Fundamentos8 min de leitura

O que é SPF, DKIM e DMARC

Três protocolos de autenticação garantem que seus emails chegarem à caixa de entrada, não ao spam. Neste guia, vamos entender o que cada um faz e por que são obrigatórios para qualquer remetente de email em massa.

Se você envia boletins informativos, confirmações de pedido ou campanhas de marketing pelo seu domínio, ouve falar constantemente em SPF, DKIM e DMARC. Mas o que esses nomes, essas siglas, significam na prática?

A boa notícia: não é mágica. Esses são protocolos simples que dizem aos provedores de email (Gmail, Outlook, UOL, BOL e outros) que o email realmente saiu do seu domínio, e não de um impostor. Desde fevereiro de 2024, Google e Yahoo obrigam qualquer remetente em massa a implementar esses três mecanismos — e a tendência se espalha pelos demais provedores.

Neste artigo, vamos traduzir essas siglas em português bem simples, ver como funcionam juntas e aprender a verificar se os seus registros estão corretos.

Por que SPF, DKIM e DMARC importam agora

Até alguns anos, era fácil falsificar um email. Você podia programar um servidor para enviar uma mensagem como se viesse de ceo@empresa.com.br, mesmo que o domínio não fosse seu. Criminosos usavam isso para phishing, spam e fraudes.

Para interromper essas fraudes, os provedores de email começaram a exigir prova de que você realmente é o dono do domínio. SPF, DKIM e DMARC são essa prova.

No Brasil, onde Gmail é dominante (seguido de Outlook, iCloud e provedores legais como UOL e BOL), ter esses registros configurados significa a diferença entre chegar à caixa de entrada e cair direto no spam. Além disso, LGPD exige que você se identifique claramente como remetente — esses protocolos ajudam a cumprir esse requisito legal.

O que é SPF (Sender Policy Framework)

SPF é um registro de texto simples que você coloca no seu DNS. Ele diz: "Eu autorizo estes servidores de email a enviar mensagens em nome do meu domínio."

Funciona assim:

  1. Você cria um registro SPF no seu DNS (tipicamente algo como v=spf1 include:mailprovider.com ~all).
  2. Um email sai do seu servidor para o Gmail, por exemplo.
  3. Gmail verifica o DNS do seu domínio, lê o registro SPF e confirma: "Sim, esse servidor está na lista autorizada."
  4. Se o servidor NÃO estiver na lista, o email é marcado como suspeito.

O ~all (soft fail) significa "Se não der match, é amarelo, não vermelho — considere como suspeito, mas não rejeite." O -all (hard fail) significa "Rejeite qualquer email que não esteja na lista." Comece com soft fail para não bloquear seus próprios emails por engano.

O que é DKIM (DomainKeys Identified Mail)

Se SPF é sobre "de qual servidor esse email veio", DKIM é sobre "esse email foi alterado no caminho?"

DKIM funciona com criptografia. Você gera um par de chaves: uma privada (fica no seu servidor de email) e uma pública (fica no seu DNS). Cada email que você envia é "assinado" com a chave privada. O Gmail, ao receber o email, lê o DNS, pega a chave pública e verifica a assinatura: se ela bater, o email não foi tocado no caminho.

Isso é especialmente importante para emails de marketing, porque provedores como Gmail usam DKIM para verificar se você é de confiança. Um histórico de emails DKIM válidos constrói sua reputação.

O que é DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC é a camada de política. Ela diz: "Se SPF ou DKIM falharem, o que fazer? E quem notificar?"

Um registro DMARC tipicamente parece com isso:

v=DMARC1; p=none; rua=mailto:reports@seudominio.com.br; ruf=mailto:forense@seudominio.com.br;

Vamos traduzir:

  • p=none: Se falhar SPF ou DKIM, não faça nada — só reporte (modo observação).
  • p=quarantine: Coloque em spam se falhar.
  • p=reject: Rejeite completamente se falhar (mais rigoroso).
  • rua/ruf: Envie relatórios sobre o que foi entregue ou rejeitado para esse email.

A maioria começa com p=none por alguns meses, para monitorar falhas. Depois evolui para p=quarantine e eventualmente p=reject conforme ganha confiança.

