Como recebi meus e-mails comerciais por meio de filtros de spam com SPF, DKIM e DMARC

Siga ZDNET: Adicione-nos como fonte preferencial no Google.

Principais conclusões do ZDNET

• Existem três registros DNS que protegem seu domínio e mantêm seus e-mails longe do lixo eletrônico.
• Executar todos os três oferece cobertura completa.
• Eles também protegem seu domínio contra roubo.

Se você envia muitos e-mails de trabalho e continua recebendo silêncio no rádio, é muito provável que seus e-mails acabem na pasta de spam de alguém.

Existem alguns motivos pelos quais isso pode acontecer, mas nem sempre têm a ver com o conteúdo dos seus e-mails. Mais comumente, seu domínio pode não ser autenticado, o que dá aos servidores de recebimento de e-mail todos os motivos pelos quais eles precisam arquivar silenciosamente suas mensagens na pasta de spam.

Também: Como um e-mail gravador pode proteger sua caixa de entrada – configurar um é fácil e gratuito

Já vi isso pegar as pessoas desprevenidas com mais frequência do que você esperaria, incluindo equipes com conteúdo de e-mail genuinamente bom. Felizmente, há uma solução fácil envolvendo três registros DNS chamados SPF, DKIM e DMARC. Juntos, eles provam para a web que seus e-mails são legítimos. Eles também protegem seu domínio de ser invadido por cibercriminosos, para que eles possam se passar por você em e-mails.

Gmail e Yahoo começaram a aplicar esses requisitos de autenticação para remetentes em massa em fevereiro de 2024. Depois disso, a Microsoft adicionou os mesmos requisitos para Outlook.com, Hotmail e Stay.com em maio de 2025. Se você ainda não os configurou, eles não são mais opcionais.

O que SPF, DKIM e DMARC realmente fazem

Cada um dos três protocolos aborda um ponto fraco diferente na autenticação de e-mail. O SPF verifica se o servidor que envia seu e-mail está autorizado a fazê-lo. O DKIM adiciona uma assinatura criptográfica às suas mensagens enviadas, confirmando que elas não foram alteradas durante o trânsito.

O DMARC une os dois publicando uma política que informa aos servidores receptores o que fazer quando uma das verificações falha e encaminha os relatórios de autenticação de volta para você.

Você realmente precisa dos três. O SPF por si só não pode impedir alguém de falsificar o endereço “De” que o destinatário vê na caixa de entrada. Somente o DKIM não capturará um e-mail enviado de um servidor não autorizado. Somente quando você executa todos os três você obtém cobertura completa contra problemas de capacidade de entrega e falsificação de domínio.

1. SPF: Autorize os servidores que enviam em seu nome

SPF (Sender Coverage Framework) é um registro DNS TXT que lista todos os endereços IP e servidores de e-mail autorizados a enviar e-mails em nome do seu domínio. Quando o servidor de e-mail de um destinatário recebe uma mensagem que afirma ser sua, ele verifica esse registro em relação ao IP do servidor remetente. Se o IP não estiver na lista, a mensagem falhará.

Também: Este é meu truque de e-mail favorito para limpar a desordem da caixa de entrada – automaticamente

Configurá-lo significa fazer login no registrador de seu domínio (GoDaddy, Cloudflare, Namecheap, and many others.) e adicionar um registro TXT na raiz do seu domínio. Veja como isso funciona:

1. Primeiro, obtenha o valor do SPF no seu serviço de e-mail. Google Workspace, Microsoft 365 e a maioria das plataformas fornecem o valor de registro exato que você precisa para copiar e colar na página de autenticação de domínio. Para o Google Workspace, é assim: v=spf1 embody:_spf.google.com ~all.

2. Se você enviar e-mails por meio de vários serviços, deverá empilhá-los no mesmo registro, por exemplo, v=spf1 embody:_spf.google.com embody:spf.safety.outlook.com ~all.

3. Faça login na plataforma onde você gerencia os registros DNS do seu domínio. Pode ser GoDaddy, Cloudflare, Namecheap, Route 53, and many others. Crie um novo registro TXT em sua página DNS, defina o host como @ (seu domínio raiz) e cole o valor SPF da etapa anterior.

É tão fácil quanto isso! Observe que seu domínio pode ter apenas um registro SPF TXT, com no máximo 10 pesquisas de DNS. Criar um segundo registro SPF em vez de editar o primeiro irá quebrar ambos. Portanto, mantenha sua lista de remetentes autorizados simples.

2. DKIM: adicione uma assinatura à prova de falsificação a cada e-mail

DKIM (DomainKeys Recognized Mail) usa criptografia de chave pública para assinar suas mensagens enviadas. Seu servidor de e-mail anexa uma assinatura usando uma chave privada que contém, para que os destinatários possam verificá-la em relação a uma chave pública correspondente que você publicou em seu DNS. Se o e-mail foi modificado em qualquer ponto entre o seu servidor e a caixa de entrada do destinatário, a verificação da assinatura falhará.

Também: Este truque simples de e-mail me salva de spam de advertising irritante (e é gratuito)

Google Workspace, Microsoft 365 e a maioria das principais plataformas de e-mail, como SendGrid, gerarão um par de chaves DKIM para você. Sua tarefa é copiar a chave pública fornecida e colá-la nas configurações DNS do seu domínio como um novo registro TXT.

Embora as etapas exatas de configuração dependam do seu provedor de e-mail e registrador de domínio, aqui está uma visão geral do que você precisa fazer.

