Como Configurar SPF, DKIM e DMARC para Melhorar a Entrega de E-mails

25 min de leitura E-mail

Visão Geral da Autenticação de E-mail

A entrega de e-mails é um dos maiores desafios técnicos para empresas que dependem de comunicações transacionais, como notificações de pedidos, recuperação de senhas e marketing direto. Sem as camadas corretas de autenticação, os servidores de destino, como Gmail, Outlook e Yahoo, não conseguem verificar a identidade do remetente, tratando sua mensagem como uma tentativa de spoofing ou phishing. Isso resulta em uma queda drástica na taxa de entrega, com mensagens sendo movidas diretamente para a pasta de spam ou, em casos mais graves, sendo rejeitadas pelo servidor de destino antes mesmo de chegarem à caixa de entrada do usuário.

A autenticação de e-mail moderna baseia-se em um tripé de protocolos de segurança que operam na camada de DNS (Domain Name System). O funcionamento desse ecossistema não depende apenas de uma configuração isolada, mas da interação harmônica entre três registros específicos. O SPF (Sender Policy Framework) atua como uma lista de permissões, informando ao mundo quais endereços IP e servidores têm autorização para enviar e-mails em nome do seu domínio. Sem um SPF bem estruturado, qualquer servidor mal-intencionado pode falsificar o campo "From" de seus e-mails, comprometendo a reputação do seu domínio.

Complementando essa camada, o DKIM (DomainKeys Identified Mail) introduz uma assinatura criptográfica digital. Através de um par de chaves (pública e privada), o DKIM garante a integridade da mensagem, assegurando que o conteúdo do e-mail — incluindo o corpo do texto e os anexos — não foi alterado durante o trânsito entre o seu servidor e o destinatário. Se um único caractere for modificado por um atacante de "man-in-the-middle", a verificação da assinatura falhará.

Por fim, o DMARC (Domain-based Message Authentication, Reporting, and Conformance) funciona como a camada de governança e instrução. Ele utiliza os resultados das verificações de SPF e DKIM para decidir o que o servidor de destino deve fazer com as mensagens que falharem na autenticação: apenas monitorar, enviar para a quarentena ou rejeitar completamente. Além disso, o DMARC permite que você receba relatórios agregados sobre o tráfego de e-mail do seu domínio, oferecendo visibilidade sobre quem está tentando enviar mensagens em seu nome, permitindo uma resposta proativa a ameaças de segurança.

Conceitos de SPF, DKIM e DMARC

Para garantir que seus e-mails sejam entregues com sucesso, é fundamental entender como os servidores de destino validam a identidade do remetente. O SPF, DKIM e DMARC formam o tripé de autenticação essencial para evitar que sua comunicação seja interceptada ou falsificada por atacantes.

O SPF (Sender Policy Framework) funciona como uma lista de permissões publicada no seu DNS. Ele especifica quais endereços IP ou domínios externos estão autorizados a enviar e-mails em nome do seu domínio. Quando um servidor recebe uma mensagem, ele consulta o registro TXT do seu domínio para verificar se o IP do servidor de envio consta na lista. Se o IP não estiver listado, o e-mail é marcado como suspeito. Um exemplo de registro SPF básico é v=spf1 ip4:192.0.2.1 include:_spf.google.com ~all, onde o parâmetro ~all (SoftFail) indica que e-mails de outros IPs devem ser aceitos, mas marcados como suspeitos.

O DKIM (DomainKeys Identified Mail) adiciona uma camada de integridade através de criptografia assimétrica. O servidor de origem gera uma assinatura digital para o corpo e os cabeçalhos da mensagem, utilizando uma chave privada. Essa assinatura é inserida no cabeçalho do e-mail. No seu DNS, você publica uma chave pública. O servidor de destino utiliza essa chave para verificar se o conteúdo da mensagem foi alterado durante o trânsito. Se um único caractere for modificado por um agente malicioso, a verificação da assinatura falhará, invalidando a autenticidade do conteúdo.

O DMARC (Domain-based Message Authentication, Reporting, and Conformance) é a camada de política que instrui o servidor de destino sobre o que fazer caso o SPF ou o DKIM falhem. Sem o DMARC, o servidor de destino pode decidir por conta própria se descarta o e-mail ou o envia para o spam. Através do DMARC, você define uma política de rejeição (p=reject), de quarentena (p=quarantine) ou de nenhuma ação (p=none). Além disso, ele permite configurar o envio de relatórios agregados para o seu e-mail, fornecendo visibilidade sobre quem está tentando enviar mensagens em seu nome, o que é crucial para identificar tentativas de spoofing.

