O relatório DMARC de agregação é um XML diário que mostra quais servidores enviaram e-mail pelo seu domínio e se passaram em SPF e DKIM. Segundo o Cloudflare Radar (2026), 26,7% do e-mail analisado no Brasil foi classificado como malicioso. No WordPress, o IP que falha quase sempre é o do servidor de hospedagem. Ler os 5 campos certos resolve a entrega dos formulários.
O relatório DMARC de agregação responde a uma pergunta direta: quem está mandando e-mail em nome do seu domínio e quem está passando na autenticação. Ele chega como um arquivo XML compactado, enviado pelos provedores que recebem suas mensagens, normalmente uma vez por dia. Para um site WordPress que dispara confirmações de formulários WordPress da FULL, esse relatório é o que separa um e-mail entregue de um e-mail descartado em silêncio. A gente vê no suporte da FULL que a maioria dos sites com formulário “que não envia” tem um registro SPF incompleto, e o relatório DMARC mostra isso preto no branco.
Diagnóstico rápido: O que cada campo do relatório DMARC entrega
O relatório DMARC de agregação tem 5 campos que importam de verdade, e ignorar qualquer um deles deixa o diagnóstico cego: o informa qual servidor enviou, o diz quantas mensagens, o e o mostram cada autenticação, e o revela o que o provedor fez com a mensagem.
Em um WordPress que envia pela função mail() do PHP, o é o IP da hospedagem, não o do seu domínio. Por isso muitos administradores juram que o SPF está certo e mesmo assim veem falha no relatório de agregação.
A tabela abaixo organiza os campos na ordem em que você deve lê-los durante o diagnóstico, com o significado e a ação prática de cada um.
| Campo do XML | O que informa | Ação no WordPress |
|---|---|---|
| source_ip | IP que enviou a mensagem | Confirmar se é o IP da hospedagem ou do SMTP |
| count | Volume de mensagens daquele IP | Picos estranhos indicam spoofing do domínio |
| spf | Resultado pass ou fail do SPF | Incluir o IP de envio no registro SPF |
| dkim | Resultado da assinatura DKIM | Ativar assinatura no plugin SMTP |
| disposition | none, quarantine ou reject | Define se a mensagem chega ou some |
Legenda: o campo source_ip prova que o e-mail do formulário saiu pelo IP do servidor, não pelo domínio.
Por que o formulário WordPress falha no relatório de agregação
Um formulário WordPress aparece como falha no relatório DMARC de agregação quase sempre por 1 motivo técnico único: alinhamento. O DMARC só dá “pass” quando o domínio do remetente bate com o domínio validado por SPF ou DKIM, e o envio via mail() do PHP quebra exatamente esse alinhamento de domínio.
Quando o WordPress envia pela função mail() do PHP, a mensagem sai pelo IP do servidor de hospedagem, que raramente está listado no SPF do seu domínio. O resultado é um SPF que pode até dar “pass” para o IP, mas falha no alinhamento porque o domínio do envelope é o do servidor, não o seu. Esse é o ponto cego que o relatório de agregação expõe com clareza.
A correção tem duas camadas. Primeiro, rotear o envio por SMTP autenticado no WordPress, com plugins como o WP Mail SMTP, para que a mensagem saia assinada pelo seu domínio. Depois, garantir DKIM ativo para que o alinhamento feche por assinatura criptográfica.
Como o relatório DMARC se conecta ao SPF e ao DKIM
O relatório DMARC de agregação não substitui SPF nem DKIM: ele orquestra os 2 protocolos e devolve o veredito de alinhamento. O SPF valida o caminho do servidor; o DKIM valida a assinatura criptográfica da mensagem; e o DMARC amarra os dois ao domínio e reporta o resultado no relatório de agregação.
O SPF confere se o IP que enviou está autorizado no DNS do domínio, enquanto o DKIM prova que o conteúdo não foi alterado em trânsito. Em números reais, basta um dos dois passar com alinhamento para o DMARC aprovar a mensagem e liberar a entrega ao destinatário.
