SPF, DKIM e DMARC: o trio da autenticação
Esses registros dizem aos provedores de e-mail quem pode enviar mensagens em nome do seu domínio, reduzindo spoofing e melhorando a entregabilidade. O SPF lista os servidores autorizados; o DKIM assina as mensagens (gerado no seu provedor); e o DMARC define o que fazer quando uma mensagem falha na verificação, além de enviar relatórios.
O SPF é publicado como um TXT na raiz do domínio (host @) e começa com v=spf1. O DMARC é um TXT no host _dmarc.seudominio e começa com v=DMARC1. Comece o DMARC em p=none para monitorar, analise os relatórios rua e só então avance para quarantine e reject.
Boas práticas
Tenha um único registro SPF por domínio e fique abaixo de 10 lookups DNS (cada include, a e mx conta). Prefira ~all no início e migre para -all quando tiver certeza de todas as origens. No DMARC, configure o rua para receber os relatórios e suba a política gradualmente.
Perguntas frequentes
~all ou -all no SPF?
Use ~all (softfail) enquanto valida as origens — mensagens não autorizadas passam mas são marcadas. Quando tiver certeza de tudo que envia, mude para -all (fail), que instrui a rejeitar.
Por que começar o DMARC em p=none?
Para monitorar sem afetar a entrega. Com rua configurado você recebe relatórios das fontes que enviam pelo seu domínio; depois sobe para quarantine e reject com segurança.
O DMARC dispensa o DKIM?
Não. O DMARC depende de SPF e/ou DKIM alinhados. O DKIM é configurado no seu provedor de e-mail (chave pública publicada em outro TXT); este gerador cobre SPF e DMARC.
Os dados são enviados para vocês?
Não. Os registros são montados localmente no navegador; nada é enviado.