Pré-requisitos para Configuração DNS

Antes de iniciar a implementação das camadas de autenticação, é fundamental garantir que o ambiente de infraestrutura e os acessos administrativos estejam devidamente preparados. A configuração incorreta de registros DNS pode causar a interrupção imediata do recebimento de e-mails ou o bloqueio total do seu domínio por provedores como Google e Microsoft.

Para realizar este procedimento com segurança, você deve atender aos seguintes requisitos:

  • Acesso ao Zone File ou Painel de Controle DNS: Você precisa de credenciais de administrador no seu DNS Manager, seja ele o Painel Toda Solução, cPanel, Cloudflare ou o gerenciador da sua zona DNS. Sem o controle sobre os registros TXT, CNAME e MX, não é possível propagar as chaves de autenticação.
  • Chave Privada do DKIM acessível: Se você utiliza um servidor de e-mail próprio (Postfix, Exim ou Sendmail) em uma VPS, deve ter acesso ao diretório onde a chave privada está armazenada para extrair a correspondente chave pública.
  • Identificação dos IPs de Origem: É necessário ter uma lista atualizada de todos os endereços IP ou endereços de domínio (como serviços de SMTP externo, RD Station, Mailchimp ou Zendesk) que possuem permissão para enviar e-mails em nome do seu domínio.
  • Domínio com Propagação Estável: Certifique-se de que o domínio não esteja passando por uma migração de DNS em curso, pois alterações simultâs em registros TXT durante a propagação podem gerar conflitos de leitura nos servidores de destino.
  • Ferramenta de Consulta DNS: Tenha em mãos uma ferramenta de terminal (como o dig ou nslookup) ou um serviço web de análise de registros para validar a leitura das novas diretivas em tempo real.

A ausência de qualquer um desses itens pode resultar em uma configuração incompleta, onde o registro SPF aponta para um servidor que não possui a assinatura DKIM configurada, gerando falhas de autenticação (Fail) nos logs de recebimento.

Preparação dos Registros de Autenticação

Antes de realizar as alterações na sua zona DNS, é fundamental coletar as informações técnicas corretas para evitar que o seu domínio fique sem resposta de e-mail ou entre em uma lista de bloqueio. A preparação consiste em reunir as chaves públicas e as diretrizes de política que serão inseridas nos registros TXT.

O primeiro passo é identificar todos os servidores de envio de e-mail autorizados para o seu domínio. Isso inclui o seu servidor de hospedagem na Toda Solução, serviços de marketing como Mailchimp ou SendGrid, e sistemas de ERP que disparam notificações automáticas. Se você esquecer um desses IPs ou nomes de host no registro SPF, as mensagens enviadas por eles serão marcadas como unauthorized.

Para o DKIM, você não deve criar a chave manualmente, mas sim extraí-la do seu servidor de e-mail. O processo de preparação envolve acessar o painel de controle do seu serviço de e-mail (seja via cPanel, Plesk ou o Painel Toda Solução) e localizar a opção de DKIM Manager ou Gerenciador de Assinatura Digital. Lá, você deve copiar a chave pública gerada pelo sistema. Esta chave é o que será publicado no DNS para que o destinatário possa validar a assinatura do cabeçalho do e-mail.

Para o DMARC, a preparação é puramente estratégica. Você deve decidir qual será o nível de rigor da sua política de recebimento. Recomenda-se preparar três cenários de política para o seu registro:

  • Mode Monitor (p=none):

    Passo a Passo da Configuração DNS

    A implementação prática exige que você acesse o seu Zone Editor, seja no cPanel, Plesk ou no Painel Toda Solução, para inserir os registros TXT correspondentes. O processo deve ser feito com cautela, pois erros de sintaxe podem interromper o recebimento de mensagens.

