Guia de Migração DMARC
Ao migrar plataformas DMARC, é importante que você entenda a configuração atual aplicada pela plataforma DMARC existente. Uma migração bem planejada garante que seu e-mail continue fluindo suavemente enquanto fortalece a autenticação e os relatórios. Este guia percorre cada fase da mudança de provedores DMARC (e configurações relacionadas em nível de DNS).
Visão Geral
Este guia cobre o seguinte:
- Planejamento e inventário
- Avaliação e preparação
- Configuração paralela
- Sequenciamento de atualizações DNS
- Testes e monitoramento
- Execução da transição
- Revisão pós-migração
Seguir este processo garante o alinhamento com as melhores práticas e permite que você aproveite dicas de automação para garantir zero tempo de inatividade, manter a entregabilidade e maximizar os relatórios e a aplicação.
1. Planejamento e Inventário
Esta primeira fase garante que você tenha um entendimento completo de cada uma das áreas relevantes da configuração atual.
Inventário de Domínios e Registros
Catalogue cada domínio envolvido. Para cada domínio, colete os seguintes registros DNS atuais:
| Registro DNS | Tipo de Registro Esperado | Como Identificar |
|---|---|---|
| DMARC | TXT ou CNAME | Contém _dmarc no nome do host |
| SPF | TXT | Começa com v=spf1 na seção de valor |
| DKIM | TXT ou CNAME | Contém _domainkey no nome do host |
| BIMI | TXT | Começa com v=BIMI1 na seção de valor |
| MTA-STS | TXT | Contém _mta-sts no nome do host |
| TLS-RPT | TXT | Contém _tls-rpt no nome do host |
Documente a aplicação DMARC existente (p=none/quarantine/reject) e endereços de relatório (rua/ruf). Um inventário completo desde o início é crítico – "crie primeiro um inventário das configurações do seu serviço de proteção existente" antes de fazer alterações.
Para ambientes grandes, use scripts ou ferramentas de exportação DNS para automatizar esta coleta de dados.
Identificar Fontes de Envio
- Liste todos os remetentes de e-mail (servidores locais, serviços em nuvem, plataformas de marketing, etc.) e seus includes SPF atuais ou chaves DKIM para cada domínio
- Verifique quaisquer subdomínios ou delegações de terceiros
- Valide seu inventário usando relatórios DMARC existentes ou logs de e-mail de saída
Revisar Fluxos de Relatórios Atuais
- Anote onde os relatórios agregados/de falha DMARC e relatórios TLS-RPT são enviados (endereços de e-mail)
- Planeje manter a visibilidade transitando estes para a nova plataforma DMARC Manager
- Registros DMARC podem listar múltiplos URIs de relatório (separados por vírgula) para enviar dados simultaneamente para sistemas antigos e novos
Estabelecer Performance Base
Antes das alterações, registre métricas de e-mail atuais (taxas de rejeição, reclamações de spam, entregabilidade) e níveis de conformidade DMARC. Isso permite verificar melhorias pós-migração e garantir que não haja regressões.
2. Avaliação e Preparação
A fase de avaliação e preparação garante que você esteja preparado para reverter se necessário. Para ambientes menores, nem tudo abaixo pode ser necessário, use seu discernimento.
Backup de Registros DNS Existentes
- Exporte ou salve seus arquivos de zona
- Mantenha cópias de todos os registros atuais para DMARC, SPF, seletores DKIM, MTA-STS, TLS-RPT, etc.
Catalogar Novas Entradas DNS Alvo
Abra o DMARC Manager e capture as novas configurações alvo para cada domínio. Certifique-se de ter os novos registros necessários do DMARC manager para cada domínio (se coberto na plataforma legada):
- DMARC
- SPF
- DKIM
- MTA-STS
- TLS-RPT
- BIMI
Exemplo: Um exemplo de onde encontrar as instruções de configuração para DMARC. As outras configurações podem ser encontradas simplesmente mudando para a aba de configurações padrão relevante.
Papéis dos Stakeholders
Atribua responsabilidades. Defina quem atualiza DNS, quem configura o novo DMARC Manager, quem monitora os relatórios e quem lida com a reversão se algo falhar. Por exemplo, operações de TI podem lidar com alterações DNS, enquanto equipes de segurança revisam relatórios. Papéis claros e canais de comunicação são fundamentais.
Avaliação de Riscos e Agendamento
- Identifique riscos (por exemplo, configuração incorreta temporária causando rejeições) e planeje mitigação
- Considere migrar durante janelas de baixo tráfego ou em fases por grupo de domínio
- Para grande quantidade de domínios, faça a migração em lotes (por exemplo, 100 domínios por vez) para limitar o impacto
Preparar o Novo Ambiente
- Faça sua equipe se familiarizar com a interface/API da nova plataforma
- Colete todas as informações necessárias (novas chaves públicas DKIM, valores include SPF, endereços de relatório, endpoints MTA-STS)
- Certifique-se de ter acesso ao DNS para os registros do novo DMARC Manager
- Anote quaisquer entradas DNS CNAME ou TXT necessárias
Reduzir TTLs DNS
- Alguns dias antes das alterações, reduza os TTLs em registros chave (DMARC, SPF, DKIM, MTA-STS, TLS-RPT) para algo baixo (por exemplo, 300–3600 segundos)
- Isso minimiza atrasos de propagação durante a transição
- Lembre-se de restaurar TTLs mais altos após a estabilização
Delegação de Papéis e Documentação
- Documente cada alteração planejada e prepare guias passo a passo
- Para cada domínio (ou template de domínios), anote as edições DNS exatas e sequência
- Mantenha logs de alterações prontos para auditoria para poder demonstrar conformidade e o que mudou quando
3. Configuração Paralela
Enquanto a antiga plataforma DMARC permanece ativa, configure o novo DMARC Manager em paralelo para que ambos os sistemas recebam ou validem e-mail simultaneamente. Esta fase de "escrita dupla" evita tempo de inatividade ou pontos cegos, e é aplicada a todas as entradas DNS relevantes.
