Dados8 min de leitura

Adoção de SPF, DKIM e DMARC no Brasil

Autenticação de email não é mais opcional. Desde fevereiro de 2024, Gmail e Yahoo exigem SPF, DKIM e DMARC para mensagens em volume. Veja o que os dados mostram sobre adoção entre domínios brasileiros.

Quem envia email no Brasil conhece bem o cenário: Gmail domina com aproximadamente 65% dos acessos de webmail, seguido por Outlook/Hotmail. Os provedores locais UOL e BOL ainda mantêm base ativa significativa, principalmente entre usuários mais antigos. Com quase 90 milhões de usuários ativos de email no país, todos eles estão protegidos por filtros cada vez mais rigorosos.

Sem autenticação correta, suas mensagens vão direto para spam ou são rejeitadas antes mesmo de chegar. Gmail e Yahoo deixaram claro: SPF e DKIM são mandatórios, DMARC é best practice, taxa de spam abaixo de 0,3%. A pergunta que todo especialista em deliverabilidade faz: quanto dessas empresas brasileiras realmente implementou?

Por que autenticação de email importa

Sem SPF, DKIM e DMARC configurados, você enfrenta:

  • Rejeição automática. Gmail e Yahoo recusam emails em volume sem autenticação válida.
  • Alerta de segurança. No Outlook, "Esta mensagem parece suspeita" avisa o leitor.
  • Spoofing de marca. Sem DMARC, alguém pode fingir ser você e enviar criminalmente.
  • Não-conformidade com LGPD. Lei Geral de Proteção de Dados exige identificação clara do remetente.

Dados de adoção no Brasil

O check.live-direct-marketing.online monitora autenticação através de scans semanais de domínios brasileiros. Os números mostram uma adoção fragmentada:

  • SPF: Crescimento consistente entre grandes empresas (.com.br consolidadas). PMEs ainda ficam para trás.
  • DKIM: Adoção acelerada entre quem usa plataformas (RD Station, Google Workspace, Brevo). WordPress, WooCommerce e ERP caseira: frequentemente não implementam.
  • DMARC: Adoção lenta. Maioria dos domínios está em p=none ou p=quarantine, raramente em p=reject.

Para números precisos e em tempo real, confira o painel público em /email-stats/, que mostra tendências semanais de SPF/DKIM/DMARC/BIMI entre domínios escaneados.

SPFVerifica o IP do servidor que envia; publica lista de IPs autorizados no DNSDKIMAssina digitalmente as mensagens; verifica se não foram alteradas em trânsitoDMARCDefine a política: aceitar, quarentena ou rejeitar mensagens que falham SPF/DKIM
Os três pilares de autenticação de email e como trabalham juntos

SPF: o primeiro passo

SPF (Sender Policy Framework) declara quais IPs podem enviar email em seu nome. Você publica um registro TXT no DNS:

v=spf1 include:google.com include:sendgrid.net ~all

Esse registro diz: "Google Workspace e SendGrid podem enviar como @seudomain.com.br; qualquer outro é suspeito (~all soft-fail)."

Erros comuns: não considerar subdomínios de email_marketing, usar múltiplos includes em cascata (limite de DNS lookups), ou usar -all (hard-fail) sem testar todos os remetentes primeiro.

DKIM: a assinatura digital

DKIM (DomainKeys Identified Mail) adiciona uma assinatura criptográfica em cada email. O receptor valida usando a chave pública publicada no seu DNS. SPF verifica origem; DKIM prova autoria — que você criou e enviou a mensagem. Se interceptarem e alterarem seu email, DKIM falha. Plataformas como RD Station e Google Workspace fazem isso automaticamente. WordPress, WooCommerce e ERP caseira precisam ativar manualmente no servidor SMTP.

Teste sua configuração gratuitamente
Use check.live-direct-marketing.online para enviar um email de teste e ver em tempo real se SPF, DKIM e DMARC passam. Você recebe o veredito de Gmail, Outlook, UOL, iCloud e mais — tudo sem conta ou integração complicada. Vê até screenshots do seu email em cada rede, light e dark mode.

DMARC: a política de proteção

DMARC (Domain-based Message Authentication, Reporting and Conformance) define a política para emails que falham SPF/DKIM:

  • p=none — Deixa passar, mas envia relatórios (modo observação, recomendado no início).
  • p=quarantine — Envia para spam se falhar (mais rigoroso).
  • p=reject — Recusa e descarta (lockdown total, exige 100% de confiança).

A maioria dos domínios brasileiros está em p=none porque transição para p=reject é complicada: você precisa garantir que nenhum serviço legítimo envia sem autenticação, senão bloqueia clientes. DMARC também gera relatórios mostrando quem tenta enviar como você — essencial para detectar phishing e clonagem de marca.

Impacto prático no seu negócio

Sem autenticação: taxa de entrega cai em Gmail/Outlook, seu email marketing não sai do spam. Com SPF+DKIM, sem DMARC: entrega melhora, mas marca fica vulnerável a spoofing. Com SPF+DKIM+DMARC (p=reject): máxima entrega + máxima proteção, e conformidade total com LGPD.

Para ESP brasileiros (RD Station, Brevo, Locaweb Email), o setup é guiado: você cadastra o domínio, publica os registros DNS, a plataforma confirma e aplica automaticamente. Para WooCommerce, Shopify ou ERP caseira: configuração manual ou consultor especializado são necessários.

Próximos passos

Sua trajetória de implementação:

  1. Audite seu domínio. Verifique se SPF, DKIM e DMARC estão publicados. Use check.live-direct-marketing.online para teste completo na prática.
  2. Configure SPF com todos os IPs e includes autorizados, começando em soft-fail (~all).
  3. Ative DKIM pela plataforma de email ou servidor SMTP.
  4. Publique DMARC em p=none, acompanhe relatórios por uma semana, depois evolua para p=quarantine ou p=reject.
  5. Monitore relatórios DMARC para detectar tentativas de spoofing.

Autenticação é conformidade com LGPD e requisito das plataformas. Em 2024, não é mais opcional — é condição básica para qualquer estratégia de email no Brasil.

Qual é a diferença entre SPF, DKIM e DMARC?

SPF verifica o IP de origem (quem pode enviar). DKIM assina a mensagem digitalmente (prova que você a criou). DMARC define a política sobre o que fazer se falham (aceitar, quarentena, rejeitar). Todos três trabalham juntos para autenticar seu email e proteger sua marca.

Posso enviar email em volume no Brasil sem DMARC?

Tecnicamente sim, mas não é recomendado. Gmail e Yahoo desde fevereiro de 2024 exigem SPF+DKIM + taxa de spam <0,3%. DMARC é best practice, mesmo em p=none. Sem ele, sua taxa de entrega sofre quando o volume cresce e sua marca fica vulnerável a spoofing.

Se configuro DMARC em p=reject, meus emails legítimos vão ser bloqueados?

Sim, se houver algum serviço que envia como você sem estar listado no SPF. Por isso a recomendação é começar em p=none, evoluir para p=quarantine, e só depois de testar bem migrar para p=reject. Ferramentas de teste ajudam a identificar falhas antes de endurecer a política.
Leituras relacionadas
Found this useful? Share it
AB
Sobre o autor
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Verifique sua entregabilidade em mais de 20 provedores

Gmail, Outlook, Yahoo, GMX, ProtonMail e outros. Capturas reais da caixa de entrada, SPF/DKIM/DMARC, veredictos de filtros de spam. Grátis, sem cadastro.

Fazer teste grátis →

Testes ilimitados · Mais de 20 caixas · Resultados ao vivo · Sem conta