T
email-authentication spf dkim dmarc security dns

Guia Completos de Autenticação de E-mail: SPF, DKIM e DMARC

Domine a autenticação de e-mail com nosso guia sobre SPF, DKIM e DMARC. Aprenda a prevenir spoofing, melhorar a entregabilidade e proteger sua reputação.

2026-04-12

Guia Completo de Autenticação de E-mail: Domine SPF, DKIM e DMARC

A autenticação de e-mail é fundamental para a segurança digital moderna. Sem ela, seus e-mails ficam vulneráveis a spoofing (falsificação) e sua reputação como remetente pode ser prejudicada, fazendo com que mensagens legítimas sejam marcadas como spam. Este guia explica os três pilares da autenticação: SPF, DKIM e DMARC.

O que é Autenticação de E-mail?

É um conjunto de técnicas usadas para verificar se um e-mail foi realmente enviado pelo remetente que ele afirma ser. Nos primórdios da internet, o protocolo SMTP não possuía verificação, permitindo que qualquer pessoa enviasse e-mails fingindo ser outra.

Hoje, usamos três protocolos principais para resolver isso:

  • SPF (Sender Policy Framework): Uma lista de IPs e domínios autorizados.
  • DKIM (DomainKeys Identified Mail): Uma assinatura digital que garante que a mensagem não foi alterada.
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance): Uma política que diz aos servidores o que fazer se o SPF ou DKIM falharem.

Princípios Básicos: Como eles funcionam juntos

1. SPF (Sender Policy Framework)

O SPF é um registro DNS que lista todos os endereços IP autorizados a enviar e-mails em nome do seu domínio.

Como funciona:

  1. O remetente envia um e-mail.
  2. O servidor de destino consulta o registro SPF no DNS do domínio do remetente.
  3. Se o IP estiver na lista, a verificação é aprovada.

Exemplo de Sintaxe SPF: v=spf1 ip4:192.168.0.1 include:_spf.google.com ~all

  • v=spf1: Identificador da versão.
  • ip4:192.168.0.1: Autoriza um IP específico.
  • include:_spf.google.com: Autoriza os servidores do Google.
  • ~all: "Soft fail" (marca como spam se não autorizado). -all é "Hard fail" (rejeita).

2. DKIM (DomainKeys Identified Mail)

O DKIM adiciona uma assinatura criptográfica ao cabeçalho do e-mail, verificada por uma chave pública no seu DNS.

Como funciona:

  1. O servidor de envio assina o e-mail com uma chave privada.
  2. O servidor de destino obtém a chave pública via registro DNS TXT.
  3. O servidor verifica a assinatura. Se coincidir, o e-mail é autêntico.

3. DMARC (Domain-based Message Authentication)

O DMARC une o SPF e o DKIM. Ele permite especificar uma política (none, quarantine ou reject) para e-mails que falham na autenticação.

Exemplo de Política DMARC: v=DMARC1; p=quarantine; rua=mailto:[email protected]

  • p=quarantine: Move e-mails reprovados para a pasta de spam.
  • p=reject: Bloqueia e-mails reprovados totalmente.
  • rua: Endereço para receber relatórios agregados.

Cenários de Aplicação Real

Configurando seus Registros

A maioria das empresas usa um gerador de registro DKIM e um gerador de registro SPF para criar a sintaxe correta para seu DNS.

Exemplo para uma empresa SaaS: Se você usa Google Workspace e SendGrid, seu registro SPF seria: v=spf1 include:_spf.google.com include:sendgrid.net ~all

Verificação

Após a configuração, use um validador de DKIM ou um analisador de DMARC para garantir que tudo esteja funcionando. Uma consulta de registro MX também é essencial.

Comparação: SPF vs. DKIM vs. DMARC

Recurso SPF DKIM DMARC
Objetivo Principal Verificar IP do remetente Verificar integridade Definir política e relatórios
Registro DNS TXT TXT (baseado em Selector) TXT (_dmarc)
Ponto Forte Fácil de configurar Resiste a encaminhamentos Oferece visibilidade e controle
Fraqueza Falha em encaminhamentos simples Não verifica identidade sozinho Exige SPF/DKIM para sucesso total

FAQ: Problemas Comuns e Soluções

P: Por que recebo um "SPF syntax error"?

R: Isso geralmente ocorre quando você tem múltiplos registros SPF. Você deve ter apenas um registro SPF por domínio. Combine as autorizações em um único registro usando include:.

P: Por que minha "DKIM validation failed"?

R: Causas comuns:

  1. Cache DNS: Mudanças podem levar até 24 horas.
  2. Seletor Incorreto: O seletor no DNS deve coincidir com o configurado no serviço de e-mail.
  3. Erros de Cópia: Chaves DKIM são longas; verifique se não faltam caracteres ou sobram espaços.

P: Como usar um construtor de política DMARC com eficácia?

R: Comece com p=none para monitorar relatórios via seu analisador de DMARC. Quando tiver certeza de que suas fontes legítimas estão autenticadas, mude para p=quarantine e, por fim, p=reject.

Ferramentas Relacionadas

  • Gerador de Registro SPF: Crie seus registros TXT facilmente.
  • Validador de DKIM: Verifique se suas assinaturas são válidas.
  • Analisador de DMARC: Monitore seu status de autenticação (Em breve!).
  • Consulta de Registro MX: Verifique as configurações de e-mail do seu domínio.
Voltar ao blog