    1. Acesse a zona de DNS do seu domínio e localize a opção para adicionar um novo registro do tipo TXT.
    2. Para o registro SPF, insira o nome do host como @ (ou deixe em branco, dependendo do seu painel) e no campo de conteúdo, cole a diretiva que autoriza os servidores da Toda Soliente e outros serviços externos. 
      v=spf1 ip4:192.0.2.1 include:_spf.google.com ~all
      Neste exemplo, o ip4:192.0.2.1 autoriza o IP específico do seu servidor, o include:_spf.google.com permite o envio via Google Workspace e o ~all define o mecanismo SoftFail, que marca como suspeito, mas não rejeita o e-mail.
    3. Crie o registro DKIM utilizando a selector fornecida pelo seu provedor de e-mail. O nome do host deve seguir o padrão seletor._domainkey. 
      google._domainkey
      O valor do registro será uma chave longa começando com v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQE.... O parâmetro p contém a chave pública necessária para validar a assinatura digital das mensagens.
    4. Adicione o registro DMARC criando um novo registro TXT com o nome _dmarc. Este registro instrui os servidores receptores sobre o que fazer caso o SPF ou o DKIM falhem. 
      v=DMARC1; p=quarantine; rua=mailto:admin@seudominio.com
      A diretiva p=quarantine move e-mails suspeitos para a pasta de spam, enquanto o rua define o endereço de e-mail que receberá os relatórios agregados diários sobre a saúde do seu domínio.
    5. Salve todas as alterações e aguarde a propagação do DNS, que pode levar de alguns minutos a algumas horas, dependendo do TTL (Time To Live) configurado nos seus registros.

    Configuração Detalhada dos Registros

    Após coletar as informações necessárias no seu servidor de e-mail ou painel de controle, a implementação exige a criação de registros do tipo TXT na sua zona DNS. Abaixo, detalhamos a anatomia de cada registro para que você compreenda o que está publicando.

    Para o registro SPF (Sender Policy Framework), você deve definir quais endereços IP ou serviços de terceiros possuem autorização para enviar e-mails em nome do seu domínio. Um exemplo de configuração comum para quem utiliza o servidor da Toda Solução e também o serviço Google Workspace é:

    v=spf1 ip4:192.0.2.1 include:_spf.google.com ~all
    • v=spf1: Identifica a versão do protocolo SPF utilizada.
    • ip4:192.0.2.1: Autoriza especificamente o endereço IP do seu servidor de hospedagem.
    • include:_spf.google.com: Instruiu o servidor de destino a verificar as regras de autorização do Google.
    • ~all: Aplica o mecanismo de SoftFail, indicando que e-mails de fontes não listadas devem ser aceitos, mas marcados como suspeitos.

    O registro DKIM (DomainKeys Identified Mail) é uma chave criptográfica. Diferente do SPF, você não escreve o conteúdo da chave manualmente, mas sim aponta para o seletor que contém a chave pública. No seu DNS, você criará um registro TXT com o nome do seletor seguido de `._domainkey`:

    google._domainkey

    O valor (value) deste registro será uma string longa que começa com a tag p=, contendo a chave pública. Certifique-se de que não haja quebras de linha ou espaços extras ao colar essa string no seu gerenciador de DNS, pois isso invalidará a assinatura digital.

    Por fim, o registro DMARC (Domain-based Message Authentication, Reporting, and Conformance) utiliza os resultados do SPF e DKIM para ditar o que o servidor de destino deve fazer com e-mails que falharem na autenticação. Uma configuração inicial segura e recomendada é:

    v=DMARC1; p=quarantine; rua=mailto:admin@seudominio.com.br
    • v=DMARC1: Define a versão do protocolo DMARC.
    • p=quarantine: Determina a política de ação. O valor quarantine envia e-mails suspeitos diretamente para a pasta de spam.
    • rua=mailto:...: Define o endereço de e-mail para onde os relatórios agregados (agregados) serão enviados, permitindo que você monitore tentativas de spoofing.

    Verificação da Validação de E-mail

    Após realizar as alterações nas zonas de DNS, é fundamental validar se os registros foram propagados corretamente e se a sintaxe está íntegra. A configuração de autenticação não é apenas sobre a existência do registro, mas sobre a conformidade técnica para que os servidores de destino (como Gmail, Outlook e Yahoo) consigam interpretar as instruções sem erros de parsing.

    O primeiro passo é realizar uma consulta direta via terminal utilizando a ferramenta dig (Domain Information Groper). Este comando interroga os servidores DNS para verificar o valor retornado para cada tipo de registro específico.

    Para verificar o registro SPF, execute o seguinte comando:

    dig txt exemplo.com.ch spf

    O parâmetro txt instrui o comando a buscar registros de texto, enquanto exemplo.com.ch é o seu domínio e spf é o termo de busca para filtrar a resposta.