SPFVerifica se o servidor está autorizadoDKIMVerifica se o email não foi alteradoDMARCDefine a política: o que fazer se falhar
Como SPF, DKIM e DMARC trabalham juntos para autenticar seu email
Dica prática: teste seu SPF, DKIM e DMARC gratuitamente
Não precisa confiar na teoria. Envie um email de teste para nossa ferramenta check.live e veja exatamente qual é seu registro SPF, DKIM e DMARC, se estão válidos e o resultado de spam-filtros reais.

Como verificar seus registros DNS

Você não precisa confiar que está tudo certo. Vários caminhos:

  1. Ferramenta de teste gratuita: Envie um email para check.live. A plataforma mostra seus registros SPF, DKIM e DMARC, diz se são válidos e mostra o resultado de spam-filtros reais.
  2. Terminal (Linux/Mac): dig seudominio.com.br TXT | grep -i spf (SPF), dig default._domainkey.seudominio.com.br TXT (DKIM), dig _dmarc.seudominio.com.br TXT (DMARC).
  3. Painel do seu host/registrador: Acesse a zona DNS do seu domínio (Locaweb, GoDaddy, etc.) e procure os registros TXT.

Erros comuns e como evitá-los

1. Esquecer de configurar SPF: Se você muda de provedor de email ou ESP (RD Station, Brevo, Mailchimp), o novo provedor dará um valor SPF para você incluir no DNS. Muitas pessoas esquecem. Resultado: emails caem em spam.

2. DKIM desabilitado no seu ESP: Alguns provedores antigos não ativam DKIM por padrão. Vá nas configurações e certifique-se de que DKIM está ativo. Se estiver usando WooCommerce ou WordPress, instale um plugin como WP Mail SMTP.

3. DMARC muito rigoroso cedo demais: Não configure p=reject no primeiro dia. Use p=none por 2–4 semanas, leia os relatórios, certifique-se de que todos os seus emails legítimos estão passando, e só então suba para p=quarantine ou p=reject.

4. Esquecer one-click unsubscribe: Desde 2024, Google exige que cada email de marketing tenha um botão de desinscrição com um clique (RFC 8058). Sem isso, você risca uma taxa de spam acima do tolerável e seus emails vão ser mais facilmente filtrados.

5. Negligenciar a reputação do domínio: Mesmo com SPF/DKIM/DMARC, se você envia spam frequentemente, seu domínio fica na lista negra. Mantenha uma taxa de spam baixa e uma lista de contatos limpa.

Por que isso importa para você (e para seu negócio)

No Brasil, a concorrência por caixa de entrada é acirrada. Se seu email de confirmação de pedido, boletim ou oferta não chegar, você perde vendas. SPF, DKIM e DMARC aumentam a chance de entrega.

Além disso, LGPD obriga você a se identificar como remetente — esses protocolos são o "certificado de autenticidade" que comprova quem você é.

Preciso configurar SPF, DKIM e DMARC ao mesmo tempo?

Não. Comece com SPF (mais simples), depois adicione DKIM. DMARC é a camada final. Mas se estiver migrando de ESP ou domínio, você pode fazer tudo junto — leva poucas horas e o provedor geralmente dá instruções passo a passo. Não atrase: essa é uma obrigação desde fevereiro de 2024.

E se meu domínio já tem um registro SPF antigo?

Você pode (e deve) atualizá-lo. SPF permite múltiplos provedores na mesma lista. Se você muda de ESP, o novo provedor dá um valor para você incluir. Leia bem: não SUBSTITUA o antigo, INCLUA o novo. Exemplo: v=spf1 include:antigoesp.com include:novoesp.com ~all. Cuidado: o limite é aproximadamente 10 includes (limite técnico); se ficar perto, consolide ou combine includes.

Posso ler os relatórios DMARC de graça?

Sim. Se configurou DMARC com rua= (aggregate reports), você recebe emails com relatórios XML diários. Eles mostram quanto do seu email passou SPF/DKIM e quanto falhou. Você pode abrir no Excel ou usar ferramentas gratuitas de parse. Vale a pena: esses relatórios ajudam você a detectar falsificações do seu domínio ou erros na sua infraestrutura cedo.
Leituras relacionadas
Found this useful? Share it
AB
Sobre o autor
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Verifique sua entregabilidade em mais de 20 provedores

Gmail, Outlook, Yahoo, GMX, ProtonMail e outros. Capturas reais da caixa de entrada, SPF/DKIM/DMARC, veredictos de filtros de spam. Grátis, sem cadastro.

Fazer teste grátis →

Testes ilimitados · Mais de 20 caixas · Resultados ao vivo · Sem conta