Na prática do WordPress, o cenário mais comum é este: o e-mail passa no SPF do servidor mas falha no alinhamento, e o DKIM nem existe porque ninguém o configurou. O relatório DMARC mostra spf=pass e dkim=fail, e a mensagem cai em quarentena. Configurar o DKIM no plugin SMTP costuma fechar a lacuna em poucos minutos.
Ameaça real: Por que isso virou urgente em 2026
A leitura do relatório DMARC de agregação deixou de ser opcional por causa do volume de abuso de e-mail. Segundo a telemetria do Cloudflare Radar, que monitora o tráfego global de mensagens, 26,7% do e-mail analisado no Brasil nos últimos 28 dias foi classificado como malicioso.
Boa parte desse abuso é spoofing de domínio: alguém envia mensagem fingindo ser o seu site. O relatório de agregação é a única ferramenta que mostra esses IPs estranhos enviando em seu nome, no campo com volumes que você nunca gerou.
Provedores grandes endureceram as regras. Desde , o Google passou a exigir DMARC para remetentes de alto volume, conforme as diretrizes oficiais do Gmail. Quem ignora o relatório DMARC fica sem visibilidade sobre essa exigência. A gente vê no suporte da FULL que a maior parte dos chamados de “e-mail de formulário foi para spam” se resolve depois de ler um único relatório de agregação.
Onde o relatório DMARC de agregação não resolve nada
O relatório DMARC de agregação tem 1 limite honesto: ele mostra o resultado da autenticação, mas não revela o conteúdo das mensagens nem o destinatário, porque trabalha com dados somados por IP e por dia. Saber qual e-mail específico falhou é tarefa do relatório forense, raro e desencorajado por privacidade.
Outro limite: o relatório não conserta entrega sozinho. Ele aponta o IP que falha, mas a correção do SPF, do DKIM e do roteamento SMTP continua sendo trabalho manual no painel do WordPress e no DNS.
Esse relatório também não protege o formulário contra abuso de envio. Bloquear robôs que disparam o formulário em massa é tarefa de proteção de formulário contra spam, não do DMARC. Tratar os dois problemas como um só é o erro mais comum que vemos chegar no suporte.
Passo a passo: Como ler o relatório DMARC de agregação
Ler o relatório DMARC de agregação leva cerca de 10 minutos quando você sabe a ordem certa, e não precisa de ferramenta paga para começar. O arquivo chega compactado em .gz ou .zip no endereço que você definiu na tag rua= do registro, pronto para abrir em qualquer editor de texto.
O segredo é descompactar, abrir o XML e olhar primeiro o de cada bloco . A partir daí, cada um dos 4 passos abaixo isola uma causa de falha. Faça na sequência, do servidor de envio até a disposição final da mensagem.
Passo 1: Localize o registro DMARC no DNS
Abra o DNS do seu domínio e confira o registro TXT em _dmarc.seudominio.com. Ele precisa conter a tag v=DMARC1, a política p= e o endereço rua=mailto:. Sem o rua=, nenhum relatório de agregação é gerado. Use o MXToolbox para validar a sintaxe do registro em segundos.
Passo 2: Descompacte e abra o XML do relatório
Salve o anexo .gz que chegou por e-mail e descompacte. Abra o XML em qualquer editor de texto. Procure os blocos : cada um representa um IP de envio com seu volume e seus resultados de autenticação.
Passo 3: Confira o alinhamento de SPF e DKIM
Dentro de cada , leia . Se spf e dkim mostram pass, a mensagem está autenticada e alinhada. Se aparece fail nos dois, o e-mail daquele IP não chega ao destinatário com confiança.
Passo 4: Cruze o source_ip com o seu servidor
Compare o com o IP da sua hospedagem e do seu SMTP. IPs conhecidos com falha pedem ajuste no SPF ou ativação do DKIM. IPs desconhecidos com volume alto indicam spoofing do seu domínio, e aí a política p=quarantine ou p=reject passa a protegê-lo.
