Como configurar registros SPF: guia de autenticação de e-mail
Faça a busca e valide seu registro SPF. Guia passo a passo com sintaxe SPF, limites de DNS lookups, erros comuns e ferramentas de teste gratuitas.
Por que SPF importa (agora mesmo)#
Em fevereiro de 2026, Gmail e Yahoo começaram a aplicar de forma estrita a autenticação de e-mail. E-mails sem um registro SPF correto estão sendo rejeitados em índices sem precedentes.
A realidade: se seu registro SPF não estiver configurado corretamente, seus e-mails transacionais (redefinições de senha, confirmações, faturas) estão sendo bloqueados silenciosamente. Os clientes acham que seu serviço está quebrado. Você só descobre o problema quando eles reclamam.
Este guia te leva pela configuração de SPF em 15 minutos.
O que é SPF e como funciona?#
SPF (Sender Policy Framework) é um registro DNS que diz: "Estes servidores estão autorizados a enviar e-mail em nome do meu domínio".
O problema que SPF resolve#
Sem SPF, qualquer um pode enviar e-mail que pareça vir do seu domínio:
From: you@yourcompany.com
Reply-To: attacker@attacker.com
O e-mail parece vir da sua empresa (péssimo para phishing). O SPF impede isso ao validar que o servidor remetente é de fato autorizado.
Como funciona a validação SPF#
- O e-mail chega ao Gmail
- O Gmail consulta: "Qual é o registro SPF de yourcompany.com?"
- O registro SPF diz: "Apenas mail.yourcompany.com e SendGrid estão autorizados"
- O e-mail veio de: SendGrid (autorizado)
- Resultado: SPF passa ✅
Agora, se attacker.com tentar enviar e-mail dizendo ser de yourcompany.com:
- O e-mail chega ao Gmail vindo do servidor do atacante
- O Gmail consulta: "O servidor do atacante está no registro SPF de yourcompany.com?"
- Resposta: Não
- Resultado: SPF falha ❌
Formato e sintaxe do registro SPF#
Um registro SPF é um registro DNS TXT. Ele tem uma sintaxe específica:
v=spf1 [mechanisms] [qualifier]
Vamos destrinchar isso:
v=spf1: Versão (sempre comece com isto)[mechanisms]: Define os servidores autorizados[qualifier]: Como tratar servidores não autorizados
Mecanismos (os mais comuns)#
| Mecanismo | Significado | Exemplo |
|---|---|---|
include: | Inclui o SPF de outro domínio | include:_spf.google.com |
ip4: | Autoriza IPv4 específico | ip4:203.0.113.50 |
ip6: | Autoriza IPv6 específico | ip6:2001:db8::1 |
mx | Autoriza o servidor MX | mx |
ptr | Autoriza DNS reverso | ptr (raramente usado, evite) |
a | Autoriza registro A | a |
Qualificadores (como tratar falhas)#
| Qualificador | Significado | Use quando |
|---|---|---|
+ | Aprovar (permitir) | Explicitamente autorizado |
- | Falhar (rejeitar) | Explicitamente não autorizado |
~ | Soft fail (aceitar mas marcar) | Padrão para não autorizados |
? | Neutro (sem política) | Raramente usado |
Exemplo do mundo real#
v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 ~all
O que isto significa:
- Inclui o registro SPF do Google (Gmail)
- Inclui o registro SPF do SendGrid (SendGrid)
- Também autoriza o IP 203.0.113.50 (servidor de e-mail do escritório)
- Soft fail (~all) para todo o resto (marcar como suspeito mas não rejeitar)
Passo 1: Identifique todos os seus serviços de envio de e-mail#
Antes de escrever seu registro SPF, liste cada serviço que envia e-mail em seu nome:
Perguntas a responder:
- Você usa Google Workspace?
- Você usa Microsoft 365?
- Você usa SendGrid, Mailgun ou outro serviço de e-mail?
- Você tem servidores de e-mail on-premises?
- Você usa apps de terceiros que enviam e-mail (Zapier, ferramentas de automação)?
Anote tudo. Esse é o erro número 1 — esquecer um serviço de envio e depois os e-mails desse serviço falharem no SPF.
Serviços comuns e seus includes SPF:
# Google Workspace
include:_spf.google.com
# Microsoft 365
include:spf.protection.outlook.com
# SendGrid
include:sendgrid.net
# Mailgun
include:mailgun.org
# Klaviyo
include:klavan.net
# HubSpot
include:hstsrv.net
Passo 2: Reúna as declarações SPF include#
Para cada serviço, encontre a declaração SPF include oficial (na documentação deles, não em sites aleatórios).
Fontes oficiais:
- Google Workspace: support.google.com
- Microsoft 365: learn.microsoft.com
- SendGrid: sendgrid.com/docs
- Mailgun: mailgun.com/docs
NÃO confie em um post de blog ou site aleatório para isso. Sempre busque a fonte oficial.