Adicionar Domínios ao Novo DMARC Manager
- Adicione todos os novos domínios no DMARC Manager
- Verifique a propriedade DNS conforme necessário (por exemplo, via DNS TXT ou e-mail)
Configuração DMARC
- Defina a política DMARC inicial do domínio recém-adicionado para a política atualmente publicada
- Adicione os endereços de relatório da antiga plataforma DMARC no DMARC Manager
- Configure sob 'Editar Configurações' na Interface de Domínios:
- Adicione endereço RUA na seção de Relatórios Agregados
- Adicione endereço RUF na seção de Relatórios de Falha
Configuração SPF
- Atualize o registro TXT SPF de cada domínio no DMARC Manager para o registro SPF atualmente publicado
- Certifique-se que todos os includes apareçam no DMARC Manager
- Verifique que a tag 'all' esteja definida para a mesma política (tipicamente
~all) - Não remova ainda os includes SPF antigos na plataforma DMARC legada
Configuração DKIM
- Adicione as chaves DKIM ao gerenciamento de chaves DKIM do novo DMARC Manager
- Não remova ainda os registros DKIM antigos
Configuração BIMI
- Copie os arquivos de certificado para o DMARC manager
- Copie o arquivo de imagem para o DMARC manager (use SVG exato)
- Não remova ainda os registros BIMI antigos
Configuração MTA-STS
Se estiver usando MTA-STS, certifique-se que a política MTA-STS do novo DMARC Manager reflita a antiga.
4. Sequenciamento de Atualização de Registros
Sequenciamento apropriado de alterações DNS minimiza o risco. Siga esta ordem:
- Reduzir TTLs (feito na Preparação)
- Substitua SPF existente por novo SPF:
- Siga instruções do DMARC Manager
- Verifique sintaxe e limites de consulta
- Aguarde propagação DNS (minutos a uma hora)
- Publique novas entradas de gerenciamento de chaves DKIM:
- Adicione novos registros NS de gerenciamento DKIM
- Mantenha registros DKIM antigos ativos para reversão
- Substitua registro DMARC existente:
- Use registro DMARC Manager
- Verifique sintaxe (um TXT/CNAME DMARC por domínio)
- Substitua registro BIMI existente:
- Remova registro BIMI antigo
- Adicione novos registros NS BIMI
- Atualize Registro DNS MTA-STS
- Atualize TXT DNS TLS-RPT
- Pausa de validação (24–48 horas)
- Ajuste de aplicação opcional
Passos de Verificação
Em cada passo, verifique a autenticação de e-mail:
- SPF: Verifique autenticação usando ferramentas ou e-mails de teste
- DKIM: Envie mensagens de teste e valide cabeçalhos
- DMARC: Confirme relatórios divididos entre provedores
5. Testes e Monitoramento
Relatórios DMARC
- Confirme que ambos os serviços recebem relatórios
- Compare relatórios de exemplo
- Verifique fontes de e-mail legítimas
Testes de Autenticação
- Envie e-mails de teste de cada fonte
- Verifique SPF=pass e DKIM=pass
- Investigue quaisquer falhas
Verificação MTA-STS
- Use verificadores MTA-STS online
- Teste e-mail de domínio externo
- Verifique console admin Google Workspace (se aplicável)
Revisão TLS-RPT
- Revise relatórios após alguns dias
- Resolva quaisquer problemas
- Confirme que novo provedor recebe relatórios
Monitoramento de Entregabilidade
- Observe taxas de rejeição
- Monitore relatórios de spam
- Rastreie reclamações de usuários
6. Execução da Transição
Uma vez verificado, execute a transição final:
- Remova chaves DKIM antigas (após 48–72 horas)
- Limpe includes SPF
- Finalize registro DMARC:
v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100 - Atualize configuração MTA-STS
- Remova URI TLS-RPT antigo
- Descomissione provedor antigo
Nota: Execute remoções durante janelas de manutenção com planos de backup prontos.
7. Revisão Pós-Migração
Lista de Verificação de Validação
- [ ] Todos os domínios reportam ao DMARC Manager
- [ ] Apenas registros DMARC Manager permanecem
- [ ] Verifique com
digou interface de gerenciamento DNS
Revisão de Performance
- Monitore taxas de rejeição de e-mail
- Verifique conformidade DMARC
- Compare métricas pré/pós migração
Documentação
- Compile logs de auditoria
- Documente alterações DNS
- Registre datas de transição
- Salve mensagens de confirmação
Melhoria de Política
- Planeje aumentos de aplicação
- Mova em direção a
p=reject - Revisões SPF regulares
Conclusão
Ao inventariar meticulosamente, preparar e executar sistemas em paralelo, você garante zero tempo de inatividade durante a transição. Relatórios multi-destinatário mantêm a entregabilidade e visibilidade ininterruptas. Finalmente, a limpeza de registros antigos e o endurecimento de políticas completa a migração, deixando você com autenticação de e-mail mais forte e monitoramento abrangente sob o DMARC Manager.