    O output esperado deve apresentar a diretiva completa, semelhante ao exemplo abaixo:

    ;; ANSWER SECTION:
exemplo.com.ch.	3600	IN	TXT	"v=spf1 ip4:192.0.2.1 include:_spf.google.com ~all"

    Para validar o DMARC, o procedimento é idêntico, alterando apenas o sufixo da consulta:

    dig txt _dmarc.exemplo.com.ch

    O resultado deve confirmar a política aplicada, como demonstrado a seguir:

    ;; ANSWER SECTION:
_dmarc.exemplo.com.ch.	3600	IN	TXT	"v=DMARC1; p=quarantine; rua=mailto:admin@exemplo.com.ch"

    Além de consultas via terminal, recomendamos o uso de ferramentas de análise de cabeçalho. Para isso, envie um e-mail de teste de uma conta sob seu domínio para um endereço externo e, em seguida, utilize uma ferramenta de análise de headers (como o Mail-Tester ou o Google Admin Toolbox). Essas ferramentas simem o comportamento de um servidor de recebimento e validam se o DKIM signature foi verificado com sucesso (status PASS) e se o alinhamento do domínio (alignment) entre o SPF e o DMARC está correto, o que é o ponto crítico para evitar a rejeição de mensagens.

    Troubleshooting de Erros de Entrega

    Mesmo após configurar os registros DNS, falhas na entrega de e-mails podem ocorrer devido a erros de sintaxe ou conflitos de autoridade. Diagnosticar a causa raiz exige uma análise técnica detalhada dos cabeçalhos de e-mail e da propagação do DNS.

    • Sintoma: E-mails sendo rejeitados com erro "SPF PermError" ou "Too many DNS lookups".

      Boas Práticas de Segurança de Domínio

      Implementar SPF, DKIM e DMARC é apenas o primeiro passo para uma infraestrutura de e-mail resiliente. Para garantir que sua reputação de envio permaneça alta e seu domínio protegido contra ataques de spoofing e phishing, siga estas diretrizes técnicas avançadas:

      • Adote a política de monitoramento progressivo: Nunca configure o registro DMARC diretamente com a diretiva p=reject. Comece sempre com p=none para coletar relatórios (RUA/RUF) e entender o fluxo legítimo de seus e-mails. Somente após validar que nenhum serviço essencial está sendo bloqueado, evolua para p=quarantine e, por fim, para p=reject.
      • Mantenha o registro SPF enxuto: Evite o excesso de mecanismos de busca (lookups) no SPF. O protocolo limita o número de buscas DNS a 10 lookups. Se você utiliza muitos serviços externos (como Google Workspace, SendGrid e RD Station), utilize técnicas de "flattening" ou agrupe IPs fixos para evitar o erro permerror, que invalida sua autenticação.
      • Utilize chaves DKIM de 2048 bits: Chaves de 1024 bits tornaram-se vulneráveis a ataques de força bruta. Sempre que possível, configure seu servidor de e-mail ou provedor de SMTP para gerar chaves de 2048 bits. Embora o registro DNS fique maior, o nível de criptografia é significativamente superior.
      • Implemente o monitoramento de relatórios DMARC: O DMARC só é útil se você analisar os relatórios XML enviados pelos provedores (Gmail, Outlook, etc.). Utilize ferramentas de análise de logs de DMARC para identificar tentativas de personificação do seu domínio e para descobrir novos servidores que sua equipe possa ter esquecido de incluir no SPF.
      • Aplique o princípio do privilégio mínimo no SPF: Não utilize o mecanismo +all ou ~all (softfail) de forma indiscriminada se puder usar -all (fail). O uso do -all instrui os servidores receptores a rejeitarem categoricamente qualquer IP que não esteja explicitamente listado, aumentando a segurança contra falsificação.
      • Sincronize a rota de envio com o DKIM: Certifique-se de que o domínio presente no Header From (o que o usuário vê) seja o mesmo domínio utilizado na assinatura DKIM e no SPF. Divergências entre o endereço de remetente visível e a origem técnica do e-mail são gatilhos imediatos para filtros de spam modernos.

      FAQ sobre Autenticação de E-mail

      O que acontece se eu configurar o DMARC com a política reject incorretamente?

      Configurar a política p=reject de forma prematura pode causar o bloqueio legítimo de e-mails importantes. Se o seu servidor de envio (como um CRM ou sistema de ERP) não estiver devidamente autorizado no registro SPF ou não possuir uma chave DKIM válida, o servidor de destino rejeitarmente recusará a mensagem. Por isso, recomendamos iniciar com a política p=none para monitoramento, progredindo para p=quarantine e, somente após validar todos os fluxos de envio via relatórios RUA, aplicar o p=reject.

      Posso ter mais de um registro SPF para o mesmo domínio?

