Se você envia boletins informativos, confirmações de pedido ou campanhas de marketing pelo seu domínio, ouve falar constantemente em SPF, DKIM e DMARC. Mas o que esses nomes, essas siglas, significam na prática?
A boa notícia: não é mágica. Esses são protocolos simples que dizem aos provedores de email (Gmail, Outlook, UOL, BOL e outros) que o email realmente saiu do seu domínio, e não de um impostor. Desde fevereiro de 2024, Google e Yahoo obrigam qualquer remetente em massa a implementar esses três mecanismos — e a tendência se espalha pelos demais provedores.
Neste artigo, vamos traduzir essas siglas em português bem simples, ver como funcionam juntas e aprender a verificar se os seus registros estão corretos.
Por que SPF, DKIM e DMARC importam agora
Até alguns anos, era fácil falsificar um email. Você podia programar um servidor para enviar uma mensagem como se viesse de ceo@empresa.com.br, mesmo que o domínio não fosse seu. Criminosos usavam isso para phishing, spam e fraudes.
Para interromper essas fraudes, os provedores de email começaram a exigir prova de que você realmente é o dono do domínio. SPF, DKIM e DMARC são essa prova.
No Brasil, onde Gmail é dominante (seguido de Outlook, iCloud e provedores legais como UOL e BOL), ter esses registros configurados significa a diferença entre chegar à caixa de entrada e cair direto no spam. Além disso, LGPD exige que você se identifique claramente como remetente — esses protocolos ajudam a cumprir esse requisito legal.
O que é SPF (Sender Policy Framework)
SPF é um registro de texto simples que você coloca no seu DNS. Ele diz: "Eu autorizo estes servidores de email a enviar mensagens em nome do meu domínio."
Funciona assim:
- Você cria um registro SPF no seu DNS (tipicamente algo como
v=spf1 include:mailprovider.com ~all). - Um email sai do seu servidor para o Gmail, por exemplo.
- Gmail verifica o DNS do seu domínio, lê o registro SPF e confirma: "Sim, esse servidor está na lista autorizada."
- Se o servidor NÃO estiver na lista, o email é marcado como suspeito.
O ~all (soft fail) significa "Se não der match, é amarelo, não vermelho — considere como suspeito, mas não rejeite." O -all (hard fail) significa "Rejeite qualquer email que não esteja na lista." Comece com soft fail para não bloquear seus próprios emails por engano.
O que é DKIM (DomainKeys Identified Mail)
Se SPF é sobre "de qual servidor esse email veio", DKIM é sobre "esse email foi alterado no caminho?"
DKIM funciona com criptografia. Você gera um par de chaves: uma privada (fica no seu servidor de email) e uma pública (fica no seu DNS). Cada email que você envia é "assinado" com a chave privada. O Gmail, ao receber o email, lê o DNS, pega a chave pública e verifica a assinatura: se ela bater, o email não foi tocado no caminho.
Isso é especialmente importante para emails de marketing, porque provedores como Gmail usam DKIM para verificar se você é de confiança. Um histórico de emails DKIM válidos constrói sua reputação.
O que é DMARC (Domain-based Message Authentication, Reporting and Conformance)
DMARC é a camada de política. Ela diz: "Se SPF ou DKIM falharem, o que fazer? E quem notificar?"
Um registro DMARC tipicamente parece com isso:
v=DMARC1; p=none; rua=mailto:reports@seudominio.com.br; ruf=mailto:forense@seudominio.com.br;Vamos traduzir:
- p=none: Se falhar SPF ou DKIM, não faça nada — só reporte (modo observação).
- p=quarantine: Coloque em spam se falhar.
- p=reject: Rejeite completamente se falhar (mais rigoroso).
- rua/ruf: Envie relatórios sobre o que foi entregue ou rejeitado para esse email.
A maioria começa com p=none por alguns meses, para monitorar falhas. Depois evolui para p=quarantine e eventualmente p=reject conforme ganha confiança.
Como verificar seus registros DNS
Você não precisa confiar que está tudo certo. Vários caminhos:
- Ferramenta de teste gratuita: Envie um email para check.live. A plataforma mostra seus registros SPF, DKIM e DMARC, diz se são válidos e mostra o resultado de spam-filtros reais.
- Terminal (Linux/Mac):
dig seudominio.com.br TXT | grep -i spf(SPF),dig default._domainkey.seudominio.com.br TXT(DKIM),dig _dmarc.seudominio.com.br TXT(DMARC). - Painel do seu host/registrador: Acesse a zona DNS do seu domínio (Locaweb, GoDaddy, etc.) e procure os registros TXT.
Erros comuns e como evitá-los
1. Esquecer de configurar SPF: Se você muda de provedor de email ou ESP (RD Station, Brevo, Mailchimp), o novo provedor dará um valor SPF para você incluir no DNS. Muitas pessoas esquecem. Resultado: emails caem em spam.
2. DKIM desabilitado no seu ESP: Alguns provedores antigos não ativam DKIM por padrão. Vá nas configurações e certifique-se de que DKIM está ativo. Se estiver usando WooCommerce ou WordPress, instale um plugin como WP Mail SMTP.
3. DMARC muito rigoroso cedo demais: Não configure p=reject no primeiro dia. Use p=none por 2–4 semanas, leia os relatórios, certifique-se de que todos os seus emails legítimos estão passando, e só então suba para p=quarantine ou p=reject.
4. Esquecer one-click unsubscribe: Desde 2024, Google exige que cada email de marketing tenha um botão de desinscrição com um clique (RFC 8058). Sem isso, você risca uma taxa de spam acima do tolerável e seus emails vão ser mais facilmente filtrados.
5. Negligenciar a reputação do domínio: Mesmo com SPF/DKIM/DMARC, se você envia spam frequentemente, seu domínio fica na lista negra. Mantenha uma taxa de spam baixa e uma lista de contatos limpa.
Por que isso importa para você (e para seu negócio)
No Brasil, a concorrência por caixa de entrada é acirrada. Se seu email de confirmação de pedido, boletim ou oferta não chegar, você perde vendas. SPF, DKIM e DMARC aumentam a chance de entrega.
Além disso, LGPD obriga você a se identificar como remetente — esses protocolos são o "certificado de autenticidade" que comprova quem você é.
Preciso configurar SPF, DKIM e DMARC ao mesmo tempo?
E se meu domínio já tem um registro SPF antigo?
v=spf1 include:antigoesp.com include:novoesp.com ~all. Cuidado: o limite é aproximadamente 10 includes (limite técnico); se ficar perto, consolide ou combine includes.Posso ler os relatórios DMARC de graça?
rua= (aggregate reports), você recebe emails com relatórios XML diários. Eles mostram quanto do seu email passou SPF/DKIM e quanto falhou. Você pode abrir no Excel ou usar ferramentas gratuitas de parse. Vale a pena: esses relatórios ajudam você a detectar falsificações do seu domínio ou erros na sua infraestrutura cedo.