Os Três Pilares da Confiança em E-mail#

Cada e-mail que você envia é avaliado pelo servidor receptor antes de chegar à caixa de entrada de alguém. A avaliação se resume a uma pergunta: este e-mail é realmente de quem alega ser?

Três protocolos baseados em DNS respondem a essa pergunta: SPF, DKIM e DMARC. Cada um trata de um aspecto diferente da autenticação e, juntos, formam a base da entregabilidade de e-mail. Se algum deles estiver ausente ou mal configurado, seus e-mails correm o risco de serem filtrados, colocados em quarentena ou rejeitados.

Este guia explica o que cada protocolo faz, como eles trabalham juntos e como verificar sua configuração.

SPF: Quem Tem Permissão para Enviar?#

O que o SPF Faz#

O SPF (Sender Policy Framework) é um registro DNS TXT que lista quais servidores de e-mail estão autorizados a enviar e-mails em nome do seu domínio. Quando um servidor receptor recebe um e-mail que afirma ser de yourcompany.com, ele verifica o registro SPF para ver se o servidor de envio está na lista aprovada.

Como o SPF Funciona#

Você publica um registro SPF no DNS do seu domínio (por exemplo, v=spf1 include:_spf.google.com -all)
Alguém envia um e-mail do seu domínio
O servidor receptor consulta seu registro SPF
Ele compara o endereço IP do servidor de envio com a lista autorizada
Se o IP estiver autorizado, a verificação SPF passa. Caso contrário, falha

Conceitos-Chave do SPF#

Mecanismo include: — Faz referência ao registro SPF de outro domínio. Usado para autorizar serviços de terceiros como Google Workspace ou SendGrid.
-all vs ~all — O -all (hard fail) diz aos receptores para rejeitar remetentes não autorizados. O ~all (soft fail) sugere marcá-los como suspeitos, mas sem rejeitar. Use -all para uma proteção mais forte.
Limite de 10 lookups DNS — Registros SPF podem disparar no máximo 10 lookups DNS. Exceder esse limite faz o SPF falhar completamente. Esse é um problema comum para domínios que usam muitos serviços de e-mail.

Erros Comuns de SPF#

Esquecer de adicionar um novo serviço de e-mail ao seu registro SPF
Exceder o limite de 10 lookups por incluir muitos serviços
Usar +all, que autoriza todo mundo (efetivamente desabilitando o SPF)
Ter múltiplos registros SPF (apenas um é permitido por domínio)

Verifique sua configuração SPF com o SPF Checker gratuito.

DKIM: O E-mail Foi Adulterado?#

O que o DKIM Faz#

O DKIM (DomainKeys Identified Mail) adiciona uma assinatura criptográfica a cada e-mail enviado. Essa assinatura prova duas coisas: o e-mail veio do seu domínio e seu conteúdo não foi modificado em trânsito.

Como o DKIM Funciona#

Seu servidor de e-mail gera um par de chaves pública/privada
A chave pública é publicada como um registro DNS TXT em selector._domainkey.yourdomain.com
Ao enviar um e-mail, seu servidor assina um hash dos cabeçalhos e do corpo do e-mail com a chave privada
A assinatura é adicionada como um cabeçalho DKIM-Signature no e-mail
O servidor receptor recupera sua chave pública do DNS e verifica a assinatura
Se a assinatura corresponder, o e-mail está autenticado e não foi alterado

Conceitos-Chave do DKIM#

Selectors — Cada chave DKIM tem um nome de selector (como google, s1 ou default). Isso permite que um domínio tenha múltiplas chaves DKIM para diferentes serviços de e-mail.
Rotação de chaves — A melhor prática é rotacionar chaves DKIM periodicamente. Os selectors tornam isso possível sem interromper o serviço.
Escopo da assinatura — O DKIM assina cabeçalhos específicos e o corpo. Listas de e-mail que modificam mensagens podem quebrar assinaturas DKIM.

Erros Comuns de DKIM#

Habilitar o DKIM no seu provedor de e-mail, mas esquecer de adicionar o registro DNS
Usar uma chave muito curta (mínimo de 1024 bits, recomendado 2048 bits)
Não configurar DKIM para todos os seus serviços de envio (cada um precisa do próprio selector)

Verifique sua configuração DKIM com o DKIM Checker gratuito.