1. Google Workspace, Microsoft 365, SendGrid, Mailchimp e outros provedores de serviços de e-mail gerarão um registro DKIM para você se você navegar até a página de configurações de autenticação de domínio. Por exemplo, se você usa o Google Workspace, ele está localizado em Aplicativos > Google Workspace > Gmail no Google Admin Console. Clique para gerar um novo registro e copie esses valores primeiro.

2. Em seguida, navegue até a página de configurações de DNS do seu registrador de domínio e crie um novo registro TXT como você fez ao configurar o SPIF anteriormente. Observe que alguns provedores também podem exigir que você adicione isso como um registro CNAME em vez de um registro TXT, portanto consulte a documentação do seu provedor de e-mail.

3. Cole o nome do host e o valor do registro obtido do seu provedor de e-mail no novo registro DNS. Certifique-se de que não haja erros de digitação, pois isso pode afetar a segurança do domínio.

4. Agora, retorne às configurações de autenticação do seu provedor de e-mail. É aqui que você habilita a assinatura DKIM para o seu domínio. No Google Workspace, isso é feito visitando novamente a página “Autenticar e-mail” no Admin Console e clicando em “Iniciar autenticação”. Lembre-se de que você deve fazer isso após 24 a 48 horas, pois os registros DNS demoram um pouco para se propagarem em seu domínio.

DKIM é especialmente útil para mensagens encaminhadas. O encaminhamento geralmente quebra o SPF porque o endereço IP muda, mas a assinatura DKIM normalmente permanece intacta. Isso significa que um e-mail encaminhado ainda pode passar pela autenticação quando o SPF sozinho teria falhado.

3. DMARC: Defina as regras para o que acontece quando a autenticação falha

DMARC (Autenticação, Relatórios e Conformidade de Mensagens Baseadas em Domínio) é a camada de política que torna o SPF e o DKIM aplicáveis. Sem ele, um servidor receptor que detecta uma falha na verificação não terá instruções sobre o que fazer em seguida e você não terá visibilidade sobre o que está falhando ou por quê. Veja como colocá-lo em funcionamento:

1. Comece criando primeiro uma caixa de entrada dedicada para relatórios DMARC, como stories@seudominio.com.

2. A maioria dos provedores de e-mail oferece um gerador DMARC em seu painel, mas você também pode usar um serviço de terceiros como MXToolbox ou DMARCLY.

3. Adicione um novo registro TXT. O nome do host deve ser _dmarc. Cole o valor do registro diretamente do seu gerador DMARC.

4. Fique atento a quaisquer relatórios de falha em sua caixa de entrada dedicada por 2 a 4 semanas. Isso revelará quaisquer problemas com a caixa de correio que precisam ser resolvidos para melhor capacidade de entrega.

Também: Testei o verificador de golpes gratuito da NordVPN com e-mails de phishing reais – veja como ele se saiu

Assim como os outros dois, DMARC é um registro TXT, adicionado desta vez a _dmarc.seudominio.com. Um registro inicial simples se parece com isto: v=DMARC1; p=nenhum; rua=mailto:stories@seudominio.com. A configuração p=none significa que os servidores de recebimento não tomarão nenhuma ação em caso de mensagens com falha, mas enviarão relatórios agregados no endereço especificado. Esses relatórios mostram quais serviços estão enviando em seu nome e se estão passando pela autenticação.

Depois de analisar algumas semanas de relatórios e confirmar que seu e-mail legítimo está sendo transmitido corretamente, você poderá reforçar a política. Vá para p=quarantine para encaminhar mensagens com falha para spam e, eventualmente, para p=reject para bloqueá-las totalmente.

Ir direto para p=reject antes de revisar seus relatórios é provavelmente o erro de implementação mais comum que vejo e acaba bloqueando seus próprios e-mails de advertising ou transacionais.

Por que você não pode simplesmente escolher um

Cada protocolo possui uma lacuna que os demais preenchem. O SPF verifica o servidor de envio, mas não o endereço “De” que os destinatários realmente veem, portanto, um invasor pode passar o SPF enquanto ainda se faz passar pelo seu domínio. O DKIM verifica a integridade da mensagem, mas não verifica se o domínio de assinatura corresponde ao remetente visível.

O DMARC impõe o alinhamento entre todos esses elementos e aplica a política escolhida quando algo está fora de alinhamento.

A vantagem combinada da capacidade de entrega é mensurável. De acordo com o Relatório de benchmark de e-mail de 2025 da Validity, domínios devidamente autenticados apresentam taxas de colocação na caixa de entrada cerca de 60 pontos percentuais mais altas do que domínios não autenticados. Para qualquer pessoa que execute campanhas de divulgação fria ou boletins informativos em massa, essa lacuna é a diferença entre uma campanha que produz resultados e outra que desaparece completamente.

Como verificar se seus registros estão funcionando

As alterações de DNS normalmente levam de 15 minutos a 48 horas para serem propagadas em todo o mundo. Depois que essa janela passar, as ferramentas gratuitas poderão informar imediatamente se tudo está configurado corretamente. MX Toolbox possui verificadores separados para SPF, DKIM e DMARC. Você também pode enviar um e-mail de teste para test@dmarcly.com, que responderá com um relatório de autenticação completo do seu domínio.

Também: Melhores serviços de hospedagem de e-mail 2026: testados e revisados ​​por especialistas

Seus relatórios agregados DMARC são o sinal contínuo mais valioso. Dentro de um ou dois dias após a publicação do seu registro DMARC, os relatórios começarão a chegar no endereço que você especificou. Eles mostram todos os servidores que enviam e-mails em seu domínio e se cada um deles está passando ou falhando na autenticação. Lê-los regularmente é a melhor maneira de detectar configurações incorretas antecipadamente, antes que afetem sua capacidade de entrega ou permitam que seu domínio seja abusado em campanhas de phishing.