Quando vale o plano da FULL para resolver a entrega
Configurar SMTP autenticado, DKIM e DMARC em cada site manualmente custa tempo, e é aí que o bundle da FULL muda a conta. O plano PRO da FULL sai por R$849, e como ele cobre até 10 sites, o custo cai para R$85 por site, com o WP Mail SMTP e os 17 plugins do pacote já incluídos.
A gente vê no suporte da FULL que ativar o SMTP em 1 clique e assinar o DKIM resolve a maior parte dos casos de e-mail de formulário indo para spam, sem precisar contratar plugin avulso por site. Para quem gerencia vários WordPress, vale conhecer os planos da FULL antes de comprar licença solta de cada ferramenta.
Perguntas frequentes sobre o relatório DMARC de agregação
Por que meu formulário WordPress aparece como falha no relatório de agregação?
Falha de alinhamento, na maioria dos casos. O WordPress envia pela função mail() do PHP, então a mensagem sai pelo IP do servidor de hospedagem, e não pelo domínio listado no seu SPF. O relatório DMARC registra `spf=fail` no alinhamento mesmo que o domínio tenha SPF válido. A correção é rotear o envio por SMTP autenticado com o domínio próprio e ativar o DKIM, fechando o alinhamento pela assinatura.
É possível ler o relatório DMARC de agregação sem uma ferramenta paga?
Sim, é possível ler o relatório DMARC sem nenhum serviço pago. O arquivo chega como XML compactado em `.gz`, e você descompacta e abre em qualquer editor de texto. Os campos “, “, “ e “ ficam visíveis em texto puro. Ferramentas pagas só facilitam a leitura de grandes volumes; para um ou dois domínios WordPress, o XML bruto e o MXToolbox gratuito já bastam.
Qual a diferença entre o relatório de agregação e o relatório forense?
O relatório de agregação resume os resultados de autenticação por IP e por dia, sem expor o conteúdo das mensagens, e chega via tag `rua=`. O relatório forense traz dados de mensagens individuais que falharam, via tag `ruf=`, mas é raro porque expõe dados sensíveis e quase nenhum provedor o envia hoje. Para diagnosticar entrega de formulário no WordPress, o relatório de agregação resolve praticamente qualquer cenário do dia a dia.
Quanto tempo demora para o relatório DMARC de agregação começar a chegar?
Em geral 24 a 72 horas após publicar o registro com a tag `rua=`. Os provedores enviam o relatório de agregação uma vez por dia, então o primeiro arquivo só aparece no ciclo seguinte ao da configuração. Gmail e Outlook costumam enviar dentro de 24 horas; provedores menores podem levar até 3 dias. Se nada chegar em 1 semana, revise a sintaxe do `rua=mailto:` no DNS com o MXToolbox.
O que significam os campos SPF e DKIM dentro do XML do relatório?
SPF indica se o IP de envio estava autorizado a mandar e-mail pelo domínio, com resultado `pass` ou `fail`. DKIM indica se a assinatura criptográfica da mensagem é válida e bate com o domínio. No relatório DMARC, o bloco “ mostra o veredito de alinhamento dos dois. Basta um deles passar com alinhamento para a mensagem ser aprovada e entregue ao destinatário com confiança.
Próximos passos para proteger o e-mail dos seus formulários
Ler o relatório DMARC de agregação é o diagnóstico, mas a entrega só estabiliza quando você fecha SPF, DKIM e SMTP no mesmo ciclo. Comece publicando o registro com rua=, leia o primeiro XML em 72 horas e corrija o IP que falha. Depois, padronize o envio por SMTP autenticado para que todo formulário saia assinado pelo seu domínio. Quem está montando captação de leads pode aprofundar em como construir uma lista de e-mails no WordPress e em como criar um formulário de contato no WordPress com entrega confiável desde o primeiro disparo. Para continuar estudando o tema, o FULL Academy reúne os tutoriais, guias e reviews de WordPress em um só lugar em FULL Academy.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
