SPF, DKIM e DMARC são os três registros DNS que determinam se seus emails chegam à caixa de entrada ou ao spam. Desde 2024, o Google exige esses padrões de autenticação de todos os remetentes em massa — ignorá-los significa que seus emails vão para spam ou serão rejeitados. Este guia mostra a configuração passo a passo.
O que é autenticação de email e por que é importante?
A autenticação de email é um conjunto de padrões técnicos que permite aos provedores de email verificar se um email realmente vem do domínio remetente indicado. O problema: o protocolo de email original (SMTP) não tem verificação de remetente embutida. Qualquer pessoa pode tecnicamente enviar um email com qualquer endereço de remetente.
Os três padrões de autenticação resolvem esse problema de maneiras diferentes:
| Padrão | Mecanismo de proteção | Contra |
|---|---|---|
| SPF | Lista branca de servidores autorizados | Falsificação de identidade |
| DKIM | Assinatura criptográfica da mensagem | Adulteração durante transmissão |
| DMARC | Política para falhas de autenticação | Uso não autorizado do seu domínio |
Desde fevereiro de 2024, o Google exige que todos os remetentes que enviam mais de 5.000 emails por dia para Gmail configurem SPF, DKIM e DMARC. A Microsoft segue o mesmo caminho em 2025. Para cold email, esses padrões já não são opcionais — são obrigatórios, especialmente considerando a LGPD brasileira.
Configurar SPF — Passo a passo
O que é um registro SPF?
Um registro SPF é uma entrada TXT no seu DNS que lista quais servidores podem enviar emails em seu nome. Os servidores de email receptores verificam essa entrada quando um email do seu domínio chega.
A estrutura básica de um registro SPF
v=spf1 include:_spf.google.com ~all
| Elemento | Significado |
|---|---|
v=spf1 | Versão do protocolo SPF (sempre idêntica) |
include:domain.com | Autoriza todos os servidores do provedor indicado |
ip4:1.2.3.4 | Autoriza um endereço IPv4 individual |
~all | Soft Fail: marcar outros servidores como suspeitos |
-all | Hard Fail: rejeitar outros servidores |
Registros SPF para os provedores de email mais comuns
| Provedor | Registro SPF |
|---|---|
| Google Workspace | v=spf1 include:_spf.google.com ~all |
| Microsoft 365 | v=spf1 include:spf.protection.outlook.com ~all |
| Zoho Mail | v=spf1 include:zoho.eu ~all |
Regra mais importante: Apenas um único registro SPF é permitido por domínio. Se você usa vários provedores de email, combine-os em um registro:
v=spf1 include:_spf.google.com include:spf.protection.outlook.com ip4:123.45.67.89 ~all
Jetzt kostenlos starten — ohne Kreditkarte
1 Mailbox · 1 Kampagne · 50 Prospects. Starte in unter 5 Minuten mit anicampaign.io.
Configurar DKIM — A assinatura digital
Como o DKIM funciona
DKIM (DomainKeys Identified Mail) usa um par de chaves: uma chave privada no seu servidor de email e uma chave pública no seu DNS. Cada email enviado é assinado com a chave privada. O servidor receptor lê a chave pública do DNS e verifica a assinatura.
Configuração do DKIM no Google Workspace
- Abra o Google Admin Console (admin.google.com)
- Navegue até Apps → Google Workspace → Gmail → Autenticação de email
- Selecione seu domínio
- Clique em "Gerar novo registro" (recomendado 2048 bits)
- Adicione o registro TXT ao seu DNS (Nome:
google._domainkey, Tipo: TXT) - Aguarde 15-30 minutos e clique em "Iniciar autenticação DKIM"
Exemplo de registro DKIM
Nome: google._domainkey.seudominio.com.br
Tipo: TXT
Valor: v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...
Configurar DMARC — A política
O modelo de implementação gradual do DMARC
Nunca comece com uma política estrita:
| Fase | Registro | Significado | Duração |
|---|---|---|---|
| Fase 1 | p=none | Apenas monitoramento | 2-4 semanas |
| Fase 2 | p=quarantine; pct=25 | 25% de suspeitos para spam | 2 semanas |
| Fase 3 | p=quarantine; pct=100 | Todos os suspeitos para spam | 2-4 semanas |
| Fase 4 | p=reject | Rejeitar suspeitos | Permanente |
Configurar o registro DMARC
Fase 1 (início):
Nome: _dmarc.seudominio.com.br
Tipo: TXT
Valor: v=DMARC1; p=none; rua=mailto:dmarc@seudominio.com.br; fo=1
Erros comuns e como evitá-los
- Múltiplos registros SPF: Apenas um é permitido. Combine tudo em um registro.
- DMARC antes de SPF e DKIM: Configure SPF e DKIM primeiro, depois DMARC com
p=none. - Muitas consultas DNS no SPF: O limite é 10. Minimize as diretivas
include:. - Status de proxy incorreto no Cloudflare: Registros TXT devem estar em "DNS only".
- Começar diretamente com
p=reject: Sempre comece comp=nonee analise os relatórios.
Verificação com ferramentas
- MXToolbox (mxtoolbox.com): Verificadores separados para SPF, DKIM e DMARC
- Google Admin Toolbox (toolbox.googleapps.com): Verifica todos os registros DNS em um passo
- mail-tester.com: Envie um email real e receba uma pontuação de spam de 0-10
Meta: 9/10 ou superior no mail-tester.com.
Perguntas frequentes
O que é SPF e por que preciso dele?
SPF é um registro DNS que especifica quais servidores podem enviar emails em nome do seu domínio. Sem SPF, provedores não podem verificar seus emails e frequentemente os enviam para spam.
Qual é a diferença entre DKIM e SPF?
SPF verifica se o servidor remetente está autorizado; DKIM assina o email criptograficamente. Os dois se complementam.
O que acontece se eu configurar o DMARC incorretamente?
Um DMARC mal configurado com política "reject" pode fazer com que todos os seus emails sejam rejeitados. Sempre comece com p=none e mude para políticas mais rígidas apenas após analisar os relatórios durante 2-4 semanas.
Quanto tempo levam as alterações de DNS para ter efeito?
A propagação DNS pode levar de 15 minutos a 48 horas; o típico são 1-4 horas.
Preciso de SPF, DKIM e DMARC para cold email?
Sim, os três são indispensáveis. Sem autenticação correta, seus emails muito provavelmente irão para spam.