Blog da Spaceship

O que são SPF, DKIM e DMARC?

Atualizado em
10 min de leitura

Quando se trata de email, confiança é tudo. Mas, antes mesmo de sua mensagem chegar à caixa de entrada de alguém, ela precisa passar por algumas verificações silenciosas de segurança. SPF, DKIM e DMARC decidem se seus emails parecem legítimos ou acabam no spam.

Saber como esses registros funcionam e como configurá-los corretamente pode proteger seu domínio e garantir que suas mensagens sempre cheguem onde devem chegar.

O que são SPF, DKIM e DMARC em email?

Entre clicar em enviar e seu email chegar ao destino, começa uma cadeia silenciosa de verificações. Cada uma faz a mesma pergunta: isso realmente veio de você?

SPF, DKIM e DMARC formam um ciclo de feedback entre remetente e destinatário, verificando sua identidade antes de sua mensagem sair do seu domínio, quando ela chega, ou ambos. Juntos, eles são o que fica entre sua mensagem e a pasta de spam.

SPF, DKIM e DMARC explicados em resumo:

  • SPF – verifica se o servidor que envia sua mensagem está na lista aprovada do seu domínio. Se estiver, o email passa. Se não estiver, ele é sinalizado. Pense nisso como a lista de convidados do seu domínio.

  • DKIM – adiciona um selo digital à sua mensagem antes que ela saia da sua caixa de saída. Assim que chega ao outro lado, o servidor de recebimento abre o selo para garantir que nada foi alterado durante o trânsito.

  • DMARC – decide o que acontece se qualquer uma dessas verificações falhar. Ele informa ao servidor de recebimento o que fazer, seja entregar a mensagem, enviá-la para o spam ou bloqueá-la completamente.

Esses três trabalham juntos: um verifica o remetente, um protege a mensagem e um aplica as regras.

Por que SPF, DKIM e DMARC são importantes para a segurança de email?

SPF, DKIM e DMARC protegem contra duas das maiores ameaças ao email hoje: spam e spoofing. Os invasores frequentemente enviam mensagens fingindo ser quem não são. Imagine receber um email de Support@yourbank.com pedindo que você confirme os detalhes da sua conta. Essas três verificações garantem que seu “banco” seja realmente seu banco:

Em um ataque de phishing, hackers usam emails falsos para enganar as pessoas e fazê-las compartilhar senhas, números de cartão de crédito ou clicar em links maliciosos. Sem essas proteções, seu domínio poderia ser falsificado, e os clientes poderiam receber mensagens convincentes que parecem ter vindo de você. Com SPF, DKIM e DMARC em vigor, essas mensagens falsas geralmente são bloqueadas antes mesmo de chegarem a uma caixa de entrada.

  • O SPF verificaria se o email foi enviado de um servidor aprovado.

  • O DKIM garantiria que o email não tivesse sido adulterado durante o trânsito.

  • Se qualquer uma dessas verificações falhasse, então o DMARC garantiria que o email fosse descartado antes de chegar à sua caixa de entrada

Da mesma forma, durante um ataque de phishing, hackers enviam emails falsos para enganar as pessoas e fazê-las entregar senhas ou clicar em links perigosos. Se o domínio da sua empresa não estiver protegido, eles podem fingir ser um funcionário e enviar emails aos seus clientes pedindo seus dados. Se SPF, DKIM e DMARC estiverem em vigor, a maioria dessas mensagens falsas nunca chegará às caixas de entrada dos clientes, porque os servidores de recebimento conseguem identificar que elas não vieram realmente de você.

Por que eles também são importantes para a entregabilidade (não apenas para a segurança)

Se você envia newsletters, faturas ou campanhas de marketing, seu objetivo provavelmente não é apenas enviar, mas ser visto. Mas, como o spam global aumentou, grandes provedores como Gmail e Yahoo introduziram novas regras para manter as caixas de entrada limpas.

