham na verificação.

Em termos práticos: é uma regra que diz "se alguém mandar email fingindo ser eu, faça X com essa mensagem."

Existem outras tecnologias envolvidas — SPF e DKIM — que fazem a verificação em si. O DMARC é quem decide o que acontece quando a verificação falha. E, de bônus, ele te manda relatórios sobre tudo que está acontecendo com emails do seu domínio.

É tipo instalar uma câmera de segurança que você nem sabia que precisava. Você não vê o ladrão tentando a porta — até instalar a câmera.

Por que alguém se passaria por você

Essa foi minha primeira pergunta. Eu rodo o HubNews, uma plataforma de notícias com IA, e tenho uma newsletter. Mas não sou uma mega corporação. Quem iria querer fingir ser meu domínio?

A resposta é simples: qualquer domínio serve.

Spammers e golpistas usam domínios alheios pra mandar phishing, spam, e email malicioso. Eles não precisam invadir seu servidor — só mandam o email dizendo que é "de" fulano@seudominio.com. Se você não tem DMARC configurado, nada impede isso. O provedor de destino não tem como saber que aquele email é falso.

O resultado? Seu domínio cai em blacklist. Seus emails legítimos vão pra spam. Sua reputação de sender vai pro lixo. E você nem fica sabendo.

Como configurar — é literalmente uma linha

Essa é a parte que me deixou bravo comigo mesmo. A configuração é ridiculamente simples. É um registro TXT no DNS do seu domínio.

_dmarc.seudominio.com  TXT  "v=DMARC1; p=quarantine; rua=mailto:seuemail@exemplo.com; pct=100"

É isso. Sério.

Vamos quebrar os pedaços:

  • v=DMARC1 — versão do protocolo (sempre essa)
  • p=quarantine — a política (o que fazer com emails que falham)
  • rua=mailto:... — pra onde enviar os relatórios
  • pct=100 — aplica a política em 100% dos emails

Você entra no painel de DNS do seu provedor (Cloudflare, Hostinger, Route53, qualquer um), cria o registro TXT, e pronto. Leva 2 minutos.

As três políticas: de "curioso" a "segurança máxima"

O DMARC tem três níveis de política, e você pode ir subindo conforme ganha confiança:

none — Só monitora. Você recebe os relatórios, mas nada acontece com os emails falsos. É o "me conta o que tá rolando, mas não faz nada ainda."

quarantine — Emails que falham vão pra pasta de spam do destinatário. É o meio-termo. O email não chega na caixa de entrada, mas também não é bloqueado completamente.

reject — Bloqueio total. Emails que falham na verificação são rejeitados. Nem spam, nem inbox. Simplesmente não entregam.

Eu comecei com quarantine. Queria primeiro entender o que estava acontecendo antes de bloquear tudo — vai que algum serviço legítimo que eu uso estava falhando na verificação.

Os relatórios contaram a história

Depois de configurar, os relatórios começaram a chegar. Cada um cobre um período (geralmente 24h) e mostra todos os IPs que tentaram enviar email usando seu domínio.

Os meus emails legítimos — enviados pelo Hostinger — passavam certinho. SPF ok, DKIM ok, DMARC pass.

Mas junto apareciam outros IPs. Servidores que eu não reconhecia, tentando enviar email como se fossem meu domínio. E falhando. Graças à política de quarantine, esses emails estavam indo pra spam ao invés de chegar na caixa de entrada dos destinatários.

Sem o DMARC, esses emails teriam chegado normalmente. E quem recebesse ia achar que era eu mandando.

De quarantine para reject

Depois de algumas semanas monitorando, ficou claro: meus serviços legítimos estavam todos passando. Os únicos que falhavam eram tentativas de spoofing.

Atualizei a política:

_dmarc.seudominio.com  TXT  "v=DMARC1; p=reject; rua=mailto:seuemail@exemplo.com; pct=100"

Uma palavra mudou. De quarantine pra reject. Agora os emails falsos nem chegam — são rejeitados na porta.

O que você deveria fazer agora

Se você tem um domínio — qualquer domínio, com ou sem newsletter, com ou sem app — configura o DMARC. Hoje.

Começa com p=none se quiser ser cauteloso. Lê os relatórios por uma ou duas semanas. Depois sobe pra quarantine. Depois pra reject.

Leva 2 minutos pra configurar. Zero custo. E te dá visibilidade sobre algo que provavelmente está acontecendo com seu domínio agora mesmo — sem você saber.

Eu não fazia ideia do que era DMARC até configurar. E aí descobri que alguém estava se passando por mim. A câmera de segurança que eu não sabia que precisava acabou filmando o ladrão tentando a porta.

Quer aplicar isso no seu projeto?

Mentoria e consultoria em carreira, código e produtos digitais.

Falar com Billy
Billy

Billy

Full Stack Dev & Empreendedor Solo

Construindo produtos com código e IA. Criador do HubNews e Sistema Reino.

GitHubLinkedInTikTokConsultoria →
Compartilhar:XLinkedInWhatsApp

Leia também

O que é Idempotência e Por que Seu Sistema Precisa DissoIdempotência é a propriedade que garante que uma operação pode ser executada várias vezes sem mudar o resultado além da primeira execução. Se seu sistema não é idempotente, um retry vira um desastre.Criei um Cérebro Compartilhado para o Claude Code com Obsidian e GitEu uso o Claude Code em 4 máquinas diferentes. Cada instância começava do zero, sem lembrar o que a outra já sabia. Resolvi isso com Git, uma pasta de notas no Obsidian e um conector que faz tudo funcionar junto.