      Não, você nunca deve ter dois registros do tipo TXT iniciando com v=spf1 para o mesmo domínio. A presença de múltiplos registros SPF causará um erro de PermError, invalidando a autenticação de todos os seus e-mails. Se você utiliza múltiplos serviços, como o Google Workspace e um servidor SMTP da Toda Solução, você deve consolidar todos os mecanismos em uma única string, por exemplo: 

      v=spf1 include:_spf.google.com ip4:192.168.1.10 ~all
      . Neste caso, o registro autoriza tanto o Google quanto o IP específico.

       

      O DKIM protege contra a alteração do conteúdo do e-mail?

      Sim, essa é a principal função da assinatura digital. O DKIM utiliza criptografia de chave pública para criar um hash do corpo da mensagem e dos cabeçalhos selecionados. Se um atacante ou um servidor intermediário alterar qualquer caractritério no corpo do e-mail ou em cabeçalhos críticos (como o Subject), o hash gerado no destino não coincidirá com a assinatura contida no registro DNS, resultando em uma falha de validação de DKIM.

      Configurar esses registros afeta a velocidade de entrega dos e-mails?

      Não há um impacto perceptível na velocidade de transmissão das mensagens. O processo de verificação ocorre durante a fase de SMTP handshake e análise de cabeçalhos pelo servidor receptor. O que ocorre é uma redução dror na latência de processamento de spam, pois o servidor de destino consegue tomar uma decisão de entrega muito mais rápida ao encontrar as instruções de autenticação claras, evitando que sua mensagem fique retida em filas de análise profunda.

      Como saber se meus registros DNS já propagaram após a alteração?

      A propagação de registros DNS pode levar de alguns minutos a 48 horas, dependendo do TTL (Time To Live) configurado. Você pode utilizar ferramentas de consulta direta via terminal para verificar o que os servidores DNS globais estão enxergando. Use o comando 

      dig txt seu-dominio.com.br
      para listar os registros TXT. O output esperado deve exibir as strings completas do SPF, DKIM e DMARC que você configurou recentemente.

       

      Conclusão e Próximos Passos

      A implementação correta de SPF, DKIM e DMARC não é uma tarefa de configuração única, mas sim o estabelecimento de uma camada fundamental de confiança para a sua infraestrutura de comunicação. Ao finalizar este guia, você terá mitigado significativamente os riscos de spoofing e garantido que os servidores de destino, como Gmail, Outlook e Yahoo, reconheçam sua legitimidade através de assinaturas criptográficas e autorizações de IP explícitas.

      No entanto, a segurança de e-mail é um ecossistema dinâmico. A configuração de DNS é apenas o primeiro passo para uma estratégia de entregabilidade robusta. Se você utiliza serviços de terceiros para envio de newsletters, sistemas de CRM ou plataformas de automação de marketing, lembre-se de que cada novo remetente exige a atualização do seu registro SPF e a inclusão de novas chaves DKIM para evitar falhas de autenticação.

      Para avançar na proteção do seu domínio, recomendamos seguir este roteiro de evolução técnica:

      1. Auditoria de Reputação de IP: Monitore periodicamente se os endereços IP de saída do seu servidor ou das suas ferramentas de marketing não entraram em blacklists globais.
      2. Implementação de Monitoramento DMARC: Configure um endereço de e-mail no campo rua= do seu registro DMARC para receber relatórios agregados (RUA). Analisar esses relatórios permitirá identificar tentativas reais de fraude e erros de configuração em subdomínios.
      3. Configuração de MTA-STS: Para uma camada extra de segurança, estude o MTA-STS (Mail Transfer Agent Strict Transport Security), que força o uso de TLS durante a transferência de e-mails entre servidores, protegendo contra ataques de downgrade de criptografia.
      4. Revisão de Registros SPF: Evite o erro comum de exceder o limite de DNS Lookups (máximo de 10 consultas). Se o seu registro SPF ficar muito complexo, utilize técnicas de flattening para manter a validação eficiente.

      Manter a integridade do domínio exige vigilância constante. Recomendo que você adicione um lembrete em seu calendário de manutenção para revisar as políticas de DMARC a cada trimestre, garantindo que a política p=none tenha sido evoluída com segurança para p=quarantine ou p=reject, consolidando assim a autoridade da sua marca no ambiente digital.

Esse tutorial foi útil?

Comentários (0)

Seja o primeiro a comentar.

Deixe seu comentário

Seu comentário será analisado antes de ser publicado.

0/2000
Voltar para Tutoriais
WhatsApp