Desde 2024, esses provedores exigem que os remetentes autentiquem seus domínios com SPF, DKIM e DMARC. Sem eles, seus emails podem ser rejeitados antes mesmo de saírem da sua caixa de saída. Passar nessas verificações de forma consistente melhora sua reputação de remetente e impede que seus emails acabem no spam. Quanto melhor sua reputação, mais rápida a entrega, menos sinalizações de spam e maior sua credibilidade.

SPF vs DKIM vs DMARC — qual é a diferença?

Toda vez que você embarca em um avião, passa por um processo quase idêntico a como SPF, DKIM e DMARC funcionam. Isso pode parecer estranho, mas esses três termos não são exatamente fáceis de lembrar, e ajuda ter uma forma mais simples de memorizá-los. Além disso, sem esses três configurados, é provável que seu email acabe exatamente como você quando perde o check-in de um voo. Do lado de fora, no frio.

SPF – O primeiro ponto de verificação de segurança do seu email

Quando você chega ao balcão, pronto para embarcar, o atendente verifica sua passagem em relação ao registro do voo. Se seu nome estiver lá, você está liberado para voar. Se não estiver, sem cartão de embarque, sem voo.

O SPF funciona da mesma forma. Todo domínio, como example.com, mantém uma “lista de passageiros” ou um registro de quais servidores de email têm permissão para enviar emails em seu nome. Quando você envia um email, o servidor de recebimento verifica se o seu servidor de envio está nessa lista. Ao configurar seu registro SPF, você basicamente está adicionando seu nome à lista para que suas mensagens possam passar pela segurança sem atraso.

DKIM – A verificação de identidade da sua caixa de entrada

Depois que sua passagem é validada, é hora de provar sua identidade. A foto do seu passaporte confirma que você é realmente você, uma assinatura física que não pode ser facilmente falsificada. O DKIM faz a mesma coisa, mas para email.

DomainKeys Identified Mail (DKIM) adiciona uma assinatura digital a cada mensagem enviada. Essa assinatura prova que o email não foi alterado nem adulterado durante o trânsito e impede que seu email seja rastreado. Quando você clica em enviar, seu servidor assina o email com uma chave privada. Quando ele chega, o servidor de recebimento verifica essa assinatura, confirmando que a mensagem é genuína e não foi alterada.

DMARC – O que acontece quando algo dá errado

Se você aparecer no aeroporto sem passagem ou passaporte, a companhia aérea tem uma política clara sobre o que acontece em seguida. O DMARC funciona da mesma forma quando as verificações de SPF ou DKIM falham.

O DMARC informa ao servidor de recebimento o que fazer com o email se a verificação de SPF ou DKIM falhar. Ele pode:

  • Não fazer nada

  • Colocar a mensagem em quarentena (enviá-la para o spam)

  • Rejeitar a mensagem completamente

Como remetente, você decide qual regra se aplica. Você a define no seu DNS, determinando o que acontece quando suas mensagens não passam na inspeção.

Como configurar SPF, DKIM e DMARC para seu domínio

Para configurar SPF, DKIM e DMARC, você precisará de acesso ao seu DNS. É para onde os nameservers do seu domínio apontam, ou seja, o registrador ou host DNS.

Como mencionamos acima, o SPF funciona como uma lista de passageiros, que informa aos servidores de recebimento quais hosts podem enviar email para seu domínio. Então, para configurar o SPF, você precisa colocar seu email nessa lista de passageiros. Para fazer isso, há algumas etapas.

1. Verifique se você já tem SPF

Comece usando uma ferramenta gratuita de consulta DNS para verificar se seu domínio já tem um registro SPF. Se a ferramenta, na aba TXT, mostrar um registro que começa com v=spf1, isso significa que o SPF já está configurado para seu domínio.

Se nenhum registro desse tipo aparecer, você precisará criar um novo registro SPF do zero.

2. Adicione um novo registro SPF no DNS

Para adicionar um novo registro SPF, vá até as configurações de DNS do host do seu domínio. Isso pode ser Spaceship, Google, Outlook etc., dependendo de quem é seu provedor. Encontre a lista de registros existentes e selecione Adicionar registro, depois escolha TXT no menu de tipo.