Passo 3: Monte seu registro SPF#
Comece com:
v=spf1 [mechanisms] ~all
Adicione cada include:
v=spf1 include:_spf.google.com include:sendgrid.net ~all
Adicione qualquer endereço IP:
v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 ~all
Passo 4: Publique no DNS#
Acesse seu provedor de DNS (Cloudflare, GoDaddy, Route 53, etc.) e:
-
Vá em DNS Records ou TXT Records
-
Adicione um novo registro TXT com:
- Name: @ (ou o nome do seu domínio, dependendo do provedor)
- Value: Seu registro SPF
- TTL: 3600 (1 hora, suficiente para testes)
-
Salve e aguarde de 5 a 15 minutos pela propagação
Passo 5: Teste seu registro SPF#
Use uma destas ferramentas para verificar se seu registro está correto:
Opções gratuitas:
O que você quer ver:
- ✅ Registro SPF encontrado
- ✅ Sem erros de sintaxe
- ✅ Quantidade de lookups ≤ 10 (acima disso, falha)
Passo 6: Monitore ao longo do tempo#
Publique inicialmente com ~all (soft fail):
- Semana 1: Monitore a entrega dos e-mails
- Veja se os e-mails chegam
- Cheque a caixa de spam
Se tudo estiver bem depois de uma semana, você pode mudar para -all (hard fail):
v=spf1 include:_spf.google.com include:sendgrid.net -all
Erros comuns de SPF e como evitá-los#
Erro 1: Exceder os 10 DNS lookups#
A spec do SPF limita os DNS lookups em 10. Se você passar disso, o SPF retorna PermError (falha permanente) e os e-mails são rejeitados.
Como corrigir:
- Substitua
include:porip4:quando possível - Use ferramentas de SPF flattening
- Consolide serviços de e-mail (menos serviços = menos includes)
Erro 2: Usar +all em vez de -all ou ~all
+all significa "aceitar qualquer um que diga ser deste domínio" — isso anula o SPF.
Uso correto:
~all: Soft fail (marcar como suspeito mas entregar)-all: Hard fail (rejeitar)
Use ~all no início, depois passe para -all após validar.
Erro 3: Múltiplos registros SPF#
A spec do DNS permite apenas UM registro TXT por nome. Se você criar vários registros TXT de SPF, o DNS lê só o primeiro — os outros são ignorados.
Abordagem correta:
- Crie UM registro SPF
- Combine todos os mecanismos nele:
v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 ~all
NÃO três registros separados.
Erro 4: Erros de digitação nos includes#
include:sendgrid.com vs include:sendgrid.net — um caractere errado quebra tudo.
Correção:
- Copie e cole da documentação oficial, não digite manualmente
- Verifique com uma ferramenta de DNS após publicar
Erro 5: Esquecer um serviço de envio#
Você adiciona o SPF do SendGrid mas esquece do Klaviyo. E-mails do Klaviyo falham no SPF.
Correção:
- Audite TODOS os serviços que enviam e-mail
- Adicione cada um deles
SPF vs DKIM vs DMARC#
SPF é apenas uma parte da autenticação de e-mail. Para proteção completa, você precisa dos três:
- SPF: "O servidor remetente está autorizado?"
- DKIM: "O conteúdo da mensagem é autêntico (não forjado)?"
- DMARC: "Os dois passam E o domínio está alinhado?"
A Nova Uptime monitora os três automaticamente. Confira a saúde do seu e-mail com o Email Health Checker da Nova Uptime.
Testando o SPF em cenários reais#
Depois de publicar o SPF:
- Envie e-mails de teste a partir do seu domínio
- Cheque os headers: Procure por
SPF: PASSouSPF: FAIL - Monitore a caixa de spam: E-mails ainda indo para spam? Confira DKIM/DMARC
- Use ferramentas de verificação de e-mail: Encaminhe para serviços de e-mail temporários que mostram os headers
Resumo#
- Liste todos os serviços de envio de e-mail
- Pegue os includes SPF oficiais de cada um
- Combine em um único registro SPF começando com
~all - Publique no registro TXT do DNS
- Teste com ferramentas de verificação de e-mail
- Monitore por 1 semana
- Mude para
-allse tudo estiver funcionando - Adicione DKIM e DMARC para autenticação completa
A reputação do seu e-mail é construída ao longo de meses e destruída em dias. Configurar o SPF corretamente é a base.
Monitore a saúde do seu e-mail automaticamente com o Email Health Checker da Nova Uptime — ele audita SPF, DKIM, DMARC, registros MX e status em blacklists. 🚀
Leitura relacionada#
- Guia de configuração e verificação de SPF — Configuração de SPF passo a passo para iniciantes
- Guia completo de SPF, DKIM e DMARC — Como o SPF se encaixa no stack completo de autenticação
- Guia de verificação e remoção de blacklist de e-mail — Blacklists por SPF ausente
- Configuração de DMARC: de None a Reject — Configure DMARC depois que o SPF estiver pronto
- Guia do Email Health Checker — Auditoria abrangente de autenticação de e-mail
- SPF Checker grátis — Valide seu registro SPF na hora
Monitor Your Website Before It Goes Down
Get uptime monitoring, SSL tracking, domain expiry alerts, and email health checks. Free plan — no credit card required.
Start Monitoring FreeArtigos relacionados
SPF, DKIM e DMARC: O Guia Completo de Autenticação de E-mail
Guia dos três pilares da autenticação de e-mail. Como SPF, DKIM e DMARC trabalham juntos para proteger seu domínio e o posicionamento na caixa de entrada.
Configuração de Política DMARC: Previna o Spoofing de E-mail
Teste DMARC grátis + guia de configuração. Defina p=none, p=quarantine, p=reject. Alinhe SPF/DKIM. Exigido por Gmail e Yahoo em 2026.
Guia de Configuração de DKIM: Passo a Passo Completo
Configure DKIM em 20 min: ache o seletor, gere chaves, adicione DNS. Validador DKIM grátis. Exigido por Gmail e Yahoo desde fev/2026.