Technical Reference · 2026 Edition

O Requisito DMARC p=reject para BIMI Explicado

Last updated min read

O Requisito DMARC p=reject para BIMI Explicado

A maioria das implantações de BIMI que falham tem uma única causa: uma política DMARC incorreta. As organizações focam em gerar o arquivo de logo SVG e ignoram o requisito de autenticação que determina se o logo será exibido ou não.

BIMI é um protocolo de segurança, não um recurso de branding. Os provedores de email exibem seu logo apenas após verificarem criptograficamente que a mensagem originou do seu domínio [1].

Este artigo descreve o pré-requisito DMARC para BIMI, compara as três políticas de aplicação e especifica como preparar seu domínio.

O que é DMARC?

Domain-based Message Authentication, Reporting, and Conformance (DMARC) é um padrão de autenticação de email que impede que remetentes não autorizados usem seu domínio no cabeçalho From.

O DMARC se baseia em dois protocolos subjacentes:

  1. SPF (Sender Policy Framework): Verifica se o endereço IP de envio está autorizado pelo proprietário do domínio.
  2. DKIM (DomainKeys Identified Mail): Aplica uma assinatura criptográfica a cada mensagem para que o destinatário possa confirmar que a mensagem não foi modificada em trânsito.

O registro DMARC instrui os servidores destinatários, como Gmail e Yahoo, sobre como tratar mensagens que falham tanto no SPF quanto no DKIM.

As Três Políticas DMARC

Você publica seu registro DMARC como um registro TXT na sua zona DNS. A tag p= define a política de aplicação.

1. p=none (Modo de Monitoramento)

O servidor destinatário entrega mensagens que falham na caixa de entrada e envia relatórios agregados para o endereço que você especificar. Use esta política para identificar fontes de envio legítimas antes de migrar para a aplicação. Status BIMI:Rejeitado. Os provedores de email não exibem logos BIMI para domínios com p=none.

2. p=quarantine (Modo de Aplicação)

O servidor destinatário direciona mensagens que falham para a pasta de spam ou lixo eletrônico. Status BIMI:Aceito. Esta é a política mínima que qualifica para BIMI. A política deve se aplicar a 100% das mensagens. Inclua pct=100 ou omita a tag pct (o padrão é 100).

3. p=reject (Modo de Aplicação Estrita)

O servidor destinatário descarta mensagens que falham. Elas não são entregues. Status BIMI:Aceito. Esta é a política recomendada para BIMI.

Por que o BIMI Exige Aplicação

O requisito existe para prevenir falsificação visual. Quando um provedor de email exibe seu logo ao lado de uma mensagem, ele está afirmando ao destinatário que a mensagem é autêntica [2].

Se o BIMI aceitasse p=none, um atacante poderia falsificar seu domínio e fazer com que o provedor de email exibisse seu logo ao lado de uma mensagem de phishing. Exigir p=quarantine ou p=reject garante que o proprietário do domínio bloqueou emails não autenticados antes que o logo seja concedido.

Considerações sobre Subdomínios

Empresas frequentemente usam subdomínios para fluxos de email distintos, como marketing.empresa.com ou recibos.empresa.com. O BIMI exige que o domínio organizacional esteja em aplicação.

Se seu domínio organizacional publica p=reject mas sobrescreve subdomínios com sp=none, o BIMI falha para emails enviados desses subdomínios. A aplicação deve se estender tanto ao domínio organizacional quanto aos seus subdomínios.

Como Auditar Sua Infraestrutura

Confirme seu status DMARC antes de gerar um arquivo SVG ou solicitar um Verified Mark Certificate (VMC).

Use o makeBIMI para auditar seu domínio. A ferramenta consulta seus registros DNS, avalia sua configuração SPF e DMARC, e informa se seu domínio atende ao requisito de aplicação para BIMI.

Após seu domínio passar na auditoria, gere seu arquivo SVG compatível e contrate uma corretora de CA como a veriBIMI para obter seu certificado.

Referências

[1] M. Blank, et al. "Brand Indicators for Message Identification (BIMI)." IETF Datatracker, RFC 9091, https://datatracker.ietf.org/doc/html/rfc9091 [2] DMARC.org. "Overview." DMARC, https://dmarc.org/overview/