Em seguida, preencha os campos conforme mostrado abaixo para criar sua entrada SPF.

Para o Spacemail, ficaria assim:Tipo: Registro TXT | Host: @ | Valor: v=spf1 include:spf.spacemail.com ~all | TTL: Automático

Salve e aguarde alguns minutos pela propagação.

3. Verifique o registro

Neste ponto, você pode executar outra verificação na sua ferramenta de consulta DNS. Se ela exibir seu valor, está tudo certo. Também é importante lembrar que o registro do host pode levar até 24 horas para ser atualizado, então não se preocupe se ele não aparecer imediatamente.

Etapa 2. Atualize suas configurações de DKIM

O DKIM adiciona uma assinatura digital a cada email que seu domínio envia, provando que ele não foi adulterado.

1: Gere seu registro DKIM

Comece nas configurações do seu provedor de email.

  1. Vá até a seção de autenticação de domínio ou segurança de email.

  2. Encontre uma opção chamada DKIM, DomainKeys ou algo semelhante.

  3. Selecione o botão para gerar novas chaves DKIM.

Seu provedor fornecerá duas informações importantes:

  • Um seletor (por exemplo, selector1._domainkey)

  • O próprio registro DKIM — uma longa sequência de texto criptografado

É uma boa ideia copiar ambos para algum lugar seguro, pois você precisará deles na próxima etapa.

2: Adicione o registro DKIM ao seu DNS

Em seguida, faça login no seu provedor de DNS.

  1. Abra seus registros DNS e crie uma nova entrada.

  2. Escolha CNAME se o registro for curto, ou TXT se for uma chave mais longa.

  3. No campo Host ou Nome, insira o seletor DKIM (por exemplo, selector1._domainkey).

  4. No campo Valor, cole o registro DKIM do seu provedor de email.

  5. Salve suas alterações.

Dê alguns minutos, pois alterações de DNS podem levar um tempo para serem atualizadas.

Para o email comercial Spacemail, você pode configurar um registro DKIM com este guia.

Etapa 3. Adicione as configurações de DMARC

Depois que SPF e DKIM estiverem configurados, a etapa final é o DMARC. Você só precisa adicionar mais um registro TXT ao DNS do seu domínio. Esse registro informa aos servidores de recebimento o que fazer se um email do seu domínio falhar na autenticação e dá a você visibilidade sobre quem está enviando emails em seu nome.

Um registro DMARC tem algumas partes principais que você precisará entender antes de adicioná-lo:

  • v=DMARC1 – isso informa aos servidores de email que você está usando DMARC. Ele sempre vem primeiro.

  • p= – isso define sua política de como lidar com mensagens não autenticadas:

  • rua=mailto: – isso informa aos servidores de email para onde enviar seus relatórios diários de DMARC. Você pode usar um endereço como security@yourdomain.com ou dmarc@yourdomain.com. Esses relatórios mostram quais IPs estão enviando em nome do seu domínio, ajudando você a identificar qualquer coisa incomum.

1: Gere um registro DMARC para seu domínio

Abra a ferramenta Gerador de Registro DMARC (sinta-se à vontade para usar qualquer ferramenta geradora de DMARC de sua preferência) e preencha o nome do seu domínio na barra de pesquisa. Depois disso, clique no botão Verificar registro DMARC. Personalize as configurações de DMARC de acordo com suas necessidades e obtenha o registro gerado.

2: Adicione seu registro DMARC às configurações de DNS

Vá até seu provedor de DNS. Crie um novo registro, selecionando TXT como tipo de registro do host. O DMARC usa um formato de registro TXT, assim como o SPF.

Use host: _dmarc Adicione o valor, aquele que você gerou anteriormente

Depois de adicioná-lo, salve suas alterações e aguarde alguns minutos para que ele se propague. Você pode usar ferramentas como MX Lookup Tool ou outras ferramentas gratuitas para verificar se seu registro DMARC está configurado corretamente.

Você pode usar este guia para configurar um registro DMARC para seu domínio com Spacemail.