DMARC: O Que Deve Acontecer Quando as Verificações Falham?#

O que o DMARC Faz#

O DMARC (Domain-based Message Authentication, Reporting, and Conformance) une SPF e DKIM com uma política. Ele diz aos servidores receptores o que fazer quando um e-mail falha na autenticação e fornece um mecanismo de relatório para que você veja quem está enviando e-mails usando seu domínio.

Como o DMARC Funciona#

Você publica um registro DMARC no DNS em _dmarc.yourdomain.com
Um servidor receptor recebe um e-mail do seu domínio
Ele verifica SPF e DKIM
Ele verifica se algum dos resultados está "alinhado" com o domínio do From
Se o alinhamento falhar, ele segue sua política DMARC: none (apenas monitorar), quarantine (mandar para spam) ou reject (bloquear completamente)
Ele envia relatórios agregados para o endereço especificado no seu registro DMARC

Conceitos-Chave do DMARC#

Alinhamento — O alinhamento de SPF significa que o domínio do envelope sender corresponde ao domínio do cabeçalho From. O alinhamento de DKIM significa que o domínio assinante corresponde ao domínio do From. Pelo menos um deve estar alinhado para que o DMARC passe.
Progressão da política — Comece com p=none para monitorar sem afetar a entrega. Avance para p=quarantine quando estiver confiante de que e-mails legítimos passam. Suba para p=reject para máxima proteção.
Relatórios (rua) — A tag rua especifica para onde os relatórios DMARC agregados são enviados. Esses relatórios mostram toda a atividade de e-mail no seu domínio, incluindo remetentes não autorizados.

Erros Comuns de DMARC#

Pular direto para p=reject sem monitorar primeiro (bloqueia e-mails legítimos de serviços mal configurados)
Não configurar um endereço rua para relatórios (voar às cegas)
Esquecer que serviços de terceiros precisam de alinhamento de SPF/DKIM, não apenas que SPF/DKIM passem

Verifique sua política DMARC com o DMARC Checker gratuito.

Como os Três Trabalham Juntos#

SPF, DKIM e DMARC são complementares, não redundantes:

Protocolo	Pergunta Respondida	O Que Ele Comprova
SPF	Este servidor está autorizado?	O servidor de envio é aprovado
DKIM	Este e-mail é autêntico?	O e-mail não foi adulterado
DMARC	O que acontece em caso de falha?	E-mails não autorizados são tratados adequadamente

Um e-mail que passa nas três verificações tem a maior chance de chegar à caixa de entrada. Um e-mail que falha em qualquer verificação pode ser filtrado, colocado em quarentena ou rejeitado, dependendo das políticas do servidor receptor.

A Configuração Ideal#

SPF: Publicado com todos os serviços de envio legítimos, terminando em -all
DKIM: Configurado para cada serviço que envia e-mails em seu nome
DMARC: Definido como p=reject (ou no mínimo p=quarantine) com relatórios rua habilitados

Verificando Sua Configuração#

Execute as três verificações de uma só vez usando o Email Health Checker, que avalia SPF, DKIM, DMARC, registros MX e status de blacklist em um único scan. Para investigação mais profunda de protocolos individuais, use os checkers dedicados:

SPF Checker — Análise detalhada de registros SPF
DKIM Checker — Detecção e validação de chaves DKIM
DMARC Checker — Avaliação de políticas e recomendações

Para monitoramento contínuo, o monitoramento de saúde de e-mail da Nova Uptime verifica sua configuração de autenticação regularmente e alerta você quando algo muda — para que você detecte configurações incorretas antes que afetem a entregabilidade.

Leitura Relacionada#

Guia Completo do Email Health Checker — Tutorial completo de análise de saúde de e-mail
Como Verificar o Risco de Caixa de Entrada Antes de Enviar Cold Emails — Avaliação de risco antes do envio
DKIM Explicado: Guia Completo — Mergulho profundo no DKIM
Guia de Configuração de Política DMARC — Configuração passo a passo do DMARC
Configurando Registros SPF — Guia de configuração de registro SPF
10 Ferramentas Gratuitas de E-mail e Domínio — Todas as ferramentas gratuitas disponíveis
Meu E-mail Está em Blacklist? — Verifique status de blacklist e corrija listagens

SPF, DKIM e DMARC: O Guia Completo de Autenticação de E-mail