Configurando seu email corretamente

Se suas mensagens continuam caindo no spam ou desaparecendo no meio do caminho, isso pode ser devido à falta de autenticação. SPF, DKIM e DMARC dão aos seus emails as credenciais de que precisam para chegar à caixa de entrada com segurança.

Ao ouvir uma explicação sobre SPF, DKIM e DMARC, isso pode parecer complicado, mas o melhor é que eles não exigem ferramentas caras nem configurações complexas, apenas alguns registros DNS e um pouco de paciência. Eles são alguns dos protocolos de email mais simples que você pode adicionar ao seu sistema de email e que compensam toda vez que sua mensagem chega exatamente onde deveria.

Perguntas frequentes

O SPF verifica se seu email é enviado de um servidor aprovado. A segurança de email DKIM funciona assinando cada mensagem com uma chave digital para que o destinatário saiba que a mensagem não foi adulterada. O DMARC une os dois, informando ao servidor o que fazer se algo parecer errado. Juntos, eles mantêm seus emails confiáveis, verificados e seguros.

Ao analisar DMARC vs SPF e DKIM, eles funcionam melhor em equipe. A autenticação de email SPF e DKIM faz as verificações, enquanto o DMARC decide o que acontece se essas verificações falharem. Sem DMARC, seus emails ainda podem passar, mas você não terá controle sobre o que acontece quando não passarem. Configure os três uma vez e você cobrirá todas as bases tanto para segurança quanto para entregabilidade.

O spoofing acontece quando alguém envia um email fingindo ser você. O SPF verifica de onde a mensagem veio, o DKIM confirma que ela não foi alterada e o DMARC bloqueia qualquer coisa suspeita.

Sem DMARC, não há uma regra clara sobre como os servidores de email lidam com mensagens suspeitas. Isso significa que emails falsos podem passar, ou os seus verdadeiros podem ser marcados como spam. O DMARC é a parte que aplica as regras e, sem ele, seu domínio fica desprotegido.

Na verdade, não, eles apenas fazem trabalhos diferentes. O SPF verifica quem está enviando o email; o DKIM verifica se ele foi alterado. Nenhum funciona perfeitamente sozinho, mas juntos eles criam uma forte primeira linha de defesa.

Foto de perfil de Josh Horritt
Escrito por

Josh Horritt

Josh é redator publicitário e redator de UX de Manchester, Reino Unido. Ele começou sua carreira como jornalista na BBC e agora trabalha nos produtos de e-mail da Spaceship, escrevendo blogs e textos focados no usuário. Fora do trabalho, ele geralmente está nas montanhas ou fazendo música com amigos.
Mais artigos de Josh Horritt

Avalie este artigo

5/55 Avaliações
Partilhe esta notícia

Artigos sugeridos

Qual protocolo de email é certo para você?
Entenda as diferenças entre os protocolos de email e escolha a configuração certa para o seu email.
Josh H.
9 min de leitura
Pensando em criar um alias de email? Aqui está o que você precisa saber
Simplifique a comunicação e mantenha-se organizado com aliases de email — uma forma mais inteligente de gerenciar sua caixa de entrada.
Olha N.
8 min de leitura
O que são CC e BCC no e-mail? Um guia com exemplos
CC mantém tudo transparente, BCC mantém tudo privado — domine ambos para usar o e-mail de forma mais inteligente e proteger a privacidade dos seus destinatários.
Olha N.
6 min de leitura
Como o Spacemail protege você contra rastreamento
Sua atividade de e-mail provavelmente está sendo rastreada sem que você saiba. Saiba como remover links de rastreamento sem nenhuma perda de funcionalidade.
Jamie L.
4 min de leitura

Compartilhe seus pensamentos

São necessários mais de 10 caracteres.
Sua identidade para exibição pública.
Fornecer seu endereço de e-mail é opcional. Não será compartilhado com terceiros.

Ajude-nos a melhorar nosso blog

Compartilhe seus pensamentos em uma rápida pesquisa de dois minutos.

É necessário um e-mail válido